Todos os artigos de laurobmb

Hardening Tips

Apesar de antigo contém dicas que hoje podem servir bem, vale a pena conferir!!
 Não sei se realmente foi a NSA quem produziu o documento, porém contém informações integras para o sistema Red Hat 5 e pode muito bem servir para outros sistemas mais novos em alguns casos.

Snap 2014-10-22 at 08.25.26 Snap 2014-10-22 at 08.25.38

Segurança no APACHE TOMCAT

Não sou expert em TOMCAT, mas vai uma dica de segurança para o ambiente WEB que você pode fornecer, em alguns lugares é comum manter as senhas em texto claro dos usuários e administradores do TOMCAT, desta forma voce pode colocar o hash da senha no lugar do texto claro para controle de acesso.
 
[tomcat1@redhat tomcat]$ vim conf/server.xml
 
server.xml
 
 
 
 
[tomcat1@redhat tomcat]$ bin/digest.sh  -a sha tomcat@desenvolvedores
tomcat@desenvolvedores:366ef07d523e234fb87d2f1422c73c287ea659a9
 
Snap 2014-09-05 at 15.53.05
 
 
 
 
 
 
 
 
 
 
 
 
 
referência: http://davidghedini.blogspot.com.br/2010/07/tomcat-manager-password.html

Google’s POODLE affects oodles

SSL v3

Nova vulnerabilidade muito importante foi encontrada, dessa vez pela equipe do Google, o protocolo com problemas é o SSL v3.0.

O artigo original é este:
http://googleonlinesecurity.blogspot.com.au/2014/10/this-poodle-bites-exploiting-ssl-30.html

Segundo estudo do site NETCRAFT 97% dos servidores WEB hoje estão vulneráveis:
http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html

“Se um dos lados só suporta SSL 3.0, em seguida, toda a esperança se foi, e um atualização necessária para evitar a criptografia insegura”, escrevem eles em O POODLE Mordida: explorando o SSL 3.0 Fallback [PDF] .

A comunidade Openssl divulgou este artigo sobre a vulnerabilidade:
https://www.openssl.org/~bodo/ssl-poodle.pdf

Ao negociar a criptografia usada na sessão entre o navegador web e o servidor web, no momento inicial o servidor tenta a solicitação com a criptografia mais alta disponibilizada em sua configuração, no entanto caso o navegador não suporte a criptografia usada no navegador do usuário, pode existir várias outras tentativas, até mesmo por falhas na comunicação de rede, até o momento em que o navegador e o servidor web negociem a versão mais adequada para realizar a transferência dos dados, porém um atacante ativo que possui controle dessa negociação pode fazer o servidor iniciar a comunicação usando o protocolo SSL v3, onde todos os navegadores dão suporte.

Desabilitar SSLv3 no Apache

The SSL configuration file changed slightly in httpd version 2.2.23. For httpd version 2.2.23 and newer, specify TLSv1, TLSv1.1, and TLSv1.2.
SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
For httpd version 2.2.22 and older, only specify TLSv1. This is treated as a wildcard for all TLS versions.
SSLProtocol TLSv1            

Solução oficial da redhat:

https://access.redhat.com/solutions/1232413