Carregado porTiago
PDF, PPTX83 visualizações

Configurando um servidor

O documento fornece recomendações para configurar um servidor WWW de forma segura, incluindo definir permissões corretas para diretórios e arquivos, escrever scripts CGI seguros e monitorar logs e arquivos para detectar alterações. Ele também discute vulnerabilidades conhecidas em alguns servidores WWW.

Incorporar apresentação

Transferir como PDF, PPTX
PAL0103 ©1998 – RNP Web Seguro Centro de Atendimento a Incidentes de Segurança - CAIS Web Seguro Configurando um servidor WWW seguro Novembro de 1998 PAL0103
PAL0103 ©1998 – RNP Web Seguro Índice: • Introdução • Técnicas recomendadas • Recomendações Gerais • Problemas de segurança com alguns servidores WWW • Referências
PAL0103 ©1998 – RNP Web Seguro Introdução Introdução • Qual é o cenário? • O que fazer?
PAL0103 ©1998 – RNP Web Seguro Introdução Qual é o cenário? • Pedidos anônimos; • Usuários não autenticados; • Código fonte complexo; • Em muitos casos, código amplamente divulgado; • Não são poucos os usuários inexperientes em programação CGI. Seu servidor Web se torna um fácil ponto de ataque!!
PAL0103 ©1998 – RNP Web Seguro Introdução O que fazer? • Pagar um “servidor seguro”; • Aplicar técnicas recomendadas para tornar o seu servidor mais seguro; • Combinação de ambos.
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Técnicas recomendadas • Configurando o User ID / Group ID do servidor • Entendendo a estrutura de diretórios −Permissões −Arquivos de configuração • Escrevendo scripts CGI de maneira segura −Scripts CGI com conhecidos furos de segurança −Scripts CGI: Recomendações
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Configurando UID/GID do servidor • Servidor (processo pai) precisa ser inicializado como root, para “ouvir” na porta 80 (padrão) • Já os processos filhos NÃO devem, de maneira alguma, rodar como root (configurável através do arquivo conf/httpd.conf) User http Group http
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Entendendo a estrutura de diretórios Especial cuidado, no que diz respeito a: • Permissões de diretórios e arquivos −cgi-bin −conf −htdocs −logs • Arquivos de configuração −access.conf −httpd.conf −srm.conf
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Estrutura de diretórios: Permissões Esquema 1: drwxr-xr-x 5 www www 1024 Aug 8 00:01 cgi-bin/ drwxr-x--- 2 www www 1024 Jun 11 17:21 conf/ -rwx------ 1 www www 109674 May 8 23:58 httpd drwxrwxr-x 2 www www 1024 Aug 8 00:01 htdocs/ drwxrwxr-x 2 www www 1024 Jun 3 21:15 icons/ drwxr-x--- 2 www www 1024 Aug 8 00:01 htdocs/
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Estrutura de diretórios: Permissões (cont.) Esquema 2: drwx--x--x 5 root www 1024 Aug 8 00:01 cgi-bin/ drwx------ 2 root www 1024 Jun 11 17:21 conf/ -rwx------ 1 root www 109674 May 8 23:58 httpd drwxr-xr-x 2 root www 1024 Aug 8 00:01 htdocs/ drwxr-xr-x 2 root www 1024 Jun 3 21:15 icons/ drwx------ 2 root www 1024 Aug 8 00:01 htdocs/
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Estrutura de diretórios: arquivos de configuração • Permissões: -rw------- 5 root wheel 954 Aug 6 00:01 access.conf -rw------- 2 root wheel 2840 Aug 6 17:21 httpd.conf -rw------- 1 root wheel 3290 Aug 6 23:58 myme.types -rw------- 2 root wheel 4106 Aug 6 00:01 srm.conf • Especial atenção no que diz respeito a: - Listagem automática de diretórios - Links simbólicos - Server Side Includes (SSI)
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Escrevendo scripts CGI seguros • O maior problema dos scripts CGI: - podem incluir erros de codificação sutis • Estes erros podem permitir: - vazamento de informações do servidor/sistema - executar comandos arbitrários (INPUT DATA)
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Scripts CGI com conhecidos furos de segurança Script Versões Afetadas Uso Count.cgi 1.0-2.3 Contador de página webdist.cgi 1.0-1.2 Distribui software php.cgi Até 2.0 Ling. de scripts nph-test.cgi Todas ? nph-publish 1.0-1.1 ? AnyForm 1.0 Cria formulários FormMail 1.0 Envia dados/e-mail phf Todas Phone Book
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Scripts CGI: recomendações • Colocar todos os scripts num único diretório - configurar no arquivo conf/srm.conf • Usar Tripwire para monitorar mudanças nos scripts • Permissões dos scripts: 755 • Permissão do diretório: 711 • Desativar todos os scripts não usados
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Scripts CGI: recomendações (cont.) • No que diz respeito à codificação: - Evite dar maiores informações - Não assuma nenhum tamanho de dados de entrada - Analise sempre dados de entrada do usuário (executados por algum comando shell) Ex.: Tem algum “;” no meio? • Invocar programas usando caminhos absolutos Ex.: Em vez de ls -l, utilize: /bin/ls -l
PAL0103 ©1998 – RNP Web Seguro Recomendações gerais Recomendações gerais • Isolar o servidor Web (firewalls); • Monitorar freqüentemente: • Arquivos de log Ex.: Pedidos de URL muito longas • Usando Tripwire Ex.: Alterações não autorizadas • Para quem usa autenticação via Web, garanta que o arquivo de senhas não esteja acessível a usuários comuns
PAL0103 ©1998 – RNP Web Seguro Recomendações gerais Recomendações gerais (cont.) • Seja ciente dos possíveis problemas de integrar serviços Web e Ftp: nada de uploads! • Acompanhe os alertas de segurança.
PAL0103 ©1998 – RNP Web Seguro Problemas de segurança com alguns servidores WWW Problemas de segurança com alguns servidores WWW • Netscape Communicator para NT (versão 1.12) Netscape Commerce para NT (versão 1.12) • Microsoft IIS (versões anteriores a 05/03/96) - É possível fazer download de scripts e lê-los Microsoft IIS (versão 3.0) - Vulnerável a ataque DoS (URL longa)
PAL0103 ©1998 – RNP Web Seguro Problemas de segurança com alguns servidores WWW Problemas de segurança com alguns servidores WWW (cont.) • Servidor NCSA - Buffer overflow em versões anteriores a 1.4 - cgi_src/util.c e src/util.c nas versões 1.5a e anteriores permitem executar comandos remotos • Servidor Apache - Módulo “mod_cookies” na versão 1.1.1 (Buffer overflow) - cgi_src/util.c e src/util.c nas versões 1.02 e anteriores permitem executar comandos remotos
PAL0103 ©1998 – RNP Web Seguro Problemas de segurança com alguns servidores WWW Problemas de segurança com alguns servidores WWW (cont.) - Vulnerabilidade na versão 1.1.1 que permite a listagem automática de diretórios, mesmo com o arquivo index.html presente! • Servidor Netscape para Unix - Sistema de criptografia no NS Commerce foi “crackeado” - Sistema de geração de chaves é quase previsível
PAL0103 ©1998 – RNP Web Seguro Referências Referências • Links: - http://www.go2net.com/people/paulp/cgi-security - http://hoohoo.ncsa.uiuc.edu/cgi/security.html - http://www.cs.purdue.edu/coast/hotlist.html#securi01 • FAQs: - http://www.w3.org/Security/Faq
PAL0103 ©1998 – RNP Web Seguro Referências Referências (cont.) • Listas: - www-security: Enviar e-mail para www-security-request@nsmx.rutgers.edu colocando na mensagem o seguinte: subscribe www-security < seu e-mail > • Livros: - Practical Unix & Internet Security - 2nd. Edition Simsom Garfunkel and Gene Spafford O’Reilly & Associates

Mais conteúdo relacionado

PPT
Aula 05
porJorge Ávila Miranda
 
PDF
03 estrategia-ddos
porPavel Odintsov
 
PDF
03 seguranca redesi-pv6
porPatricio Cardoso Bomfim
 
PDF
Php WatchDog
porRicardo Coelho
 
PPTX
Como recuperar senhas WEP de redes wireless com Backtrack
porNatanael Simões
 
PDF
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
porTchelinux
 
PPSX
Implementação de Servidor Linux Ubuntu Server
porTiago Bezerra Dos Santos
 
PDF
Oficina de Squid: Filtros Inteligentes
porThiago Finardi
 
Aula 05
porJorge Ávila Miranda
 
03 estrategia-ddos
porPavel Odintsov
 
03 seguranca redesi-pv6
porPatricio Cardoso Bomfim
 
Php WatchDog
porRicardo Coelho
 
Como recuperar senhas WEP de redes wireless com Backtrack
porNatanael Simões
 
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
porTchelinux
 
Implementação de Servidor Linux Ubuntu Server
porTiago Bezerra Dos Santos
 
Oficina de Squid: Filtros Inteligentes
porThiago Finardi
 

Mais procurados

PDF
Datacenter na nuvem
porIgnacio Nin
 
PPTX
UserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SP
porZabbix BR
 
PDF
Application Servers e Ruby
porRafael Soares
 
PPTX
Ufs na nuvem gp 2017-2
porfrancy Mascarenhas
 
DOC
Squid
porCristo Trabalhador
 
PDF
Servidor Proxy Squid
porFrederico Madeira
 
PDF
Douglasesteves meetupzabbix
porDouglas Esteves
 
PDF
Ataques DDoS - Panorama, Mitigação e Evolução
porWilson Rogerio Lopes
 
PDF
5 - segurança - firewall
porAndre Peres
 
PDF
Implatação de Sistemas de Segurança com Linux
porAlvaro Gomes
 
PDF
Desenvolvimento web no Linux
porEduardo Rozario
 
ODP
Tunando sua aplicação LNMP
porLeandro Mendes
 
PDF
2010 09-22 infra rn security meeting - palestra firewalls opensource
porEduardo Coelho
 
ODP
Descobrindo o Nginx - Um servidor web de alta performance
porGustavo Ciello
 
ODP
Alta Performance de Aplicações Web em PHP - Nginx
porThiago Paes
 
PDF
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
porTchelinux
 
PDF
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
porAndre Peres
 
PDF
Unidade5 roteiro footprint
porLeandro Almeida
 
PDF
Python async
porLeonardo Rossetti
 
PDF
NGiNX, o motor da sua aplicação web
porernaniaz
 
Datacenter na nuvem
porIgnacio Nin
 
UserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SP
porZabbix BR
 
Application Servers e Ruby
porRafael Soares
 
Ufs na nuvem gp 2017-2
porfrancy Mascarenhas
 
Squid
porCristo Trabalhador
 
Servidor Proxy Squid
porFrederico Madeira
 
Douglasesteves meetupzabbix
porDouglas Esteves
 
Ataques DDoS - Panorama, Mitigação e Evolução
porWilson Rogerio Lopes
 
5 - segurança - firewall
porAndre Peres
 
Implatação de Sistemas de Segurança com Linux
porAlvaro Gomes
 
Desenvolvimento web no Linux
porEduardo Rozario
 
Tunando sua aplicação LNMP
porLeandro Mendes
 
2010 09-22 infra rn security meeting - palestra firewalls opensource
porEduardo Coelho
 
Descobrindo o Nginx - Um servidor web de alta performance
porGustavo Ciello
 
Alta Performance de Aplicações Web em PHP - Nginx
porThiago Paes
 
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
porTchelinux
 
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
porAndre Peres
 
Unidade5 roteiro footprint
porLeandro Almeida
 
Python async
porLeonardo Rossetti
 
NGiNX, o motor da sua aplicação web
porernaniaz
 

Destaque

PDF
C# o basico
porTiago
 
PDF
Apostila html,xhtml e css
porTiago
 
PDF
Hardware questionario 01
porTiago
 
DOCX
Las Tics En La Educacion
porena
 
PDF
CIOReview_Manufacturing Special Edition_TCS Article
porAmit Bhowmik
 
PDF
Test Report 3
pordoanaprints
 
PPT
Chia muito mais cálcio
porSemente de Chia
 
PPTX
Conheã§a me
porAline Paulo
 
PPTX
Dibujo técnico......
porClara Andrade
 
PPT
Chia um bem natural
porSemente de Chia
 
PPS
Elvis Presley Ii
pormnb3
 
PDF
Plaza Drive Flyer
porkarenmcarson
 
PDF
System 400
porTiago
 
PDF
Fw builder
porTiago
 
PDF
Anthem Cert 2017
porShaqula Taylor
 
C# o basico
porTiago
 
Apostila html,xhtml e css
porTiago
 
Hardware questionario 01
porTiago
 
Las Tics En La Educacion
porena
 
CIOReview_Manufacturing Special Edition_TCS Article
porAmit Bhowmik
 
Test Report 3
pordoanaprints
 
Chia muito mais cálcio
porSemente de Chia
 
Conheã§a me
porAline Paulo
 
Dibujo técnico......
porClara Andrade
 
Chia um bem natural
porSemente de Chia
 
Elvis Presley Ii
pormnb3
 
Plaza Drive Flyer
porkarenmcarson
 
System 400
porTiago
 
Fw builder
porTiago
 
Anthem Cert 2017
porShaqula Taylor
 

Semelhante a Configurando um servidor

PDF
Python CGI
porantonio sérgio nogueira
 
PDF
SegurançA BáSica Do Apache
porFelipe Santos
 
PDF
Segurança no desenvolvimento web
porRafael Monteiro
 
PPT
apache+ssl+Jserv
porelliando dias
 
ODP
Apresentação Pet
porAtrícia Sabino
 
PDF
Segurança em Servidores Linux - Ênfase em RHEL
porAlessandro Silva
 
PDF
Hacking em consoles webs de security appliances, h2hc-rev-2
porWilliam Costa
 
PDF
Escrevendo códigos php seguros
porDouglas V. Pasqua
 
PDF
Falhando miseralvelmente com PHP
porAugusto Pascutti
 
PDF
Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
porClavis Segurança da Informação
 
PDF
Segurança e automação na Amazon: Lições das trincheiras
porBruno Luiz Pereira da Silva
 
PDF
Procergs php-seguro
porFlávio Montes
 
PDF
OWASP@ ISCTE-IUL, Segurança em PHP
porCarlos Serrao
 
PDF
Segurança em servidores Linux
porImpacta Eventos
 
PPSX
Segurança Web: O MMA da Tecnologia
porCarlos Nilton Araújo Corrêa
 
PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Construindo um ambiente resiliente para Ransomware com AWS
porAmazon Web Services LATAM
 
KEY
Segurança & Ruby on Rails
porJulio Monteiro
 
PDF
Segurança Web com PHP5
porDouglas V. Pasqua
 
KEY
Segurança em PHP
porAugusto Pascutti
 
Python CGI
porantonio sérgio nogueira
 
SegurançA BáSica Do Apache
porFelipe Santos
 
Segurança no desenvolvimento web
porRafael Monteiro
 
apache+ssl+Jserv
porelliando dias
 
Apresentação Pet
porAtrícia Sabino
 
Segurança em Servidores Linux - Ênfase em RHEL
porAlessandro Silva
 
Hacking em consoles webs de security appliances, h2hc-rev-2
porWilliam Costa
 
Escrevendo códigos php seguros
porDouglas V. Pasqua
 
Falhando miseralvelmente com PHP
porAugusto Pascutti
 
Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
porClavis Segurança da Informação
 
Segurança e automação na Amazon: Lições das trincheiras
porBruno Luiz Pereira da Silva
 
Procergs php-seguro
porFlávio Montes
 
OWASP@ ISCTE-IUL, Segurança em PHP
porCarlos Serrao
 
Segurança em servidores Linux
porImpacta Eventos
 
Segurança Web: O MMA da Tecnologia
porCarlos Nilton Araújo Corrêa
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Construindo um ambiente resiliente para Ransomware com AWS
porAmazon Web Services LATAM
 
Segurança & Ruby on Rails
porJulio Monteiro
 
Segurança Web com PHP5
porDouglas V. Pasqua
 
Segurança em PHP
porAugusto Pascutti
 

Mais de Tiago

PDF
Programacao php moodle
porTiago
 
PDF
Apostila cdtc dotproject
porTiago
 
PDF
6572501 ldp-apostila-de-turbo-pascal
porTiago
 
PDF
Guia rapido de_pascal
porTiago
 
PDF
Python bge
porTiago
 
PDF
Curso python
porTiago
 
PDF
Curso python
porTiago
 
PDF
Aula 01 python
porTiago
 
PDF
Threading in c_sharp
porTiago
 
PDF
Retirar acentos de_determinado_texto_em_c_sharp
porTiago
 
PDF
Remover caracteres especiais_texto_em_c_sharp
porTiago
 
PDF
Obter ip da_internet_em_c_sharp
porTiago
 
PDF
Metodo using no_c_sharp
porTiago
 
PDF
Introdução ao c# para iniciantes
porTiago
 
PDF
Interfaces windows em c sharp
porTiago
 
PDF
Filestream sistema arquivos
porTiago
 
PDF
Curso linux professor rafael
porTiago
 
PDF
Curso de shell
porTiago
 
PDF
Controle lpt em_c_sharp
porTiago
 
PDF
Classes csharp
porTiago
 
Programacao php moodle
porTiago
 
Apostila cdtc dotproject
porTiago
 
6572501 ldp-apostila-de-turbo-pascal
porTiago
 
Guia rapido de_pascal
porTiago
 
Python bge
porTiago
 
Curso python
porTiago
 
Curso python
porTiago
 
Aula 01 python
porTiago
 
Threading in c_sharp
porTiago
 
Retirar acentos de_determinado_texto_em_c_sharp
porTiago
 
Remover caracteres especiais_texto_em_c_sharp
porTiago
 
Obter ip da_internet_em_c_sharp
porTiago
 
Metodo using no_c_sharp
porTiago
 
Introdução ao c# para iniciantes
porTiago
 
Interfaces windows em c sharp
porTiago
 
Filestream sistema arquivos
porTiago
 
Curso linux professor rafael
porTiago
 
Curso de shell
porTiago
 
Controle lpt em_c_sharp
porTiago
 
Classes csharp
porTiago
 

Último

PPTX
Caso Clínico - Retina - BVAC final conv.pptx
pormariomilengo2
 
PDF
Poemas para o Homem do Mar- slide exclusivo
porRaquel Alves
 
DOCX
Avaliação da oralidade - grelha 2025.docx
porMa Nogue
 
PDF
powerpoint sobre Criminologia Ambiental.pdf
porviegassofia7
 
PPT
BANCA DE DEFESA - Alfabetização EGNOR.ppt
porMariaEgnor
 
PDF
Lição de JOVENS 3 trimestre - 2025.pdf..
pordeboravitoria171105
 
PPTX
Palestra Motivação para empresas de pequeno a grande porte.pptx
porprofjoaomatheus2022
 
PPTX
as cores_associar as cores no pré escolar
porSusanaBrito37
 
PDF
O menino que Gingava com os sonhos- por Raquel Alves
porRaquel Alves
 
PDF
toaz.info-walsh-catherine-interculturalidade-critica-e-pedagogia-decolonial-p...
porAdailzaSouzaBarros
 
PDF
Regime Especial Para Jovens Delinquentes.pdf
porviegassofia7
 
PPTX
17._slides_socializacao_2021_e.pptx BAIXADO.pptx
porSiedSantos1
 
PPTX
Trabalho de TIC - versão final (1).pptx
portiagosilvamarques178
 
PDF
A Interferência das Variáveis Semânticas no Emprego de Pronomes e Verbos.pdf
porEduardoFreires5
 
PPT
SLIDE PARA FECHAMENTO TRIMESTRE EBD 2025 .ppt
porWandersonMonteiro17
 
PDF
AULA - BRASIL REPÚBLICA (dês do início).
porjesussouzaiago02
 
PPTX
Slides Lição 1, CPAD, O mistério da Santíssima Trindade, 1Tr26.pptx
porAssembleia de Deus
 
PPTX
controle de doenças pós-colheita no abacate.pptx
porLuisFelipeVarjao
 
PDF
✨ RAQUEL E SHISHIA – Poesia, Aventuras e um Pouco de Confusão ✨
porRaquel Alves
 
PPTX
Trabalho de Português em equipe do oitavo ano
porGleiffersonPereiraBa1
 
Caso Clínico - Retina - BVAC final conv.pptx
pormariomilengo2
 
Poemas para o Homem do Mar- slide exclusivo
porRaquel Alves
 
Avaliação da oralidade - grelha 2025.docx
porMa Nogue
 
powerpoint sobre Criminologia Ambiental.pdf
porviegassofia7
 
BANCA DE DEFESA - Alfabetização EGNOR.ppt
porMariaEgnor
 
Lição de JOVENS 3 trimestre - 2025.pdf..
pordeboravitoria171105
 
Palestra Motivação para empresas de pequeno a grande porte.pptx
porprofjoaomatheus2022
 
as cores_associar as cores no pré escolar
porSusanaBrito37
 
O menino que Gingava com os sonhos- por Raquel Alves
porRaquel Alves
 
toaz.info-walsh-catherine-interculturalidade-critica-e-pedagogia-decolonial-p...
porAdailzaSouzaBarros
 
Regime Especial Para Jovens Delinquentes.pdf
porviegassofia7
 
17._slides_socializacao_2021_e.pptx BAIXADO.pptx
porSiedSantos1
 
Trabalho de TIC - versão final (1).pptx
portiagosilvamarques178
 
A Interferência das Variáveis Semânticas no Emprego de Pronomes e Verbos.pdf
porEduardoFreires5
 
SLIDE PARA FECHAMENTO TRIMESTRE EBD 2025 .ppt
porWandersonMonteiro17
 
AULA - BRASIL REPÚBLICA (dês do início).
porjesussouzaiago02
 
Slides Lição 1, CPAD, O mistério da Santíssima Trindade, 1Tr26.pptx
porAssembleia de Deus
 
controle de doenças pós-colheita no abacate.pptx
porLuisFelipeVarjao
 
✨ RAQUEL E SHISHIA – Poesia, Aventuras e um Pouco de Confusão ✨
porRaquel Alves
 
Trabalho de Português em equipe do oitavo ano
porGleiffersonPereiraBa1
 

Configurando um servidor

  • 1.
    PAL0103 ©1998 – RNP WebSeguro Centro de Atendimento a Incidentes de Segurança - CAIS Web Seguro Configurando um servidor WWW seguro Novembro de 1998 PAL0103
  • 2.
    PAL0103 ©1998 – RNP WebSeguro Índice: • Introdução • Técnicas recomendadas • Recomendações Gerais • Problemas de segurança com alguns servidores WWW • Referências
  • 3.
    PAL0103 ©1998 – RNP WebSeguro Introdução Introdução • Qual é o cenário? • O que fazer?
  • 4.
    PAL0103 ©1998 – RNP WebSeguro Introdução Qual é o cenário? • Pedidos anônimos; • Usuários não autenticados; • Código fonte complexo; • Em muitos casos, código amplamente divulgado; • Não são poucos os usuários inexperientes em programação CGI. Seu servidor Web se torna um fácil ponto de ataque!!
  • 5.
    PAL0103 ©1998 – RNP WebSeguro Introdução O que fazer? • Pagar um “servidor seguro”; • Aplicar técnicas recomendadas para tornar o seu servidor mais seguro; • Combinação de ambos.
  • 6.
    PAL0103 ©1998 – RNP WebSeguro Técnicas recomendadas Técnicas recomendadas • Configurando o User ID / Group ID do servidor • Entendendo a estrutura de diretórios −Permissões −Arquivos de configuração • Escrevendo scripts CGI de maneira segura −Scripts CGI com conhecidos furos de segurança −Scripts CGI: Recomendações
  • 7.
    PAL0103 ©1998 – RNP WebSeguro Técnicas recomendadas Configurando UID/GID do servidor • Servidor (processo pai) precisa ser inicializado como root, para “ouvir” na porta 80 (padrão) • Já os processos filhos NÃO devem, de maneira alguma, rodar como root (configurável através do arquivo conf/httpd.conf) User http Group http
  • 8.
    PAL0103 ©1998 – RNP WebSeguro Técnicas recomendadas Entendendo a estrutura de diretórios Especial cuidado, no que diz respeito a: • Permissões de diretórios e arquivos −cgi-bin −conf −htdocs −logs • Arquivos de configuração −access.conf −httpd.conf −srm.conf
  • 9.
    PAL0103 ©1998 – RNP WebSeguro Técnicas recomendadas Estrutura de diretórios: Permissões Esquema 1: drwxr-xr-x 5 www www 1024 Aug 8 00:01 cgi-bin/ drwxr-x--- 2 www www 1024 Jun 11 17:21 conf/ -rwx------ 1 www www 109674 May 8 23:58 httpd drwxrwxr-x 2 www www 1024 Aug 8 00:01 htdocs/ drwxrwxr-x 2 www www 1024 Jun 3 21:15 icons/ drwxr-x--- 2 www www 1024 Aug 8 00:01 htdocs/
  • 10.
    PAL0103 ©1998 – RNP WebSeguro Técnicas recomendadas Estrutura de diretórios: Permissões (cont.) Esquema 2: drwx--x--x 5 root www 1024 Aug 8 00:01 cgi-bin/ drwx------ 2 root www 1024 Jun 11 17:21 conf/ -rwx------ 1 root www 109674 May 8 23:58 httpd drwxr-xr-x 2 root www 1024 Aug 8 00:01 htdocs/ drwxr-xr-x 2 root www 1024 Jun 3 21:15 icons/ drwx------ 2 root www 1024 Aug 8 00:01 htdocs/
  • 11.
    PAL0103 ©1998 – RNP WebSeguro Técnicas recomendadas Estrutura de diretórios: arquivos de configuração • Permissões: -rw------- 5 root wheel 954 Aug 6 00:01 access.conf -rw------- 2 root wheel 2840 Aug 6 17:21 httpd.conf -rw------- 1 root wheel 3290 Aug 6 23:58 myme.types -rw------- 2 root wheel 4106 Aug 6 00:01 srm.conf • Especial atenção no que diz respeito a: - Listagem automática de diretórios - Links simbólicos - Server Side Includes (SSI)
  • 12.
    PAL0103 ©1998 – RNP WebSeguro Técnicas recomendadas Escrevendo scripts CGI seguros • O maior problema dos scripts CGI: - podem incluir erros de codificação sutis • Estes erros podem permitir: - vazamento de informações do servidor/sistema - executar comandos arbitrários (INPUT DATA)
  • 13.
    PAL0103 ©1998 – RNP WebSeguro Técnicas recomendadas Scripts CGI com conhecidos furos de segurança Script Versões Afetadas Uso Count.cgi 1.0-2.3 Contador de página webdist.cgi 1.0-1.2 Distribui software php.cgi Até 2.0 Ling. de scripts nph-test.cgi Todas ? nph-publish 1.0-1.1 ? AnyForm 1.0 Cria formulários FormMail 1.0 Envia dados/e-mail phf Todas Phone Book
  • 14.
    PAL0103 ©1998 – RNP WebSeguro Técnicas recomendadas Scripts CGI: recomendações • Colocar todos os scripts num único diretório - configurar no arquivo conf/srm.conf • Usar Tripwire para monitorar mudanças nos scripts • Permissões dos scripts: 755 • Permissão do diretório: 711 • Desativar todos os scripts não usados
  • 15.
    PAL0103 ©1998 – RNP WebSeguro Técnicas recomendadas Scripts CGI: recomendações (cont.) • No que diz respeito à codificação: - Evite dar maiores informações - Não assuma nenhum tamanho de dados de entrada - Analise sempre dados de entrada do usuário (executados por algum comando shell) Ex.: Tem algum “;” no meio? • Invocar programas usando caminhos absolutos Ex.: Em vez de ls -l, utilize: /bin/ls -l
  • 16.
    PAL0103 ©1998 – RNP WebSeguro Recomendações gerais Recomendações gerais • Isolar o servidor Web (firewalls); • Monitorar freqüentemente: • Arquivos de log Ex.: Pedidos de URL muito longas • Usando Tripwire Ex.: Alterações não autorizadas • Para quem usa autenticação via Web, garanta que o arquivo de senhas não esteja acessível a usuários comuns
  • 17.
    PAL0103 ©1998 – RNP WebSeguro Recomendações gerais Recomendações gerais (cont.) • Seja ciente dos possíveis problemas de integrar serviços Web e Ftp: nada de uploads! • Acompanhe os alertas de segurança.
  • 18.
    PAL0103 ©1998 – RNP WebSeguro Problemas de segurança com alguns servidores WWW Problemas de segurança com alguns servidores WWW • Netscape Communicator para NT (versão 1.12) Netscape Commerce para NT (versão 1.12) • Microsoft IIS (versões anteriores a 05/03/96) - É possível fazer download de scripts e lê-los Microsoft IIS (versão 3.0) - Vulnerável a ataque DoS (URL longa)
  • 19.
    PAL0103 ©1998 – RNP WebSeguro Problemas de segurança com alguns servidores WWW Problemas de segurança com alguns servidores WWW (cont.) • Servidor NCSA - Buffer overflow em versões anteriores a 1.4 - cgi_src/util.c e src/util.c nas versões 1.5a e anteriores permitem executar comandos remotos • Servidor Apache - Módulo “mod_cookies” na versão 1.1.1 (Buffer overflow) - cgi_src/util.c e src/util.c nas versões 1.02 e anteriores permitem executar comandos remotos
  • 20.
    PAL0103 ©1998 – RNP WebSeguro Problemas de segurança com alguns servidores WWW Problemas de segurança com alguns servidores WWW (cont.) - Vulnerabilidade na versão 1.1.1 que permite a listagem automática de diretórios, mesmo com o arquivo index.html presente! • Servidor Netscape para Unix - Sistema de criptografia no NS Commerce foi “crackeado” - Sistema de geração de chaves é quase previsível
  • 21.
    PAL0103 ©1998 – RNP WebSeguro Referências Referências • Links: - http://www.go2net.com/people/paulp/cgi-security - http://hoohoo.ncsa.uiuc.edu/cgi/security.html - http://www.cs.purdue.edu/coast/hotlist.html#securi01 • FAQs: - http://www.w3.org/Security/Faq
  • 22.
    PAL0103 ©1998 – RNP WebSeguro Referências Referências (cont.) • Listas: - www-security: Enviar e-mail para www-security-request@nsmx.rutgers.edu colocando na mensagem o seguinte: subscribe www-security < seu e-mail > • Livros: - Practical Unix & Internet Security - 2nd. Edition Simsom Garfunkel and Gene Spafford O’Reilly & Associates