Estou executando o asterisco noframboesa pi 3; portanto, quero proteger as senhas. Alguém pode remover o cartão SD e as senhas estarão em texto simples! Eu sei que posso criptografar todo o sistema operacional, mas seria bom evitar isso, já que só preciso proteger um arquivo.
Há3tipos de chaves/senhas que desejo proteger. Até agora consegui proteger 2 senhas da árvore.
De qualquer forma aqui está meu antigo sip.confdesprotegido:
[general]
keepalive=30
bindport=5060
... etc
; Allow tls !
tlsenable=yes
tlsbindaddr=0.0.0.0
tlscertfile=/keys/asterisk.pem ; <---- 1st key unprotected
tlscafile=/keys/ca.crt
tlscipher=ALL
tlsclientmethod=tlsv1
; Peers info ---------------------------------------------
[user1]
secret=somePassword ; < -------- 2nd key unprotected
type=peer
... etc
[user2]
... etc.. ; more unprotected keys
; ----------------------------------------------------------
; elastic sip trunks used to make outbound calls -----------
[Trunk-Provider-1] ;
type=peer
host=someProvider.com
secret=plainTextPassword ; <------------ 3rd password unprotected
username=foo
; ---------------------------------------------------------
E aqui está meu novo sip.conf"protegido":
[general]
keepalive=30
bindport=5060
... etc
; Allow tls !
tlsenable=yes
tlsbindaddr=0.0.0.0
tlscertfile=/dev/shm/keys/asterisk.pem ; <---- 1st key located on memory (/dev/shm/)
tlscafile=/dev/shm/keys/ca.crt ; same thing. File is on memory and NOT on disk.
tlscipher=ALL
tlsclientmethod=tlsv1
; Peers info ---------------------------------------------
[user1]
md5secret=4a8e71480c5b1ef0a5d502a8eb98576 ; < -------- 2nd key hashed (protected)
type=peer
... etc
[user2]
... etc.. ; more hashed keys
; ----------------------------------------------------------
; elastic sip trunks used to make outbound calls -----------
[Trunk-Provider-1] ;
type=peer
host=omeProvider.com
secret=password-Of-Provider ; <------------ 3rd password I do not know how to protect this :/ ?
username=foo
; ---------------------------------------------------------
Então eu tenho que proteger 3 tipos de chaves/senhas.
Chaves de certificado Os certificados usados para criptografar chamadas. Eu protejo isso baixando-os quando o computador inicializa e colocando-os na memória (
/dev/shm/). Se o computador desligar, os arquivos serão perdidos.Senhas de telefones IP (pares) Esta é a senha usada pelos telefones (pares). Para protegê-los, eu os misturo. Este artigo explica como isso é feito:https://www.voip-info.org/wiki/view/Asterisk+sip+md5secret
Senhas do provedor (usadas para fazer chamadas) Não sei como proteger essas senhas. Pensei em mover a localização do meu arquivo sip.conf para a memória, mas isso não é fácil. Isso requer mover todos os arquivos de configuração que eu acredito.
Responder1
Respondendo à minha própria pergunta:
Mudei o arquivo /etc/asterisk/sip.conf criando um link simbólico. https://stackoverflow.com/a/1951752/637142
# 1. Delete /etc/asterisk/sip.conf we do not want that file on disk. It contains passwords!
rm /etc/asterisk/sip.conf
# 2. create sip.conf on memory (/dev/shm/sip.conf)
touch /dev/shm/sip.conf
... add configuration and passwords... to that file
# 3. Trick asterisk by placing a symbolic link.
# Point file /etc/asterisk/sip.conf ---> /dev/shm/sip.conf
ln -s /dev/shm/sip.conf /etc/asterisk/sip.conf
Não, quando eu acesso /etc/asterisk/sip.conf, na verdade estou acessando /dev/shm/sip.conf!