[OFFTOPIC] Duda en la Gestión de permisos para mi centralita Asterisk

310 views
Skip to first unread message

Miguel Alberto Sanz Pardo

unread,
Mar 4, 2015, 1:00:22 PM3/4/15
to aster...@googlegroups.com
Hola buenas tardes,


Quería crear un usuario de manera que no actúe como superuser al igual que el usuario root, pero que al menos pueda ejecutar el servicio asterisk y acceder a los diferentes archivos de /etc/asterisk/ y de /var/log/asterisk para poder leerlos e incluso poder editar alguno.

Hasta ahora siempre había trabajado con el user root directamente, por lo que he tenido que estar informándome en diferentes webs acerca de cómo crear un usuario y como darle permisos pero al parecer no he conseguido que funcione de manera correcta:




Esto es lo que he hecho:

1) En primer lugar he descomentado la línea "auth required pam_wheel.so use_uid" en /etc/pam.d/su , de manera que se requiera ser del grupo wheel para poder utilizar el comando “su”.


2) En segundo lugar he creado un usuario y lo he asignado al grupo Wheel:

# adduser -G wheel -m -s /bin/bash asterisk
# passwd asterisk123456


3) En tercer lugar he ido a /etc/sudoers para tratar que los usuarios que pertenezcan al grupo wheel puedan acceder tan solo a las carpetas correspondientes:

Si pongo  

%wheel ALL=(ALL) NOPASSWD: ALL 

Pueden acceder a Asterisk y a cualquier otro servicio y/o archivo del sistema sin necesidad de poner password


Si pongo 

%wheel ALL=/usr/sbin/asterisk

Al ejecutar desde el usuario asterisk: sudo asterisk -r aparece este mensaje

[asterisk@localhost ~]$ sudo asterisk -r
sudo: >>> /etc/sudoers: syntax error near line 123 <<<
sudo: parse error in /etc/sudoers near line 123
sudo: no valid sudoers sources found, quitting
sudo: unable to initialize policy plugin


¿Alguien podría echarme una mano?


un saludo y gracias por vuestra ayuda

Miguel Sanz

Miguel Alberto Sanz Pardo

unread,
Mar 4, 2015, 1:38:22 PM3/4/15
to aster...@googlegroups.com
He podido observar que sin editar el fichero /etc/sudoers puedo conseguir que el usuario asterisk ejecute/edite según qué ficheros de esta manera:

chown asterisk:asterisk /var/run/asterisk.ctl
chown asterisk:asterisk /etc/asterisk/sip.conf


De tal manera puedo hacer:

# asterisk -r
# vi /etc/asterisk/sip.conf

sin necesidad de ejecutar el sudo


Cuando podáis ya me diréis si estoy haciéndolo de forma correcta o si estoy metiendo la pata con el tema de los permisos.


Lo siento pero es la primera vez que trato con ellos de verdad.

Raúl Alexis Betancor Santana

unread,
Mar 4, 2015, 1:56:08 PM3/4/15
to aster...@googlegroups.com
Como en todo ... hay mil formas de despellejar un gato.

1- Vía grupos, permisos de grupos (modo tradicional unix)
2- Vía sudo, útil sobre todo para ejecutar comandos que requieren elevación de privilegios (arrancar/parar un servicio, por ejemplo)
3- Vía ACL's, man setfacl para más info.

Para mí la mejor es una combi de 2+3

--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
---
Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a asterisk-es...@googlegroups.com.
Para publicar en este grupo, envía un correo electrónico a aster...@googlegroups.com.
Visita este grupo en http://groups.google.com/group/asterisk-es.
Para acceder a más opciones, visita https://groups.google.com/d/optout.

Elio Rojano

unread,
Mar 5, 2015, 7:48:37 AM3/5/15
to aster...@googlegroups.com
También puedes editar el archivo 'asterisk.conf',
Cambia el usuario de 'root' a 'asterisk' (por ejemplo)
Modifica los permisos de todos los archivos que intervenga Asterisk para que tengan como propietario 'asterisk'
Asterisk arrancará con el usuario 'asterisk' y podrá acceder a los logs, etc...

easiest. :)

--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
---
Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a asterisk-es...@googlegroups.com.
Para publicar en este grupo, envía un correo electrónico a aster...@googlegroups.com.
Visita este grupo en http://groups.google.com/group/asterisk-es.
Para acceder a más opciones, visita https://groups.google.com/d/optout.



--
Página web: http://www.sinologic.net/

Miguel Alberto Sanz Pardo

unread,
Mar 6, 2015, 4:36:34 AM3/6/15
to aster...@googlegroups.com
Muchas gracias a los 2 por las respuestas ;)


un saludo

Miguel Sanz

Miguel Alberto Sanz Pardo

unread,
Mar 22, 2015, 8:25:11 AM3/22/15
to aster...@googlegroups.com
Hola de nuevo,


Al final modifiqué en el archivo asterisk.conf:

runuser = miguelsanz
rungroup = wheel

Y ahora puedo conectarme a asterisk mediante el usuario "miguel" pero al meterme en el CLI aparecen mensajes de WARNING de este tipo:

WARNING[22147]: db.c:332 ast_db_put: Couldn't execute statment: SQL logic error or missing database


¿Sabéis a qué puede ser debido?

¿Es posible que a pesar de no usar ni mysql ni odbc (tan solo uso el CDR básico) haya problemas de acceso a los archivos /var/lib/asterisk?

En estos momentos los archivos asociados a /var/lib/asterisk pertenecen a root root




un saludo 

Miguel Sanz

Juan Carlos Valero

unread,
Mar 23, 2015, 5:13:16 AM3/23/15
to aster...@googlegroups.com
Tienes que hacer un chown con el usuario y grupo a las rutas de asterisk.

El 22/03/15 a las 13:25, Miguel Alberto Sanz Pardo escribió:
> Hola de nuevo,
>
>
> Al final modifiqué en el archivo asterisk.conf:
>
> runuser = miguelsanz
> rungroup = wheel
>
>

--
Un saludo,

Juan Carlos Valero
Capa Tres Soluciones Tecnológicas S.L.
Datos de contacto en http://capatres.tel
-------------------------------------------------------------------------
Conforme a lo establecido en la L.O. 15/1999, de 13 de diciembre, de protección de datos de carácter personal, le informamos que sus datos forman parte de un fichero responsabilidad de CAPA TRES SOLUCIONES TECNOLOGICAS S.L. con la finalidad de posibilitar la relación negocial con usted o su empresa, así como para mantenerle informado de nuestras actividades y novedades. Podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición mediante email dirigido a come...@capatres.com o bien por via postal a: Capa Tres Soluciones Tecnologicas. Avda Llibertat, 63, despacho 8. 08100 Mollet del Valles. Barcelona.

Miguel Alberto Sanz Pardo

unread,
Mar 23, 2015, 6:14:20 AM3/23/15
to aster...@googlegroups.com
Muchas gracias por la respuesta Juan Carlos,


Justo hace unos minutos hice:

# chown asterisk:wheel -R /etc/asterisk

# chown asterisk:wheel -R /var/run/asterisk

# chown asterisk:wheel -R /var/lib/asterisk

# chown asterisk:wheel -R /var/run/asterisk

# chown asterisk:wheel -R /var/log/asterisk

# chown asterisk:wheel -R /var/spool/asterisk

# chown asterisk:wheel -R /usr/lib64/asterisk/modules


y parece que ya no aparecen esos problemas


un saludo

Miguel Sanz
Reply all
Reply to author
Forward
0 new messages