Nesta primeira versão você terá:

• Suporte ao Arch Linux, CentOS, Debian, Fedora, Gentoo e Ubuntu.
• Testes para Apache, PHP, Portas, PostgreSQL, SSH e outros.
• Relatório em HTML ou terminal.
• Estrutura interna modular e fácil de contribuir.

Temos muitas ideias para as próximas versões do HnTool, entre elas:

• Módulos para MySQL, FTP, DNS, Squid, Iptables, Samba, DHCP, cups
• Um report mais detalhado, mostrando como corrigir a falha encontrada
• Opção para atualizar os módulos pela própria ferramenta
• Analisador web, através de upload de arquivos de configuração
• Suporte a traduções

Baixando e instalando

Para instalar o HnTool pelo fonte, baixe-o desde endereço e faça:

$ tar xvf hntool-0.1.tar.gz

$ cd hntool-0.1

# python setup.py install –prefix /usr/ –root /

Se você usa Arch Linux você pode instalar o HnTool através do pacote criado:

$ wget http://hntool.googlecode.com/files/hntool-0.1-1-i686.pkg.tar.xz

# pacman -U http://hntool.googlecode.com/files/hntool-0.1-1-i686.pkg.tar.xz

NOTA: Por enquanto só há pacote para o Arch Linux. Se você usa alguma distribuição baseada em rpm ou deb e sabe criar pacote, por favor, não se acanhe. Crie um e adicione em um bug report.  Se precisar de um guia, pode usar o PKGBUILD que fiz para criar o pacote do Arch Linux.

Usando

Para rodar o HnTool basta executar o seguinte comando:

# hntool

Isso irá gerar um relatório no terminal:

Se preferir, você pode gerar um relatório em HTML com o comando:

# hntool -t html > index.html

Para maiores informações rode:

# hntool -h

Reportando Bugs

O HnTool está em um estado tão inicial e com tanto código sendo adicionado frequentemente que, com certeza, você vai encontrar vários bugs. Por favor, não deixe de relatá-los em http://code.google.com/p/hntool/issues/list.

Contribuindo

Contribuir com o projeto é fácil. Você pode dar sugestões, reportar bugs e pedir novas funcionalidades. Além disso, você pode contribuir criando módulos. Veja como é fácil:

Todos os módulos seguem a seguinte estrutura:

Como falei, resolvi criar o hntool de forma modular. A estrutura de um modulo é, mais ou menos, assim:

import os
 
	class rule:
		def short_name(self):
			return "ssh"
		def long_name(self):
			return "Checks security problems on sshd config file"
		def __init__(self, options):
			pass
		def analyze(self, options):
			check_results = {'ok': [], 'low': [], 'medium': [], 'high': [], 'info': []}
			ssh_conf_file = ['/etc/ssh/sshd_config', '/etc/sshd_config']
 
			for sshd_conf in ssh_conf_file:
				if os.path.isfile(sshd_conf):
					try:
						fp = open(sshd_conf,'r')
					except IOError, (errno, strerror):
						check_results['info'].append('Could not
open %s: %s' % (sshd_conf, strerror))
						continue
 
					lines = [x.strip('\n') for x in fp.readlines()]
 
					# Checking if SSH is using the default port
					if 'Port 22' in lines or '#Port 22' in lines:
						check_results['low'].append('SSH is using the default port')
					else:
						check_results['ok'].append('SSH is not using the default port')
 
					# Closing the sshd_config file
					fp.close()
 
				return check_results
		def type(self):
			return "files"

Explicando melhor:

• short_name(self): Uma string contendo o nome curto do modulo. Ele será usado, por exemplo, na hora de listar todos os módulos existentes (hntool -l).
• long_name(self) : Aqui é a descrição do módulo. Também será mostrada na listagem dos módulos.
• analyze(self): É aqui que fica o código de verdade. O resultado desse método deve ser sempre uma lista com 5 elementos, que correspondem aos níveis de segurança encontrados – ok, info, low, medium e high, respectivamente.
• type(self): Cada módulo será de um tipo. “files” para módulos que lidam com arquivos de texto simples(/etc/passwd, por exemplo) ou de configuração. “services” para módulos que lidam com serviços.

Autores

Muita gente foi importante para este release, contribuindo com sugestões, bugs reports, código e, claro, apoio. Muito obrigado, Alexandro Silva, Aurélio Heckert, Candido Vieira, Elton Pereira, Italo Valcy, Késsia Pinheiro, Hugo Dória, Rafael Gonçalves Martins, picoloto, Sebastian SWC.

Bem, é isso. Aguardem novidades na versão 0.2.

Fonte: Copiado daqui.

Hugo Doria, o seu criador, fez um post em seu blog muito interessante, que explica bastante sobre a ferramenta em termos práticos.

Eu nunca havia programado em python, depois de muito estudo, esforço e ajuda de amigos desenvolvedores, consegui criar meu primeiro módulo, como noticiei nesse post.

Querendo agilizar o desenvolvimento dessa fantástica ferramenta promovi o Coding Home, que reuniu alguns amigos desenvolvedores e então conseguimos alguns avanços interessantes. Noticiei aqui também. Até o momento, o hntool tem checagens para :

1. Configuração de autenticação
2. Segurança do filesystem (Bem superficial ainda)
3. Configuração do Apache (Esse que eu fiz )
4. Configuração do engine PHP
5. Configuração do PostgreSQL
6. Configuração do SSH
7. Portas abertas
8. Serviços com acesso remoto liberado

Temos agora duas saídas disponíveis:

1. Terminal
2. HTML (Valeu Aurium)

Estamos reconfigurando o core do Hntool para que ele suporte entrada de parâmetros para os módulos, o que facilitará a colaboração futura.

Hugo Dória já me informou que o site do hntool estará disponível em pouco tempo.

Estamos pensando em criar códigos para cada erro, assim poderemos colocar link no output HTML, para que cada erro tenha um detalhamento melhor em nossa página e que uma sugestão sucinta de como resolver o problema seja relacionada.

Enfim, o projeto está andando, e se você estiver interessado em contribuir, seja com código, teste, uma logo para o projeto ou coisa parecida. Não fique acanhado, faça! e nos mande.

Para testar o hntool é fácil. Baixe-o daqui e descompacte-o. Depois é só entrar no diretório descompactado e rodar:

./hntool

Achou um bug? Reporte aqui! Esse em um dos melhores tipos de ajuda que um não desenvolvedor pode nos dar nesse momento. (Precisa se registrar, mas é bem rápido!)

Para maiores detalhes sobre a falha da renegociação, veja esse link.

O Openvpn, que é um dos serviços que utilizam o OpenSSL, um dos derivados do SSL, lança hoje sua nova versão (2.1_rc22), com duas importantes mudanças:

1 – Remoção da SSL/TLS renegotiation, porém essa remoção não afetas outras funcionalidades do tipo mid-session SSL/TLS renegotation e afins.

2 – Hardening para mid-session SSL/TLS renegotation e similares, forçando a criação de uma nova sessão a partir do zero.

Obs: Para quem sofreu com a instalação do cliente do Openvpn no Vista até perceber que o mesmo deveria rodar no modo administrador, pode ficar tranquilo, pois esse problema também foi resolvido.

Veja outras novidades nesse link.

Até o presente momento, nem o Arch, Fedora ou Debian tinham empacotado essa nova versão do OpenVPN, quem estava mais próximo é o Debian Sid com a versão 2.1~rc21-2.

Fonte : Sans Diary

O Debian disponibiliza os pacotes em seu repositórios com algumas configurações que seguem as boas práticas de segurança, porém ainda existem configurações que precisam ser ajustadas. Como é o caso do Apache2 e PHP5 que falaremos nesse post.

Nesse texto iremos apresentar quais os parâmetros devem ser modificados. Seguindo alguns documentos de boas práticas encontrados em buscas pela internet. Não se preocupem, verifiquei cada informação na documentação oficial do Apache e php.

O debian utilizado foi a versão 5, também conhecido como lenny.

Levaremos em consideração, que tudo que não for utilizado deve ser, na medida do possível, removido ou desabilitado.

Vamos começar pelo arquivo /etc/apache2/conf/security

Os parâmetros abaixo descrevem qual o nível de informação será passado pelo Apache para os clientes.

ServerTokens All
ServerSignature On

Modifique para:

ServerTokens Prod
ServerSignature Off

O parâmetro abaixo é apenas utilizado para teste e diagnósticos:

TraceEnable On

Modifique para:

TraceEnable Off

Agora vamos verificar o arquivo /etc/apache2/sites-enable/000-default

O diretório raiz das páginas devem ter a diretriz padrão de bloquear o acesso para todos, ou seja, apenas será exibido aquilo que for estritamente liberado em uma configuração de sites/domínio virtual específico.

Modifique os parâmetros:

Order allow,deny
allow from all

para

Order deny,allow
deny from all

É necessário verificar se não existe o com a permissão allow from all. Nesse caso é necessário remover essa permissão.

Agora vamos a configuração segura do php, no arquivo /etc/php5/apache2/php.ini

Modifique os parâmetros:

Os parâmetros abaixo são referente a informações que não devem aparecer no navegador e somente nos logs da máquina:

display_errors = On
log_errors = Off

Para:

display_errors = Off
log_errors = On

Os parâmetros abaixo são referentes a segurança no serviço php, pois execução da função fopen é bastante usada no scripts que fornecem shell ou roube de informação e a função exec deve ser configurada para apenas um diretório com permissão de modificação apenas para o root, ou seja, o usuário do apache não conseguirá gravar nada nesse diretório sem o intermédio do administrador:

safe_mode = Off
allow_url_fopen = On
safe_mode_exec_dir =

Para

safe_mode = On
allow_url_fopen = Off
safe_mode_exec_dir = “/var/exec”

Não esqueça de executar os comandos abaixo para criar e configurar a permissão correta da pasta:

# mkdir /var/exec
# chmod 755 /var/exec

Caso as aplicações que estarão em seu servidor apache não precisem efetuar uploads de arquivos, é interessante que essa função seja desabilitada:

Mude o parâmetro:

file_uploads = On

Para

file_uploads = Off

Agora vamos configurar as permissões do apache, seguindo a diretiva do mínimo de privilégio necessário:

# chmod 511 /usr/sbin/apache2
# chmod -R 750 /var/log/apache2/
# chmod -R 750 /etc/apache2
# chmod -R 650 /etc/apache2/conf.d
# chown -R :www-data /etc/apache2

Por fim, porém não menos importante, vamos remover os módulos não utilizados pelo seu apache:

Com o comando abaixo poderemos visualizar todos os módulos do apache:

# ls -la /etc/apache2/mods-enabled

Essa escolha é bem particular e depende muito das aplicações que estão alocadas nesse servidor, no meu caso os módulos abaixo foram escolhidos:

authn_file
authz_default
authz_groupfile
authz_user
deflate

Para desabilitar o módulo apenas remova o arquivo correspondente ao módulo escolhido na pasta citada acima.

Para reativar o módulo, caso descubra que o mesmo é necessário digite o comando abaixo:

# a2enmod

Pronto! Essas são toda as minhas recomendações de segurança para o Apache 2 e PHP 5.