|
3 了解mod_security 配置文件
/etc/httpd/conf.d/mod_security.conf :mod_security模塊主配置文件
/etc/httpd/modsecurity.d/ - 配置文件目錄����。
/etc/httpd/modsecurity.d/modsecurity_crs_10_config.conf – 特別配置文件
/var/log/httpd/modsec_debug.log –調試文件日志。
/var/log/httpd/modsec_audit.log ModSecurity報警信息文件�。
查看/etc/httpd/modsecurity.d/modsecurity_crs_10_config.conf 確保下面有一行:
SecRuleEngine On
4 設置mod_security
上述的步驟只是將Mod Security啟動而已����,但實際上并不會為你的web服務器做任何的防護動作����;因此需要額外設定才會讓Mod Security發揮功能,此部分將會對如何設定Mod Security做一個說明�����。
下面開始介紹Mod Securit的四種主要的設定指令����。
(1)一般的設定,包括裝規則引擎(rule engineer)開啟等基本指令�����,常見的設定如下:
#Basic configuration options
# 打開過濾引擎開關���。如果是Off�,那么下面這些都不起作用了。
SecRuleEngine On
#配置是否讓ModSecurity默認處理或緩沖請求體
SecRequestBodyAccess On
#配置ModSecurity允許的最大請求體的緩存區大小
SecResponseBodyAccess On
#配置攔截文件存儲的目錄
SecUploadDir /opt/apache-fronted/tmp/
#配置是否保存事務處理后的攔截文件
SecUploadKeepFiles Off
#配置ModSecurity允許的最大請求體的緩存區
SecRequestBodyLimit 131072
#配置ModSecurity使用內存保存的最大請求體大小
SecRequestBodyInMemoryLimit 131072
#配置ModSecurity允許的最大請求體的緩存區大小����,除了請求中正在傳送的文件大小。這項指令便于在受到某些使用大尺寸請求進行DoS攻擊時減少影響。提供上傳文件服務的WEB應用必須配置SecRequestBodyLimit為一個很大的值。由于大文件直接進行磁盤文件存取����,不會加大內存的消耗��。但是,仍然有可能有人利用超大請求體限制和發送大量大小的非上傳請求。該指令消除這一漏洞。
SecResponseBodyLimit 524288
(2)設定Mod Security如何執行調試的日志部分��,常見的設定如下:
#指定ModSecurity調試日志文件的路徑
SecDebugLog logs/modsec_debug.log
#配置冗長的調試日志數據
SecDebugLogLevel 0
(3) 設定Mod Security如何執行審計的日志部分���,常見的設定如下:
#定義主審計日志文件
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus ^5
SecAuditLogParts ABIFHZ
SecAuditLogType Serial
SecAuditLog logs/modsec_audit.log
(4) Rules
Mod Security最主要的設定部分���,是一個以事件為基礎的語言����。
語法:SecRule VARIABLES OPERATOR [ACTIONS]
VARIABLES:指定哪些變量要進行處理
OPERATOR:要如何處理這些變量取得我們想要的
ACTIONS (optional):當達到上述的處理時��,要做什么動作
(5)Rule處理的階段
ModSecurity 2.x允許把規則置于下述五個階段之一:
請求頭(REQUEST_HEADERS) 階段
這個階段的規則會在apache完成請求頭的讀取后立即被執行(post-read-request階段),這時,還沒有讀取請求體����,意味著不是所有的參數都可用��。如果你必須讓規則盡早運行,應把規則放在這個階段(在apache使用這個請求做某些事前),在請求體被讀取前做些事情�,從而決定是否緩存這個請求體�����,或者決定你將希望這個請求體如何被處理(如是否以XML格式解析或不解析)。
請求體(REQUEST_BODY) 階段
這是通用輸入分析階段,大部分傳統的應用規則不在這兒,這個階段你肯定能收到參數(只有讀取過請求體后)�,在請求體階段����,ModSecurity支持三種編碼類型。
l application/x-www-form-urlencoded - used to transfer form data
l multipart/form-data - used for file transfers
l text/xml - used for passing XML data
大部分WEB應用還沒有使用其它的編碼方法��。
響應頭(RESPONSE_HEADERS) 階段
發生在響應頭被發送到客戶端之前����,如果你想觀察響應發生前就在這兒運行��,如果你想使用響應頭來決定你是否想緩存響應體也行�。注意一些響應狀態碼(如404)在請求環的早期就被apache管理著����,我也無法觸發預期。加上apache在后面的勾子上雙增加了一些響應頭(如日期、服務器和連接信息等),這些我們無法觸發和審查����。在代理配置模式下或使用phase:5(logging)工作的較好�����。
響應體(RESPONSE_BODY) 階段
這是通用輸出分析階段,這里你能運行規則截斷響應體(當然提供緩存)。這個階段你想檢查輸出的HTML信息公布���、錯誤消息和失敗的驗證文字。
記錄(LOGGING) 階段
在日志發生前運行的一個階段��,放在這個階段的規則只能影響日志記錄器如何執行�,這個階段可以檢測apache記錄的錯誤消息,在這個階段你不能拒絕或阻斷連接�����,因為太遲了��,這個階段也允許檢測其它的響應頭���,如那在phase:3或者phase:4階段中不可用的��。注意在這個階段���,你應當小心不要繼承破壞性的動作到規則中���,這樣的情況在ModSecurity2.5.0及其以后的版本中被當作配置錯誤�。
圖-4是標準的apache請求流程,5個ModSecurity處理階段顯示其中���。因此,在rule的部分即可指定你要處理的哪一部份進行處理�����。
圖-4
(6)Rules 簡介
SecRule是ModSecurity主要的指令�,用于分析數據并根據結果執行動作。通常規則的格式如下:
SecRule VARIABLES OPERATOR [ACTIONS]
l VARIABLES 規則中的變量
第一部分�,VARIABLES描述哪個變量被檢查���,舉個例子�����,下述規則會拒絕URI中含有單詞dirty的事務。
SecRule ARGS dirty
每條規則可以指定一個或多個變量
SecRule ARGS|REQUEST_HEADERS:User-Agent dirty
XPath格式是選擇操作的第三方支持格式���。XPath格式僅能針對特殊變量XML使用,只有請求體使用XML格式時可用�����。
SecRule XML:/xPath/Expression dirty
注意:不是所有的集合支持選擇操作格式類型���,你需要參考各個集合的文檔來決定是否支持���。
一些常見的變量:
ARGS�����、ARGS_NAMES����、ARGS_GET���、ARGS_GET_NAMES�����、ARGS_POST�、ARGS_POST_NAMES
AUTH_TYPE
REQBODY_PROCESSOR�����、REQBODY_PROCESSOR_ERROR
FILES���、FILES_NAMES��、FILE_SIZES
REMOTE_ADDR、REMOTE_HOST��、REMOTE_PORT
REQUEST_BODY��、REQUEST_COOKIES��、REQUEST_COOKIES_NAMES、REQUEST_FILENAME
RESPONSE_BODY
Rule中的變量部分可以一個以上���, 以”|”來區隔即可,如果設定的規則超過多行����,則可用”\”來進行分隔。
l OPERATOR
第二部分,OPERATOR描述如何進行檢查����。OPERATOR是正則表達式(Regular Expression)�����,但其實ModSecurity提供不少可用的OPERATOR,利用”@”即可指定要用何種OPERATOR,例如SecRule REQUEST_URI “@rx iii”。
以下是一些范例:
SecRule REMOTE_ADDR "^192\.168\.1\.101$"
REMOTE_ADDR:指定變量對象為遠程聯機的IP地址
"^192\.168\.1\.101$":針對上述的變量進行比對,如果非192.168.1.101,則符合,可指定要做何種動作
SecRule ARGS "@validateUtf8Encoding"
ARGS:指定變數為http傳遞的參數
"@validateUtf8Encoding":指定OPERATOR為對這些參數進行Utf8編碼進行檢查
SecRule FILES_TMPNAMES "@inspectFile /path/to/inspect_script.pl"
FILES_TMPNAMES:指定變量為上傳檔案的暫存名稱
"@inspectFile /path/to/inspect_script.pl":指定利用inspect_script.pl檔案的語法來檢查上傳檔案
l ACTIONS
第三部分可選的���,ACTIONS,描述當操作進行成功的匹配一個變量時具體怎么做。指定如果VARIABLE有符合OPERATOR的情況時���,要執行何種動作。ACTIONS主要區分為五種型態:
(1)Disruptive actions (中斷目前的處理)
deny、drop、redirect���、proxy、pause…
(2)Non-disruptive actions (改變狀態)
Append����、auditlog�����、exec…
(3)Flow actions (改變規則流動)
allow、chain、pass�����、skip…
(4)Meta-data actions (包含規則的metadata)
id�、rev、severity、msg���、phase、log, nolog、…
(5)Data actions (可放置內容給其它action用)
capture、status、t��、xmlns…
如果有需要服務器的租用與托管的敬請聯系QQ:1501281758(億恩星辰) 聯系電話:0371—63322220
本文出自:億恩科技【www.zuiquanben.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商���!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
