joao.goncalves
/
NgixProxy_Pathfinder
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Update README with Pathfinder V2 operational workflow and security features

This commit is contained in:
João Pedro Toledo Goncalves 2026-02-07 13:53:27 -03:00
parent 42a9ea5582
commit 7af7fa0ec7
1 changed files with 21 additions and 15 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

36
README.md
View File

@ -71,14 +71,10 @@ O Pathfinder Proxy utiliza o **ModSecurity v3** compilado sob medida para o Ngin
- **Versão Nginx**: 1.29.5 Mainline (Oficial). - **Versão Nginx**: 1.29.5 Mainline (Oficial).
- **Versão ModSec**: 3.0.14. - **Versão ModSec**: 3.0.14.
- **Regras**: OWASP Core Rule Set (CRS) v4. - **Regras**: OWASP Core Rule Set (CRS) v4 (Instalação Minimalista).
- **Plugins**: Utiliza plugins oficiais do CRS para **Nextcloud** e **WordPress**, garantindo zero falsos positivos nessas plataformas. - **Anti-Brute Force**: Proteção integrada contra força bruta em páginas de login via ModSecurity Collections (Phase 1).
- **CVE Hardening**: Regras específicas para vulnerabilidades críticas de 2024-2025: - **API Support**: Métodos **PUT, PATCH e DELETE** liberados por padrão para suporte a sistemas modernos.
- **WordPress**: Auth Bypass (Really Simple Security) e Plugin Installs maliciosos. - **Tuning**: Arquivo `modsec/app_specific_modsec_tuning.conf` centraliza exceções granulares (Zabbix, Gitea, UniFi, Veeam).
- **React/Metro**: Proteção contra RCE (React2Shell/Metro4Shell).
- **Servidores**: Mitigação de exploits em Nginx (IngressNightmare), Apache (Source Disclosure) e IIS.
- **Infra**: Bloqueio de exfiltração em PostgreSQL e bypass em FortiWeb/ScreenConnect.
- **Tuning**: Arquivo `modsec/app_specific_modsec_tuning.conf` centraliza exceções para UniFi, vCenter, Exchange, Zabbix e Veeam.
--- ---
@ -117,13 +113,23 @@ Siga este procedimento para colocar um novo sistema no ar com segurança máxima
--- ---
## ⚡ Automação de Deploy (Safe-Rollback) ## 🛠️ Automação de Deploy (Pathfinder Automator V2)
O Pathfinder inclui um script robusto para evitar downtime:
- `scripts/deploy_pathfinder.py`: O Pathfinder conta com o orquestrador `scripts/deploy_pathfinder.py`, que garante operações seguras e auditadas via **Syslog**.
- Faz backup datado de `/etc/nginx` e `/etc/fail2ban`.
- Sincroniza os novos arquivos da pasta temporária. ### Comandos de Sincronização
- Valida com `nginx -t`. - `python3 deploy_pathfinder.py sync --all`: Sincronização completa de configurações.
- **Auto-Rollback**: Se houver erro (ex: módulo Brotli faltando), ele restaura os backups originais e reinicia os serviços em milissegundos. - `python3 deploy_pathfinder.py sync --file <caminho>`: Sincroniza um único arquivo (ex: `snippets/security_maps.conf`) com **Backup Atômico** e Rollback se o Nginx falhar.
### Gerenciamento de Sites
- `python3 deploy_pathfinder.py site --deploy <domínio>`: Workflow completo para novo site (Cria VHost, valida DNS, emite SSL e ativa renovação).
- `python3 deploy_pathfinder.py site --update <domínio>`: Atualiza apenas o arquivo de configuração de um site existente.
- `python3 deploy_pathfinder.py site --remove <domínio>`: Limpeza total (Remove VHost, apaga certificados SSL e **deleta todos os logs** atuais e comprimidos).
### 🛡️ Segurança de Operação
- **Backup & Rollback Atômico**: Cada alteração gera um `.bak`. Se `nginx -t` falhar, o script desfaz a alteração imediatamente.
- **Auditoria Syslog**: Todas as ações são registradas no syslog com o IP de origem e a função executada.
- **DNS Safeguard**: O deploy de SSL só ocorre se o DNS já estiver apontando para o IP do servidor, evitando bloqueios no Let's Encrypt.
--- ---