|
3 了解mod_security 配置文件
/etc/httpd/conf.d/mod_security.conf :mod_security模塊主配置文件
/etc/httpd/modsecurity.d/ - 配置文件目錄。
/etc/httpd/modsecurity.d/modsecurity_crs_10_config.conf – 特別配置文件
/var/log/httpd/modsec_debug.log –調(diào)試文件日志���。
/var/log/httpd/modsec_audit.log ModSecurity報警信息文件����。
查看/etc/httpd/modsecurity.d/modsecurity_crs_10_config.conf 確保下面有一行:
SecRuleEngine On
4 設(shè)置mod_security
上述的步驟只是將Mod Security啟動而已�����,但實際上并不會為你的web服務(wù)器做任何的防護(hù)動作���;因此需要額外設(shè)定才會讓Mod Security發(fā)揮功能,此部分將會對如何設(shè)定Mod Security做一個說明�����。
下面開始介紹Mod Securit的四種主要的設(shè)定指令�����。
(1)一般的設(shè)定���,包括裝規(guī)則引擎(rule engineer)開啟等基本指令���,常見的設(shè)定如下:
#Basic configuration options
# 打開過濾引擎開關(guān)�。如果是Off����,那么下面這些都不起作用了。
SecRuleEngine On
#配置是否讓ModSecurity默認(rèn)處理或緩沖請求體
SecRequestBodyAccess On
#配置ModSecurity允許的最大請求體的緩存區(qū)大小
SecResponseBodyAccess On
#配置攔截文件存儲的目錄
SecUploadDir /opt/apache-fronted/tmp/
#配置是否保存事務(wù)處理后的攔截文件
SecUploadKeepFiles Off
#配置ModSecurity允許的最大請求體的緩存區(qū)
SecRequestBodyLimit 131072
#配置ModSecurity使用內(nèi)存保存的最大請求體大小
SecRequestBodyInMemoryLimit 131072
#配置ModSecurity允許的最大請求體的緩存區(qū)大小���,除了請求中正在傳送的文件大小����。這項指令便于在受到某些使用大尺寸請求進(jìn)行DoS攻擊時減少影響��。提供上傳文件服務(wù)的WEB應(yīng)用必須配置SecRequestBodyLimit為一個很大的值�。由于大文件直接進(jìn)行磁盤文件存取,不會加大內(nèi)存的消耗�。但是,仍然有可能有人利用超大請求體限制和發(fā)送大量大小的非上傳請求�。該指令消除這一漏洞。
SecResponseBodyLimit 524288
(2)設(shè)定Mod Security如何執(zhí)行調(diào)試的日志部分���,常見的設(shè)定如下:
#指定ModSecurity調(diào)試日志文件的路徑
SecDebugLog logs/modsec_debug.log
#配置冗長的調(diào)試日志數(shù)據(jù)
SecDebugLogLevel 0
(3) 設(shè)定Mod Security如何執(zhí)行審計的日志部分�,常見的設(shè)定如下:
#定義主審計日志文件
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus ^5
SecAuditLogParts ABIFHZ
SecAuditLogType Serial
SecAuditLog logs/modsec_audit.log
(4) Rules
Mod Security最主要的設(shè)定部分,是一個以事件為基礎(chǔ)的語言���。
語法:SecRule VARIABLES OPERATOR [ACTIONS]
VARIABLES:指定哪些變量要進(jìn)行處理
OPERATOR:要如何處理這些變量取得我們想要的
ACTIONS (optional):當(dāng)達(dá)到上述的處理時���,要做什么動作
(5)Rule處理的階段
ModSecurity 2.x允許把規(guī)則置于下述五個階段之一:
請求頭(REQUEST_HEADERS) 階段
這個階段的規(guī)則會在apache完成請求頭的讀取后立即被執(zhí)行(post-read-request階段),這時�,還沒有讀取請求體,意味著不是所有的參數(shù)都可用����。如果你必須讓規(guī)則盡早運行�����,應(yīng)把規(guī)則放在這個階段(在apache使用這個請求做某些事前)��,在請求體被讀取前做些事情���,從而決定是否緩存這個請求體�����,或者決定你將希望這個請求體如何被處理(如是否以XML格式解析或不解析)���。
請求體(REQUEST_BODY) 階段
這是通用輸入分析階段���,大部分傳統(tǒng)的應(yīng)用規(guī)則不在這兒,這個階段你肯定能收到參數(shù)(只有讀取過請求體后)��,在請求體階段��,ModSecurity支持三種編碼類型���。
l application/x-www-form-urlencoded - used to transfer form data
l multipart/form-data - used for file transfers
l text/xml - used for passing XML data
大部分WEB應(yīng)用還沒有使用其它的編碼方法�����。
響應(yīng)頭(RESPONSE_HEADERS) 階段
發(fā)生在響應(yīng)頭被發(fā)送到客戶端之前�����,如果你想觀察響應(yīng)發(fā)生前就在這兒運行��,如果你想使用響應(yīng)頭來決定你是否想緩存響應(yīng)體也行����。注意一些響應(yīng)狀態(tài)碼(如404)在請求環(huán)的早期就被apache管理著�,我也無法觸發(fā)預(yù)期��。加上apache在后面的勾子上雙增加了一些響應(yīng)頭(如日期��、服務(wù)器和連接信息等)����,這些我們無法觸發(fā)和審查�。在代理配置模式下或使用phase:5(logging)工作的較好。
響應(yīng)體(RESPONSE_BODY) 階段
這是通用輸出分析階段�,這里你能運行規(guī)則截斷響應(yīng)體(當(dāng)然提供緩存)。這個階段你想檢查輸出的HTML信息公布�����、錯誤消息和失敗的驗證文字�����。
記錄(LOGGING) 階段
在日志發(fā)生前運行的一個階段����,放在這個階段的規(guī)則只能影響日志記錄器如何執(zhí)行����,這個階段可以檢測apache記錄的錯誤消息�����,在這個階段你不能拒絕或阻斷連接�����,因為太遲了��,這個階段也允許檢測其它的響應(yīng)頭���,如那在phase:3或者phase:4階段中不可用的。注意在這個階段����,你應(yīng)當(dāng)小心不要繼承破壞性的動作到規(guī)則中,這樣的情況在ModSecurity2.5.0及其以后的版本中被當(dāng)作配置錯誤��。
圖-4是標(biāo)準(zhǔn)的apache請求流程����,5個ModSecurity處理階段顯示其中。因此��,在rule的部分即可指定你要處理的哪一部份進(jìn)行處理�����。
圖-4
(6)Rules 簡介
SecRule是ModSecurity主要的指令,用于分析數(shù)據(jù)并根據(jù)結(jié)果執(zhí)行動作�。通常規(guī)則的格式如下:
SecRule VARIABLES OPERATOR [ACTIONS]
l VARIABLES 規(guī)則中的變量
第一部分,VARIABLES描述哪個變量被檢查�����,舉個例子��,下述規(guī)則會拒絕URI中含有單詞dirty的事務(wù)�。
SecRule ARGS dirty
每條規(guī)則可以指定一個或多個變量
SecRule ARGS|REQUEST_HEADERS:User-Agent dirty
XPath格式是選擇操作的第三方支持格式。XPath格式僅能針對特殊變量XML使用����,只有請求體使用XML格式時可用。
SecRule XML:/xPath/Expression dirty
注意:不是所有的集合支持選擇操作格式類型��,你需要參考各個集合的文檔來決定是否支持�。
一些常見的變量:
ARGS�、ARGS_NAMES、ARGS_GET�、ARGS_GET_NAMES、ARGS_POST�、ARGS_POST_NAMES
AUTH_TYPE
REQBODY_PROCESSOR���、REQBODY_PROCESSOR_ERROR
FILES、FILES_NAMES���、FILE_SIZES
REMOTE_ADDR���、REMOTE_HOST、REMOTE_PORT
REQUEST_BODY�����、REQUEST_COOKIES�、REQUEST_COOKIES_NAMES、REQUEST_FILENAME
RESPONSE_BODY
Rule中的變量部分可以一個以上�����, 以”|”來區(qū)隔即可����,如果設(shè)定的規(guī)則超過多行,則可用”\”來進(jìn)行分隔����。
l OPERATOR
第二部分�,OPERATOR描述如何進(jìn)行檢查���。OPERATOR是正則表達(dá)式(Regular Expression)���,但其實ModSecurity提供不少可用的OPERATOR,利用”@”即可指定要用何種OPERATOR�,例如SecRule REQUEST_URI “@rx iii”。
以下是一些范例:
SecRule REMOTE_ADDR "^192\.168\.1\.101$"
REMOTE_ADDR:指定變量對象為遠(yuǎn)程聯(lián)機的IP地址
"^192\.168\.1\.101$":針對上述的變量進(jìn)行比對�����,如果非192.168.1.101�,則符合,可指定要做何種動作
SecRule ARGS "@validateUtf8Encoding"
ARGS:指定變數(shù)為http傳遞的參數(shù)
"@validateUtf8Encoding":指定OPERATOR為對這些參數(shù)進(jìn)行Utf8編碼進(jìn)行檢查
SecRule FILES_TMPNAMES "@inspectFile /path/to/inspect_script.pl"
FILES_TMPNAMES:指定變量為上傳檔案的暫存名稱
"@inspectFile /path/to/inspect_script.pl":指定利用inspect_script.pl檔案的語法來檢查上傳檔案
l ACTIONS
第三部分可選的����,ACTIONS,描述當(dāng)操作進(jìn)行成功的匹配一個變量時具體怎么做����。指定如果VARIABLE有符合OPERATOR的情況時,要執(zhí)行何種動作����。ACTIONS主要區(qū)分為五種型態(tài):
(1)Disruptive actions (中斷目前的處理)
deny、drop����、redirect、proxy�����、pause…
(2)Non-disruptive actions (改變狀態(tài))
Append��、auditlog���、exec…
(3)Flow actions (改變規(guī)則流動)
allow�����、chain���、pass、skip…
(4)Meta-data actions (包含規(guī)則的metadata)
id���、rev���、severity�、msg�����、phase�����、log, nolog�����、…
(5)Data actions (可放置內(nèi)容給其它action用)
capture�����、status��、t��、xmlns…
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【prubsntakaful.com】
服務(wù)器租用/服務(wù)器托管中國五強�����!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
