Resolución

Realice los siguientes cambios para poder pasar la prueba de análisis de PCI.

1. Actualización de Apache

Si está ejecutando PBAS en un SOs antiguo (como Fedora 6 o CentOS4), migre el PBAS a uno de los SOs nuevos (por ejemplo CentOS5). En este SO tendrá la versión 2.2.3 de Apache.

Encontrará las indicaciones sobre el proceso de migración de PBAS aquí

2. Desactive el protocolo SSL2.

Desactive todos los protocolos excepo SSL3 y TLS1. Añada lo siguiente al archivo /etc/hspcd/conf/hspc_ssl.conf:

SSLProtocol -ALL +SSLv3 +TLSv1

Reinicie el Apache del front-end.

3. Algoritmos SSL de Cifrado Débil

Cambie la directiva SSLCipherSuite en /etc/hspcd/conf/hspc_ssl.conf a la siguiente:

SSLCipherSuite ALL:-ADH:!kEDH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

Reinicie el Apache del front-end.

4. Incidencias con el DNS

- Cierre el puerto 53 y deje el puerto abierto únicamente para los hosts que deberían usarlo (DNS esclavo, por ejemplo)

- La opción allow-recursion sólo debería estar dfinida para los hosts que pueden realizar llamadas de recursión DNS.

5. Archivo de Info de PHP

No creamos este archivo por defecto, por lo que el cliente simplemente debería buscar y eliminar el archivo.

6. Acceso SSH

Cierre el puerto SSH en el firewall y permita conexiones SSH únicamente desde los hosts requeridos.

7. Scripting de Aplicación Web Entre Sitios

Descargue los archivos adjuntos a este artículo y reemplace los archivos en su almacén predeterminado

/var/opt/hspc-frontend/templates/domains.inc
/var/opt/hspc-fronted/sign_in.php

Si ha realizado personalizaciones en los almacenes, no olvide definirlas de nuevo una vez reemplazados los archivos.

8. Desactive los métodos Trace/Track

En /etc/hspcd/conf/hspc_rewrite.conf en la parte final del archivo antes de "Include "conf/hspc_proxy.conf", añada:

#PCI Compilance rule
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]