• 售前

  • 售后

热门帖子
入门百科

Apache下ModSecurity的安装启用与设置

[复制链接]
天使粉粉魏 显示全部楼层 发表于 2021-10-25 19:19:45 |阅读模式 打印 上一主题 下一主题
ModSecurity 是一个强大的包过滤工具,将查抄每一个进入web服务器的包。它将根据内部规则,比力每一个包,而且确定是否须要禁止这个包或继承发送给web服务器。
1、下载
modsecurity-apache: http://sourceforge.net/projects/mod-security/files/modsecurity-apache/
modsecurity-crs: http://sourceforge.net/projects/mod-security/files/modsecurity-crs/0-CURRENT/
2、安装
1)启用 mod_unique_id 模块
2)验证服务器安装了最新版本libxml2函数库
3)停止Apache httpd
4)解压
gzip -d modsecurity-apache_2.6.3.tag.gz
tar xvzf modsecurity-apache_2.6.3.tar
gzip -d modsecurity-core-rules_2.6.tar.gz
tar xvzf modsecurity-core-rules_2.6.tar.gz
5)设置
./configure
6)编译并测试ModSecurity
make
make test
7)安装
make install
修改 http.conf,启用ModSecurity,在httpd.conf文件添加:
LoadFile /usr/lib/libxml2.so
LoadModule security2_module modules/mod_security2.so
8)重启apache
到这里已经安装了ModSecurity,你可以检察设置指令文档:http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Reference_Manual
ubuntu上安装Apache2+ModSecurity及自界说WAF规则
固然VPS使用了云WAF功能,但还是有点小担心,为了双重保险,决定使用modsecurity来定制规则,以下先容如何为apache服务器设置ModSecurity防护罩(modsecurity目前也支持Nginx,IIS) 。
本次选择使用包管理器来安装,因为每次使用源码包的安装方式,都会被诡异的库依靠错误弄得发型都抓乱。
安装环境:
OS:Ubuntu 14.04.1 LTS
Apache: Apache/2.4.7 (Ubuntu)
第一步:安装apache
我发起安装Apache最好用apt-get安装,如许就可以少很多的库支持!!!!假如不嫌麻烦的话可以用源码安装
输入apt-get install apache2
假如提示没有这个软件包就更新一下软件包 apt-get install update
这步安装好了以后apache就可以提供服务了,输入127.0.0.1就可以访问当地网站了
第二步:安装modsecurity
这个也和上边的一样,使用
apt-get install libxml2 libxml2-dev libxml2-utils libaprutil1 libaprutil1-dev libapache2-modsecurity
安装好了以后就可以检察你的modsecurity的版本号是多少,使用
dpkg -s libapache2-modsecurity | grep Version
第三步 设置modsecurity
service apache2 reload
该下令生效后,会在/var/log/apache2/目次下天生modsecurity的日记文件modsec_audit.log
使用modsecurity核心规则集

将我们想起用的规则集放置在以下目次下
cd /usr/share/modsecurity-crs/activated_rules/
选择启用base规则集
for f in $(ls ../base_rules/); do ln -s ../base_rules/$f; done
修改apache模块设置,启用规则集
注意:modsecurity 2.7版本与2.6版本的设置文件有些区别
(1)2.7版本
vim /etc/apache2/mods-available/security2.conf
修改
  1. <IfModule security2_module>
  2. # Default Debian dir for modsecurity's persistent data
  3. SecDataDir /var/cache/modsecurity
  4. # Include all the *.conf files in /etc/modsecurity.
  5. # Keeping your local configuration in that directory
  6. # will allow for an easy upgrade of THIS file and
  7. # make your life easier
  8. IncludeOptional /etc/modsecurity/*.conf
  9. IncludeOptional /usr/share/modsecurity-crs/*.conf
  10. IncludeOptional /usr/share/modsecurity-crs/activated_rules/*.conf
  11. </IfModule>
复制代码
(2)2.6版本
‍‍vim /etc/apache2/mods-available/mod-security.conf‍‍
修改
Include /etc/modsecurity/*.conf
Include /usr/share/modsecurity-crs/*.conf
Include /usr/share/modsecurity-crs/activated_rules/*.conf
第四步:启用modsecurity模块
a2enmod headersa2enmod security2 (版本2.6: a2enmod mod-security)service apache2 restart
第五步:测试真实的攻击payload
看是否能拦截
http://www.tanjiti.com/?case=archive&act=orders&aid[typeid`%3D1%20and%20ord(mid((select/**/concat(username,0x3a,password)%20from%20cmseasy_user),1,1))%3C49%23]=1
我们发现哀求包被403拦截了,
可以检察modsecurity日记文件看详细的拦截环境
  1. tail /var/log/apache2/modsec_audit.log
  2. message: Access denied with code 403 (phase 2). Pattern match "(/\\*!?|\\*/|[&#039;;]--|--[\\s\\r\\n\\v\\f]|(?:--[^-]*?-)|([^\\-&])#.*?[\\s\\r\\n\\v\\f]|;?\\x00)" at ARGS_NAMES:aid[typeid`=1 and ord(mid((select/**/concat(username,0x3a,password) from cmseasy_user),1,1))
  3. <49#].
  4. [file "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "49"] [id "981231"] [rev "2"] [msg "SQL Comment Sequence Detected."] [data "Matched Data: /* found within ARGS_NAMES:aid[typeid`=1 and ord(mid((select/**/concat(username,0x3a,password) from cmseasy_user),1,1))<49#]: aid[typeid`=1 and ord(mid((select/**/concat(username,0x3a,password) from cmseasy_user),1,1))<49#]"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.8"] [maturity "8"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"]
复制代码
可以看到是被base规则集的modsecurity_crs_41_sql_injection_attacks.conf文件的规则981231拦截,掷中了SQL表明语句。
对于网站结构比力了解的站长们,完全可以自界说规则,特别是白名单规则来防护我们的网站。
第六步:自界说WAF规则
规则语法快速入门参考 ModSecurity SecRule cheatsheets
WAF规则实例1:上传文件名白名单,只允许上传图片文件
vim /usr/share/modsecurity-crs/activated_rules/MY.conf
添加规则
SecRule FILES "!\\.(?i:jpe?g|gif|png|bmp)$" "deny,tag:'WEB_ATTACK/FILEUPLOAD',msg:'upload no-picture file',id:0000001,phase:2"
测试,上传php文件
(http的使用参照HTTP发包工具 -HTTPie)
http www.tanjiti.com filename@a.php
我们可以看到哀求包被拦截,检察modsecurity日记
more /var/log/apache2/modsec_audit.log
可以看到掷中了规则0000001
Message: Access denied with code 403 (phase 2). Match of "rx \\.(?i:jpe?g|gif|png|bmp)$" against "FILES:filename" required. [file "/usr/share/modsecurity-crs/activated_rules/MY.conf"] [line "1"] [id "0000001"] [msg "upload no-picture file"] [tag "WEB_ATTACK/FILEUPLOAD"]
WAF规则实例2: 上传文件名中包罗%00进行阻断
vim /usr/share/modsecurity-crs/activated_rules/MY.conf
添加规则
SecRule FILES "@contains %00" "deny,tag:&#039;WEB_ATTACK/FILEUPLOAD',msg:'filename has null character',id:0000002,phase:2"
测试,上传文件名包罗%00的文件
http www.tanjiti.com filename@a.php%00.jpeg
我们可以看到哀求包被拦截,检察modsecurity日记
more /var/log/apache2/modsec_audit.log
可以看到掷中了规则0000002
Message: Access denied with code 403 (phase 2). String match "%00" at FILES:filename. [file "/usr/share/modsecurity-crs/activated_rules/MY.conf"] [line "2"] [id "0000002"] [msg "filename has null character"] [tag "WEB_ATTACK/FILEUPLOAD"]
非常简单吧,下一步,筹划先容一下nginx服务器的防护。
注意!!!!!!!!!!!!!!
一旦如许修改了以后,使用IP地点就表现403错误!!!!!!为了这个错误,搞了一天,在网上搜各种403错误就是不行,为什么呢????
检察errol.log 就可以发现,是modsecurity内里禁止了使用IP访问!!!!!!使用localhost就可以正常访问了。。。
以是,看日记是一个很告急的事儿

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作