Lösung
Die folgenden Änderungen sollten vorgenommen werden, um das System so einzurichten, dass es den
PCI Scan-Test besteht.
1. Apache-Update
Wenn Sie PBAS unter einem älteren Betriebssystem (wie Fedora 6 oder CentOS4) ausführen, müssen Sie PBAS auf
eines der neuen Betriebssysteme (wie CentOS5) migrieren. Unter diesem Betriebssystem ist Apache
Version 2.2.3 verfügbar. Eine Anleitung zum Migrieren von PBAS finden Sie
unter http://kb.parallels.com/de/2126
2. SSL2-Protokoll deaktivieren.
Deaktivieren Sie alle Protokolle mit Ausnahme von SSL3 und TLS1. Fügen Sie der Datei
/etc/hspcd/conf/hspc_ssl.conf die Zeile SSLProtocol -ALL +SSLv3 +TLSv1 hinzu. Starten Sie
Frontend-Apache neu.
3. SSL Weak Encyption-Algorithmen
Ändern Sie die SSLCipherSuite-Anweisung in der Datei /etc/hspcd/conf/hspc_ssl.conf in
"SSLCipherSuite ALL:-ADH:!kEDH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP" Starten Sie
Frontend-Apache neu.
4. DNS-Probleme
- Schließen Sie Port 53 und lassen Sie ihn nur für die Hosts geöffnet, die ihn verwenden sollten
(z. B. Slave-DNS) - Die Option allow-recursion sollte nur für Hosts eingestellt werden, die die
Rekursion von DNS-Aufrufen unterstützen.
5. PHP Info-Datei
Standardmäßig wird diese Datei nicht erstellt, daher sollte der Kunde die Datei einfach suchen und löschen.
6. SSH-Zugriff
Schließen Sie den SSH-Port in der Firewall und lassen Sie SSH-Verbindungen nur von Hosts zu, die eine solche
Verbindung erfordern.
7. Webapplikation Cross-Site Scripting
Laden Sie die angehängte Datei herunter und ersetzen Sie die Dateien in Ihrem Standard-Store
/var/opt/hspc-frontend/templates/domains.inc
/var/opt/hspc-fronted/sign_in.php
Wenn Sie Store-Anpassungen vorgenommen haben, sollten Sie diese nach dem Ersetzen der Dateien zurücksetzen.
8. Verfolgungs- und Überwachungsmethoden deaktivieren
Fügen Sie am Ende der Datei /etc/hspcd/conf/hspc_rewrite.conf vor der Zeile "Include "conf/hspc_proxy.conf"
Folgendes ein:
#PCI Compilance rule
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
