|
3 了解mod_security 配置文件
/etc/httpd/conf.d/mod_security.conf :mod_security模塊主配置文件
/etc/httpd/modsecurity.d/ - 配置文件目錄����。
/etc/httpd/modsecurity.d/modsecurity_crs_10_config.conf – 特別配置文件
/var/log/httpd/modsec_debug.log –調試文件日志��。
/var/log/httpd/modsec_audit.log ModSecurity報警信息文件����。
查看/etc/httpd/modsecurity.d/modsecurity_crs_10_config.conf 確保下面有一行:
SecRuleEngine On
4 設置mod_security
上述的步驟只是將Mod Security啟動而已��,但實際上并不會為你的web服務器做任何的防護動作;因此需要額外設定才會讓Mod Security發揮功能�,此部分將會對如何設定Mod Security做一個說明���。
下面開始介紹Mod Securit的四種主要的設定指令���。
(1)一般的設定���,包括裝規則引擎(rule engineer)開啟等基本指令�����,常見的設定如下:
#Basic configuration options
# 打開過濾引擎開關�����。如果是Off��,那么下面這些都不起作用了。
SecRuleEngine On
#配置是否讓ModSecurity默認處理或緩沖請求體
SecRequestBodyAccess On
#配置ModSecurity允許的最大請求體的緩存區大小
SecResponseBodyAccess On
#配置攔截文件存儲的目錄
SecUploadDir /opt/apache-fronted/tmp/
#配置是否保存事務處理后的攔截文件
SecUploadKeepFiles Off
#配置ModSecurity允許的最大請求體的緩存區
SecRequestBodyLimit 131072
#配置ModSecurity使用內存保存的最大請求體大小
SecRequestBodyInMemoryLimit 131072
#配置ModSecurity允許的最大請求體的緩存區大小��,除了請求中正在傳送的文件大小�。這項指令便于在受到某些使用大尺寸請求進行DoS攻擊時減少影響。提供上傳文件服務的WEB應用必須配置SecRequestBodyLimit為一個很大的值���。由于大文件直接進行磁盤文件存取,不會加大內存的消耗����。但是�����,仍然有可能有人利用超大請求體限制和發送大量大小的非上傳請求。該指令消除這一漏洞���。
SecResponseBodyLimit 524288
(2)設定Mod Security如何執行調試的日志部分,常見的設定如下:
#指定ModSecurity調試日志文件的路徑
SecDebugLog logs/modsec_debug.log
#配置冗長的調試日志數據
SecDebugLogLevel 0
(3) 設定Mod Security如何執行審計的日志部分��,常見的設定如下:
#定義主審計日志文件
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus ^5
SecAuditLogParts ABIFHZ
SecAuditLogType Serial
SecAuditLog logs/modsec_audit.log
(4) Rules
Mod Security最主要的設定部分��,是一個以事件為基礎的語言��。
語法:SecRule VARIABLES OPERATOR [ACTIONS]
VARIABLES:指定哪些變量要進行處理
OPERATOR:要如何處理這些變量取得我們想要的
ACTIONS (optional):當達到上述的處理時,要做什么動作
(5)Rule處理的階段
ModSecurity 2.x允許把規則置于下述五個階段之一:
請求頭(REQUEST_HEADERS) 階段
這個階段的規則會在apache完成請求頭的讀取后立即被執行(post-read-request階段)��,這時�����,還沒有讀取請求體,意味著不是所有的參數都可用。如果你必須讓規則盡早運行����,應把規則放在這個階段(在apache使用這個請求做某些事前)�,在請求體被讀取前做些事情����,從而決定是否緩存這個請求體,或者決定你將希望這個請求體如何被處理(如是否以XML格式解析或不解析)。
請求體(REQUEST_BODY) 階段
這是通用輸入分析階段�����,大部分傳統的應用規則不在這兒�,這個階段你肯定能收到參數(只有讀取過請求體后),在請求體階段,ModSecurity支持三種編碼類型�。
l application/x-www-form-urlencoded - used to transfer form data
l multipart/form-data - used for file transfers
l text/xml - used for passing XML data
大部分WEB應用還沒有使用其它的編碼方法��。
響應頭(RESPONSE_HEADERS) 階段
發生在響應頭被發送到客戶端之前,如果你想觀察響應發生前就在這兒運行,如果你想使用響應頭來決定你是否想緩存響應體也行。注意一些響應狀態碼(如404)在請求環的早期就被apache管理著��,我也無法觸發預期�����。加上apache在后面的勾子上雙增加了一些響應頭(如日期�����、服務器和連接信息等)���,這些我們無法觸發和審查���。在代理配置模式下或使用phase:5(logging)工作的較好�。
響應體(RESPONSE_BODY) 階段
這是通用輸出分析階段�����,這里你能運行規則截斷響應體(當然提供緩存)。這個階段你想檢查輸出的HTML信息公布、錯誤消息和失敗的驗證文字��。
記錄(LOGGING) 階段
在日志發生前運行的一個階段�,放在這個階段的規則只能影響日志記錄器如何執行,這個階段可以檢測apache記錄的錯誤消息,在這個階段你不能拒絕或阻斷連接,因為太遲了,這個階段也允許檢測其它的響應頭�,如那在phase:3或者phase:4階段中不可用的�。注意在這個階段���,你應當小心不要繼承破壞性的動作到規則中����,這樣的情況在ModSecurity2.5.0及其以后的版本中被當作配置錯誤。
圖-4是標準的apache請求流程���,5個ModSecurity處理階段顯示其中。因此�����,在rule的部分即可指定你要處理的哪一部份進行處理�����。
圖-4
(6)Rules 簡介
SecRule是ModSecurity主要的指令�,用于分析數據并根據結果執行動作��。通常規則的格式如下:
SecRule VARIABLES OPERATOR [ACTIONS]
l VARIABLES 規則中的變量
第一部分����,VARIABLES描述哪個變量被檢查���,舉個例子���,下述規則會拒絕URI中含有單詞dirty的事務�。
SecRule ARGS dirty
每條規則可以指定一個或多個變量
SecRule ARGS|REQUEST_HEADERS:User-Agent dirty
XPath格式是選擇操作的第三方支持格式�����。XPath格式僅能針對特殊變量XML使用���,只有請求體使用XML格式時可用�����。
SecRule XML:/xPath/Expression dirty
注意:不是所有的集合支持選擇操作格式類型,你需要參考各個集合的文檔來決定是否支持�����。
一些常見的變量:
ARGS�、ARGS_NAMES、ARGS_GET����、ARGS_GET_NAMES���、ARGS_POST���、ARGS_POST_NAMES
AUTH_TYPE
REQBODY_PROCESSOR��、REQBODY_PROCESSOR_ERROR
FILES、FILES_NAMES����、FILE_SIZES
REMOTE_ADDR��、REMOTE_HOST、REMOTE_PORT
REQUEST_BODY����、REQUEST_COOKIES�����、REQUEST_COOKIES_NAMES、REQUEST_FILENAME
RESPONSE_BODY
Rule中的變量部分可以一個以上����, 以”|”來區隔即可���,如果設定的規則超過多行��,則可用”\”來進行分隔。
l OPERATOR
第二部分���,OPERATOR描述如何進行檢查。OPERATOR是正則表達式(Regular Expression)��,但其實ModSecurity提供不少可用的OPERATOR�����,利用”@”即可指定要用何種OPERATOR���,例如SecRule REQUEST_URI “@rx iii”���。
以下是一些范例:
SecRule REMOTE_ADDR "^192\.168\.1\.101$"
REMOTE_ADDR:指定變量對象為遠程聯機的IP地址
"^192\.168\.1\.101$":針對上述的變量進行比對�,如果非192.168.1.101����,則符合��,可指定要做何種動作
SecRule ARGS "@validateUtf8Encoding"
ARGS:指定變數為http傳遞的參數
"@validateUtf8Encoding":指定OPERATOR為對這些參數進行Utf8編碼進行檢查
SecRule FILES_TMPNAMES "@inspectFile /path/to/inspect_script.pl"
FILES_TMPNAMES:指定變量為上傳檔案的暫存名稱
"@inspectFile /path/to/inspect_script.pl":指定利用inspect_script.pl檔案的語法來檢查上傳檔案
l ACTIONS
第三部分可選的��,ACTIONS,描述當操作進行成功的匹配一個變量時具體怎么做。指定如果VARIABLE有符合OPERATOR的情況時����,要執行何種動作���。ACTIONS主要區分為五種型態:
(1)Disruptive actions (中斷目前的處理)
deny�、drop���、redirect�����、proxy�����、pause…
(2)Non-disruptive actions (改變狀態)
Append、auditlog、exec…
(3)Flow actions (改變規則流動)
allow�、chain����、pass���、skip…
(4)Meta-data actions (包含規則的metadata)
id����、rev、severity、msg��、phase����、log, nolog、…
(5)Data actions (可放置內容給其它action用)
capture��、status����、t、xmlns…
如果有需要服務器的租用與托管的敬請聯系QQ:1501281758(億恩星辰) 聯系電話:0371—63322220
本文出自:億恩科技【www.czbl888.cn】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商�����!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
