Thema: Apache2 mit ModSecurity (Debian Lenny)
Einzelnen Beitrag anzeigen
Alt 22.05.2011, 18:06   #2
Mitnick
Erfahrener Benutzer
Punkte: 7.600, Level: 58 Punkte: 7.600, Level: 58 Punkte: 7.600, Level: 58
Levelaufstieg: 25% Levelaufstieg: 25% Levelaufstieg: 25%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Anfänger Benutzer besitzt 1x Grundwissen
 
Benutzerbild von Mitnick
 
Registriert seit: 17.02.2009
Ort: Internet
Alter: 39
Beitr?ge: 193
Abgegebene Danke: 23
Erhielt 37 Danke für 9 Beiträge
Downloads: 37
Uploads: 0
Nachrichten: 208
Renommee-Modifikator:
297 Mitnick ist ein wunderbarer AnblickMitnick ist ein wunderbarer AnblickMitnick ist ein wunderbarer AnblickMitnick ist ein wunderbarer AnblickMitnick ist ein wunderbarer AnblickMitnick ist ein wunderbarer AnblickMitnick ist ein wunderbarer Anblick
Standard
Die Anleitung ist an sich okay. Jedoch würde ich noch einiges beachten!
Wer das teil auf einen Tracker einsetzt bekommt einiges an fehlern geschmissen 400 bis hin zu 501.
Daher empfiehlt es sich erstmal mod:security im debug laufen zu lassen.

Zuerst soll mal nichts blockiert, sondern nur geloggt werden:
vi /etc/apache2/modsecurity2/modsecurity_crs_10_config.conf
Diese Zeile folgendermaßen anpassen:
SecRuleEngine DetectionOnly
So werden alle potenziellen Gefahren und Warnungen zwar geloggt, aber noch nichts geblockt. Man sollte also das Modul erstmal eine Weile so laufen lassen, damit nicht zuviel geblockt wird, was evtl. garnicht erwünscht ist.
Jetzt muss natürlich der Apache neu geladen werden: /etc/init.d/apache2 reload
In der Datei /var/log/apache2/modsec_debug.log kann man nun nachsehen, was alles geblockt werden würde. Hier ein Beispiel:
[31/Jan/2010:12:15:23 +0100] [404-Fehler 404[rid#1125ac1][/test/index.php][1] Access denied with code 501 (phase 2). Pattern match “(?:b(?:.(?:ht(?:access|passwd|group)|www_?acl)|global.asa|httpd.conf|boot.ini)b|/etc/)” at ARGS:text. [file "/etc/apache2/modsecurity2/modsecurity_crs_40_generic_attacks.conf"] [line "114"] [id "950005"] [msg "Remote File Access Attempt"] [data "/etc/"] [severity "CRITICAL"] [tag "WEB_ATTACK/FILE_INJECTION"]
Jede dieser Regeln hat eine ID, in diesem Fall ist das z.B. die “950005″. So ist es möglich, später Ausnahmen für mod_security festzulegen.
Ausnahmen hinzufügen

Mit der oben ausgelesenen ID ist es nun möglich, Ausnahmen für bestimmte Seiten festzulegen. Am einfachsten ist es, ein neues Config-File mit einer Whitelist anzulegen:
vi /etc/apache2/modsecurity2/modsecurity_crs_99_whitelist.conf
<LocationMatch /test/index.php>
SecRuleRemoveById 950005
SecRuleRemoveById 950006
SecRuleRemoveById 950907
</LocationMatch>
Man kann die Ausnahmen alternativ auch in den <VirtualHost…>-Bereich der entsprechenden Apache Konfigurations-Datei eintragen. (/etc/apache2/sites-available/…). Die Syntax ist dann die gleiche wie im obigen Beispiel.
mod_security “scharf” schalten

Um unser Modul nun einzuschalten, und auch potenzielle Angriffe zu blockieren, muss die Konfiguration entsprechend angepasst werden:
vi /etc/apache2/modsecurity2/modsecurity_crs_10_config.conf
Ändern der Einstellung auf:
SecRuleEngine On

Quelle:
ITWelt.org - KnowHow zu Linux, Windows und Mac
__________________
Disk Error Drive A: - Wasser im Laufwerk
(Bitte abpumpen)

Wenn am Anfang alles schief geht, nenne es Version 1.0!


Ge?ndert von Bluesteel (24.05.2011 um 08:43 Uhr)
Mitnick ist offline   Mit Zitat antworten Nach oben