Документация на Flussonic Media Server

  1. Быстрый старт
  2. How To
  3. Потоковое вещание
    1. Публикация
    2. Прием мультикаста
    3. Варианты источников
    4. Переключение источников
    5. Плейлисты
    6. Наложение логотипа
    7. Миксер
    8. WebRTC публикация
    9. SDI
    10. Отправка на другие сервера
    11. Распознавание DVB субтитров
  4. Транскодер
    1. Логотип
    2. Hardware
    3. Скриншоты
    4. Мозаика
  5. DRM
    1. Simple CAS
    2. Conax DRM
    3. BuyDRM (KeyOS)
  6. Авторизация
    1. Конструктор бэкендов
    2. Сервис сбора статистики
    3. Domain lock
    4. Middleware
    5. Secure links
    6. Ограничение сессий
    7. Мультиавторизация
    8. Бан IP адресов
    9. DVR
    10. Aliaser
  7. API
    1. HTTP API
    2. Events API
    3. MySQL API
    4. SQL API для кластеров
    5. SNMP
  8. Кластер
    1. Ретрансляция
    2. Кластерный захват
    3. Балансировщик нагрузки
    4. Пиринг
    5. Организация CDN
  9. VOD
    1. Кэш
    2. Облако
    3. Транскодирование файлов
  10. DVR
    1. Настройка
    2. Timeshift
    3. Catchup
    4. Проигрывание
    5. Экспорт в MP4
    6. Доступ по протоколам
    7. Timelapse
    8. API
    9. Кластеризация DVR
    10. Репликация
    11. Облако
  11. Воспроизведение
    1. HLS
    2. embed.html
    3. HTML5 с низкой задержкой
    4. Плеер HTML5 с низкой задержкой
    5. MPEG-TS
    6. RTMP
    7. DASH
    8. HDS
    9. RTSP
    10. multicast, CBR UDP
    11. WebRTC проигрывание
    12. H.265
  12. Администрирование
    1. Установка
    2. Обновление

    3. Конфигурация
    4. Мониторинг
    5. Производительность
    6. Лицензия
    7. LUA скрипты
    8. Безопасность
    9. Let's Encrypt
    10. Миграция
  13. IPTV
    1. Захват спутникового видео
    2. Транскодирование
    3. Middleware в IPTV OTT
    4. Экспорт EPG со спутника
    5. Группы каналов

Безопасность Flussonic Media Server

В этом разделе будет описано как ограничить доступ к панели администратора Flussonic Media Server.

Чрезвычайно важно! Если злоумышленник получит доступ к Flussonic Media Server, то он сможет прочесть и перезаписать любой файл на жестком диске.

Логин и пароль Anchor Anchor x2

В конфигурации Flussonic Media Server настраиваются два разных уровня доступа: view_auth и edit_auth.

  • view_auth user password; — используется для предоставления доступа на чтение к API Flussonic Media Server: получение информации о потоках, состоянии записи и т.п.
  • edit_auth user password; — используется для предоставления полного доступа администратору. С этим логином и паролем можно делать с сервером практически всё.

Ограничение по IP Anchor Anchor x2

Для того, что бы ограничить доступ к API по IP адресам, надо включить режим ip white list директивой:

api_allowed_from 10.0.0.0/8 192.168.4.15;

Отдельный IP порт для API Anchor Anchor x2

Существует возможность задать для HTTP API отдельный IP порт:

admin_http 8090;
admin_http 127.0.0.1:8091;
admin_https 8092;

Теперь веб-интерфес HTTP API будет доступны только через заданные порты. Это значит, что при настройке кластера в директивах peer и source для узла с включенным admin_http(s) надо указывать эти порты.

HTTPS сертификаты Anchor Anchor x2

Если включить опцию https в конфиге, то панель администратора автоматически перекинет с http порта на https.

Для того, что бы добавить свои собственные сертификаты, надо сгенерировать ключ и сертификат с паролем flussonic и положить в /etc/flussonic/flussonic.crt и /etc/flussonic/flussonic.key. Ниже приводится инструкция по генерации самоподписанных сертификатов для Flussonic Media Server. Не забудьте ввести пароль flussonic для сертификата.

openssl genrsa -des3 -out flussonic.key 1024
openssl req -new -key flussonic.key -out flussonic.csr -subj '/C=US/ST=TN/L=/CN=flussonic.local/O=Flussonic, LLC/Email=support@flussonic.com'
mv flussonic.key flussonic.key.org
openssl rsa -in flussonic.key.org -out flussonic.key
openssl x509 -req -days 365 -in flussonic.csr -signkey flussonic.key -out flussonic.crt

Промежуточный и CA сертификаты будут браться из /etc/flussonic/flussonic-ca.crt.

Letsencrypt сертификаты Anchor Anchor x2

Компания Letsencrypt с апреля 2016 года предлагает бесплатные SSL сертификаты сроком действия на месяц.

Создание сертфиката происходит в автоматическом режиме. Мы добавили в Flussonic Media Server поддержку Letsencrypt.

Подробнее Let's Encrypt

Защита конфиг-файла от изменения Anchor Anchor x2

Можно запретить измение конфиг-файла через API. Для этого надо создать файл /etc/flussonic/flussonic.conf.locked:

touch /etc/flussonic/flussonic.conf.locked

Теперь изменить настройки через веб-интерфейс нельзя.

Запуск от непривилегированного пользователя Anchor Anchor x2

Чтобы запустить Flussonic Media Server под обычным пользователем, выполните следующие настройки:

adduser flussonic --home /var/lib/flussonic --disabled-password
chown -R flussonic /etc/flussonic/
chown -R flussonic /var/lib/flussonic/
echo flussonic > /etc/flussonic/run_as
chown root /etc/flussonic/run_as
chmod 0644 /etc/flussonic/run_as
chown -R flussonic /var/run/flussonic /var/log/flussonic /opt/flussonic/.erlang.cookie
setcap cap_net_bind_service=+ep /opt/flussonic/lib/erlang/erts-*/bin/beam.smp

Теперь после перезапуска сервер Flussonic Media Server будет работать с правами пользователя flussonic.

Чтобы снова запускать Flussonic Media Server под суперпользователем, удалите файл /etc/flussonic/run_as.