Registrarse
Home
Foros
Miembros
Calendario
Normas
Ayuda

Foros de usuarios de openSUSE
Retroceder   ForoSUSE > Zona Técnica > Seguridad y Servidores


Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook

Respuesta
 
Herramientas Desplegado

Proxy inverso para Odoo + ssl
  #1  
Antiguo 02-abr-2016, 11:29
Avatar de karlggest
karlggest karlggest está desconectado
Moderador
 
Fecha de Ingreso: 07-febrero-2007
Ubicación: Ourense
Versión: Leap 42.3
Mensajes: 8.175
Agradecimientos: 40
Agradecido 1.238 Veces en 910 Mensajes
Poder de Credibilidad: 19
karlggest está en el buen camino
Proxy inverso para Odoo + ssl

Hola.

Resulta que mi Apache está muy oxidado, mi openSSL nunca fue muy allá y que reestudiar cuando se trabaja es más complicado de lo que parece: siempre da la impresión de que cuando aprendes algo ya está desfasado.

Gracias a DR y soyasi he descargado un certificado SSL gratuito en https://www.startssl.com/. Con anterioridad he creado un proxy inverso para odoo en test.atendapc.net con un certificado autofirmado para como su dominio indica, pruebas. He añadido directivas restrictivas que he ido eliminando o suavizando porque daban más problemas que los eventuales beneficios que podían proporcionar.

Tengo esta documentación que aplica a mi problema concreto: antiun.github.io/odoo-reverse-proxy-howto/, con lo que en teoría puedo hacer lo que deseo. Como ya he dicho, al final acabo relajando algunas directivas, con lo que al final la configuración que queda es muy básica (porque ya es básica de por sí, claro).

Bien, la configuración de Apache arranca en la diapositiva http://antiun.github.io/odoo-reverse...nstall-apache2. Entre otras cosas, activa los módulos rewrite y ssl. soyasi recomienda por su parte evasive, security2, qos y faill2ban. Una primera pregunta es: ¿y requerirían alguna configuración adicional? Mäs allá de activarlos, claro.

En teoría, en este servidor al final sólo quedaría abierto el puerto 443 (y el 80 que se redirigiría) de tal forma que la conexión mitienda.com al final se redirige a http://mitienda.com:8069 o http://mitienda.com:8072

Si hago esto bien debería funcionar, al menos ya lo hace con el certificado autofirmado en la web de test. Pero me gustaría obtener vuestros comentarios, ayudas y sugerencias para hacerlo bien. Así que, ¿qué debería cambiar o mejorar?

Salud y gracias!!!
__________________
http://sementedotempo.blogspot.com/

-Si lo creen unos pocos, es un delirio; si son muchos los creyentes, es una religión
Responder Citando
El Siguiente Usuario Ha Dado las Gracias a karlggest Por Este Mensaje:
mazacrew (05-abr-2016)
  #2  
Antiguo 02-abr-2016, 12:48
Avatar de DiabloRojo
DiabloRojo DiabloRojo está desconectado
Super Moderador
 
Fecha de Ingreso: 19-marzo-2005
Ubicación: En un lugar del planeta Tierra
Versión: La ultima estable
Mensajes: 16.478
Agradecimientos: 563
Agradecido 2.416 Veces en 1.627 Mensajes
Poder de Credibilidad: 10
DiabloRojo llegará a ser famoso muy pronto
Por Internet hay ejemplos de como configurar Apache para ataques DDS. Mira el listado apache evasive, security2, qos y fail2ban

Por lo que veo hay que toquetear archivos.
__________________
NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
Síguenos en TWITTER y en FACEBOOK
Código:
Buscador de   Alojamiento      Alojamiento     Otros
 paquetes:    de imágenes:     de ficheros:    buscadores:
Search        TinyPic          Ifile Wuala     Simple y Facil
Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p
Responder Citando
  #3  
Antiguo 02-abr-2016, 12:50
Avatar de soyasi
soyasi soyasi está desconectado
Miembro Senior
 
Fecha de Ingreso: 26-julio-2005
Ubicación: Atlántida
Versión: leap 42.1
Mensajes: 850
Agradecimientos: 187
Agradecido 323 Veces en 221 Mensajes
Poder de Credibilidad: 13
soyasi está en el buen camino
1ª Parte

conceptos básicos

a2enmod -->carga modulos
a2enmod -l lista los modulos cargados
a2dismod --> descarga modulos

A titulo informativo sobre certificados leer esto

usar HSTS en el virtualhost

<VirtualHost _default_:80> # cambiar asterisco por _default_, genera menos problemas para firefox
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</VirtualHost>

<VirtualHost _default_:443>
DocumentRoot /srv/www/htdocs/odoo
ServerName test.atendapc.net
ServerAdmin webmaster@atendapc.net
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
</IfModule>

usar HSTS vía .htaccess

<Files .htaccess>
Require all denied
</Files>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
</IfModule>

La diferencia esta básicamente en que en el virtualhost, siempre redirige a https, en los htaccess solo las que tu quieras, se usa para multiples dominios, sobre la misma ip.


security2

SecRuleEngine On #por defecto en DetectionOnly
Ir ajustando parametros en base de las necesidades, por defecto en "On" es operativo.
ruta /etc/apache2/conf.d/mod_security2.conf

como curiosidad puedes añadir al final del archivo

ServerTokens Full
SecServerSignature atendapc_HTTP_Seguro #cambia el nombre del server en este caso apache, por lo que indica el usuario.


evasive

Tienes un script de test en /usr/share/doc/packages/apache2-mod_evasive/test.pl

por defecto se activa con parametros, que se deben de ir ajustando.

No viene activada DOSSystemCommand "su - someuser -c '/sbin/... %s ...'" #leer http://serverfault.com/questions/457...nd-not-working

# If this value is set, the system command specified will be executed
# whenever an IP address becomes blacklisted. This is designed to
# enable system calls to ip filter or other tools. A locking mechanism
# using /tmp prevents continuous system calls. Use %s to denote the IP
# address of the blacklisted IP.

En el manual anterior te figura que debes de añadir
Cita:
www-data ALL=NOPASSWD: /sbin/iptables *, /usr/bin/at *
lo haces directamente con vi o el editor que quieras en el archivo /etc/sudoers y añades al final
Cita:
wwwrun ALL = (%www) NOPASSWD:/usr/sbin/iptables *,/usr/bin/at *
la otra alternativa es yast para hacerlo: entramos en yast -->sudo y lo dejamos como en las imágenes:





El script ya puedes modificarlo, como gustes.






qos

documentación --> /usr/share/doc/packages/apache2-mod_qos/index.html

Si te lees toda la documentación, te entrará una pequeña paranoia, así que lo básico es implementar el modulo de abajo en el virtualhost, después modificas/implementas a tu gusto.

## QoS Settings
<IfModule mod_qos.c>
# maneja conexiones de hasta 1000 direcciones IP diferentes
QS_ClientEntries 1000
# permitirá sólo 50 conexiones por IP
QS_SrvMaxConnPerIP 50
# número máximo de conexiones TCP activas se limita a 256
MaxClients 256
# desactivar keep-alive cuando el 70% de las conexiones TCP están ocupadas:
QS_SrvMaxConnClose 180
# velocidad mínima de petición / respuesta (negar clientes lentos bloquea el servidor,
# ie. slowloris manteniendoconexiones abiertas sin solicitar nada)
QS_SrvMinDataRate 150 1200
# y limita la cabeceras y el cuerpo (headers and body) (cuidado, que limita las subidas y
# las solicitudes también):
# LimitRequestFields 30
# QS_LimitRequestBody 102400
</IfModule>

Si no quieres usar el virtualhost, genera un qos.conf en /etc/apache2/conf.d/ con los parámetros que requieras, todo lo que generas con loquesea.conf en este directorio se carga por defecto cuando inicias apache.

fail2ban

Es un demonio que debes de activar bien a través de yast -->administrador de systemas--> habilitar e iniciar o bien con systemctl start fail2ban.service.

Este demonio usa una key de http://www.badips.com/ para actualizar y reportar las ips a las blacklist, pero hoy he comprobado que no funciona la generación de la llave.

se obtiene normalmente con
Cita:
wget -q -O - http://www.badips.com/get/key
Debes de poner las categorías a informar en /etc/fail2ban/action.d/badisps.conf

entre esta lista a seleccionar:

Cita:
{"categories":[{"Name":"ssh","Desc":"SSH bruteforce login attacks and other ssh related attacks"},{"Name":"postfix","Desc":"IP denied by postfix MTA","Parent":"mail"},{"Name":"dovecot-pop3imap","Desc":"dovecot brute-force failed logins","Parent":"mail"},{"Name":"apache","Desc":" Apache webserver related attacks","Parent":"http"},{"Name":"apache-defensible","Desc":"","Parent":"apache"},{"Name":" apache-404","Desc":"","Parent":"apache"},{"Name":"apache-noscript","Desc":"","Parent":"apache"},{"Name":"ap ache-nohome","Desc":"","Parent":"apache"},{"Name":"apac he-overflows","Desc":"","Parent":"apache"},{"Name":"a pache-scriddies","Desc":"","Parent":"apache"},{"Name":"a pacheddos","Desc":"","Parent":"apache"},{"Name":"a pache-php-url-fopen","Desc":"","Parent":"rfi-attack"},{"Name":"apache-spamtrap","Desc":"","Parent":"rfi-attack"},{"Name":"phpids","Desc":"","Parent":"rfi-attack"},{"Name":"Php-url-fopen","Desc":"","Parent":"rfi-attack"},{"Name":"rfi-attack","Desc":""},{"Name":"sql","Desc":""},{"Name ":"sql-injection","Desc":"","Parent":"sql"},{"Name":"sql-attack","Desc":"","Parent":"sql"},{"Name":"ddos"," Desc":"Distributed Denial Of Service Attacks"},{"Name":"qmail-smtp","Desc":"","Parent":"mail"},{"Name":"screensh aringd","Desc":"","Parent":"bruteforce"},{"Name":" ftp","Desc":"attacks targeting the File Transfer Protocol"},{"Name":"dovecot-pop3","Desc":"","Parent":"mail"},{"Name":"exim","D esc":"","Parent":"mail"},{"Name":"sshd","Desc":"", "Parent":"ssh"},{"Name":"pop3","Desc":"","Parent": "mail"},{"Name":"imap","Desc":"","Parent":"mail"}, {"Name":"sip","Desc":"","Parent":"voip"},{"Name":" sasl","Desc":"","Parent":"mail"},{"Name":"courierp op3","Desc":"","Parent":"mail"},{"Name":"ssh-ddos","Desc":"","Parent":"ssh"},{"Name":"nginxprox y","Desc":"","Parent":"nginx"},{"Name":"nginx","De sc":"","Parent":"http"},{"Name":"pureftp","Desc":" ","Parent":"ftp"},{"Name":"dovecot","Desc":"","Par ent":"mail"},{"Name":"w00t","Desc":"","Parent":"ht tp"},{"Name":"vsftpd","Desc":"","Parent":"ftp"},{" Name":"asterisk","Desc":"","Parent":"voip"},{"Name ":"asterisk-sec","Desc":"","Parent":"voip"},{"Name":"courierau th","Desc":"","Parent":"mail"},{"Name":"smtp","Des c":"","Parent":"mail"},{"Name":"nginxpost","Desc": "","Parent":"nginx"},{"Name":"php-cgi","Desc":"","Parent":"http"},{"Name":"spamdyke" ,"Desc":"reports from a qmail spam filter, www.spamdyke.org","Parent":"mail"},{"Name":"rdp"," Desc":"","Parent":"bruteforce"},{"Name":"vnc","Des c":"","Parent":"bruteforce"},{"Name":"cms","Desc": "Attacks targeted to a Content Management System","Parent":"http"},{"Name":"wordpress","Desc ":"WordPress targeted attacks","Parent":"cms"},{"Name":"drupal","Desc":" Drupal targeted attacks","Parent":"cms"},{"Name":"telnet","Desc":" telnet targeted attacks","Parent":"ssh"},{"Name":"spam","Desc":"Sp am is a canned precooked meat product made by the Hormel Foods Corporation, first introduced in 1937.","Parent":"mail"},{"Name":"http","Desc":"Att acks aiming at HTTP/S services"},{"Name":"pureftpd","Desc":"","Parent":" ftp"},{"Name":"proftpd","Desc":"","Parent":"ftp"}, {"Name":"unknown","Desc":"reason for block is not known","Parent":""},{"Name":"ssh-blocklist","Desc":"","Parent":"ssh"},{"Name":"apac he-dokuwiki","Desc":"","Parent":"apache"},{"Name":"wp ","Desc":"","Parent":"cms"},{"Name":"apache-phpmyadmin","Desc":"","Parent":"apache"},{"Name":" badbots","Desc":"","Parent":"bruteforce"},{"Name": "sshddos","Desc":"","Parent":"ssh"},{"Name":"s sh-auth","Desc":"","Parent":"ssh"},{"Name":"username-notfound","Desc":"","Parent":"bruteforce"},{"Name" :"local-exim","Desc":"","Parent":"mail"},{"Name":"apache-w00tw00t","Desc":"","Parent":"apache"},{"Name":"ap ache-modsec","Desc":"","Parent":"apache"},{"Name":"ownc loud","Desc":"","Parent":"bruteforce"},{"Name":"na med","Desc":"usually decribes the ISC DNS Server","Parent":"dns"},{"Name":"dns","Desc":"Atta cks against the Domain Name System"},{"Name":"plesk-postfix","Desc":"","Parent":"mail"},{"Name":"xmlrp c","Desc":"Attacks via XML Remote Procedure Calls"},{"Name":"default","Desc":"","Parent":"unkn own"},{"Name":"postfix-sasl","Desc":"","Parent":"mail"},{"Name":"apache-wordpress","Desc":"","Parent":"wordpress"},{"Name" :"cyrusauth","Desc":"","Parent":"mail"},{"Name":"p roxy","Desc":""},{"Name":"squid","Desc":"","Parent ":"proxy"},{"Name":"assp","Desc":"Anti Spam SMTP Proxy Server","Parent":"mail"},{"Name":"bruteforce","Des c":"Brute Force Attacks"}]}
Para sobreescribir las ordenes por defecto crea un archivo por ejemplo "optimizar.local" en /etc/fail2ban/jail.d/
para apache aqui tienes un buen ejemplo

Cita:
[apache-auth]

port = http,https
logpath = %(apache_error_log)s


[apache-badbots]
# Ban hosts which agent identifies spammer robots crawling the web
# for email addresses. The mail outputs are buffered.
port = http,https
logpath = %(apache_access_log)s
bantime = 17280
maxretry = 1


[apache-noscript]

port = http,https
logpath = %(apache_error_log)s
maxretry = 4


[apache-overflows]

port = http,https
logpath = %(apache_error_log)s
maxretry = 1


[apache-nohome]

port = http,https
logpath = %(apache_error_log)s
maxretry = 1


[apache-botsearch]

port = http,https
logpath = %(apache_error_log)s
maxretry = 1


[apache-fakegooglebot]

port = http,https
logpath = %(apache_access_log)s
maxretry = 1
ignorecommand = %(ignorecommands_dir)s/apache-fakegooglebot <ip>


[apache-modsecurity]

port = http,https
logpath = %(apache_error_log)s
maxretry = 2

[apache-shellshock]

port = http,https
logpath = %(apache_error_log)s
maxretry = 1
tenemos que tener el modulo de python-systemd instalado para que funcione correctamente.
Aquí indican el motivo

Cita:
dnsserver:/etc/fail2ban # pip list
apparmor (2.10)
Babel (2.2.0)
bottle (0.12.8)
certifi (2015.9.6.2)
coverage (3.7.1)
cupshelpers (1.0)
gaupol (0.28.2)
LibAppArmor (2.10)
nose (1.3.7)
pip (8.1.1)
po2json (0.2.1)
polib (1.0.7)
py (1.4.30)
pycups (1.9.72)
pycurl (7.19.5.1)
pyenchant (1.6.6)
pygobject (3.16.2)
pysmbc (1.0.15.4)
python-systemd (231)
pytz (2016.3)
redis (2.10.3)
requests (2.7.0)
setuptools (20.6.7)
simplejson (3.8.0)
six (1.9.0)
tornado (4.2.1)
Ahora tecleamos fail2ban-client add [apache-auth] y finalizamos con enter
fail2ban-client add [apache-badbots]
fail2ban-client add [apache-noscript]
fail2ban-client add [apache-overflows]
fail2ban-client add [apache-botsearch]
fail2ban-client add [apache-fakegooglebot]
fail2ban-client add [apache-modsecurity]
fail2ban-client add [apache-shellshock]

Cuando tecleamos ahora fail2ban-client status, nos debería de dar el numero de jail activados y los nombres:

Cita:
Status
|- Number of jail: 8
`- Jail list: [apache-auth], [apache-badbots], [apache-botsearch], [apache-fakegooglebot], [apache-modsecurity], [apache-noscript], [apache-overflows], [apache-shellshock]
comprobamos el log de fail2ban -->/var/log/fail2ban.log así nos cercioramos de que han sido añadidos y trabajan.

Cita:
2016-04-03 17:45:56,881 fail2ban.jail [2170]: INFO Creating new jail '[apache-auth]'
2016-04-03 17:45:56,894 fail2ban.jail [2170]: INFO Jail '[apache-auth]' uses Gamin
2016-04-03 17:45:56,912 fail2ban.filter [2170]: INFO Set jail log file encoding to UTF-8
2016-04-03 17:45:56,965 fail2ban.jail [2170]: INFO Initiated 'gamin' backend
2016-04-03 17:49:14,304 fail2ban.jail [2170]: INFO Creating new jail '[apache-badbots]'
2016-04-03 17:49:14,305 fail2ban.jail [2170]: INFO Jail '[apache-badbots]' uses Gamin
2016-04-03 17:49:14,309 fail2ban.filter [2170]: INFO Set jail log file encoding to UTF-8
2016-04-03 17:49:14,309 fail2ban.jail [2170]: INFO Initiated 'gamin' backend
2016-04-03 17:49:33,337 fail2ban.jail [2170]: INFO Creating new jail '[apache-noscript]'
2016-04-03 17:49:33,339 fail2ban.jail [2170]: INFO Jail '[apache-noscript]' uses Gamin
2016-04-03 17:49:33,342 fail2ban.filter [2170]: INFO Set jail log file encoding to UTF-8
2016-04-03 17:49:33,343 fail2ban.jail [2170]: INFO Initiated 'gamin' backend
2016-04-03 17:49:54,217 fail2ban.jail [2170]: INFO Creating new jail '[apache-overflows]'
2016-04-03 17:49:54,218 fail2ban.jail [2170]: INFO Jail '[apache-overflows]' uses Gamin
2016-04-03 17:49:54,221 fail2ban.filter [2170]: INFO Set jail log file encoding to UTF-8
2016-04-03 17:49:54,222 fail2ban.jail [2170]: INFO Initiated 'gamin' backend
2016-04-03 17:50:23,365 fail2ban.jail [2170]: INFO Creating new jail '[apache-botsearch]'
2016-04-03 17:50:23,366 fail2ban.jail [2170]: INFO Jail '[apache-botsearch]' uses Gamin
2016-04-03 17:50:23,370 fail2ban.filter [2170]: INFO Set jail log file encoding to UTF-8
2016-04-03 17:50:23,370 fail2ban.jail [2170]: INFO Initiated 'gamin' backend
2016-04-03 17:50:45,578 fail2ban.jail [2170]: INFO Creating new jail '[apache-fakegooglebot]'
2016-04-03 17:50:45,580 fail2ban.jail [2170]: INFO Jail '[apache-fakegooglebot]' uses Gamin
2016-04-03 17:50:45,583 fail2ban.filter [2170]: INFO Set jail log file encoding to UTF-8
2016-04-03 17:50:45,583 fail2ban.jail [2170]: INFO Initiated 'gamin' backend
2016-04-03 17:51:09,623 fail2ban.jail [2170]: INFO Creating new jail '[apache-modsecurity]'
2016-04-03 17:51:09,625 fail2ban.jail [2170]: INFO Jail '[apache-modsecurity]' uses Gamin
2016-04-03 17:51:09,628 fail2ban.filter [2170]: INFO Set jail log file encoding to UTF-8
2016-04-03 17:51:09,629 fail2ban.jail [2170]: INFO Initiated 'gamin' backend
2016-04-03 17:51:26,789 fail2ban.jail [2170]: INFO Creating new jail '[apache-shellshock]'
2016-04-03 17:51:26,790 fail2ban.jail [2170]: INFO Jail '[apache-shellshock]' uses Gamin
2016-04-03 17:51:26,796 fail2ban.filter [2170]: INFO Set jail log file encoding to UTF-8
2016-04-03 17:51:26,796 fail2ban.jail [2170]: INFO Initiated 'gamin' backend
nota: En mi caso, en leap que es la de pruebas, hay algo que debo de tener mal, cuando reinicio pierdo la configuración y debo de añadirla nuevamente. En la 13.1 que uso como server, no me ocurre esto.

lo he solventado, hasta que averigue el motivo añadiendo

Cita:
fail2ban-client add [apache-auth]&&fail2ban-client add [apache-badbots]&&fail2ban-client add [apache-noscript]&&fail2ban-client add [apache-overflows]&&fail2ban-client add [apache-botsearch]&&fail2ban-client add [apache-fakegooglebot]&&fail2ban-client add [apache-modsecurity]&&fail2ban-client add [apache-shellshock]
en /etc/rc.d/after.local y funciona

para mas información

Terminamos la 1ª parte
__________________
--
hkp://subkeys.pgp.net
GNU/Linux Opensuse leap 42.1 x86_64
Linux Registered User #391410



(http://linuxcounter.net/)

Última edición por soyasi; 04-abr-2016 a las 05:33
Responder Citando
Los Siguientes 4 Usuarios Han Dado las Gracias a soyasi Por Este Mensaje:
DiabloRojo (03-abr-2016), gvcastellon (04-abr-2016), karlggest (02-abr-2016), mazacrew (03-abr-2016)
  #4  
Antiguo 04-abr-2016, 19:49
Avatar de karlggest
karlggest karlggest está desconectado
Moderador
 
Fecha de Ingreso: 07-febrero-2007
Ubicación: Ourense
Versión: Leap 42.3
Mensajes: 8.175
Agradecimientos: 40
Agradecido 1.238 Veces en 910 Mensajes
Poder de Credibilidad: 19
karlggest está en el buen camino
Hola

Ya he implementado alguna cosa, tengo un proxy inverso montado a pedal según el slide que enlacé más arriba y el test me da una A verde (sin más).

Antes de repasar los módulos que me has indicado (y también sigo viendo el hilo de gvcastellon), Firefox me indica que "la conexión no es segura" con un triángulo amarillo. Viendo los detalles, me indica que no proporciono propietario. ¿Qué pude haberme saltado?

Salud y gracias!!
__________________
http://sementedotempo.blogspot.com/

-Si lo creen unos pocos, es un delirio; si son muchos los creyentes, es una religión
Responder Citando
  #5  
Antiguo 04-abr-2016, 20:52
Avatar de soyasi
soyasi soyasi está desconectado
Miembro Senior
 
Fecha de Ingreso: 26-julio-2005
Ubicación: Atlántida
Versión: leap 42.1
Mensajes: 850
Agradecimientos: 187
Agradecido 323 Veces en 221 Mensajes
Poder de Credibilidad: 13
soyasi está en el buen camino
Creo que con un par de modificaciones ya lo tienes te quedan tres mas y estará listo creo, mirate el mp y el correo.

Edito: He analizado tu certificado y tiene un par de fallos, entre ellos no encuentra o no tienes habilitado el Hsts. Mirate las partes en naranja e intenta solventarlo. No des pistas sobre el software que estas usando. Te lo dice al final del test. Intenta eliminar el HTTP forwarding.
__________________
--
hkp://subkeys.pgp.net
GNU/Linux Opensuse leap 42.1 x86_64
Linux Registered User #391410



(http://linuxcounter.net/)

Última edición por soyasi; 04-abr-2016 a las 22:23
Responder Citando
  #6  
Antiguo 04-abr-2016, 22:27
Avatar de karlggest
karlggest karlggest está desconectado
Moderador
 
Fecha de Ingreso: 07-febrero-2007
Ubicación: Ourense
Versión: Leap 42.3
Mensajes: 8.175
Agradecimientos: 40
Agradecido 1.238 Veces en 910 Mensajes
Poder de Credibilidad: 19
karlggest está en el buen camino
Hola.

Módulos me falta el fail2ban. El resto supongo que habrá que ajustarlos.

De tu última aportación, voy muy lento, porque creo que no entiendo bien a qué te refieres.
Código:
He analizado tu certificado y tiene un par de fallos, entre ellos  no encuentra o no tienes habilitado el Hsts. Mirate las partes en  naranja e intenta solventarlo.
¿Qué partes en naranja? De paso, ¿dónde activo el hsts? ¿Como indican en https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_an d_Lighttpd.html por ejemplo?
Código:
No des pistas sobre el software que estas  usando. Te lo dice al final del test. Intenta eliminar el HTTP  forwarding.
Tendo una redirección para que el tráfico del puerto 80 se redirija también al 443 ¿Te refieres a ése? ¿Y cómo hago la redirección, o no la harías? También puedo no dar pistas sobre el software, a eso le echaré un vistazo.

Salud!!
Responder Citando
  #7  
Antiguo 04-abr-2016, 22:52
Avatar de soyasi
soyasi soyasi está desconectado
Miembro Senior
 
Fecha de Ingreso: 26-julio-2005
Ubicación: Atlántida
Versión: leap 42.1
Mensajes: 850
Agradecimientos: 187
Agradecido 323 Veces en 221 Mensajes
Poder de Credibilidad: 13
soyasi está en el buen camino


La imagen de arriba es el tuyo



Esto es como te quedaría con el hsts habilitado.

Cuando te hagas el test de nuevo, mirate la parte final.

mira el ejemplo de owncloud, aunque no es aplicable del todo a tu configuración, espero que te ayude.

leete esto es a lo que me refería antes. El enlace que me has puesto no me lleva a ningún lado.
__________________
--
hkp://subkeys.pgp.net
GNU/Linux Opensuse leap 42.1 x86_64
Linux Registered User #391410



(http://linuxcounter.net/)

Última edición por soyasi; 04-abr-2016 a las 23:06
Responder Citando
  #8  
Antiguo 05-abr-2016, 00:29
Avatar de karlggest
karlggest karlggest está desconectado
Moderador
 
Fecha de Ingreso: 07-febrero-2007
Ubicación: Ourense
Versión: Leap 42.3
Mensajes: 8.175
Agradecimientos: 40
Agradecido 1.238 Veces en 910 Mensajes
Poder de Credibilidad: 19
karlggest está en el buen camino
Hola!!

El enlace que había puesto tenía un espacio que no sé de dónde saqué xdd Ahí va correctamente: https://raymii.org/s/tutorials/HTTP_..._Lighttpd.html

(bueno, sí sé por qué pasa, es el error al editar los mensajes en Firefox, si copias el texto y tal, puede hacer cosas raras por lo que se ve)

También en esa página dicen de hacer la redirección simplemente con
Código:
<VirtualHost *:80>
[...]
ServerName example.com
Redirect permanent / https://example.com/
</VirtualHost>
que ¿supongo que es a lo que te refieres con la redirección http?

Salud y gracias!!
__________________
http://sementedotempo.blogspot.com/

-Si lo creen unos pocos, es un delirio; si son muchos los creyentes, es una religión
Responder Citando
  #9  
Antiguo 05-abr-2016, 01:13
Avatar de soyasi
soyasi soyasi está desconectado
Miembro Senior
 
Fecha de Ingreso: 26-julio-2005
Ubicación: Atlántida
Versión: leap 42.1
Mensajes: 850
Agradecimientos: 187
Agradecido 323 Veces en 221 Mensajes
Poder de Credibilidad: 13
soyasi está en el buen camino
leete el privado, salvo que quieras que te lo ponga aqui.

Saludos
__________________
--
hkp://subkeys.pgp.net
GNU/Linux Opensuse leap 42.1 x86_64
Linux Registered User #391410



(http://linuxcounter.net/)
Responder Citando
  #10  
Antiguo 05-abr-2016, 11:19
Avatar de karlggest
karlggest karlggest está desconectado
Moderador
 
Fecha de Ingreso: 07-febrero-2007
Ubicación: Ourense
Versión: Leap 42.3
Mensajes: 8.175
Agradecimientos: 40
Agradecido 1.238 Veces en 910 Mensajes
Poder de Credibilidad: 19
karlggest está en el buen camino
Hola.

Salvo lo que sea privado y mejor que nadie sepa , lo que pueda aprovecharse para el tema mejor aquí, o como te sea más cómodo.

Salud!!
__________________
http://sementedotempo.blogspot.com/

-Si lo creen unos pocos, es un delirio; si son muchos los creyentes, es una religión
Responder Citando
Respuesta

Marcadores


(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
Comandos y mantenimiento de OpenSUSE Tumbleweed joakoej General OpenSUSE 54 10-abr-2015 21:12
Salida a internet de openSUSE a traves de proxy UnderUp Internet, Redes y Wireless 9 09-abr-2014 08:18
Instalación de Java(JDK,JRE), MySQL, Apache(Httpd, Tomcat), JPS, PHP, para MOODLE joseluisbz Software 7 06-nov-2012 23:53
Guía: Instalar el controlador para tarjetas de vídeo NVIDIA jcsl FAQs, Manuales y Tutoriales 4 21-jul-2012 15:51
Manual zypper para 11.1 (Traducción al español) tranzorx FAQs, Manuales y Tutoriales 11 21-ene-2010 23:21



Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook


La franja horaria es GMT +2. Ahora son las 19:50.
Powered by vBulletin™
Copyright © vBulletin Solutions, Inc. All rights reserved.

Esta página está bajo una licencia de Creative Commons, salvo que no se indique lo contrario.
Creative Commons License

Valid CSS!

Diseño por:Designed by: vbdesigns.devbdesigns.de 
Contáctenos - ForoSUSE - Archivo - Declaración de Privacidad - Arriba