Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Asterisk + Mysql безопасность

0

Здравствуйте. Есть необходимость подключаться к базе из диалплана. Все работает правильно и проблем не возникает. Но как быть с тем что в логи астериска пишутся данные для доступа в базу? В логи должны смотреть техники, но у них не должно быть доступа в базу. Посоветуйте решение данной проблемы.

удалить закрыть спам изменить тег редактировать

спросил 2013-12-17 21:57:38 +0400

etskh Gravatar etskh
280 30 14

Comments

как вариант берем PAM модуль для mysql (платный) и разрешаем присоединяться только системному пользователю asterisk. или постгрю ставить если не хочется платить...

octopas ( 2013-12-18 08:56:24 +0400 )редактировать

3 Ответа

0

а почему бы просто не отфильтровать логи для техников? ;)

ссылка удалить спам редактировать

ответил 2013-12-18 11:52:41 +0400

svoy Gravatar svoy
1603 1 4 20
http://svoy.in.ua/

Comments

Ну вообще-то логичнее авторам было бы позаботиться о безопасности и не писать пароли в логи. Обычно все unix-утилиты позволяют писать пароль только при включенной опции (или наоборот - выключенной), а не безальтернативно.

tma ( 2013-12-18 13:43:36 +0400 )редактировать

ну так авторы и побеспокоилися. а то что некоторые используют app_mysql ну так там в исходниках написано что это временная хаглушка. и что оно depricated

meral ( 2013-12-18 15:01:55 +0400 )редактировать

Нативный драйвер должен быть, т.к. odbc, как универсальная обертка, всегда будет ущербный ибо не позволит использовать специфический для конкретного SQL-сервера функционал. К выводу паролей в лог это отношения не имеет.

tma ( 2013-12-18 18:21:28 +0400 )редактировать

REALTIME есть. но с нативным есть проблема в лицензии. даже сходу не приходит в голову что из mysql функционала не позволяет ODBC.

meral ( 2013-12-18 19:00:51 +0400 )редактировать

MySQL слишком ущербен, возьмем лучше в пример PostgreSQL. Сам факт отсутствия (или планируемого удаления) нативной поддержки - плохо. Это конечно ИМХО. Мы в основном работаем с DB2, но не для asterisk'а конечно...

tma ( 2013-12-18 23:10:24 +0400 )редактировать

не считаю это ущербным. ибо он в астериске используется для очень простых вещей и щас зааопарк. наоборот так унифицируется эта часть что улучшит безопасность и поддерживаемость кода. сложные вещи(а большинством людей и простые) делаются на agi.

meral ( 2013-12-19 00:53:50 +0400 )редактировать

Я имел ввиду, что сам MySQL ущербный SQL-сервер. По поводу AGI - иногда удобнее делать запрос непосредственно в диалплане, хотя в asterisk'е это сделано через одно место как и все остальное. AGI, да и текущий нативный драйвер плох хотя бы тем, что требует каждый раз открывать сокет, что является самой доргой операцией у SQL-сервера. А у нативного драйвера еще и проблема с закрытием сокета, на которую можно элементарно напоротся если вызов завершится раньше выполнения соответствующей команды. Короче говоря - один большой костыль.

tma ( 2013-12-19 02:15:41 +0400 )редактировать

конечно, о гуру. REALTIME не открывает сокет. app_mysql использовать не надо, я об этом писал. но вы же писатель.

meral ( 2013-12-19 09:09:01 +0400 )редактировать

Причем тут realtime и функции для SQL-запроса из диалплана? Вот уж кто тут писатель, так это - Вы. Посмотрите внимательно на вопрос топикстартера!

tma ( 2013-12-19 12:28:36 +0400 )редактировать

даже не знаю как ВАМ обьяснить, о гуру. пойдите чтоли прочитайте что делает функция REALTIME

meral ( 2013-12-19 12:48:50 +0400 )редактировать

А Вы, я вижу, любитель вырезать гланды через задний проход. Тогда извините. Обязательно отправлю к Вам своего недруга на лечение. ;)

tma ( 2013-12-19 13:19:30 +0400 )редактировать

направляйте, о гуру. всегда рад вам прислужить

meral ( 2013-12-19 13:54:24 +0400 )редактировать

Из всего диалога понял, что как вариант можно использовать func_odbc или AGI. С этим будем разбираться. AGI кажется удобней, для большого количества запросов к базе. Про realtime ничего не понял, как он может мне помочь, Мне надо делать INPUTы и UPDATEы

etskh ( 2013-12-19 21:13:16 +0400 )редактировать

еще мужно функцию REALTIME. таблицу определяете в extconfig.conf, базу в resconfigmysql.conf и потом в дилплане выбираете значение одной строчкой. но func_odbc сильно очевиднее конфигурация. AGI лучше не использовать, старайтесь сразу fastAGI делать. AGI ну сильно плохо на большой нагрузке.

meral ( 2013-12-19 22:16:56 +0400 )редактировать
0

не используйте depricated application MYSQL

используйте func_odbc, через специальный аккаунт который может только функции вызывать или по другому сильно ограничен, доступ к /etc/odbc.ini не давайте аккаунту ваших админов.

ссылка удалить спам редактировать

ответил 2013-12-18 05:44:37 +0400

meral Gravatar meral flag of Ukraine
21228 23 18 169
http://pro-sip.net/
0

Ограничте средствами самого MySQL доступ с других IP, ну или править исходники.

ссылка удалить спам редактировать

ответил 2013-12-18 00:59:20 +0400

tma Gravatar tma
571 2 5
http://telecomtechnology....

обновил 2013-12-18 00:59:54 +0400

Comments

Ограничения средствами самого Mysql настроено, но есть на этом сервере всеми любимый phpmyadmin который даст доступ любому юзверу.

etskh ( 2013-12-19 21:10:46 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2013-12-17 21:57:38 +0400

Просмотрен: 142 раз

Обновлен: Dec 18 '13

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.