Asterisco protegendo senhas

Navegue suas respostas
0

Estou executando o asterisco no raspberry pi 3 ; portanto, quero proteger as senhas. Alguém pode remover o cartão SD e as senhas serão em texto simples! Eu sei que posso criptografar todo o sistema operacional, mas será bom se eu puder evitar fazer isso, pois eu só tenho que proteger um arquivo.

Existem 3 tipos de chaves / senhas que eu quero proteger. Até agora consegui proteger 2 senhas da árvore.

De qualquer forma, aqui está meu antigo sip.conf desprotegido: 

[general]

  keepalive=30
  bindport=5060
  ... etc

  ; Allow tls !    
  tlsenable=yes
  tlsbindaddr=0.0.0.0
  tlscertfile=/keys/asterisk.pem     ; <---- 1st key unprotected
  tlscafile=/keys/ca.crt
  tlscipher=ALL
  tlsclientmethod=tlsv1


; Peers info ---------------------------------------------
[user1]
  secret=somePassword       ; < -------- 2nd key unprotected
  type=peer
  ... etc

[user2]
  ... etc..   ; more  unprotected keys
; ----------------------------------------------------------

; elastic sip trunks used to make outbound calls -----------
[Trunk-Provider-1] ; 
  type=peer
  host=someProvider.com
  secret=plainTextPassword    ; <------------ 3rd password unprotected
  username=foo      
; ---------------------------------------------------------

E aqui está o meu novo sip.conf "protected": 

[general]

  keepalive=30
  bindport=5060
  ... etc

  ; Allow tls !       
  tlsenable=yes
  tlsbindaddr=0.0.0.0                      
  tlscertfile=/dev/shm/keys/asterisk.pem   ; <---- 1st key located on memory (/dev/shm/)
  tlscafile=/dev/shm/keys/ca.crt           ; same thing. File is on memory and NOT on disk. 
  tlscipher=ALL
  tlsclientmethod=tlsv1


; Peers info ---------------------------------------------
[user1]      
  md5secret=4a8e71480c5b1ef0a5d502a8eb98576  ; < -------- 2nd key hashed (protected)
  type=peer
  ... etc

[user2]
  ... etc..   ; more hashed keys
; ----------------------------------------------------------

; elastic sip trunks used to make outbound calls -----------
[Trunk-Provider-1] ; 
  type=peer
  host=omeProvider.com
  secret=password-Of-Provider  ; <------------ 3rd password I do not know how to protect this :/ ?
  username=foo
; ---------------------------------------------------------

Então eu tenho que proteger 3 tipos de chaves / senhas.

  1. Chaves de certificado Os certificados usados para criptografar chamadas. Eu protejo isso baixando-o quando o computador inicializa e colocando-o na memória ( /dev/shm/ ). Se o computador desligar, os arquivos serão perdidos.

  2. Senhas de telefones Ip (pares) Esta é a senha usada pelos telefones (pares). Para protegê-los, eu os chamo. Este artigo explica como isso é feito: link

  3. Senhas do provedor (usadas para fazer chamadas de saída) Eu não sei como proteger essas senhas. Pensei em mover a localização do meu arquivo sip.conf para a memória, mas isso não é fácil. Isso requer que mova todos os arquivos de configuração que eu acredito.

por Tono Nam 30.03.2018 / 04:02

1 resposta

0

Respondendo minha própria pergunta:

Eu movi o arquivo /etc/asterisk/sip.conf criando um link simbólico. link 

# 1. Delete /etc/asterisk/sip.conf we do not want that file on disk. It contains passwords!
rm /etc/asterisk/sip.conf

# 2. create sip.conf on memory (/dev/shm/sip.conf)
touch /dev/shm/sip.conf
... add configuration and passwords... to that file

# 3. Trick asterisk by placing a symbolic link. 
# Point file /etc/asterisk/sip.conf ---> /dev/shm/sip.conf
ln -s /dev/shm/sip.conf /etc/asterisk/sip.conf

Não, quando eu acesso o /etc/asterisk/sip.conf na realidade, estou acessando /dev/shm/sip.conf!

    
por 30.03.2018 / 05:20

Tags

Construção do sistema: duas placas Asrock seguidas com RAM defeituosa? HP stream windows 10. escritório 360