<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On Oct 7, 2009, at 6:38 PM, Moisés Abrantes dos Santos wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div>Não sou nenhum especialista em asterisk e linux, pelo contrario estou<br>começando, trabalho quase 100% voltado para plataforma Microsoft e até<br>o momento não vejo ninguem preocupado com a segurança ou divulgando<br>informações relacionadas, talvez eu não esteja procurando de forma<br>correta.....<br>Não conheço nada de iptables<br>meus comentários aos colegas<br><br>01 "nenhuma iptables é pra boiola, mantendo o asterisk sempre<br>atualizado nao tem problema."<br><br> Problema não é só o asterisk, é o php (Frepabx,<br>monast,billing, senhas default no banco, no asterisk....), mysql,<br>portas do asterisk abertas... final do mês conta nas alturas e a<br>pergunta fica quem foi, você descobre que foi invadido, você paga a<br>conta, fala o que na empresa?<br><br><br><br><br>02 "Concordo com o Itamar, preocupe-se com backups, deixe apenas os<br>serviços necessários rodando neste linux bem atualizado, mude a porta<br>do ssh e, se possível não deixe acesso externo com apache com php e<br>mysql.<br>As vezes se perde 4 horas fazendo um super script de um packet filter<br>qualquer, quando se da conta que uma simples rotina de backup seria<br>mais fácil, no caso se uma invasão ou perda do host, uma instalação<br>básica e um restore funcional não levariam 1 hora para serem feitos."<br><br> Gostei, mudar a porta do ssh, bloquear acesso php e mysql<br>para ip externo, entendo isso como iptables para fazer de fomra<br>centralizada, esse é o caminho que imaginei, seria a minha segunda<br>pergunta essa como montar um script para iptables simples com regras<br>de:<br>Liberar apenas portas mysql, php, para rede iterna, no meu caso todos<br>os ramais estão internos, apenas os trunks na internet mas isso fica<br>pra depois<br>Quanto a restaurar backup em caso de invasão eu prefiro não comentar<br>já que isso é inadmissível no meu ponto de vista. (Sem brigas, apenas<br>um ponto de vista)<br><font class="Apple-style-span" color="#000000"><font class="Apple-style-span" color="#144FAE"><br></font></font></div></blockquote><br></div><div>Inadmisssível meu amigo, porém não impossível, e se um dia vier a acontecer contigo, espero que tenhas backup :)</div><div><br></div><div>Quando a bloquear portas externas, todos estes caras (apache mysql etc) possuem opções de listen e bind ipaddress, basta usar apenas os ips locais, pronto. Nao precisa de packet filters. Ou se preferir pode usar o /etc/hosts.deny também sem problemas.</div><div>Agora se tiveres tempo a perder, estude iptables (pois ele vai mudar de novo, pra outro, quem sabe com uma sintaxe mais humana e mais decente). E la vem outro packet filter da família linux que todo o ano muda. Foi ipfwadm, depois ipchains, agora iptables, e vem outro... Haja vontade. Não pretendo causar polêmica, mas se não for fazer uso de placas E1, considere usar um sistema mais robusto e mais seguro, um FreeBSD da vida e ai sim, com um pf para ajudar-lo, se realmente se fizer necessário.</div><div>[ ]s</div><div><br></div></body></html>