Sven Neukirchner schrieb: > Das mit den kritisierten Root Rechten sollte man doch aber in Griff > bekommen.
Zur Erklärung warum es sich so entwickelt hat: Zum Beginn von Gemeinschaft hatte Asterisk an verschiedenen Stellen Probleme damit als Nicht-Root zu laufen. Das Setzen der ToS-/DHCP-Flags in IP-Paketen sollte mittlerweile aber als Nicht-Root funktionieren. http://bugs.digium.com/view.php?id=7047 > Ich würde versuchen Asterisk und Apache unter einem gemeinsamen nicht root > Benutzer laufen zu lassen. > Seht Ihr da Probleme oder Dinge die man beachten muß? Es wäre evtl. schöner wenn die Dateien von Gemeinschaft einem Benutzer "gemeinschaft", Gruppe "gemeinschaft", gehören würden und Asterisk ("asterisk") und Apache ("apache" / "www-data") zusätzlich der Gruppe "gemeinschaft" angehörten. Sven Neukirchner schrieb: > Man muß überprüfen welche shell Befehle von Gemeinschaft über die Scripte > aufgerufen werden, und diese in der /etc/sudoers auflisten. Ja, das wäre eine alternative Lösung. sudo kann man nämlich auf bestimmte Befehle beschränken. Henning Holtschneider schrieb: > Wer Gemeinschaft dennoch auf einem gehosteten Server betreiben möchte, > der muß Apache, MySQL und mindestens das Asterisk Manager-Interface > mit einem geeigneten externen Zugriffsschutz versehen > (iptables, .htaccess, IPsec-Tunnel zum eigenen Netzwerk o.ä.). MySQL hört in der Default-Konfiguration eh nur auf das lokale Interface (bind-address = 127.0.0.1 in der /etc/mysql/my.cnf), nicht auf das/die öffentliche. Apache, Asterisk-Manager-Interface: Paßwortschutz hat man immer. Die genannten Methoden bringen natürlich zusätzliche Sicherheit. Philipp Kempgen -- http://www.das-asterisk-buch.de - http://www.the-asterisk-book.com Amooma GmbH - Bachstr. 126 - 56566 Neuwied -> http://www.amooma.de Geschäftsführer: Stefan Wintermeyer, Handelsregister: Neuwied B14998 --
