Resolución
Realice los siguientes cambios para poder pasar la prueba de análisis de PCI.
1. Actualización de Apache
Si está ejecutando PBAS en un SOs antiguo (como Fedora 6 o CentOS4), migre el PBAS a uno de los SOs nuevos (por ejemplo CentOS5). En este SO tendrá la versión 2.2.3 de Apache.
Encontrará las indicaciones sobre el proceso de migración de PBAS aquí
2. Desactive el protocolo SSL2.
Desactive todos los protocolos excepo SSL3 y TLS1. Añada lo siguiente al archivo /etc/hspcd/conf/hspc_ssl.conf:
SSLProtocol -ALL +SSLv3 +TLSv1
Reinicie el Apache del front-end.
3. Algoritmos SSL de Cifrado Débil
Cambie la directiva SSLCipherSuite en /etc/hspcd/conf/hspc_ssl.conf a la siguiente:
SSLCipherSuite ALL:-ADH:!kEDH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP
Reinicie el Apache del front-end.
4. Incidencias con el DNS
- Cierre el puerto 53 y deje el puerto abierto únicamente para los hosts que deberían usarlo (DNS esclavo, por ejemplo)
- La opción allow-recursion sólo debería estar dfinida para los hosts que pueden realizar llamadas de recursión DNS.
5. Archivo de Info de PHP
No creamos este archivo por defecto, por lo que el cliente simplemente debería buscar y eliminar el archivo.
6. Acceso SSH
Cierre el puerto SSH en el firewall y permita conexiones SSH únicamente desde los hosts requeridos.
7. Scripting de Aplicación Web Entre Sitios
Descargue los archivos adjuntos a este artículo y reemplace los archivos en su almacén predeterminado
/var/opt/hspc-frontend/templates/domains.inc
/var/opt/hspc-fronted/sign_in.php
Si ha realizado personalizaciones en los almacenes, no olvide definirlas de nuevo una vez reemplazados los archivos.
8. Desactive los métodos Trace/Track
En /etc/hspcd/conf/hspc_rewrite.conf en la parte final del archivo antes de "Include "conf/hspc_proxy.conf", añada:
#PCI Compilance rule
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]