Документация на Flussonic Media Server

  1. Быстрый старт
  2. How-to
  3. Потоковое вещание
    1. Публикация
    2. Прием мультикаста
    3. Варианты источников
    4. Переключение источников
    5. Плейлисты
    6. Наложение логотипа
    7. Миксер
    8. WebRTC публикация
    9. SDI
    10. Отправка на другие сервера
    11. Распознавание DVB субтитров
  4. Транскодер
    1. Логотип
    2. Hardware
    3. Скриншоты
    4. Мозаика
  5. DRM
    1. Simple CAS
    2. Conax DRM
    3. BuyDRM (KeyOS)
  6. Авторизация
    1. Конструктор бэкендов
    2. Сервис сбора статистики
    3. Domain lock
    4. Middleware
    5. Secure links
    6. Ограничение сессий
    7. Мультиавторизация
    8. Бан IP адресов
    9. DVR
    10. Aliaser
  7. API
    1. HTTP API
    2. Events API
    3. MySQL API
    4. SQL API для кластеров
    5. SNMP
  8. Кластер
    1. Ретрансляция
    2. Кластерный захват
    3. Балансировщик нагрузки
    4. Пиринг
    5. Организация CDN
  9. VOD
    1. Кэш
    2. Облако
    3. Транскодирование файлов
    4. Мультибитрейтный VOD из файлов
  10. DVR
    1. Настройка
    2. Timeshift
    3. Catchup
    4. Проигрывание
    5. Экспорт в MP4
    6. Доступ по протоколам
    7. Timelapse
    8. API
    9. Кластеризация DVR
    10. Репликация
    11. Облако
  11. Воспроизведение
    1. HLS
    2. embed.html
    3. HTML5 с низкой задержкой
    4. Плеер HTML5 с низкой задержкой
    5. MPEG-TS
    6. RTMP
    7. DASH
    8. HDS
    9. RTSP
    10. multicast, CBR UDP
    11. WebRTC проигрывание
    12. H.265
  12. Администрирование
    1. Установка
    2. Обновление
    3. Конфигурация
    4. Мониторинг
    5. Производительность
    6. Лицензия
    7. LUA скрипты
    8. Безопасность
    9. Let's Encrypt
    10. Миграция
  13. IPTV
    1. Захват спутникового видео
    2. Транскодирование
    3. Middleware в IPTV OTT
    4. Экспорт EPG со спутника
    5. Группы каналов
    6. Реклама

Безопасность Flussonic Media Server

В этом разделе мы расскажем как ограничить доступ к панели администратора Flussonic Media Server.

Чрезвычайно важно! Если злоумышленник получит доступ к Flussonic Media Server, то он сможет прочесть и перезаписать любой файл на жестком диске.

Логин и пароль Anchor Anchor x2

В конфигурации Flussonic Media Server настраиваются два разных уровня доступа: view_auth и edit_auth.

  • view_auth user password; — используется для предоставления доступа на чтение к API Flussonic Media Server: получение информации о потоках, состоянии записи и т.п.
  • edit_auth user password; — используется для предоставления полного доступа администратору. С этим логином и паролем можно делать с сервером практически всё.

Ограничение по IP Anchor Anchor x2

Для того, чтобы ограничить доступ к API по IP адресам, надо включить режим ip white list директивой:

api_allowed_from 10.0.0.0/8 192.168.4.15;

Отдельный IP порт для API Anchor Anchor x2

Существует возможность задать для HTTP API отдельный IP порт:

admin_http 8090;
admin_http 127.0.0.1:8091;
admin_https 8092;

Теперь веб-интерфес HTTP API будет доступен только через заданные порты.

Это значит, что при настройке кластера в директивах peer и source для узла с включенным admin_http(s) надо указывать эти порты.

HTTPS сертификаты Anchor Anchor x2

Если включить опцию HTTPS в конфиге, то панель администратора автоматически перекинет с HTTP порта на HTTPS.

Для того, чтобы добавить свои собственные сертификаты, надо сгенерировать ключ и сертификат с паролем flussonic и положить в /etc/flussonic/flussonic.crt и /etc/flussonic/flussonic.key. Ниже приводится инструкция по генерации самоподписанных сертификатов для Flussonic Media Server. Не забудьте ввести пароль flussonic для сертификата.

openssl genrsa -des3 -out flussonic.key 1024
openssl req -new -key flussonic.key -out flussonic.csr -subj '/C=US/ST=TN/L=/CN=flussonic.local/O=Flussonic, LLC/Email=support@flussonic.com'
mv flussonic.key flussonic.key.org
openssl rsa -in flussonic.key.org -out flussonic.key
openssl x509 -req -days 365 -in flussonic.csr -signkey flussonic.key -out flussonic.crt

Промежуточный и CA сертификаты будут браться из /etc/flussonic/flussonic-ca.crt.

Letsencrypt сертификаты Anchor Anchor x2

Компания Letsencrypt с апреля 2016 года предлагает бесплатные SSL сертификаты сроком действия на месяц.

Создание сертфиката происходит в автоматическом режиме. Мы добавили в Flussonic Media Server поддержку Letsencrypt.

Подробнее Let's Encrypt

Защита конфиг-файла от изменения Anchor Anchor x2

Можно запретить измение конфиг-файла через API. Для этого надо создать файл /etc/flussonic/flussonic.conf.locked:

touch /etc/flussonic/flussonic.conf.locked

Теперь изменить настройки через веб-интерфейс нельзя.

Запуск от непривилегированного пользователя Anchor Anchor x2

Чтобы запустить Flussonic Media Server под обычным пользователем, выполните следующие настройки:

adduser flussonic --home /var/lib/flussonic --disabled-password
chown -R flussonic /etc/flussonic/
chown -R flussonic /var/lib/flussonic/
echo flussonic > /etc/flussonic/run_as
chown root /etc/flussonic/run_as
chmod 0644 /etc/flussonic/run_as
chown -R flussonic /var/run/flussonic /var/log/flussonic /opt/flussonic/.erlang.cookie
setcap cap_net_bind_service=+ep /opt/flussonic/lib/erlang/erts-*/bin/beam.smp

Теперь после перезапуска сервер Flussonic Media Server будет работать с правами пользователя flussonic.

Чтобы снова запускать Flussonic Media Server под суперпользователем, удалите файл /etc/flussonic/run_as.

Активация Flussonic через SOCKS5 прокси Anchor Anchor x2

Flussonic может использовать SOCKS5 прокси для общения с сервером лицензий. Чтобы включить его, используйте возможности systemd override:

# systemctl edit flussonic

Эта команда откроет текстовый редактор (обычно это nano). Затем введите:

[Service]
Environment=PROXY="socks5://172.20.10.1:1080"

Нажмите Сtrl-X, затем Y, чтобы сохранить и выйти.

Перезапустите Flussonic:

# /etc/init.d/flussonic restart

Теперь Flussonic будет использовать указанный прокси сервер.

Защита видео от просмотра администратором (v19.02) Anchor Anchor x2

По умолчанию пользователи с правами администратора Flussonic могут проигрывать любой поток в веб-интерфейсе администратора. Для этого используется специальный авторизационный токен администратора.

Возможно, вы захотите запретить просмотр некоторых потоков администратором — тех потоков, для которых нужна авторизация пользователя.

Чтобы запретить администратору Flussonic проигрывать в веб-интерфейсе потоки, защищенные авторизацией:

  1. Отредактируйте unit файл сервиса Flussonic (/lib/systemd/system/flussonic.service). Следует делать это, используя systemd override:

    # systemctl edit flussonic
    

    Эта команда откроет текстовый редактор (обычно nano).

  2. Добавьте строки:

    [Service]
    Environment=ADMIN_VIEW_DISABLE=true
    

    Нажмите Сtrl-X, затем Y, чтобы сохранить и выйти.

  3. Перезапустите Flussonic:

    # /etc/init.d/flussonic restart
    

Теперь, если поток требует авторизации, плеер в веб-интерфейсе вернет ошибку 403 при попытке проиграть поток с токеном администратора.

Потоки без настроенной авторизации будут воспроизводиться как обычно.