Adilson Magnus
Suporte comercial

Ola, nosso suporte agora é exclusivo por Telegram, clique no ícone abaixo e entre em contato conosco.

Seg-Sex: 9:00–19:00

 

Guia de Segurança do MagnusBilling no Debian

🔐 Como deixar o MagnusBilling o mais seguro possível (Debian)

Servidores VoIP expostos na internet sofrem ataques o tempo todo: brute force SIP, tentativa de login no painel, varredura de portas e fraudes de chamadas.

Segurança real não depende só do software — depende da configuração do servidor. Este guia mostra o passo a passo prático para deixar seu MagnusBilling pronto para produção com risco mínimo.

✅ Checklist rápido

  • Trocar portas padrão
  • HTTPS + domínio
  • 2FA no painel
  • reCAPTCHA
  • SIP Proxy
  • Autenticação SIP por IP
  • SSH somente com chave RSA
  • Firewall + Fail2Ban
  • Atualizações semanais
  • Senhas fortes

1️⃣ Trocar portas padrão

Bots escaneiam automaticamente portas padrão:

Serviço Padrão Sugestão
SSH 22 2222+
HTTP 80 8080
SIP 5060 5160+
ATENÇÃO CRÍTICA

O MagnusBilling já usa firewall e bloqueios automáticos.
Se você trocar a porta sem liberar antes no firewall, você perde acesso ao servidor.

Especial cuidado com SSH.

Ordem correta (nunca inverter)

1. Liberar porta nova no firewall primeiro

firewall-cmd --permanent --add-port=2222/tcp
firewall-cmd --reload

2. Só depois alterar o SSH

nano /etc/ssh/sshd_config

Port 2222

systemctl restart ssh
Abra outra aba e teste a nova conexão antes de fechar a sessão atual.

Alterar SIP

bindport=5160

firewall-cmd --permanent --add-port=5160/udp
firewall-cmd --reload

Alterar HTTP/Apache

firewall-cmd --permanent --add-port=8080/tcp
firewall-cmd --reload

2️⃣ Ativar autenticação em dois fatores (2FA)

Senha sozinha não é suficiente. Use o plugin oficial de Google Token para adicionar segunda camada de proteção.

Recomendação:

  • Obrigatório para administrador
  • Ideal para todos os usuários

Link:
https://magnussolution.com/services/general/google-token-en.html

3️⃣ Usar domínio + HTTPS

Nunca exponha o painel pelo IP:

http://IP/mbilling  ❌

Use:

https://billing.seudominio.com  ✅

Instalar SSL Let's Encrypt

apt install certbot python3-certbot-apache -y
certbot --apache

4️⃣ Ativar reCAPTCHA

Protege o login contra ataques automáticos.

Criar chaves:
https://www.google.com/recaptcha/admin

Depois no MagnusBilling:

Settings → buscar "recaptcha"

5️⃣ Usar SIP Proxy na frente

Arquitetura recomendada:

Internet
   ↓
Proxy SIP (OpenSIPS)
   ↓
MagnusBilling
  • Bloqueia floods
  • Filtra ataques SIP
  • Esconde o backend
  • Permite rate limit

Para ambientes sérios, é praticamente obrigatório.

6️⃣ Evitar autenticação SIP por senha

Evite:

usuario + senha

Prefira:

autenticação por IP

Muito mais seguro e impossível de brute force.

7️⃣ SSH apenas com chave RSA

ssh-keygen
ssh-copy-id -p 2222 root@IP

Editar:

PasswordAuthentication no
PermitRootLogin prohibit-password

8️⃣ Atualizar semanalmente

/var/www/html/mbilling/protected/commands/update.sh

Correções de segurança são constantes. Não atualizar é risco desnecessário.

9️⃣ Alterar usuário root padrão

  • Editar o usuario root
  • Evite nomes previsíveis
  • Alterar a senha padrão 
  • Use pelo menos 14+ caracteres.

🎯 Conclusão

Se você aplicar:
  • Portas não padrão
  • 2FA
  • HTTPS
  • SSH com chave
  • SIP Proxy
  • Firewall ativo
Seu risco cai drasticamente.

VoIP exposto sem essas proteções inevitavelmente sofrerá ataque. Melhor prevenir do que perder dinheiro com fraude.