SlideShare ist ein Scribd-Unternehmen logo

Solução de firewall leve e simples para proteção de serviços

Ricardo Coelho
Ricardo Coelho

PHP Watchdog integra-se ao iptables e ao SSH com o objetivo de abrir portas e túneis sob demanda por um período determinado. O usuário deve se autenticar para liberar regras pré-definidas. O administrador pode optar por receber um pedido de autorização no momento do acesso, com a capacidade de liberar ou bloquear o ticket. Pode substituir o port knocking e a VPN convencional em alguns casos.

Technologie
1 von 13
Downloaden Sie, um offline zu lesen
Ricardo Coelho ricardo@nexy.com.br
Motivação ● Acesso a PostgreSQL alterando pg_hba.conf ● Novas demandas exigiram uso de túneis SSH e escrita NetFilter ● Removido uso de túneis SSH no início do mês
Onde se encaixa ● Camada adicional de segurança. Não deve ser a única ● Serviços em portas alternativas ● Senhas fortes para os serviços críticos ● HTTPS!!!
Queríamos evitar ● Escrita de regras de firewall na camada de aplicação ● Complexidade no lado cliente: ● Port Knocking ● VPN ● Túneis SSH – Acesso desnecessário
#!/bin/bash Scripts com acesso ao iptables /var/watchdog/bin/enable_rule.sh /var/watchdog/bin/enable_gracetime_rule.sh /var/watchdog/bin/disable_rule.sh /var/watchdog/bin/deactivate_rule.sh /var/watchdog/bin/schedule_disable_rule.sh /etc/sudoers Defaults:www-data env_keep+="PHPWD_*" www-data ALL=(root) NOPASSWD:/var/watchdog/bin/enable_rule.sh NOPASSWD:/var/watchdog/bin/enable_gracetime_rule.sh NOPASSWD:/var/watchdog/bin/disable_rule.sh NOPASSWD:/var/watchdog/bin/deactivate_rule.sh NOPASSWD:/var/watchdog/bin/schedule_disable_rule.sh
<?php config.php define('PHPWD_BINARY_DIR', '/var/watchdog/bin/'); cRuleFile.php `/usr/bin/sudo /var/watchdog/bin/enable_rule example.rule` ?>
Simplicidade ● Quatro passos rápidos: ● Download ● Configurar segurança de pastas ● Autorizar minimamente o Apache ● Configurar o envio de E-mail/SMS
Simplicidade ● Quatro http://www.nexy.com.br/phpwd.tar.bz2 passos rápidos: ● Download ● Configurar segurança de pastas ● Autorizar minimamente o Apache ● Configurar o envio de E-mail/SMS
Simplicidade ● Quatro passos rápidos: ● Download chown -R root:root /var/watchdog/* ● Configurar segurança chmod -R o-w /var/watchdog/* de pastas ● Autorizar minimamente o Apache ● Configurar o envio de E-mail/SMS
Simplicidade ● Quatro passos rápidos: ● Download Defaults:www-data env_keep+="PHPWD_*" ● Configurar segurança www-data ALL=(root) N.../bin/enable_rule.sh www-data ALL=(root) N.../enable_gracetime_rule.sh de pastas www-data ALL=(root) N.../bin/disable_rule.sh www-data ALL=(root) N.../bin/deactivate_rule.sh ● Autorizar minimamente www-data ALL=(root) N.../schedule_disable_rule.sh o Apache ● Configurar o envio de E-mail/SMS
Simplicidade ● Quatro passos rápidos: sudo apt-get install php-pear ● Download sudo pear channel-update pear.php.net sudo pear install Mail ● Configurar segurança sudo pear install Net_SMTP de pastas sudo pear install Net_Socket sudo apt-get install gnokii ● Autorizar minimamente sudo vi /etc/gnokiirc o Apache port = /dev/ttyUSB0 ● Configurar o envio de use_locking = no E-mail/SMS
O futuro ● Cliente GTK para escrita de arquivos de regras ● Suporte a aviso fonado de ativação ● Contador de ativações (tickets) ● Interface de verdade
Dúvidas? Lie Time PHPConfBR

Empfohlen

Apresentação PGDAY - instalação e configuração - PostgreSQL
Apresentação PGDAY - instalação e configuração - PostgreSQLApresentação PGDAY - instalação e configuração - PostgreSQL
Apresentação PGDAY - instalação e configuração - PostgreSQLJohnes Castro
 
Squid
SquidSquid
Squidjhmljunior
 
Servidor Proxy Squid
Servidor Proxy SquidServidor Proxy Squid
Servidor Proxy SquidFrederico Madeira
 
Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros Inteligentes Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros InteligentesThiago Finardi
 
Implementação de Servidor Linux Ubuntu Server
Implementação de Servidor Linux Ubuntu ServerImplementação de Servidor Linux Ubuntu Server
Implementação de Servidor Linux Ubuntu ServerTiago Bezerra Dos Santos
 
Cacti
CactiCacti
CactiLeandro Souza
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)elliando dias
 
Zabbix livro para ubuntu
Zabbix livro para ubuntuZabbix livro para ubuntu
Zabbix livro para ubuntuAislan Soares de Melo
 

Empfohlen

Apresentação PGDAY - instalação e configuração - PostgreSQL
Apresentação PGDAY - instalação e configuração - PostgreSQLApresentação PGDAY - instalação e configuração - PostgreSQL
Apresentação PGDAY - instalação e configuração - PostgreSQLJohnes Castro
 
Squid
SquidSquid
Squidjhmljunior
 
Servidor Proxy Squid
Servidor Proxy SquidServidor Proxy Squid
Servidor Proxy SquidFrederico Madeira
 
Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros Inteligentes Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros InteligentesThiago Finardi
 
Implementação de Servidor Linux Ubuntu Server
Implementação de Servidor Linux Ubuntu ServerImplementação de Servidor Linux Ubuntu Server
Implementação de Servidor Linux Ubuntu ServerTiago Bezerra Dos Santos
 
Cacti
CactiCacti
CactiLeandro Souza
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)elliando dias
 
Zabbix livro para ubuntu
Zabbix livro para ubuntuZabbix livro para ubuntu
Zabbix livro para ubuntuAislan Soares de Melo
 
Saiba mais sobre OCS Inventory
Saiba mais sobre OCS InventorySaiba mais sobre OCS Inventory
Saiba mais sobre OCS Inventory4LinuxCursos
 
Ocs inventory
Ocs inventoryOcs inventory
Ocs inventoryRaphael Cangucu
 
Instalação de um servidor debian
Instalação de um servidor debianInstalação de um servidor debian
Instalação de um servidor debianEduardo Mendes
 
Unidade5 roteiro
Unidade5 roteiroUnidade5 roteiro
Unidade5 roteiroLeandro Almeida
 
(14) ftp
(14) ftp(14) ftp
(14) ftpAnderson Lago
 
Firewall Definitivo - William Souza
Firewall Definitivo - William SouzaFirewall Definitivo - William Souza
Firewall Definitivo - William SouzaTchelinux
 
Unidade5 roteiro
Unidade5 roteiroUnidade5 roteiro
Unidade5 roteiroLeandro Almeida
 
Integração OCS Inventário de hardware software
Integração OCS Inventário de hardware softwareIntegração OCS Inventário de hardware software
Integração OCS Inventário de hardware softwareVenki
 
Squid proxy
Squid proxySquid proxy
Squid proxyGabriel Martins
 
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Marlon Willrich
 
Desenvolvimento web no Linux
Desenvolvimento web no LinuxDesenvolvimento web no Linux
Desenvolvimento web no LinuxEduardo Rozario
 
Apache
ApacheApache
ApacheCarlos Melo
 
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)Tchelinux
 
Tutorial servidor debian linux ocs invetory
Tutorial servidor debian linux ocs invetory Tutorial servidor debian linux ocs invetory
Tutorial servidor debian linux ocs invetory gigadrop
 
Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)Danilo Filitto
 
Como recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com BacktrackComo recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com BacktrackNatanael Simões
 
pfSense - Proxy com arquivo arquivo pac e wpad
pfSense - Proxy com arquivo arquivo pac e wpadpfSense - Proxy com arquivo arquivo pac e wpad
pfSense - Proxy com arquivo arquivo pac e wpadCavalcante Treinamentos
 
Linux - Instalação de Programas
Linux - Instalação de ProgramasLinux - Instalação de Programas
Linux - Instalação de Programasguest407a9
 
Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.falcao_raphael
 
Apache2.4 tuning-hands on
Apache2.4 tuning-hands onApache2.4 tuning-hands on
Apache2.4 tuning-hands onRenato Gomes
 
Alta Performance de Aplicações PHP com Nginx
Alta Performance de Aplicações PHP com NginxAlta Performance de Aplicações PHP com Nginx
Alta Performance de Aplicações PHP com NginxThiago Paes
 
Aula 2
Aula 2Aula 2
Aula 2Fred E Rebeca
 

Weitere ähnliche Inhalte

Was ist angesagt?

Saiba mais sobre OCS Inventory
Saiba mais sobre OCS InventorySaiba mais sobre OCS Inventory
Saiba mais sobre OCS Inventory4LinuxCursos
 
Instalação de um servidor debian
Instalação de um servidor debianInstalação de um servidor debian
Instalação de um servidor debianEduardo Mendes
 
Firewall Definitivo - William Souza
Firewall Definitivo - William SouzaFirewall Definitivo - William Souza
Firewall Definitivo - William SouzaTchelinux
 
Integração OCS Inventário de hardware software
Integração OCS Inventário de hardware softwareIntegração OCS Inventário de hardware software
Integração OCS Inventário de hardware softwareVenki
 
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Marlon Willrich
 
Desenvolvimento web no Linux
Desenvolvimento web no LinuxDesenvolvimento web no Linux
Desenvolvimento web no LinuxEduardo Rozario
 
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)Tchelinux
 
Tutorial servidor debian linux ocs invetory
Tutorial servidor debian linux ocs invetory Tutorial servidor debian linux ocs invetory
Tutorial servidor debian linux ocs invetory gigadrop
 
Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)Danilo Filitto
 
Como recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com BacktrackComo recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com BacktrackNatanael Simões
 
pfSense - Proxy com arquivo arquivo pac e wpad
pfSense - Proxy com arquivo arquivo pac e wpadpfSense - Proxy com arquivo arquivo pac e wpad
pfSense - Proxy com arquivo arquivo pac e wpadCavalcante Treinamentos
 
Linux - Instalação de Programas
Linux - Instalação de ProgramasLinux - Instalação de Programas
Linux - Instalação de Programasguest407a9
 
Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.falcao_raphael
 
Apache2.4 tuning-hands on
Apache2.4 tuning-hands onApache2.4 tuning-hands on
Apache2.4 tuning-hands onRenato Gomes
 

Was ist angesagt? (20)

Saiba mais sobre OCS Inventory
Saiba mais sobre OCS InventorySaiba mais sobre OCS Inventory
Saiba mais sobre OCS Inventory
 
Ocs inventory
Ocs inventoryOcs inventory
Ocs inventory
 
Instalação de um servidor debian
Instalação de um servidor debianInstalação de um servidor debian
Instalação de um servidor debian
 
Unidade5 roteiro
Unidade5 roteiroUnidade5 roteiro
Unidade5 roteiro
 
(14) ftp
(14) ftp(14) ftp
(14) ftp
 
Firewall Definitivo - William Souza
Firewall Definitivo - William SouzaFirewall Definitivo - William Souza
Firewall Definitivo - William Souza
 
Unidade5 roteiro
Unidade5 roteiroUnidade5 roteiro
Unidade5 roteiro
 
Integração OCS Inventário de hardware software
Integração OCS Inventário de hardware softwareIntegração OCS Inventário de hardware software
Integração OCS Inventário de hardware software
 
Squid proxy
Squid proxySquid proxy
Squid proxy
 
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
 
Desenvolvimento web no Linux
Desenvolvimento web no LinuxDesenvolvimento web no Linux
Desenvolvimento web no Linux
 
Apache
ApacheApache
Apache
 
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
 
Tutorial servidor debian linux ocs invetory
Tutorial servidor debian linux ocs invetory Tutorial servidor debian linux ocs invetory
Tutorial servidor debian linux ocs invetory
 
Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)
 
Como recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com BacktrackComo recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com Backtrack
 
pfSense - Proxy com arquivo arquivo pac e wpad
pfSense - Proxy com arquivo arquivo pac e wpadpfSense - Proxy com arquivo arquivo pac e wpad
pfSense - Proxy com arquivo arquivo pac e wpad
 
Linux - Instalação de Programas
Linux - Instalação de ProgramasLinux - Instalação de Programas
Linux - Instalação de Programas
 
Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.
 
Apache2.4 tuning-hands on
Apache2.4 tuning-hands onApache2.4 tuning-hands on
Apache2.4 tuning-hands on
 

Ähnlich wie Solução de firewall leve e simples para proteção de serviços

Alta Performance de Aplicações PHP com Nginx
Alta Performance de Aplicações PHP com NginxAlta Performance de Aplicações PHP com Nginx
Alta Performance de Aplicações PHP com NginxThiago Paes
 
Debian 6: Instalação e Hardening
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e HardeningBruna Griebeler
 
Project HA
Project HAProject HA
Project HAKarpv
 
Escalabilidade e alta disponibilidade no php com nginx
Escalabilidade e alta disponibilidade no php com nginxEscalabilidade e alta disponibilidade no php com nginx
Escalabilidade e alta disponibilidade no php com nginxSaveincloud
 
Opennebula instalação
Opennebula instalaçãoOpennebula instalação
Opennebula instalaçãoLuís Eduardo
 
Alta Performance de Aplicações Web em PHP - Nginx
Alta Performance de Aplicações Web em PHP - NginxAlta Performance de Aplicações Web em PHP - Nginx
Alta Performance de Aplicações Web em PHP - NginxThiago Paes
 
Gerenciamento de Backups PostgreSQL com pgbarman
Gerenciamento de Backups PostgreSQL com pgbarmanGerenciamento de Backups PostgreSQL com pgbarman
Gerenciamento de Backups PostgreSQL com pgbarmanJuliano Atanazio
 
Como instalar o WordPress no seu computador
Como instalar o WordPress no seu computadorComo instalar o WordPress no seu computador
Como instalar o WordPress no seu computadorRudá Almeida
 
Docker na vida real
Docker na vida realDocker na vida real
Docker na vida realFernando Ike
 
Alta Disponibilidade em Linux com Heartbeat e Drbd
Alta Disponibilidade em Linux com Heartbeat e DrbdAlta Disponibilidade em Linux com Heartbeat e Drbd
Alta Disponibilidade em Linux com Heartbeat e DrbdFrederico Madeira
 
Linux - Servidor de FTP VSFTPD
Linux - Servidor de FTP VSFTPDLinux - Servidor de FTP VSFTPD
Linux - Servidor de FTP VSFTPDFrederico Madeira
 
Tutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTecla Internet
 
Aula PIT 3 - Ambientes
Aula PIT 3 - AmbientesAula PIT 3 - Ambientes
Aula PIT 3 - AmbientesDirceu Belém
 
Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman - ...
Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman - ...Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman - ...
Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman - ...Tchelinux
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDFrederico Madeira
 

Ähnlich wie Solução de firewall leve e simples para proteção de serviços (20)

Alta Performance de Aplicações PHP com Nginx
Alta Performance de Aplicações PHP com NginxAlta Performance de Aplicações PHP com Nginx
Alta Performance de Aplicações PHP com Nginx
 
Aula 2
Aula 2Aula 2
Aula 2
 
Debian 6: Instalação e Hardening
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e Hardening
 
Project HA
Project HAProject HA
Project HA
 
Escalabilidade e alta disponibilidade no php com nginx
Escalabilidade e alta disponibilidade no php com nginxEscalabilidade e alta disponibilidade no php com nginx
Escalabilidade e alta disponibilidade no php com nginx
 
Opennebula instalação
Opennebula instalaçãoOpennebula instalação
Opennebula instalação
 
Alta Performance de Aplicações Web em PHP - Nginx
Alta Performance de Aplicações Web em PHP - NginxAlta Performance de Aplicações Web em PHP - Nginx
Alta Performance de Aplicações Web em PHP - Nginx
 
Gerenciamento de Backups PostgreSQL com pgbarman
Gerenciamento de Backups PostgreSQL com pgbarmanGerenciamento de Backups PostgreSQL com pgbarman
Gerenciamento de Backups PostgreSQL com pgbarman
 
Como instalar o WordPress no seu computador
Como instalar o WordPress no seu computadorComo instalar o WordPress no seu computador
Como instalar o WordPress no seu computador
 
Docker na vida real
Docker na vida realDocker na vida real
Docker na vida real
 
Alta Disponibilidade em Linux com Heartbeat e Drbd
Alta Disponibilidade em Linux com Heartbeat e DrbdAlta Disponibilidade em Linux com Heartbeat e Drbd
Alta Disponibilidade em Linux com Heartbeat e Drbd
 
I educar-manual-de-instalaao
I educar-manual-de-instalaaoI educar-manual-de-instalaao
I educar-manual-de-instalaao
 
Linux - Servidor de FTP VSFTPD
Linux - Servidor de FTP VSFTPDLinux - Servidor de FTP VSFTPD
Linux - Servidor de FTP VSFTPD
 
Linux - Servidor Web Apache
Linux - Servidor Web ApacheLinux - Servidor Web Apache
Linux - Servidor Web Apache
 
Tutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos Linux
 
MRTG - SNMP na Prática
MRTG - SNMP na PráticaMRTG - SNMP na Prática
MRTG - SNMP na Prática
 
Aula PIT 3 - Ambientes
Aula PIT 3 - AmbientesAula PIT 3 - Ambientes
Aula PIT 3 - Ambientes
 
A busca pelo deploy continuo
A busca pelo deploy continuoA busca pelo deploy continuo
A busca pelo deploy continuo
 
Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman - ...
Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman - ...Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman - ...
Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman - ...
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBD
 

Mehr von Ricardo Coelho

Melhores Práticas em WebAPIs para mobile
Melhores Práticas em WebAPIs para mobileMelhores Práticas em WebAPIs para mobile
Melhores Práticas em WebAPIs para mobileRicardo Coelho
 
SaaS: funciona e eu vou provar
SaaS: funciona e eu vou provarSaaS: funciona e eu vou provar
SaaS: funciona e eu vou provarRicardo Coelho
 
Criando plugins jQuery
Criando plugins jQueryCriando plugins jQuery
Criando plugins jQueryRicardo Coelho
 
Subvertendo o codigo PHP com SVN - ENSOL
Subvertendo o codigo PHP com SVN - ENSOLSubvertendo o codigo PHP com SVN - ENSOL
Subvertendo o codigo PHP com SVN - ENSOLRicardo Coelho
 
Subvertendo o código PHP com SVN
Subvertendo o código PHP com SVNSubvertendo o código PHP com SVN
Subvertendo o código PHP com SVNRicardo Coelho
 

Mehr von Ricardo Coelho (7)

Melhores Práticas em WebAPIs para mobile
Melhores Práticas em WebAPIs para mobileMelhores Práticas em WebAPIs para mobile
Melhores Práticas em WebAPIs para mobile
 
SaaS: funciona e eu vou provar
SaaS: funciona e eu vou provarSaaS: funciona e eu vou provar
SaaS: funciona e eu vou provar
 
Criando plugins jQuery
Criando plugins jQueryCriando plugins jQuery
Criando plugins jQuery
 
pfa
pfapfa
pfa
 
Wordpress101
Wordpress101Wordpress101
Wordpress101
 
Subvertendo o codigo PHP com SVN - ENSOL
Subvertendo o codigo PHP com SVN - ENSOLSubvertendo o codigo PHP com SVN - ENSOL
Subvertendo o codigo PHP com SVN - ENSOL
 
Subvertendo o código PHP com SVN
Subvertendo o código PHP com SVNSubvertendo o código PHP com SVN
Subvertendo o código PHP com SVN
 

Solução de firewall leve e simples para proteção de serviços

  • 1. Ricardo Coelho ricardo@nexy.com.br
  • 2. Motivação ● Acesso a PostgreSQL alterando pg_hba.conf ● Novas demandas exigiram uso de túneis SSH e escrita NetFilter ● Removido uso de túneis SSH no início do mês
  • 3. Onde se encaixa ● Camada adicional de segurança. Não deve ser a única ● Serviços em portas alternativas ● Senhas fortes para os serviços críticos ● HTTPS!!!
  • 4. Queríamos evitar ● Escrita de regras de firewall na camada de aplicação ● Complexidade no lado cliente: ● Port Knocking ● VPN ● Túneis SSH – Acesso desnecessário
  • 5. #!/bin/bash Scripts com acesso ao iptables /var/watchdog/bin/enable_rule.sh /var/watchdog/bin/enable_gracetime_rule.sh /var/watchdog/bin/disable_rule.sh /var/watchdog/bin/deactivate_rule.sh /var/watchdog/bin/schedule_disable_rule.sh /etc/sudoers Defaults:www-data env_keep+="PHPWD_*" www-data ALL=(root) NOPASSWD:/var/watchdog/bin/enable_rule.sh NOPASSWD:/var/watchdog/bin/enable_gracetime_rule.sh NOPASSWD:/var/watchdog/bin/disable_rule.sh NOPASSWD:/var/watchdog/bin/deactivate_rule.sh NOPASSWD:/var/watchdog/bin/schedule_disable_rule.sh
  • 6. <?php config.php define('PHPWD_BINARY_DIR', '/var/watchdog/bin/'); cRuleFile.php `/usr/bin/sudo /var/watchdog/bin/enable_rule example.rule` ?>
  • 7. Simplicidade ● Quatro passos rápidos: ● Download ● Configurar segurança de pastas ● Autorizar minimamente o Apache ● Configurar o envio de E-mail/SMS
  • 8. Simplicidade ● Quatro http://www.nexy.com.br/phpwd.tar.bz2 passos rápidos: ● Download ● Configurar segurança de pastas ● Autorizar minimamente o Apache ● Configurar o envio de E-mail/SMS
  • 9. Simplicidade ● Quatro passos rápidos: ● Download chown -R root:root /var/watchdog/* ● Configurar segurança chmod -R o-w /var/watchdog/* de pastas ● Autorizar minimamente o Apache ● Configurar o envio de E-mail/SMS
  • 10. Simplicidade ● Quatro passos rápidos: ● Download Defaults:www-data env_keep+="PHPWD_*" ● Configurar segurança www-data ALL=(root) N.../bin/enable_rule.sh www-data ALL=(root) N.../enable_gracetime_rule.sh de pastas www-data ALL=(root) N.../bin/disable_rule.sh www-data ALL=(root) N.../bin/deactivate_rule.sh ● Autorizar minimamente www-data ALL=(root) N.../schedule_disable_rule.sh o Apache ● Configurar o envio de E-mail/SMS
  • 11. Simplicidade ● Quatro passos rápidos: sudo apt-get install php-pear ● Download sudo pear channel-update pear.php.net sudo pear install Mail ● Configurar segurança sudo pear install Net_SMTP de pastas sudo pear install Net_Socket sudo apt-get install gnokii ● Autorizar minimamente sudo vi /etc/gnokiirc o Apache port = /dev/ttyUSB0 ● Configurar o envio de use_locking = no E-mail/SMS
  • 12. O futuro ● Cliente GTK para escrita de arquivos de regras ● Suporte a aviso fonado de ativação ● Contador de ativações (tickets) ● Interface de verdade
  • 13. Dúvidas? Lie Time PHPConfBR