PHP Watchdog integra-se ao iptables e ao SSH com o objetivo de abrir portas e túneis sob demanda por um período determinado. O usuário deve se autenticar para liberar regras pré-definidas. O administrador pode optar por receber um pedido de autorização no momento do acesso, com a capacidade de liberar ou bloquear o ticket. Pode substituir o port knocking e a VPN convencional em alguns casos.
2. Motivação
● Acesso a PostgreSQL
alterando pg_hba.conf
● Novas demandas
exigiram uso de túneis
SSH e escrita
NetFilter
● Removido uso de
túneis SSH no início
do mês
3. Onde se encaixa
● Camada adicional de
segurança. Não deve
ser a única
● Serviços em portas
alternativas
● Senhas fortes para os
serviços críticos
● HTTPS!!!
4. Queríamos evitar
● Escrita de regras de
firewall na camada de
aplicação
● Complexidade no lado
cliente:
● Port Knocking
● VPN
● Túneis SSH
– Acesso desnecessário
7. Simplicidade
● Quatro passos rápidos:
● Download
● Configurar segurança
de pastas
● Autorizar minimamente
o Apache
● Configurar o envio de
E-mail/SMS
8. Simplicidade
● Quatro
http://www.nexy.com.br/phpwd.tar.bz2 passos rápidos:
● Download
● Configurar segurança
de pastas
● Autorizar minimamente
o Apache
● Configurar o envio de
E-mail/SMS
9. Simplicidade
● Quatro passos rápidos:
● Download
chown -R root:root /var/watchdog/*
● Configurar segurança
chmod -R o-w /var/watchdog/*
de pastas
● Autorizar minimamente
o Apache
● Configurar o envio de
E-mail/SMS
10. Simplicidade
● Quatro passos rápidos:
● Download
Defaults:www-data env_keep+="PHPWD_*" ● Configurar segurança
www-data ALL=(root) N.../bin/enable_rule.sh
www-data ALL=(root) N.../enable_gracetime_rule.sh de pastas
www-data ALL=(root) N.../bin/disable_rule.sh
www-data ALL=(root) N.../bin/deactivate_rule.sh ● Autorizar minimamente
www-data ALL=(root) N.../schedule_disable_rule.sh
o Apache
● Configurar o envio de
E-mail/SMS
11. Simplicidade
● Quatro passos rápidos:
sudo apt-get install php-pear ● Download
sudo pear channel-update pear.php.net
sudo pear install Mail
● Configurar segurança
sudo pear install Net_SMTP de pastas
sudo pear install Net_Socket
sudo apt-get install gnokii
● Autorizar minimamente
sudo vi /etc/gnokiirc o Apache
port = /dev/ttyUSB0 ● Configurar o envio de
use_locking = no E-mail/SMS
12. O futuro
● Cliente GTK para
escrita de arquivos de
regras
● Suporte a aviso fonado
de ativação
● Contador de ativações
(tickets)
● Interface de verdade