Segurança em Home Page
-
Upload
elliando-dias -
Category
Technology
-
view
1.173 -
download
2
description
Transcript of Segurança em Home Page
![Page 1: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/1.jpg)
Segurança em Home Page
Prof. Roberto Amaral
![Page 2: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/2.jpg)
Segurança de servidor da Web
Apache é o servidor mais popular de http e fornece muitos mecanismos de segurança predefinidos, incluindo
– Controle de acesso de rede baseado em host – Controle sobre se e onde usuários locais podem executar scripts – Controle sobre se e como usuários locais podem anular sua
configurações
![Page 3: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/3.jpg)
Contorlando acesso : access.conf
Controle de acesso de rede baseado em host – # Controle de quem pode obter material desse servidor– Order allow, deny– Allow from all
Sendo que :• Allow – A diretiva que controla que hosts podem concectar-se e oferece
quatro opções : all, none ou lista
• Deny – Controla que hosts não pode se conectar e oferece quatro opções : all, none ou lista
• Order – Controla a ordem em que as regras allow/deny são aplicadas e oferece três ecolhar : allow, deny, mutual-failure
![Page 4: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/4.jpg)
Usando estas diretivas
Em conjunto, pode-se aplicar controle de acesso de varias maneiras:
– Inclusiva – Nomeia-se explicitamente todos os hosts autorizados
– Exclusivamente – Nomeia-se explicitamente todos os hosts não autorizados
– Inclusiva e exclusiva – Mistura e combina ambos os casos acima.
![Page 5: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/5.jpg)
Triagem inclusiva
permitindo explicitamente hosts autorizados– # Controle de quem pode obter material desse
servidor
• Order allow, deny
• Allow from 200.198.103.143
• Deny from all
![Page 6: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/6.jpg)
Triagem exclusive
bloqueando explicitamente hosts indesejáveis– # Controle de quem pode obter material desse
servidor
• Order allow, deny
• Allow from All
• Deny from 200.198.103.145
![Page 7: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/7.jpg)
Adicionando controle de acesso de diretório
Alem das medidas vistas anteriormente, pode-
se também adicionar proteção adicional de
senha e controle de acesso no nível de
diretório com htpasswdhtpasswd, e permitir que
seus usuários façam o mesmo em uma base
por diretório.
![Page 8: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/8.jpg)
htpasswd
O sistema htpasswd oferece controle de acesso nos níveis de usuário e grupo via três arquivos de configuração. Cada arquivo cumpre uma função diferente no processo.
– .htpasswd – Banco de dados de senha
– .htgroup – arquivo de grupo htpasswd
– .htaccess – arquivo de acesso htpasswd. Armazena as regras de acesso
(allow, deny), a localização de arquivos de configuração, o método de
autenticação e assim por diante.
![Page 9: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/9.jpg)
Autenticação simples baseada em usuário
Como a autenticação de grupo não esta envolvida, você precisa segui os passos:
1. Criar um novo banco de dados de .htpasswd
2. Criar um novo arquivo .htaccess
![Page 10: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/10.jpg)
Criando um banco de dados .htpasswd
Para criar m novo banco de dados de senha .htpasswd, emita o comando htpasswd mais a opção –c, o nome de arquivo de senha e o nome de usuário, assim:
$ /usr/sbin/htpasswd –c .htpasswd orelhaArquivo Usuário
![Page 11: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/11.jpg)
Cirando um novo arquivo .htaccess
O arquivo .htaccess armazena suas regras de
acesso e varias informações de
configuração. Para criá-lo, pode-se utilizar
qualquer editor de texto.
![Page 12: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/12.jpg)
Cirando um novo arquivo .htaccess
Eis o arquivo .htaccess para o diretório da Web de orelha.– AuthUserFile /home/orelha/public_html/.htpasswd
– AuthGroupFile /dev/null
– AuthName orelha
– AuthType Basic
–
– <Limit GET POST>
– Require user orelha
– </Limit>
![Page 13: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/13.jpg)
Cirando um novo arquivo .htaccess
O arquivo consiste em cinco diretivas:– AuthUser File – Aponta para a localização do banco de dados ;htpasswd
– AuthGroupFile – Aponta para a localização de seu arquivo de acesso de grupo.
Normalmente .htgroup.
– AuthName – Arqmazena uma string de texto definida pelo usuário para exibir quando a
caixa de diálogo de autenticação aparecer.
– AuthType – Identifica o método de autenticação.
– Limit – Controla que usuários tem acesso permitido, que tipo de acesso eles podem
obter (como GET, PUT e POST) e a ordem em que essas regras são enviadas.
![Page 14: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/14.jpg)
Cirando um novo arquivo .htaccess
Quatro diretivas internas de diretiva Limit oferecem
controle de acesso mais refinado.– Require – Especifica quais usuários ou grupos podem acessar o diretório protegido por
senha.
– Allow – Controla que hosts podem acessar o diretório protegido
– Deny – especifica quais hosts são proibidos de acessar o diretório protegido
– Order – controla a ordem em que o servidor avaliará regras de acesso.
![Page 15: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/15.jpg)
Autenticação de http baseada em grupo
Deve-se criar um arquivo .htgroup
Designar um grupo
O arquvo é dividido em dois campos. O primeiro identifica o grupo e o segundo armazena sua lista de usuários.
Depois de criar .htgroup, editar .htaccess e especificar a localização de .htgroup:
![Page 16: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/16.jpg)
Autenticação de http baseada em grupo
AuthUserFile /home/orelha/public_html/.htpasswd
AuthGroupFile /home/orelha/public_html/.htgroup
AuthName orelha
AuthType Basic
<Limit GET POST>
Require user orelha
</Limit>
![Page 17: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/17.jpg)
Autenticação de http baseada em grupo
Especificar regras de acesso para o grupo patetas
– AuthUserFile /home/orelha/public_html/.htpasswd
– AuthGroupFile /home/orelha/public_html/.htgroup
– AuthName orelha
– AuthType Basic
–
– <Limit GET POST>
– require group patetas
– </Limit>
![Page 18: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/18.jpg)
Fraquezas na autenticação de http básica
Autenticação de http básica é um excelente correção para proteger com senha diretórios de mas:– .htpasswd – protege estritamente contra abordagens externas. Ele não protege
diretórios locais da Web contra usuários locais que podem acessar esses diretórios diretamente, via o sistema de arquivos ou por outros serviços, sem utilizar um cliente de Web.
– Por padrão, o sistema de htpasswd não fornece nenhum mecanismo de broqueio de senha e portanto convida ataques apoiados, reiterativos ou de forca bruta. Os invasores podem tentar quantos nomes e senha quiserem.
![Page 19: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/19.jpg)
Fraquezas na autenticação de http básica
é recomendável não armazenar arquivos .htpasswd nos diretorios que eles protegem
invasores podem fazer um sniffing de trafego de autenticacao
![Page 20: Segurança em Home Page](https://reader036.fdocumentos.com/reader036/viewer/2022082915/54829172b07959380c8b4814/html5/thumbnails/20.jpg)
Configuração httpd.conf<Directory /var/www/html/wesley>
AllowOverride FileInfo AuthConfig Limit
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
<Limit GET POST OPTIONS PROPFIND>
Order allow,deny
Allow from all
</Limit>
<LimitExcept GET POST OPTIONS PROPFIND>
Order deny,allow
Deny from all
</LimitExcept>
</Directory>