From 7af7fa0ec774817472fb71bd466e9fa3686721e8 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?Jo=C3=A3o=20Pedro=20Toledo?= Date: Sat, 7 Feb 2026 13:53:27 -0300 Subject: [PATCH] Update README with Pathfinder V2 operational workflow and security features --- README.md | 36 +++++++++++++++++++++--------------- 1 file changed, 21 insertions(+), 15 deletions(-) diff --git a/README.md b/README.md index bbd2058..3f74d04 100644 --- a/README.md +++ b/README.md @@ -71,14 +71,10 @@ O Pathfinder Proxy utiliza o **ModSecurity v3** compilado sob medida para o Ngin - **Versão Nginx**: 1.29.5 Mainline (Oficial). - **Versão ModSec**: 3.0.14. -- **Regras**: OWASP Core Rule Set (CRS) v4. -- **Plugins**: Utiliza plugins oficiais do CRS para **Nextcloud** e **WordPress**, garantindo zero falsos positivos nessas plataformas. -- **CVE Hardening**: Regras específicas para vulnerabilidades críticas de 2024-2025: - - **WordPress**: Auth Bypass (Really Simple Security) e Plugin Installs maliciosos. - - **React/Metro**: Proteção contra RCE (React2Shell/Metro4Shell). - - **Servidores**: Mitigação de exploits em Nginx (IngressNightmare), Apache (Source Disclosure) e IIS. - - **Infra**: Bloqueio de exfiltração em PostgreSQL e bypass em FortiWeb/ScreenConnect. -- **Tuning**: Arquivo `modsec/app_specific_modsec_tuning.conf` centraliza exceções para UniFi, vCenter, Exchange, Zabbix e Veeam. +- **Regras**: OWASP Core Rule Set (CRS) v4 (Instalação Minimalista). +- **Anti-Brute Force**: Proteção integrada contra força bruta em páginas de login via ModSecurity Collections (Phase 1). +- **API Support**: Métodos **PUT, PATCH e DELETE** liberados por padrão para suporte a sistemas modernos. +- **Tuning**: Arquivo `modsec/app_specific_modsec_tuning.conf` centraliza exceções granulares (Zabbix, Gitea, UniFi, Veeam). --- @@ -117,13 +113,23 @@ Siga este procedimento para colocar um novo sistema no ar com segurança máxima --- -## ⚡ Automação de Deploy (Safe-Rollback) -O Pathfinder inclui um script robusto para evitar downtime: -- `scripts/deploy_pathfinder.py`: - - Faz backup datado de `/etc/nginx` e `/etc/fail2ban`. - - Sincroniza os novos arquivos da pasta temporária. - - Valida com `nginx -t`. - - **Auto-Rollback**: Se houver erro (ex: módulo Brotli faltando), ele restaura os backups originais e reinicia os serviços em milissegundos. +## 🛠️ Automação de Deploy (Pathfinder Automator V2) + +O Pathfinder conta com o orquestrador `scripts/deploy_pathfinder.py`, que garante operações seguras e auditadas via **Syslog**. + +### Comandos de Sincronização +- `python3 deploy_pathfinder.py sync --all`: Sincronização completa de configurações. +- `python3 deploy_pathfinder.py sync --file `: Sincroniza um único arquivo (ex: `snippets/security_maps.conf`) com **Backup Atômico** e Rollback se o Nginx falhar. + +### Gerenciamento de Sites +- `python3 deploy_pathfinder.py site --deploy `: Workflow completo para novo site (Cria VHost, valida DNS, emite SSL e ativa renovação). +- `python3 deploy_pathfinder.py site --update `: Atualiza apenas o arquivo de configuração de um site existente. +- `python3 deploy_pathfinder.py site --remove `: Limpeza total (Remove VHost, apaga certificados SSL e **deleta todos os logs** atuais e comprimidos). + +### 🛡️ Segurança de Operação +- **Backup & Rollback Atômico**: Cada alteração gera um `.bak`. Se `nginx -t` falhar, o script desfaz a alteração imediatamente. +- **Auditoria Syslog**: Todas as ações são registradas no syslog com o IP de origem e a função executada. +- **DNS Safeguard**: O deploy de SSL só ocorre se o DNS já estiver apontando para o IP do servidor, evitando bloqueios no Let's Encrypt. ---