Re: [FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo
Augusto Ferronato escreveu: > Abre um bug lá no projeto, vai ver eles podem resolver > > http://cvstrac.pfsense.org/tktnew > > Abs[] > > 2009/4/6 Welkson Renny de Medeiros : > >> Paulo Henrique escreveu: >> >>> Welkson Renny de Medeiros escreveu: >>> >>> Senhores, Não sei se já perceberam isso... para acessar a página de configuração do pfsense o mesmo pede senha... mas se tentar acessar diretamente a página do phpsysinfo ou lightsquid a senha não é solicitada. Ao meu ver, uma grave falha de segurança.. já que expõe bastante informação sobre o servidor e o acesso a site dos clientes. Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei na stable 1.2. Acho que um .htaccess talvez resolva o problema... se bem que no lighthttpd não sei se pode usar htaccess =) >>> Estive vendo isso no começo do ano porém o que fiz é permitir que apenas >>> a rede interna acesse tal conteudo, embora fica exposto para a rede >>> interna, quem de fato poderia se beneficiar desses dados que é o acesso >>> externo está bloqueado. >>> eu no caso boquiei a porta 8080 do pfsense para a wan. >>> Alguma sugestão seria interessante.. >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >>> >>> >>> >> Dei uma olhada no conf do lighthttpd, ao meu ver o mod_auth vem >> desativado por padrão... fiz um teste com htaccess/htpasswd e não >> funcionou (http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs:ModAuth) >> >> O http já vem desativado na wan por default, mas geralmente eu habilito, >> facilita para ver algumas broncas (claro que troca a senha default, e >> altero para HTTPS). >> >> Habilitar o mod_auth no conf do lighthttpd provavelmente não vai >> resolver, já que o pfsense ler o XML e grava tudo em tempo de execução. >> >> Bem complicado mesmo =) >> >> -- >> Welkson Renny de Medeiros >> Focus Automação Comercial >> Desenvolvimento / Gerência de Redes >> welk...@focusautomacao.com.br >> >> >> >> Powered by >> >> (__) >>\\\'',) >> \/ \ ^ >> .\._/_) >> >> www.FreeBSD.org >> >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> > > > > Acabei de fazer... criei o ticket, o sistema não avisou nada.. fiz novamente... não avisou nada... quando fui olhar no histórico o sistema criou dois tickets... =) -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo
Abre um bug lá no projeto, vai ver eles podem resolver http://cvstrac.pfsense.org/tktnew Abs[] 2009/4/6 Welkson Renny de Medeiros : > Paulo Henrique escreveu: >> Welkson Renny de Medeiros escreveu: >> >>> Senhores, >>> >>> Não sei se já perceberam isso... para acessar a página de configuração >>> do pfsense o mesmo pede senha... mas se tentar acessar diretamente a >>> página do phpsysinfo ou lightsquid a senha não é solicitada. >>> >>> Ao meu ver, uma grave falha de segurança.. já que expõe bastante >>> informação sobre o servidor e o acesso a site dos clientes. >>> >>> Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei >>> na stable 1.2. >>> >>> Acho que um .htaccess talvez resolva o problema... se bem que no >>> lighthttpd não sei se pode usar htaccess =) >>> >>> >>> >> Estive vendo isso no começo do ano porém o que fiz é permitir que apenas >> a rede interna acesse tal conteudo, embora fica exposto para a rede >> interna, quem de fato poderia se beneficiar desses dados que é o acesso >> externo está bloqueado. >> eu no caso boquiei a porta 8080 do pfsense para a wan. >> Alguma sugestão seria interessante.. >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> >> > Dei uma olhada no conf do lighthttpd, ao meu ver o mod_auth vem > desativado por padrão... fiz um teste com htaccess/htpasswd e não > funcionou (http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs:ModAuth) > > O http já vem desativado na wan por default, mas geralmente eu habilito, > facilita para ver algumas broncas (claro que troca a senha default, e > altero para HTTPS). > > Habilitar o mod_auth no conf do lighthttpd provavelmente não vai > resolver, já que o pfsense ler o XML e grava tudo em tempo de execução. > > Bem complicado mesmo =) > > -- > Welkson Renny de Medeiros > Focus Automação Comercial > Desenvolvimento / Gerência de Redes > welk...@focusautomacao.com.br > > > > Powered by > > (__) > \\\'',) > \/ \ ^ > .\._/_) > > www.FreeBSD.org > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- -- http://www.augustoferronato.net/blog FreeBSD: The Freedom to Perform! http://www.spreadbsd.org/aff/40/1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo
Paulo Henrique escreveu: > Welkson Renny de Medeiros escreveu: > >> Senhores, >> >> Não sei se já perceberam isso... para acessar a página de configuração >> do pfsense o mesmo pede senha... mas se tentar acessar diretamente a >> página do phpsysinfo ou lightsquid a senha não é solicitada. >> >> Ao meu ver, uma grave falha de segurança.. já que expõe bastante >> informação sobre o servidor e o acesso a site dos clientes. >> >> Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei >> na stable 1.2. >> >> Acho que um .htaccess talvez resolva o problema... se bem que no >> lighthttpd não sei se pode usar htaccess =) >> >> >> > Estive vendo isso no começo do ano porém o que fiz é permitir que apenas > a rede interna acesse tal conteudo, embora fica exposto para a rede > interna, quem de fato poderia se beneficiar desses dados que é o acesso > externo está bloqueado. > eu no caso boquiei a porta 8080 do pfsense para a wan. > Alguma sugestão seria interessante.. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > Dei uma olhada no conf do lighthttpd, ao meu ver o mod_auth vem desativado por padrão... fiz um teste com htaccess/htpasswd e não funcionou (http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs:ModAuth) O http já vem desativado na wan por default, mas geralmente eu habilito, facilita para ver algumas broncas (claro que troca a senha default, e altero para HTTPS). Habilitar o mod_auth no conf do lighthttpd provavelmente não vai resolver, já que o pfsense ler o XML e grava tudo em tempo de execução. Bem complicado mesmo =) -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo
Welkson Renny de Medeiros escreveu: > Senhores, > > Não sei se já perceberam isso... para acessar a página de configuração > do pfsense o mesmo pede senha... mas se tentar acessar diretamente a > página do phpsysinfo ou lightsquid a senha não é solicitada. > > Ao meu ver, uma grave falha de segurança.. já que expõe bastante > informação sobre o servidor e o acesso a site dos clientes. > > Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei > na stable 1.2. > > Acho que um .htaccess talvez resolva o problema... se bem que no > lighthttpd não sei se pode usar htaccess =) > > Estive vendo isso no começo do ano porém o que fiz é permitir que apenas a rede interna acesse tal conteudo, embora fica exposto para a rede interna, quem de fato poderia se beneficiar desses dados que é o acesso externo está bloqueado. eu no caso boquiei a porta 8080 do pfsense para a wan. Alguma sugestão seria interessante.. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd