Документация на Flussonic Media Server

  1. Быстрый старт
  2. How-to
  3. Потоковое вещание
    1. Варианты источников
    2. Переключение источников
    3. Публикация на Flussonic
    4. Прием мультикаста
    5. Серверные плейлисты
    6. Микширование
    7. Захват с SDI
    8. Отправка на другие серверы
    9. Распознавание DVB субтитров
    10. Наложение логотипа
  4. Транскодер
    1. Логотип
    2. Hardware (Nvidia NVENC)
    3. Hardware (Intel Quick Sync Video)
    4. Скриншоты
    5. Мозаика
  5. DRM
    1. Simple CAS
    2. Conax DRM
    3. BuyDRM (KeyOS)
    4. Widevine
    5. PallyCon
    6. EzDRM
  6. Авторизация
    1. Конструктор бэкендов
    2. Сервис сбора статистики
    3. Domain lock
    4. Middleware
    5. Secure links
    6. Ограничение сессий
    7. Мультиавторизация
    8. Бан IP адресов
    9. DVR
    10. Aliaser
  7. API
    1. HTTP API
    2. Events API
    3. MySQL API
    4. SQL API для кластеров
    5. SNMP
  8. Кластер
    1. Ретрансляция
    2. Кластерный захват
    3. Балансировщик нагрузки
    4. Пиринг
    5. Организация CDN
  9. VOD
    1. Кэш
    2. Облако
    3. Транскодирование файлов
    4. Мультибитрейтный VOD из файлов
  10. DVR
    1. Настройка
    2. Timeshift
    3. Catchup
    4. Проигрывание
    5. Экспорт в MP4
    6. Доступ по протоколам
    7. Timelapse
    8. API
    9. Кластеризация DVR
    10. Репликация
    11. Облако
  11. Воспроизведение
    1. HLS
    2. embed.html
    3. HTML5 с низкой задержкой
    4. Плеер HTML5 с низкой задержкой
    5. MPEG-TS
    6. RTMP
    7. DASH
    8. HDS
    9. RTSP
    10. Multicast
    11. Multicast с постоянным битрейтом
    12. WebRTC
    13. H.265
  12. Администрирование
    1. Установка
    2. Обновление
    3. Конфигурация
    4. Мониторинг
    5. Производительность
    6. Лицензия
    7. LUA скрипты
    8. Безопасность
    9. Let's Encrypt
    10. Миграция
  13. IPTV
    1. Захват спутникового видео
    2. Транскодирование
    3. Middleware в IPTV OTT
    4. Экспорт EPG со спутника
    5. Группы каналов
    6. Реклама

Безопасность Flussonic Media Server

В этом разделе мы расскажем, как ограничить доступ к панели администратора Flussonic Media Server.

Чрезвычайно важно! Если злоумышленник получит доступ к Flussonic Media Server, то он сможет прочесть и перезаписать любой файл на жестком диске.

Логин и пароль Anchor Anchor x2

В конфигурации Flussonic Media Server настраиваются два разных уровня доступа: view_auth и edit_auth.

  • view_auth user password; — используется для предоставления доступа на чтение к API Flussonic Media Server: получение информации о потоках, состоянии записи и т.п.
  • edit_auth user password; — используется для предоставления полного доступа администратору. С этим логином и паролем можно делать с сервером практически всё.

Ограничение по IP адресу Anchor Anchor x2

Для того, чтобы ограничить доступ к API по IP адресам, надо включить white list директивой в конфигурационном файле:

api_allowed_from 10.0.0.0/8 192.168.4.15;

Отдельный IP порт для API Anchor Anchor x2

Существует возможность задать для HTTP API отдельный IP порт:

admin_http 8090;
admin_http 127.0.0.1:8091;
admin_https 8092;

Теперь веб-интерфес HTTP API будет доступен только через заданные порты.

Это значит, что при настройке кластера в директивах peer и source для узла с включенным admin_http(s) надо указывать эти порты.

SSL сертификаты Anchor Anchor x2

Чтобы перевести веб-интерфейс администратора на HTTPS, нужно включить порт для HTTPS в конфигурации Flussonic. Откройте веб-интерфейс и укажите порт для HTTPS в Config > SSL-tunneled protocols, например, 443.

Можно сгенерировать собственный SSL сертификат сервера Flussonic. Для этого надо сгенерировать ключ и сертификат с паролем flussonic и положить их в /etc/flussonic/ (/etc/flussonic/flussonic.crt и /etc/flussonic/flussonic.key).

Для генерации самоподписанных сертификатов Flussonic Media Server выполните по порядку команды, приведенные ниже.

Каждый раз, когда система будет запрашивать пароль для сертификата, вводите flussonic.

openssl genrsa -des3 -out flussonic.key 1024

openssl req -new -key flussonic.key -out flussonic.csr

mv flussonic.key flussonic.key.org

openssl rsa -in flussonic.key.org -out flussonic.key

openssl x509 -req -days 365 -in flussonic.csr -signkey flussonic.key -out flussonic.crt

Промежуточный и CA сертификаты будут браться из /etc/flussonic/flussonic-ca.crt.

Cамое актуальное описание команд OpenSSL доступно в manpages в документации OpenSSL.

LetsEncrypt сертификаты Anchor Anchor x2

Компания LetsEncrypt с апреля 2016 года предлагает бесплатные SSL сертификаты сроком действия на месяц. Создание сертфиката происходит в автоматическом режиме.

Мы добавили в Flussonic Media Server поддержку Letsencrypt. Как получить LetsEncrypt

Защита конфигурационного файла от изменения Anchor Anchor x2

Можно запретить измение конфигурационного файла через API (т.е. веб-интерфейс). Для этого создайте файл /etc/flussonic/flussonic.conf.locked, выполнив в командной строке команду:

touch /etc/flussonic/flussonic.conf.locked

Теперь изменить настройки Flussonic через веб-интерфейс нельзя.

Запуск Flussonic от имени непривилегированного пользователя Anchor Anchor x2

Чтобы запустить Flussonic Media Server под обычным пользователем, выполните следующие настройки:

adduser flussonic --home /var/lib/flussonic --disabled-password
chown -R flussonic /etc/flussonic/
chown -R flussonic /var/lib/flussonic/
echo flussonic > /etc/flussonic/run_as
chown root /etc/flussonic/run_as
chmod 0644 /etc/flussonic/run_as
chown -R flussonic /var/run/flussonic /var/log/flussonic /opt/flussonic/.erlang.cookie
setcap cap_net_bind_service=+ep /opt/flussonic/lib/erlang/erts-*/bin/beam.smp

Теперь после перезапуска сервер Flussonic Media Server будет работать с правами пользователя flussonic.

Чтобы снова запускать Flussonic Media Server под суперпользователем, удалите файл /etc/flussonic/run_as.

Активация Flussonic через SOCKS5 прокси Anchor Anchor x2

Flussonic может использовать SOCKS5 прокси сервер для общения с сервером лицензий. Чтобы включить его, используйте возможности systemd override:

# systemctl edit flussonic

Эта команда откроет текстовый редактор (обычно это nano). Затем введите:

[Service]
Environment=PROXY="socks5://172.20.10.1:1080"

Нажмите Сtrl-X, затем Y, чтобы сохранить и выйти.

Перезапустите Flussonic:

# /etc/init.d/flussonic restart

Теперь Flussonic будет использовать указанный прокси-сервер.

Защита видео от просмотра администратором Anchor Anchor x2

По умолчанию пользователи с правами администратора Flussonic могут проигрывать любой поток в веб-интерфейсе администратора. Для этого используется специальный авторизационный токен администратора.

Возможно, вы захотите запретить просмотр некоторых потоков администратором — тех потоков, для которых нужна авторизация пользователя.

Чтобы запретить администратору Flussonic проигрывать в веб-интерфейсе потоки, защищенные авторизацией:

  1. Отредактируйте unit файл сервиса Flussonic (/lib/systemd/system/flussonic.service). Следует делать это, используя systemd override:

    # systemctl edit flussonic
    

    Эта команда откроет текстовый редактор (обычно nano).

  2. Добавьте строки:

    [Service]
    Environment=ADMIN_VIEW_DISABLE=true
    

    Нажмите Сtrl-X, затем Y, чтобы сохранить и выйти.

  3. Перезапустите Flussonic:

    # /etc/init.d/flussonic restart
    

Теперь, если поток требует авторизации, плеер в веб-интерфейсе вернет ошибку 403 при попытке проиграть поток с токеном администратора.

Потоки без настроенной авторизации будут воспроизводиться как обычно.