Update README with Pathfinder V2 operational workflow and security features
This commit is contained in:
parent
42a9ea5582
commit
7af7fa0ec7
36
README.md
36
README.md
|
|
@ -71,14 +71,10 @@ O Pathfinder Proxy utiliza o **ModSecurity v3** compilado sob medida para o Ngin
|
|||
|
||||
- **Versão Nginx**: 1.29.5 Mainline (Oficial).
|
||||
- **Versão ModSec**: 3.0.14.
|
||||
- **Regras**: OWASP Core Rule Set (CRS) v4.
|
||||
- **Plugins**: Utiliza plugins oficiais do CRS para **Nextcloud** e **WordPress**, garantindo zero falsos positivos nessas plataformas.
|
||||
- **CVE Hardening**: Regras específicas para vulnerabilidades críticas de 2024-2025:
|
||||
- **WordPress**: Auth Bypass (Really Simple Security) e Plugin Installs maliciosos.
|
||||
- **React/Metro**: Proteção contra RCE (React2Shell/Metro4Shell).
|
||||
- **Servidores**: Mitigação de exploits em Nginx (IngressNightmare), Apache (Source Disclosure) e IIS.
|
||||
- **Infra**: Bloqueio de exfiltração em PostgreSQL e bypass em FortiWeb/ScreenConnect.
|
||||
- **Tuning**: Arquivo `modsec/app_specific_modsec_tuning.conf` centraliza exceções para UniFi, vCenter, Exchange, Zabbix e Veeam.
|
||||
- **Regras**: OWASP Core Rule Set (CRS) v4 (Instalação Minimalista).
|
||||
- **Anti-Brute Force**: Proteção integrada contra força bruta em páginas de login via ModSecurity Collections (Phase 1).
|
||||
- **API Support**: Métodos **PUT, PATCH e DELETE** liberados por padrão para suporte a sistemas modernos.
|
||||
- **Tuning**: Arquivo `modsec/app_specific_modsec_tuning.conf` centraliza exceções granulares (Zabbix, Gitea, UniFi, Veeam).
|
||||
|
||||
---
|
||||
|
||||
|
|
@ -117,13 +113,23 @@ Siga este procedimento para colocar um novo sistema no ar com segurança máxima
|
|||
|
||||
---
|
||||
|
||||
## ⚡ Automação de Deploy (Safe-Rollback)
|
||||
O Pathfinder inclui um script robusto para evitar downtime:
|
||||
- `scripts/deploy_pathfinder.py`:
|
||||
- Faz backup datado de `/etc/nginx` e `/etc/fail2ban`.
|
||||
- Sincroniza os novos arquivos da pasta temporária.
|
||||
- Valida com `nginx -t`.
|
||||
- **Auto-Rollback**: Se houver erro (ex: módulo Brotli faltando), ele restaura os backups originais e reinicia os serviços em milissegundos.
|
||||
## 🛠️ Automação de Deploy (Pathfinder Automator V2)
|
||||
|
||||
O Pathfinder conta com o orquestrador `scripts/deploy_pathfinder.py`, que garante operações seguras e auditadas via **Syslog**.
|
||||
|
||||
### Comandos de Sincronização
|
||||
- `python3 deploy_pathfinder.py sync --all`: Sincronização completa de configurações.
|
||||
- `python3 deploy_pathfinder.py sync --file <caminho>`: Sincroniza um único arquivo (ex: `snippets/security_maps.conf`) com **Backup Atômico** e Rollback se o Nginx falhar.
|
||||
|
||||
### Gerenciamento de Sites
|
||||
- `python3 deploy_pathfinder.py site --deploy <domínio>`: Workflow completo para novo site (Cria VHost, valida DNS, emite SSL e ativa renovação).
|
||||
- `python3 deploy_pathfinder.py site --update <domínio>`: Atualiza apenas o arquivo de configuração de um site existente.
|
||||
- `python3 deploy_pathfinder.py site --remove <domínio>`: Limpeza total (Remove VHost, apaga certificados SSL e **deleta todos os logs** atuais e comprimidos).
|
||||
|
||||
### 🛡️ Segurança de Operação
|
||||
- **Backup & Rollback Atômico**: Cada alteração gera um `.bak`. Se `nginx -t` falhar, o script desfaz a alteração imediatamente.
|
||||
- **Auditoria Syslog**: Todas as ações são registradas no syslog com o IP de origem e a função executada.
|
||||
- **DNS Safeguard**: O deploy de SSL só ocorre se o DNS já estiver apontando para o IP do servidor, evitando bloqueios no Let's Encrypt.
|
||||
|
||||
---
|
||||
|
||||
|
|
|
|||
Loading…
Reference in New Issue