инструкция по разграничению доступа к Trixbox 2.6

[smilefox]

Надеюсь кому-то из начинающих поможет.
По умолчанию при установки Триксбокса есть только 1 пользователь maint обладающий полными правами на сервер.
Если необходимо разграничить доступ, то можно сделать так:

а) Необходимо создать пользователя в разделе администраторы в FreePbx и задать ему права.
б) Необходимо создать такого же пользователя и с таким же именем паролем для доступа к httpd. Это делается через утилиту: htpasswd
htpasswd /usr/local/apache/passwd/wwwpasswd newusername
Команда добавляет пользователя newusername в существующий файл /usr/local/apache/passwd/wwwpasswd, если пользователь уже существует, просто произойдет его смена пароля.
в) Прописать доступ в файле /etc/trixbox/httpdconf/trixbox.conf для нового пользователя.
Директория /var/www/html/admin дает ограниченные права к серверу (нет возможности перезагрузки сервера и правки файлов конфигурации)
Директория /var/www/html/maint дает полный доступ к Триксбоксу.
г) Изменить тип авторизации в файле /etc/amportal.conf
AUTHTYPE=database
д) Выполнить команду amportal restart и httpd restart

[ded]

Если меняем тип авторизации в файле /etc/amportal.conf
AUTHTYPE=database
то предыдущие шаги не нужны. Все аккаунты начинают писать-читать в/из MySQL, а не из wwwpasswd

[smilefox]

Думаю в freepbx так и есть, но в Trixbox 2.6 после этих действий зайти на веб морду вообще не возможно.

[ded]

http://ip_addr/admin - прямой ход.

[smilefox]

Да, вот именно!
Работает, только если сделать как писал switch.
Иначе в логах ошибки:
[Tue Dec 21 23:42:17 2010] [error] [client 192.168.241.1] user admin not found: /admin
(т.к. такого юзера нет в trixbox.conf )
[Tue Dec 21 23:42:26 2010] [error] [client 192.168.241.1] user wwwadmin: authentication failure for "/admin": Password Mismatch
(что тоже правильно т.к. пароли не совпадают.)

Но если мы удалим аутентификацию в trixbox.conf, тогда любой может зайти в http://ip_addr/maint и перезагрузить сервер или поправить файлы конфигурации.

[ded]

Коллега, мне жаль, чес-слово! Вас не задевало.
Публичный доступ к http://ip_addr/maint нужно сразу отключать. (А уж доступ к FOP тем более!)
С этого начинается секъюрность.
Иначе сканеры выгребают установленные триксы пачками, и складвают к ногам кул хацкеров уже в отсортированном виде как отрезанные уши врагов.
Бери - не хочу!

[smilefox]

Задевало, но к счастью не сильно.. на 500$
После этого решил вопрос кардинально: через iptables снаружи оставил доступ только для rtp портов и 5060 с нужных мне адресов.

Сейчас работаю над системой в корп сети, поэтому сильно не зацикливаюсь.
Про FOP то и не знал. Может стоит просто закрыть http://ip_addr/user через /etc/trixbox/httpdconf/trixbox.conf и вместо стандартного пользователя maint создать другого?