joao.goncalves
/
NgixProxy_Pathfinder
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
NgixProxy_Pathfinder/.gemini/workflows/hardening_guidelines.md

52 lines
4.0 KiB
Markdown
Raw Blame History

---
description: Guia detalhado para garantir a segurança máxima (Hardening) em sites e no sistema Pathfinder Proxy.
---
# Workflow: Hardening de Segurança Pathfinder
Este workflow orienta o agente na aplicação das proteções mais rígidas para o ecossistema Nginx + ModSecurity + Fail2Ban.
### 1. Uso de Snippets de Segurança Existentes
Sempre utilize os snippets em `producao/nginx/snippets/` como base:
- **`ssl_params.conf`**: Configuração base de TLS e HTTP/3.
- **`security_headers.conf`**: Headers de borda modernos (Referrer, COOP, COEP).
- **`modsecurity.conf`**: Ativação do WAF e integração com a `blacklist.conf`.
- **`security_maps.conf`**: Inteligência de Scoring (PSDE).
- **`security_actions.conf`**: Decisão final de bloqueio (444).
- **`well_known.conf`**: Agregador de arquivos de raiz (robots, security, humans).
- **`rate_limit.conf`**: Limites de tráfego e zonas de punição.
### 2. Criação de Novos Snippets
Se as proteções atuais não forem suficientes para um sistema específico:
- **Crie um novo snippet** em `producao/nginx/snippets/` com nome descritivo.
- **Siga o padrão**: Use comentários claros e mantenha a modularidade.
- **Documentação Obrigatória**: Se criar um snippet novo, você **DEVE** adicionar sua descrição na seção `🛠️ Snippets` do arquivo `GEMINI.md` imediatamente.
### 3. Reforço da Camada SSL/TLS (Snippet `ssl_params`)
- **Protocolos**: Garanta o uso exclusivo de TLS 1.2 e TLS 1.3. Desative versões legadas.
- **HSTS**: Verifique se o header `Strict-Transport-Security` está ativo com pelo menos 1 ano (`31536000s`) e inclui subdomínios.
- **OCSP Stapling**: Certifique-se de que a validação de certificado é feita no servidor para reduzir latência e aumentar a privacidade.
- **HTTP/3**: Sempre anuncie os headers de QUIC (`Alt-Svc`) para navegadores compatíveis.
### 4. Implementação de Headers de Proteção de Borda
- **Anti-Clickjacking**: Use `X-Frame-Options: SAMEORIGIN` em todos os VHosts, a menos que o site precise ser emoldurado por domínios específicos.
- **Anti-Sniffing**: O header `X-Content-Type-Options: nosniff` deve ser obrigatório para evitar que o navegador execute arquivos com tipos MIME incorretos.
- **Segurança de Conteúdo (CSP)**: Analise os recursos (Scripts, Imagens, Estilos) e crie uma política que restrinja fontes externas não confiáveis.
- **Permissions-Policy**: Desative acessos desnecessários a hardware (Câmera, Microfone, Geolocalização) diretamente no nível de header.
### 5. Orquestração ModSecurity + PSDE
- **Motor Ativo**: O ModSecurity deve estar em modo de bloqueio (`SecRuleEngine On`) para todas as rotas sensíveis.
- **Sincronização com PSDE**: A lógica descrita no `security_maps.conf` deve atuar como a primeira linha de defesa (Fast-fail) para bots e URIs suspeitas.
- **Tratamento de Falsos Positivos**: Em caso de bloqueio indevido, a correção deve ser feita via remoção seletiva de regras por ID nos respectivos VHosts.
### 6. Blindagem contra Robôs e Scrapers (Snippet `well_known`)
- **Arquivos de Raiz (Well-Known)**: Utilize o snippet `well_known.conf` que já consolida as melhores práticas de identificação e bloqueio.
- **`robots_disallow.conf`**: Já configurado para retornar `Disallow: /`, instruindo robôs legítimos a não indexarem o site.
- **`security.txt.conf`**: Define o contato padrão de segurança (`mailto:suporte@itguys.com.br`).
- **`ads_disallow.conf`**: Bloqueia vendedores de anúncios não autorizados.
- **Bloqueio de IA e Má-Fé**: O sistema já possui no `security_maps.conf` uma lista extensa de assinaturas de IAs (GPTBot, ClaudeBot, Gemini-Ai, etc.) e Scrapers que ignoram o `robots.txt`. O agente deve apenas garantir que este mapeamento esteja ativo via `security_actions.conf`.
### 7. Gestão de Blacklist e Fail2Ban
- **Ação do Firewall**: O Nginx deve incluir o snippet `blacklist.conf` dentro do bloco do ModSecurity.
- **Isolamento de Erros**: Configurações de VHost que geram excesso de erros 403/404 devem ser monitoradas agressivamente pelo Fail2Ban.
Reference in New Issue View Git Blame Copy Permalink