SlideShare uma empresa Scribd logo

Configurando um servidor

T
Tiago

O documento fornece recomendações para configurar um servidor WWW de forma segura, incluindo definir permissões corretas para diretórios e arquivos, escrever scripts CGI seguros e monitorar logs e arquivos para detectar alterações. Ele também discute vulnerabilidades conhecidas em alguns servidores WWW.

Educação
1 de 22
Baixar para ler offline
PAL0103 ©1998 – RNP Web Seguro Centro de Atendimento a Incidentes de Segurança - CAIS Web Seguro Configurando um servidor WWW seguro Novembro de 1998 PAL0103
PAL0103 ©1998 – RNP Web Seguro Índice: • Introdução • Técnicas recomendadas • Recomendações Gerais • Problemas de segurança com alguns servidores WWW • Referências
PAL0103 ©1998 – RNP Web Seguro Introdução Introdução • Qual é o cenário? • O que fazer?
PAL0103 ©1998 – RNP Web Seguro Introdução Qual é o cenário? • Pedidos anônimos; • Usuários não autenticados; • Código fonte complexo; • Em muitos casos, código amplamente divulgado; • Não são poucos os usuários inexperientes em programação CGI. Seu servidor Web se torna um fácil ponto de ataque!!
PAL0103 ©1998 – RNP Web Seguro Introdução O que fazer? • Pagar um “servidor seguro”; • Aplicar técnicas recomendadas para tornar o seu servidor mais seguro; • Combinação de ambos.
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Técnicas recomendadas • Configurando o User ID / Group ID do servidor • Entendendo a estrutura de diretórios −Permissões −Arquivos de configuração • Escrevendo scripts CGI de maneira segura −Scripts CGI com conhecidos furos de segurança −Scripts CGI: Recomendações
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Configurando UID/GID do servidor • Servidor (processo pai) precisa ser inicializado como root, para “ouvir” na porta 80 (padrão) • Já os processos filhos NÃO devem, de maneira alguma, rodar como root (configurável através do arquivo conf/httpd.conf) User http Group http
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Entendendo a estrutura de diretórios Especial cuidado, no que diz respeito a: • Permissões de diretórios e arquivos −cgi-bin −conf −htdocs −logs • Arquivos de configuração −access.conf −httpd.conf −srm.conf
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Estrutura de diretórios: Permissões Esquema 1: drwxr-xr-x 5 www www 1024 Aug 8 00:01 cgi-bin/ drwxr-x--- 2 www www 1024 Jun 11 17:21 conf/ -rwx------ 1 www www 109674 May 8 23:58 httpd drwxrwxr-x 2 www www 1024 Aug 8 00:01 htdocs/ drwxrwxr-x 2 www www 1024 Jun 3 21:15 icons/ drwxr-x--- 2 www www 1024 Aug 8 00:01 htdocs/
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Estrutura de diretórios: Permissões (cont.) Esquema 2: drwx--x--x 5 root www 1024 Aug 8 00:01 cgi-bin/ drwx------ 2 root www 1024 Jun 11 17:21 conf/ -rwx------ 1 root www 109674 May 8 23:58 httpd drwxr-xr-x 2 root www 1024 Aug 8 00:01 htdocs/ drwxr-xr-x 2 root www 1024 Jun 3 21:15 icons/ drwx------ 2 root www 1024 Aug 8 00:01 htdocs/
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Estrutura de diretórios: arquivos de configuração • Permissões: -rw------- 5 root wheel 954 Aug 6 00:01 access.conf -rw------- 2 root wheel 2840 Aug 6 17:21 httpd.conf -rw------- 1 root wheel 3290 Aug 6 23:58 myme.types -rw------- 2 root wheel 4106 Aug 6 00:01 srm.conf • Especial atenção no que diz respeito a: - Listagem automática de diretórios - Links simbólicos - Server Side Includes (SSI)
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Escrevendo scripts CGI seguros • O maior problema dos scripts CGI: - podem incluir erros de codificação sutis • Estes erros podem permitir: - vazamento de informações do servidor/sistema - executar comandos arbitrários (INPUT DATA)
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Scripts CGI com conhecidos furos de segurança Script Versões Afetadas Uso Count.cgi 1.0-2.3 Contador de página webdist.cgi 1.0-1.2 Distribui software php.cgi Até 2.0 Ling. de scripts nph-test.cgi Todas ? nph-publish 1.0-1.1 ? AnyForm 1.0 Cria formulários FormMail 1.0 Envia dados/e-mail phf Todas Phone Book
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Scripts CGI: recomendações • Colocar todos os scripts num único diretório - configurar no arquivo conf/srm.conf • Usar Tripwire para monitorar mudanças nos scripts • Permissões dos scripts: 755 • Permissão do diretório: 711 • Desativar todos os scripts não usados
PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Scripts CGI: recomendações (cont.) • No que diz respeito à codificação: - Evite dar maiores informações - Não assuma nenhum tamanho de dados de entrada - Analise sempre dados de entrada do usuário (executados por algum comando shell) Ex.: Tem algum “;” no meio? • Invocar programas usando caminhos absolutos Ex.: Em vez de ls -l, utilize: /bin/ls -l
PAL0103 ©1998 – RNP Web Seguro Recomendações gerais Recomendações gerais • Isolar o servidor Web (firewalls); • Monitorar freqüentemente: • Arquivos de log Ex.: Pedidos de URL muito longas • Usando Tripwire Ex.: Alterações não autorizadas • Para quem usa autenticação via Web, garanta que o arquivo de senhas não esteja acessível a usuários comuns
PAL0103 ©1998 – RNP Web Seguro Recomendações gerais Recomendações gerais (cont.) • Seja ciente dos possíveis problemas de integrar serviços Web e Ftp: nada de uploads! • Acompanhe os alertas de segurança.
PAL0103 ©1998 – RNP Web Seguro Problemas de segurança com alguns servidores WWW Problemas de segurança com alguns servidores WWW • Netscape Communicator para NT (versão 1.12) Netscape Commerce para NT (versão 1.12) • Microsoft IIS (versões anteriores a 05/03/96) - É possível fazer download de scripts e lê-los Microsoft IIS (versão 3.0) - Vulnerável a ataque DoS (URL longa)
PAL0103 ©1998 – RNP Web Seguro Problemas de segurança com alguns servidores WWW Problemas de segurança com alguns servidores WWW (cont.) • Servidor NCSA - Buffer overflow em versões anteriores a 1.4 - cgi_src/util.c e src/util.c nas versões 1.5a e anteriores permitem executar comandos remotos • Servidor Apache - Módulo “mod_cookies” na versão 1.1.1 (Buffer overflow) - cgi_src/util.c e src/util.c nas versões 1.02 e anteriores permitem executar comandos remotos
PAL0103 ©1998 – RNP Web Seguro Problemas de segurança com alguns servidores WWW Problemas de segurança com alguns servidores WWW (cont.) - Vulnerabilidade na versão 1.1.1 que permite a listagem automática de diretórios, mesmo com o arquivo index.html presente! • Servidor Netscape para Unix - Sistema de criptografia no NS Commerce foi “crackeado” - Sistema de geração de chaves é quase previsível
PAL0103 ©1998 – RNP Web Seguro Referências Referências • Links: - http://www.go2net.com/people/paulp/cgi-security - http://hoohoo.ncsa.uiuc.edu/cgi/security.html - http://www.cs.purdue.edu/coast/hotlist.html#securi01 • FAQs: - http://www.w3.org/Security/Faq
PAL0103 ©1998 – RNP Web Seguro Referências Referências (cont.) • Listas: - www-security: Enviar e-mail para www-security-request@nsmx.rutgers.edu colocando na mensagem o seguinte: subscribe www-security < seu e-mail > • Livros: - Practical Unix & Internet Security - 2nd. Edition Simsom Garfunkel and Gene Spafford O’Reilly & Associates

Recomendados

Aula 05
Aula 05Aula 05
Aula 05
Jorge Ávila Miranda
 
03 estrategia-ddos
03 estrategia-ddos03 estrategia-ddos
03 estrategia-ddos
Pavel Odintsov
 
03 seguranca redesi-pv6
03 seguranca redesi-pv603 seguranca redesi-pv6
03 seguranca redesi-pv6
Patricio Cardoso Bomfim
 
Php WatchDog
Php WatchDogPhp WatchDog
Php WatchDog
Ricardo Coelho
 
Como recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com BacktrackComo recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com Backtrack
Natanael Simões
 
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
Tchelinux
 
Implementação de Servidor Linux Ubuntu Server
Implementação de Servidor Linux Ubuntu ServerImplementação de Servidor Linux Ubuntu Server
Implementação de Servidor Linux Ubuntu Server
Tiago Bezerra Dos Santos
 
Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros Inteligentes Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros Inteligentes
Thiago Finardi
 

Recomendados

Aula 05
Aula 05Aula 05
Aula 05
Jorge Ávila Miranda
 
03 estrategia-ddos
03 estrategia-ddos03 estrategia-ddos
03 estrategia-ddos
Pavel Odintsov
 
03 seguranca redesi-pv6
03 seguranca redesi-pv603 seguranca redesi-pv6
03 seguranca redesi-pv6
Patricio Cardoso Bomfim
 
Php WatchDog
Php WatchDogPhp WatchDog
Php WatchDog
Ricardo Coelho
 
Como recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com BacktrackComo recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com Backtrack
Natanael Simões
 
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
Tchelinux
 
Implementação de Servidor Linux Ubuntu Server
Implementação de Servidor Linux Ubuntu ServerImplementação de Servidor Linux Ubuntu Server
Implementação de Servidor Linux Ubuntu Server
Tiago Bezerra Dos Santos
 
Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros Inteligentes Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros Inteligentes
Thiago Finardi
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvem
Ignacio Nin
 
UserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SP
UserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SPUserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SP
UserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SP
Zabbix BR
 
Application Servers e Ruby
Application Servers e RubyApplication Servers e Ruby
Application Servers e Ruby
Rafael Soares
 
Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2 Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2
francy Mascarenhas
 
Squid
SquidSquid
Squid
Cristo Trabalhador
 
Servidor Proxy Squid
Servidor Proxy SquidServidor Proxy Squid
Servidor Proxy Squid
Frederico Madeira
 
Douglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglasesteves meetupzabbix
Douglasesteves meetupzabbix
Douglas Esteves
 
Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e Evolução
Wilson Rogerio Lopes
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewall
Andre Peres
 
Implatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com LinuxImplatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com Linux
Alvaro Gomes
 
Desenvolvimento web no Linux
Desenvolvimento web no LinuxDesenvolvimento web no Linux
Desenvolvimento web no Linux
Eduardo Rozario
 
Tunando sua aplicação LNMP
Tunando sua aplicação LNMPTunando sua aplicação LNMP
Tunando sua aplicação LNMP
Leandro Mendes
 
2010 09-22 infra rn security meeting - palestra firewalls opensource
2010 09-22 infra rn security meeting - palestra firewalls opensource2010 09-22 infra rn security meeting - palestra firewalls opensource
2010 09-22 infra rn security meeting - palestra firewalls opensource
Eduardo Coelho
 
Descobrindo o Nginx - Um servidor web de alta performance
Descobrindo o Nginx - Um servidor web de alta performanceDescobrindo o Nginx - Um servidor web de alta performance
Descobrindo o Nginx - Um servidor web de alta performance
Gustavo Ciello
 
Alta Performance de Aplicações Web em PHP - Nginx
Alta Performance de Aplicações Web em PHP - NginxAlta Performance de Aplicações Web em PHP - Nginx
Alta Performance de Aplicações Web em PHP - Nginx
Thiago Paes
 
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Tchelinux
 
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Andre Peres
 
Unidade5 roteiro footprint
Unidade5 roteiro footprintUnidade5 roteiro footprint
Unidade5 roteiro footprint
Leandro Almeida
 
Python async
Python asyncPython async
Python async
Leonardo Rossetti
 
NGiNX, o motor da sua aplicação web
NGiNX, o motor da sua aplicação webNGiNX, o motor da sua aplicação web
NGiNX, o motor da sua aplicação web
ernaniaz
 
C# o basico
C# o basicoC# o basico
C# o basico
Tiago
 
Apostila html,xhtml e css
Apostila html,xhtml e cssApostila html,xhtml e css
Apostila html,xhtml e css
Tiago
 

Mais conteúdo relacionado

Mais procurados

Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e Evolução
Wilson Rogerio Lopes
 
2010 09-22 infra rn security meeting - palestra firewalls opensource
2010 09-22 infra rn security meeting - palestra firewalls opensource2010 09-22 infra rn security meeting - palestra firewalls opensource
2010 09-22 infra rn security meeting - palestra firewalls opensource
Eduardo Coelho
 
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Tchelinux
 
Unidade5 roteiro footprint
Unidade5 roteiro footprintUnidade5 roteiro footprint
Unidade5 roteiro footprint
Leandro Almeida
 

Mais procurados (20)

Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvem
 
UserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SP
UserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SPUserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SP
UserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SP
 
Application Servers e Ruby
Application Servers e RubyApplication Servers e Ruby
Application Servers e Ruby
 
Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2 Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2
 
Squid
SquidSquid
Squid
 
Servidor Proxy Squid
Servidor Proxy SquidServidor Proxy Squid
Servidor Proxy Squid
 
Douglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglasesteves meetupzabbix
Douglasesteves meetupzabbix
 
Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e Evolução
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewall
 
Implatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com LinuxImplatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com Linux
 
Desenvolvimento web no Linux
Desenvolvimento web no LinuxDesenvolvimento web no Linux
Desenvolvimento web no Linux
 
Tunando sua aplicação LNMP
Tunando sua aplicação LNMPTunando sua aplicação LNMP
Tunando sua aplicação LNMP
 
2010 09-22 infra rn security meeting - palestra firewalls opensource
2010 09-22 infra rn security meeting - palestra firewalls opensource2010 09-22 infra rn security meeting - palestra firewalls opensource
2010 09-22 infra rn security meeting - palestra firewalls opensource
 
Descobrindo o Nginx - Um servidor web de alta performance
Descobrindo o Nginx - Um servidor web de alta performanceDescobrindo o Nginx - Um servidor web de alta performance
Descobrindo o Nginx - Um servidor web de alta performance
 
Alta Performance de Aplicações Web em PHP - Nginx
Alta Performance de Aplicações Web em PHP - NginxAlta Performance de Aplicações Web em PHP - Nginx
Alta Performance de Aplicações Web em PHP - Nginx
 
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
 
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
 
Unidade5 roteiro footprint
Unidade5 roteiro footprintUnidade5 roteiro footprint
Unidade5 roteiro footprint
 
Python async
Python asyncPython async
Python async
 
NGiNX, o motor da sua aplicação web
NGiNX, o motor da sua aplicação webNGiNX, o motor da sua aplicação web
NGiNX, o motor da sua aplicação web
 

Destaque

Las Tics En La Educacion
Las Tics En La EducacionLas Tics En La Educacion
Las Tics En La Educacion
ena
 
CIOReview_Manufacturing Special Edition_TCS Article
CIOReview_Manufacturing Special Edition_TCS ArticleCIOReview_Manufacturing Special Edition_TCS Article
CIOReview_Manufacturing Special Edition_TCS Article
Amit Bhowmik
 
Elvis Presley Ii
Elvis Presley IiElvis Presley Ii
Elvis Presley Ii
mnb3
 

Destaque (15)

C# o basico
C# o basicoC# o basico
C# o basico
 
Apostila html,xhtml e css
Apostila html,xhtml e cssApostila html,xhtml e css
Apostila html,xhtml e css
 
Hardware questionario 01
Hardware questionario 01Hardware questionario 01
Hardware questionario 01
 
Las Tics En La Educacion
Las Tics En La EducacionLas Tics En La Educacion
Las Tics En La Educacion
 
CIOReview_Manufacturing Special Edition_TCS Article
CIOReview_Manufacturing Special Edition_TCS ArticleCIOReview_Manufacturing Special Edition_TCS Article
CIOReview_Manufacturing Special Edition_TCS Article
 
Test Report 3
Test Report 3Test Report 3
Test Report 3
 
Chia muito mais cálcio
Chia muito mais cálcioChia muito mais cálcio
Chia muito mais cálcio
 
Conheã§a me
Conheã§a meConheã§a me
Conheã§a me
 
Dibujo técnico......
Dibujo técnico......Dibujo técnico......
Dibujo técnico......
 
Chia um bem natural
Chia um bem naturalChia um bem natural
Chia um bem natural
 
Elvis Presley Ii
Elvis Presley IiElvis Presley Ii
Elvis Presley Ii
 
Plaza Drive Flyer
Plaza Drive FlyerPlaza Drive Flyer
Plaza Drive Flyer
 
System 400
System 400System 400
System 400
 
Fw builder
Fw builderFw builder
Fw builder
 
Anthem Cert 2017
Anthem Cert 2017Anthem Cert 2017
Anthem Cert 2017
 

Semelhante a Configurando um servidor

Administração de Rede Local
Administração de Rede LocalAdministração de Rede Local
Administração de Rede Local
cymbron
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Tchelinux
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)
elliando dias
 
Valdir Adorni - Infra and S.A.N Assessment Integration Sample
Valdir Adorni - Infra and S.A.N Assessment Integration SampleValdir Adorni - Infra and S.A.N Assessment Integration Sample
Valdir Adorni - Infra and S.A.N Assessment Integration Sample
Valdir Adorni
 
Introdução ao desenvolvimento Web
Introdução ao desenvolvimento WebIntrodução ao desenvolvimento Web
Introdução ao desenvolvimento Web
Sérgio Souza Costa
 

Semelhante a Configurando um servidor (20)

Administração de Rede Local
Administração de Rede LocalAdministração de Rede Local
Administração de Rede Local
 
IBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroIBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to hero
 
13.+Introdução+-+Prometheus.pdf
13.+Introdução+-+Prometheus.pdf13.+Introdução+-+Prometheus.pdf
13.+Introdução+-+Prometheus.pdf
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
 
Monitoramento rede
Monitoramento redeMonitoramento rede
Monitoramento rede
 
TDC2018SP | Trilha Serveless - Pra que SERVErless?
TDC2018SP | Trilha Serveless - Pra que SERVErless?TDC2018SP | Trilha Serveless - Pra que SERVErless?
TDC2018SP | Trilha Serveless - Pra que SERVErless?
 
Forefront TMG - Planejando corretamente
Forefront TMG - Planejando corretamenteForefront TMG - Planejando corretamente
Forefront TMG - Planejando corretamente
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)
 
Criando microsserviços em PHP
Criando microsserviços em PHPCriando microsserviços em PHP
Criando microsserviços em PHP
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univem
 
Gts flowtools
Gts flowtoolsGts flowtools
Gts flowtools
 
Como criar infraestrutura de sites para receber milhões de usuários?
Como criar infraestrutura de sites para receber milhões de usuários?Como criar infraestrutura de sites para receber milhões de usuários?
Como criar infraestrutura de sites para receber milhões de usuários?
 
Valdir Adorni - Infra and S.A.N Assessment Integration Sample
Valdir Adorni - Infra and S.A.N Assessment Integration SampleValdir Adorni - Infra and S.A.N Assessment Integration Sample
Valdir Adorni - Infra and S.A.N Assessment Integration Sample
 
Embarcado
EmbarcadoEmbarcado
Embarcado
 
Introdução ao desenvolvimento Web
Introdução ao desenvolvimento WebIntrodução ao desenvolvimento Web
Introdução ao desenvolvimento Web
 
DevCommerce Conference 2016: Vantagens e resultados de containers e VMs para ...
DevCommerce Conference 2016: Vantagens e resultados de containers e VMs para ...DevCommerce Conference 2016: Vantagens e resultados de containers e VMs para ...
DevCommerce Conference 2016: Vantagens e resultados de containers e VMs para ...
 
Contêineres e VMs no mundo dos E-commerces (Devcommerce2016)
Contêineres e VMs no mundo dos E-commerces (Devcommerce2016)Contêineres e VMs no mundo dos E-commerces (Devcommerce2016)
Contêineres e VMs no mundo dos E-commerces (Devcommerce2016)
 
eboxx® - Central Monitoring
eboxx® - Central Monitoringeboxx® - Central Monitoring
eboxx® - Central Monitoring
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 

Mais de Tiago

Mais de Tiago (20)

Programacao php moodle
Programacao php moodleProgramacao php moodle
Programacao php moodle
 
Apostila cdtc dotproject
Apostila cdtc dotprojectApostila cdtc dotproject
Apostila cdtc dotproject
 
6572501 ldp-apostila-de-turbo-pascal
6572501 ldp-apostila-de-turbo-pascal6572501 ldp-apostila-de-turbo-pascal
6572501 ldp-apostila-de-turbo-pascal
 
Guia rapido de_pascal
Guia rapido de_pascalGuia rapido de_pascal
Guia rapido de_pascal
 
Python bge
Python bgePython bge
Python bge
 
Curso python
Curso pythonCurso python
Curso python
 
Curso python
Curso pythonCurso python
Curso python
 
Aula 01 python
Aula 01 pythonAula 01 python
Aula 01 python
 
Threading in c_sharp
Threading in c_sharpThreading in c_sharp
Threading in c_sharp
 
Retirar acentos de_determinado_texto_em_c_sharp
Retirar acentos de_determinado_texto_em_c_sharpRetirar acentos de_determinado_texto_em_c_sharp
Retirar acentos de_determinado_texto_em_c_sharp
 
Remover caracteres especiais_texto_em_c_sharp
Remover caracteres especiais_texto_em_c_sharpRemover caracteres especiais_texto_em_c_sharp
Remover caracteres especiais_texto_em_c_sharp
 
Obter ip da_internet_em_c_sharp
Obter ip da_internet_em_c_sharpObter ip da_internet_em_c_sharp
Obter ip da_internet_em_c_sharp
 
Metodo using no_c_sharp
Metodo using no_c_sharpMetodo using no_c_sharp
Metodo using no_c_sharp
 
Introdução ao c# para iniciantes
Introdução ao c# para iniciantesIntrodução ao c# para iniciantes
Introdução ao c# para iniciantes
 
Interfaces windows em c sharp
Interfaces windows em c sharpInterfaces windows em c sharp
Interfaces windows em c sharp
 
Filestream sistema arquivos
Filestream sistema arquivosFilestream sistema arquivos
Filestream sistema arquivos
 
Curso linux professor rafael
Curso linux professor rafaelCurso linux professor rafael
Curso linux professor rafael
 
Curso de shell
Curso de shellCurso de shell
Curso de shell
 
Controle lpt em_c_sharp
Controle lpt em_c_sharpControle lpt em_c_sharp
Controle lpt em_c_sharp
 
Classes csharp
Classes csharpClasses csharp
Classes csharp
 

Último

O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
azulassessoria9
 
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
PatriciaCaetano18
 
O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...
O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...
O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...
azulassessoria9
 
Sistema articular aula 4 (1).pdf articulações e junturas
Sistema articular aula 4 (1).pdf articulações e junturasSistema articular aula 4 (1).pdf articulações e junturas
Sistema articular aula 4 (1).pdf articulações e junturas
rfmbrandao
 
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
azulassessoria9
 
República Velha (República da Espada e Oligárquica)-Sala de Aula.pdf
República Velha (República da Espada e Oligárquica)-Sala de Aula.pdfRepública Velha (República da Espada e Oligárquica)-Sala de Aula.pdf
República Velha (República da Espada e Oligárquica)-Sala de Aula.pdf
LidianeLill2
 
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
azulassessoria9
 

Último (20)

AULÃO de Língua Portuguesa para o Saepe 2022
AULÃO de Língua Portuguesa para o Saepe 2022AULÃO de Língua Portuguesa para o Saepe 2022
AULÃO de Língua Portuguesa para o Saepe 2022
 
Missa catequese para o dia da mãe 2025.pdf
Missa catequese para o dia da mãe 2025.pdfMissa catequese para o dia da mãe 2025.pdf
Missa catequese para o dia da mãe 2025.pdf
 
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
 
Introdução às Funções 9º ano: Diagrama de flexas, Valor numérico de uma funçã...
Introdução às Funções 9º ano: Diagrama de flexas, Valor numérico de uma funçã...Introdução às Funções 9º ano: Diagrama de flexas, Valor numérico de uma funçã...
Introdução às Funções 9º ano: Diagrama de flexas, Valor numérico de uma funçã...
 
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
 
O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...
O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...
O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...
 
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptxSlides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
 
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
 
aprendizagem significatica, teórico David Ausubel
aprendizagem significatica, teórico David Ausubelaprendizagem significatica, teórico David Ausubel
aprendizagem significatica, teórico David Ausubel
 
tensoes-etnicas-na-europa-template-1.pptx
tensoes-etnicas-na-europa-template-1.pptxtensoes-etnicas-na-europa-template-1.pptx
tensoes-etnicas-na-europa-template-1.pptx
 
Sistema articular aula 4 (1).pdf articulações e junturas
Sistema articular aula 4 (1).pdf articulações e junturasSistema articular aula 4 (1).pdf articulações e junturas
Sistema articular aula 4 (1).pdf articulações e junturas
 
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
 
Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...
Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...
Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...
 
Caderno de exercícios Revisão para o ENEM (1).pdf
Caderno de exercícios Revisão para o ENEM (1).pdfCaderno de exercícios Revisão para o ENEM (1).pdf
Caderno de exercícios Revisão para o ENEM (1).pdf
 
Quiz | Dia da Europa 2024 (comemoração)
Quiz | Dia da Europa 2024 (comemoração)Quiz | Dia da Europa 2024 (comemoração)
Quiz | Dia da Europa 2024 (comemoração)
 
Cartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptxCartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptx
 
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
 
República Velha (República da Espada e Oligárquica)-Sala de Aula.pdf
República Velha (República da Espada e Oligárquica)-Sala de Aula.pdfRepública Velha (República da Espada e Oligárquica)-Sala de Aula.pdf
República Velha (República da Espada e Oligárquica)-Sala de Aula.pdf
 
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
 
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptxMonoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
 

Configurando um servidor

  • 1. PAL0103 ©1998 – RNP Web Seguro Centro de Atendimento a Incidentes de Segurança - CAIS Web Seguro Configurando um servidor WWW seguro Novembro de 1998 PAL0103
  • 2. PAL0103 ©1998 – RNP Web Seguro Índice: • Introdução • Técnicas recomendadas • Recomendações Gerais • Problemas de segurança com alguns servidores WWW • Referências
  • 3. PAL0103 ©1998 – RNP Web Seguro Introdução Introdução • Qual é o cenário? • O que fazer?
  • 4. PAL0103 ©1998 – RNP Web Seguro Introdução Qual é o cenário? • Pedidos anônimos; • Usuários não autenticados; • Código fonte complexo; • Em muitos casos, código amplamente divulgado; • Não são poucos os usuários inexperientes em programação CGI. Seu servidor Web se torna um fácil ponto de ataque!!
  • 5. PAL0103 ©1998 – RNP Web Seguro Introdução O que fazer? • Pagar um “servidor seguro”; • Aplicar técnicas recomendadas para tornar o seu servidor mais seguro; • Combinação de ambos.
  • 6. PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Técnicas recomendadas • Configurando o User ID / Group ID do servidor • Entendendo a estrutura de diretórios −Permissões −Arquivos de configuração • Escrevendo scripts CGI de maneira segura −Scripts CGI com conhecidos furos de segurança −Scripts CGI: Recomendações
  • 7. PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Configurando UID/GID do servidor • Servidor (processo pai) precisa ser inicializado como root, para “ouvir” na porta 80 (padrão) • Já os processos filhos NÃO devem, de maneira alguma, rodar como root (configurável através do arquivo conf/httpd.conf) User http Group http
  • 8. PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Entendendo a estrutura de diretórios Especial cuidado, no que diz respeito a: • Permissões de diretórios e arquivos −cgi-bin −conf −htdocs −logs • Arquivos de configuração −access.conf −httpd.conf −srm.conf
  • 9. PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Estrutura de diretórios: Permissões Esquema 1: drwxr-xr-x 5 www www 1024 Aug 8 00:01 cgi-bin/ drwxr-x--- 2 www www 1024 Jun 11 17:21 conf/ -rwx------ 1 www www 109674 May 8 23:58 httpd drwxrwxr-x 2 www www 1024 Aug 8 00:01 htdocs/ drwxrwxr-x 2 www www 1024 Jun 3 21:15 icons/ drwxr-x--- 2 www www 1024 Aug 8 00:01 htdocs/
  • 10. PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Estrutura de diretórios: Permissões (cont.) Esquema 2: drwx--x--x 5 root www 1024 Aug 8 00:01 cgi-bin/ drwx------ 2 root www 1024 Jun 11 17:21 conf/ -rwx------ 1 root www 109674 May 8 23:58 httpd drwxr-xr-x 2 root www 1024 Aug 8 00:01 htdocs/ drwxr-xr-x 2 root www 1024 Jun 3 21:15 icons/ drwx------ 2 root www 1024 Aug 8 00:01 htdocs/
  • 11. PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Estrutura de diretórios: arquivos de configuração • Permissões: -rw------- 5 root wheel 954 Aug 6 00:01 access.conf -rw------- 2 root wheel 2840 Aug 6 17:21 httpd.conf -rw------- 1 root wheel 3290 Aug 6 23:58 myme.types -rw------- 2 root wheel 4106 Aug 6 00:01 srm.conf • Especial atenção no que diz respeito a: - Listagem automática de diretórios - Links simbólicos - Server Side Includes (SSI)
  • 12. PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Escrevendo scripts CGI seguros • O maior problema dos scripts CGI: - podem incluir erros de codificação sutis • Estes erros podem permitir: - vazamento de informações do servidor/sistema - executar comandos arbitrários (INPUT DATA)
  • 13. PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Scripts CGI com conhecidos furos de segurança Script Versões Afetadas Uso Count.cgi 1.0-2.3 Contador de página webdist.cgi 1.0-1.2 Distribui software php.cgi Até 2.0 Ling. de scripts nph-test.cgi Todas ? nph-publish 1.0-1.1 ? AnyForm 1.0 Cria formulários FormMail 1.0 Envia dados/e-mail phf Todas Phone Book
  • 14. PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Scripts CGI: recomendações • Colocar todos os scripts num único diretório - configurar no arquivo conf/srm.conf • Usar Tripwire para monitorar mudanças nos scripts • Permissões dos scripts: 755 • Permissão do diretório: 711 • Desativar todos os scripts não usados
  • 15. PAL0103 ©1998 – RNP Web Seguro Técnicas recomendadas Scripts CGI: recomendações (cont.) • No que diz respeito à codificação: - Evite dar maiores informações - Não assuma nenhum tamanho de dados de entrada - Analise sempre dados de entrada do usuário (executados por algum comando shell) Ex.: Tem algum “;” no meio? • Invocar programas usando caminhos absolutos Ex.: Em vez de ls -l, utilize: /bin/ls -l
  • 16. PAL0103 ©1998 – RNP Web Seguro Recomendações gerais Recomendações gerais • Isolar o servidor Web (firewalls); • Monitorar freqüentemente: • Arquivos de log Ex.: Pedidos de URL muito longas • Usando Tripwire Ex.: Alterações não autorizadas • Para quem usa autenticação via Web, garanta que o arquivo de senhas não esteja acessível a usuários comuns
  • 17. PAL0103 ©1998 – RNP Web Seguro Recomendações gerais Recomendações gerais (cont.) • Seja ciente dos possíveis problemas de integrar serviços Web e Ftp: nada de uploads! • Acompanhe os alertas de segurança.
  • 18. PAL0103 ©1998 – RNP Web Seguro Problemas de segurança com alguns servidores WWW Problemas de segurança com alguns servidores WWW • Netscape Communicator para NT (versão 1.12) Netscape Commerce para NT (versão 1.12) • Microsoft IIS (versões anteriores a 05/03/96) - É possível fazer download de scripts e lê-los Microsoft IIS (versão 3.0) - Vulnerável a ataque DoS (URL longa)
  • 19. PAL0103 ©1998 – RNP Web Seguro Problemas de segurança com alguns servidores WWW Problemas de segurança com alguns servidores WWW (cont.) • Servidor NCSA - Buffer overflow em versões anteriores a 1.4 - cgi_src/util.c e src/util.c nas versões 1.5a e anteriores permitem executar comandos remotos • Servidor Apache - Módulo “mod_cookies” na versão 1.1.1 (Buffer overflow) - cgi_src/util.c e src/util.c nas versões 1.02 e anteriores permitem executar comandos remotos
  • 20. PAL0103 ©1998 – RNP Web Seguro Problemas de segurança com alguns servidores WWW Problemas de segurança com alguns servidores WWW (cont.) - Vulnerabilidade na versão 1.1.1 que permite a listagem automática de diretórios, mesmo com o arquivo index.html presente! • Servidor Netscape para Unix - Sistema de criptografia no NS Commerce foi “crackeado” - Sistema de geração de chaves é quase previsível
  • 21. PAL0103 ©1998 – RNP Web Seguro Referências Referências • Links: - http://www.go2net.com/people/paulp/cgi-security - http://hoohoo.ncsa.uiuc.edu/cgi/security.html - http://www.cs.purdue.edu/coast/hotlist.html#securi01 • FAQs: - http://www.w3.org/Security/Faq
  • 22. PAL0103 ©1998 – RNP Web Seguro Referências Referências (cont.) • Listas: - www-security: Enviar e-mail para www-security-request@nsmx.rutgers.edu colocando na mensagem o seguinte: subscribe www-security < seu e-mail > • Livros: - Practical Unix & Internet Security - 2nd. Edition Simsom Garfunkel and Gene Spafford O’Reilly & Associates