Syhunt | Syhunt Hybrid: Web UI

Syhunt Hybrid: Web UI

As informa��es contidas neste documento se aplicam a vers�o 7.1.6 do Syhunt Hybrid.

�ndice

Introdu��o

Ativando a interface Web UI

Pol�tica de senhas

Configurando fun��es de usu�rio

Expondo a Web UI com seguran�a

Dicas

Limita��es

Introdu��o

A partir da vers�o 7.1.6, o Syhunt Hybrid vem com uma interface de usu�rio web robusta que pode ser habilitada em m�quinas Windows, Mac ou Linux. Embora ainda em evolu��o, a web UI permite iniciar varreduras DAST, SAST e MAST, visualizar resultados de varreduras (incluindo aquelas iniciadas por meio da GUI, CLI, API REST e agendador, se houver), gerar relat�rios e exporta��es, gerenciar usu�rios, permiss�es de usu�rio e sess�es ativas, execute comandos do console e muito mais. A interface web e os relat�rios est�o atualmente dispon�veis em 8 idiomas � ingl�s, alem�o, espanhol, franc�s, italiano, japon�s, coreano e portugu�s.

A interface web Syhunt Hybrid foi constru�da sobre um servidor web robusto - Openresty (Nginx + Lua), usa Bcrypt com um alto fator para hashing de senha, gera��o segura de ID de sess�o e implementa prote��o de login contra for�a bruta.

Ativando a interface Web UI

Abra o prompt de comando ou terminal e v� para o local da CLI do Syhunt - a localiza��o padr�o depende do seu sistema operacional:
1. No Windows: powershell Start-Process cmd -ArgumentList '/k "cd /d \"%ProgramFiles%\Syhunt Hybrid\""' -Verb runAs
2. No macOS: cd "/Applications/Syhunt Hybrid/carbon"
3. No Linux: cd ${HOME}/syhunt-hybrid/carbon/
Configure as principais contas de usu�rio.
1. Execute o seguinte comando para gerar e definir a senha do administrador: scancore -pwdgen:admin
2. Salve a senha gerada; voc� precisar� dela depois para se logar.
3. (Opcional) Execute o seguinte comando para criar e definir a senha de outras contas: scancore -pwdgen:nomedousuario
4. (Optional) Se voc� deseja que a UI da web use um idioma diferente, como por exemplo o Portugu�s, execute o comando: scancore -langset:PT Veja os c�digos de idioma dispon�veis
Execute o servidor:
1. No Linux ou Mac: Rode o comando syservicereg, e o servi�o da Web UI ser� instalado e iniciado.
2. No Windows: Reinicie o Windows, e a web UI se iniciar� junto com o sistema, ou, alternativamente, rode como Administrador o comando scansched -restart se n�o desejar reiniciar.
Agora voc� pode acessar a web UI e fazer login em: http://127.0.0.1:8017/syhunt/ e tamb�m usar a Syhunt REST API. Realize o login com as credenciais:
1. Usu�rio: admin
2. Senha: a senha que foi gerada logo nos primeiros passos.

Etapas e Notas Adicionais

Em qualquer Linux ou Mac, se voc� planeja executar SAST e MAST, certifique-se de que habilitou as extens�es Hybrid Plus.
No Alma Linux: Se o servi�o de IU da Web n�o iniciar corretamente, talvez seja necess�rio desabilitar o SELinux permanentemente: sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config && sudo reboot. Depois disso, o servi�o de IU da Web deve ser executado conforme o esperado.
No Windows, uma vez definida a senha do administrador, a web UI � iniciada sempre que o servi�o Hybrid Scheduler � iniciado. Isso garante que a web UI continue em execu��o mesmo que o usu�rio atual efetue logout. No Linux, o servi�o da Web UI faz o mesmo.

Pol�tica de senha

Para fortalecer a seguran�a e garantir a conformidade, o Syhunt 7.1 introduz uma pol�tica de senha de interface de usu�rio da web rigorosa, aplicando os seguintes requisitos:

Comprimento m�nimo da senha
1. Contas n�o administrativas: m�nimo de 16 caracteres
2. Contas administrativas: m�nimo de 26 caracteres
Restri��es de reutiliza��o de senha
1. Contas administrativas: n�o podem reutilizar as �ltimas 24 senhas
2. Contas n�o administrativas: n�o podem reutilizar as �ltimas 10 senhas
Requisitos de complexidade de senha
1. N�o deve incluir o nome de usu�rio ou partes do nome completo do usu�rio
2. Deve conter pelo menos:
  1. Uma letra mai�scula (A-Z)
  2. Uma letra min�scula (a-z)
  3. Um d�gito (0-9)
  4. Um caractere n�o alfab�tico (por exemplo, @, #, $, %)
3. N�o deve conter:
  1. Tr�s ou mais caracteres consecutivos id�nticos (por exemplo, AAA)
  2. Tr�s caracteres ascendentes ou descendentes consecutivos (por exemplo, 123, 321, ABC, CBA)

Com essas medidas de seguran�a aprimoradas, o Syhunt 7.1 garante prote��o mais forte contra amea�as relacionadas a senhas, mantendo a conformidade com os padr�es do setor. Ao definir uma nova senha, os requisitos acima ser�o observados. Ap�s a atualiza��o, se algum desses padr�es for encontrado em uma senha definida anteriormente no momento do login, voc� precisar� redefinir sua senha.

Para simplificar a gera��o de senhas, o Syhunt 7.1 adiciona o par�metro -pwdgen:[nome de usu�rio] ao comando scancore, que gera uma senha com seguran�a, a define e imprime a senha gerada na sa�da, mas se voc� preferir inseri-la manualmente, ainda poder� usar o par�metro -pwdset.

Configurando fun��es de usu�rio

Quando voc� est� logado como Administrador, voc� pode alterar a fun��o de qualquer usu�rio para Operador, Operador Restrito ou Visualizador. A seguir est�o as fun��es existentes:

Administrador - O administrador pode iniciar e visualizar os resultados de todas as verifica��es iniciadas, editar as permiss�es e prefer�ncias do usu�rio e executar comandos do console. Atualmente, apenas uma conta de administrador � permitida.
Operador - Um usu�rio com esta fun��o pode iniciar e visualizar os resultados de todas as varreduras iniciadas.
Operador Restrito - Um usu�rio com esta fun��o pode iniciar varreduras, mas apenas visualizar os resultados das varreduras iniciadas por ele mesmo.
Visualizador - Um usu�rio com esta fun��o pode visualizar os resultados de todas as varreduras iniciadas, mas n�o � capaz de iniciar nenhuma varredura.

Expondo a UI da Web com seguran�a

Como o servidor web UI do Syhunt vem pr�-configurado e � atualizado toda vez que o Syhunt � atualizado, n�o � aconselh�vel modificar suas configura��es. Se voc� precisar expor a UI da web � Internet ou intranet, recomendamos configurar um proxy Nginx reverso com SSL habilitado. Voc� precisar� gerar um certificado.crt e uma chave privada para ser usado com ele - as instru��es abaixo pressup�em que voc� j� tenha os certificados prontos.

No Windows:

Baixe o Nginx para Windows: http://nginx.org/en/download.html
Aplique as altera��es de configura��o do Nginx nginx.conf descritas abaixo.

No Linux:

Instale o Nginx:
1. No Ubuntu: sudo apt install nginx
2. No CentOS 7: sudo yum install nginx
3. No CentOS 8: sudo dnf install nginx
Edite o arquivo de configura��o do Nginx: sudo nano /etc/nginx/nginx.conf
1. Comente as linhas: include /etc/nginx/conf.d/*.conf; e include /etc/nginx/sites-enabled/*;
2. Dentro da se��o http inclua:

server {
    listen 80;
    server_name _;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name _;

    ssl_certificate /etc/ssl/certificate.crt;
    ssl_certificate_key /etc/ssl/certificate.key;

    location / {
        return 301 https://$host/syhunt/;
    }

    location /syhunt/ {
        proxy_pass http://127.0.0.1:8017;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Ap�s salvar as altera��es, teste a nova configura��o: nginx -t
Permitir tr�fego de localhost para a porta 8017 e permitir tr�fego de entrada na porta 443:
1. No Ubuntu:
  1. sudo ufw allow from 127.0.0.1 to any port 8017
  2. sudo ufw allow 443
2. No CentOS:
  1. sudo firewall-cmd --zone=public --add-port=443/tcp
  2. sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="127.0.0.1" port port=8017 protocol=tcp accept'
  3. sudo firewall-cmd --reload
Reinicie o servidor Nginx: systemctl restart nginx

Dicas

MacOS

Se o hor�rio exibido na tela do Agendador de Varreduras n�o corresponder ao hor�rio do seu sistema operacional, execute o seguinte comando para corrigi-lo: sudo /usr/sbin/systemsetup -settimezone "Europe/Lisbon" (substitua Europe/Lisbon pelo seu fuso hor�rio)

Limita��es

No Linux ou Mac, as varreduras de c�digo iniciadas por meio da web UI s� podem ter como alvo reposit�rios GIT p�blicos. Se voc� precisar direcionar um reposit�rio privado, use o comando CLI scancode para iniciar a varredura ap�s configurar corretamente as credenciais do reposit�rio ou chaves SSH. Al�m disso, a conex�o direta com reposit�rios Azure TFS n�o est� dispon�vel para m�quinas Linux ou Mac.