Tratamento para impedir acesso indevido às pastas de upload de arquivos no SEI e SIP

Guilherme Andrade Del Cantoni
1 parent 22ca6846
Showing 2 changed files with 62 additions and 0 deletions Show diff stats
sei/Dockerfile
sei/sei.conf
@@ -46,6 +46,7 @@ ADD ConfiguracaoSip.php /opt/sip/ConfiguracaoSip.php
 # Copia arquivos necessários para a instalação
 ADD sei.ini /etc/php.d/sei.ini
+ADD sei.conf /etc/httpd/conf.d/sei.conf
 RUN mkdir -p /var/sei/arquivos && \
     chmod -R 777 /var/sei/arquivos
@@ -0,0 +1,61 @@
+<VirtualHost *:80>
+
+    DocumentRoot /var/www/html
+
+    ServerAdmin admin@dominio.gov.br
+    ServerName localhost
+
+    DirectoryIndex index.php index.html
+    IndexIgnore *
+
+    #EnableSendfile Off
+    HostnameLookups Off
+    ServerSignature Off
+    AddDefaultCharset iso-8859-1
+
+    # Bloqueia acesso à qualquer arquivo ou diretório externo ao DocumentRoot
+    <Directory />
+        Order Deny,Allow
+        Deny from all
+        Options None
+        AllowOverride None
+    </Directory>
+
+    # Configura opções padrões dos diretórios da aplicação
+    <Directory /var/www/html >
+        Options -ExecCGI -MultiViews -Includes -Indexes FollowSymLinks
+        AllowOverride None
+    
+        Order Allow,Deny
+        Allow from all
+    </Directory>
+
+    # Remove acesso direto ao arquivo de configuração do SEI
+    <Directory /var/www/html/sei >
+        <Files "ConfiguracaoSEI.php" >
+            Order allow,deny
+            Deny from all
+        </Files>
+    </Directory>
+
+    # Remove acesso aos diretórios privados do SEI
+    <Directory  ~ "/var/www/html/sei/(upload|ferramentas)" >
+        Order allow,deny
+        Deny from all
+    </Directory>
+
+    # Remove acesso direto ao arquivo de configuração do SIP
+    <Directory /var/www/html/sip >
+        <Files "ConfiguracaoSip.php" >
+            Order allow,deny
+            Deny from all
+        </Files>
+    </Directory>
+
+    # Remove acesso aos diretórios privados do SIP
+    <Directory /var/www/html/sip/upload >
+        Order allow,deny
+        Deny from all
+    </Directory>
+
+</VirtualHost>
	@@ -46,6 +46,7 @@ ADD ConfiguracaoSip.php /opt/sip/ConfiguracaoSip.php		@@ -46,6 +46,7 @@ ADD ConfiguracaoSip.php /opt/sip/ConfiguracaoSip.php
46		46
47	# Copia arquivos necessários para a instalação	47	# Copia arquivos necessários para a instalação
48	ADD sei.ini /etc/php.d/sei.ini	48	ADD sei.ini /etc/php.d/sei.ini
		49	+ADD sei.conf /etc/httpd/conf.d/sei.conf
49		50
50	RUN mkdir -p /var/sei/arquivos && \	51	RUN mkdir -p /var/sei/arquivos && \
51	chmod -R 777 /var/sei/arquivos	52	chmod -R 777 /var/sei/arquivos
@@ -0,0 +1,61 @@		@@ -0,0 +1,61 @@
	1	+<VirtualHost *:80>
	2	+
	3	+ DocumentRoot /var/www/html
	4	+
	5	+ ServerAdmin admin@dominio.gov.br
	6	+ ServerName localhost
	7	+
	8	+ DirectoryIndex index.php index.html
	9	+ IndexIgnore *
	10	+
	11	+ #EnableSendfile Off
	12	+ HostnameLookups Off
	13	+ ServerSignature Off
	14	+ AddDefaultCharset iso-8859-1
	15	+
	16	+ # Bloqueia acesso à qualquer arquivo ou diretório externo ao DocumentRoot
	17	+ <Directory />
	18	+ Order Deny,Allow
	19	+ Deny from all
	20	+ Options None
	21	+ AllowOverride None
	22	+ </Directory>
	23	+
	24	+ # Configura opções padrões dos diretórios da aplicação
	25	+ <Directory /var/www/html >
	26	+ Options -ExecCGI -MultiViews -Includes -Indexes FollowSymLinks
	27	+ AllowOverride None
	28	+
	29	+ Order Allow,Deny
	30	+ Allow from all
	31	+ </Directory>
	32	+
	33	+ # Remove acesso direto ao arquivo de configuração do SEI
	34	+ <Directory /var/www/html/sei >
	35	+ <Files "ConfiguracaoSEI.php" >
	36	+ Order allow,deny
	37	+ Deny from all
	38	+ </Files>
	39	+ </Directory>
	40	+
	41	+ # Remove acesso aos diretórios privados do SEI
	42	+ <Directory ~ "/var/www/html/sei/(upload\|ferramentas)" >
	43	+ Order allow,deny
	44	+ Deny from all
	45	+ </Directory>
	46	+
	47	+ # Remove acesso direto ao arquivo de configuração do SIP
	48	+ <Directory /var/www/html/sip >
	49	+ <Files "ConfiguracaoSip.php" >
	50	+ Order allow,deny
	51	+ Deny from all
	52	+ </Files>
	53	+ </Directory>
	54	+
	55	+ # Remove acesso aos diretórios privados do SIP
	56	+ <Directory /var/www/html/sip/upload >
	57	+ Order allow,deny
	58	+ Deny from all
	59	+ </Directory>
	60	+
	61	+</VirtualHost>