[FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Segunda Abril 6 14:14:45 BRT 2009 

Paulo Henrique escreveu:
> Welkson Renny de Medeiros escreveu:
>   
>> Senhores,
>>
>> Não sei se já perceberam isso... para acessar a página de configuração 
>> do pfsense o mesmo pede senha... mas se tentar acessar diretamente a 
>> página do phpsysinfo ou lightsquid a senha não é solicitada.
>>
>> Ao meu ver, uma grave falha de segurança.. já que expõe bastante 
>> informação sobre o servidor e o acesso a site dos clientes.
>>
>> Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei 
>> na stable 1.2.
>>
>> Acho que um .htaccess talvez resolva o problema... se bem que no 
>> lighthttpd não sei se pode usar htaccess =)
>>
>>   
>>     
> Estive vendo isso no começo do ano porém o que fiz é permitir que apenas 
> a rede interna acesse tal conteudo, embora fica exposto para a rede 
> interna, quem de fato poderia se beneficiar desses dados que é o acesso 
> externo está bloqueado.
> eu no caso boquiei a porta 8080 do pfsense para a wan.
> Alguma sugestão seria interessante..
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>   
Dei uma olhada no conf do lighthttpd, ao meu ver o mod_auth vem 
desativado por padrão... fiz um teste com htaccess/htpasswd e não 
funcionou (http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs:ModAuth)

O http já vem desativado na wan por default, mas geralmente eu habilito, 
facilita para ver algumas broncas (claro que troca a senha default, e 
altero para HTTPS).

Habilitar o mod_auth no conf do lighthttpd provavelmente não vai 
resolver, já que o pfsense ler o XML e grava tudo em tempo de execução.

Bem complicado mesmo =)

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
 
 
 
                      Powered by ....
 
                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)
 
                                      www.FreeBSD.org

Mais detalhes sobre a lista de discussão freebsd