security: hardening contra 7 vectores de ataque identificados
Análisis ofensivo → defensas implementadas:
1. /health/history sin auth (CRÍTICO)
- Requiere Bearer token (HEALTH_AUTH_TOKEN en .env)
- chat_ids enmascarados como hash SHA256[:8] opaco ("usr_a3b4c5d6")
- Accesos denegados loggeados con IP + User-Agent
2. /health revela inteligencia operacional (MEDIO)
- Sin auth: solo {"status", "timestamp"} — sin conteo de tenants ni timing
- Con auth: respuesta completa con métricas internas
- Misma URL, auth desbloquea detalle
3. Variables sensibles en proceso env (CRÍTICO)
- Después de cargar Settings(), se limpian FERNET_KEY, TELEGRAM_BOT_TOKEN,
PJ_USUARIO_ENC, PJ_PASSWORD_ENC, WEBHOOK_SECRET, HEALTH_AUTH_TOKEN, INVITE_CODE
- Protege contra /proc/<pid>/environ y herencia por subprocesos
4. Race condition TOCTOU en invite codes (MEDIO)
- SELECT+UPDATE reemplazado por UPDATE WHERE usado=0
- rowcount=0 → False; imposible que dos requests simultáneos consuman el mismo código
5. Timing oracle en invite codes (BAJO-MEDIO)
- Delay mínimo de 800ms en _paso_codigo() independientemente del resultado
- secrets.compare_digest() para comparación del código del .env
6. Information disclosure en respuestas a no-registrados (BAJO)
- _rechazar_no_registrado: "Para usar este bot escribí /start." (sin revelar comandos)
- handle_texto_libre: silencio total para usuarios sin registro (no confirmar que el bot existe)
7. Nginx rate limiting (DEPLOY.md)
- limit_req_zone pedrito_webhook: 30r/s, burst=50
- limit_req_zone pedrito_health: 10r/m, burst=5
- Headers de seguridad: X-Content-Type-Options, X-Frame-Options
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
This commit is contained in:
28
DEPLOY.md
28
DEPLOY.md
@@ -429,6 +429,9 @@ WEBHOOK_SECRET= # ← dejar vacío por ahora, completar en el pas
|
||||
# ── HEALTH CHECK ─────────────────────────────────────────────────────────────
|
||||
HEALTH_PORT=8080 # dejar así
|
||||
HEALTH_ALERT_HOURS=2 # alerta al admin si el poller no actualizó en 2 horas
|
||||
# Token para /health (detallado) y /health/history — generar con:
|
||||
# python3 -c "import secrets; print(secrets.token_hex(32))"
|
||||
HEALTH_AUTH_TOKEN= # ← COMPLETAR (recomendado)
|
||||
|
||||
# ── POLLING ──────────────────────────────────────────────────────────────────
|
||||
POLL_INTERVAL_MINUTES=60 # revisar el PJ cada 60 minutos
|
||||
@@ -577,6 +580,14 @@ Pegar **exactamente** este contenido (reemplazá el nombre de dominio si usás u
|
||||
# /etc/nginx/sites-available/pedrito
|
||||
# Reverse proxy para Pedrito Hechakuaa
|
||||
|
||||
# ── Rate limiting ─────────────────────────────────────────────────────────────
|
||||
# Limita requests por IP para mitigar escaneo automatizado y ataques de fuerza bruta.
|
||||
# La zona se define fuera del bloque server (en el contexto http).
|
||||
# Si tenés otros sites en este Nginx, mover estas líneas a /etc/nginx/nginx.conf
|
||||
# dentro del bloque http { }.
|
||||
limit_req_zone $binary_remote_addr zone=pedrito_webhook:10m rate=30r/s;
|
||||
limit_req_zone $binary_remote_addr zone=pedrito_health:10m rate=10r/m;
|
||||
|
||||
server {
|
||||
listen 80;
|
||||
server_name pedrito.inqualityhq.com;
|
||||
@@ -594,14 +605,19 @@ server {
|
||||
include /etc/letsencrypt/options-ssl-nginx.conf;
|
||||
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
|
||||
|
||||
# Seguridad: no exponer versión de Nginx
|
||||
# Seguridad: no exponer versión de Nginx ni headers informativos
|
||||
server_tokens off;
|
||||
add_header X-Content-Type-Options nosniff;
|
||||
add_header X-Frame-Options DENY;
|
||||
|
||||
# Tamaño máximo de payload (Telegram puede enviar archivos)
|
||||
client_max_body_size 20M;
|
||||
|
||||
# ── Health check (acceso público para monitoreo) ──────────────────────────
|
||||
# ── Health check ──────────────────────────────────────────────────────────
|
||||
# /health es público (respuesta mínima sin datos sensibles)
|
||||
# /health/history requiere Bearer token — el bot lo rechaza sin él
|
||||
location /health {
|
||||
limit_req zone=pedrito_health burst=5 nodelay;
|
||||
proxy_pass http://127.0.0.1:8080/health;
|
||||
proxy_set_header Host $host;
|
||||
proxy_set_header X-Real-IP $remote_addr;
|
||||
@@ -609,25 +625,31 @@ server {
|
||||
}
|
||||
|
||||
location /health/history {
|
||||
limit_req zone=pedrito_health burst=3 nodelay;
|
||||
proxy_pass http://127.0.0.1:8080/health/history;
|
||||
proxy_set_header Host $host;
|
||||
proxy_set_header X-Real-IP $remote_addr;
|
||||
# Pasar Authorization header para que el bot pueda validar el Bearer token
|
||||
proxy_set_header Authorization $http_authorization;
|
||||
proxy_read_timeout 10s;
|
||||
}
|
||||
|
||||
# ── Webhook de Telegram ───────────────────────────────────────────────────
|
||||
# Solo Telegram envía aquí — los IPs de Telegram son bien conocidos (149.154.x, 91.108.x)
|
||||
# El bot valida el X-Telegram-Bot-Api-Secret-Token internamente
|
||||
location /webhook {
|
||||
limit_req zone=pedrito_webhook burst=50 nodelay;
|
||||
proxy_pass http://127.0.0.1:8080/webhook;
|
||||
proxy_set_header Host $host;
|
||||
proxy_set_header X-Real-IP $remote_addr;
|
||||
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
|
||||
proxy_set_header X-Forwarded-Proto $scheme;
|
||||
# Pasar el header de autenticación del webhook de Telegram
|
||||
proxy_set_header X-Telegram-Bot-Api-Secret-Token $http_x_telegram_bot_api_secret_token;
|
||||
proxy_read_timeout 30s;
|
||||
}
|
||||
|
||||
# ── Denegar cualquier otra ruta ───────────────────────────────────────────
|
||||
# Respuesta genérica — no revelar que hay un bot ni su propósito
|
||||
location / {
|
||||
return 404;
|
||||
}
|
||||
|
||||
Reference in New Issue
Block a user