Установка и настройка modsecurity 2

Про безопасность в интернет сказано уже пожалуй все. :-) И про методы защиты сервера, и про детекторы вторжений и про фаерволы, и про необходимость постоянного мониторинга уязвимостей в программном обеспечении и так далее. Все это верно, и все это правильно. Но в данной заметке я хочу описать один из наиболее эффективных инструментов для предотвращения атак на HTTP. Так называемый HTTP firewall. Это модуль для apache: modsecurity версии 2. Насчет установки и настройки предыдущей версии modsecurity есть очень хорошая статья Защита Web приложений с помощью Apache и mod_security. Но с тех пор вышла новая, полностью переписанная версия, которая имеет значительное количество усовершенствований. Одним из самых важных усовершенствований можно назвать пять фаз обработки пакетов. Это заголовок запроса, тело запроса, заголовок ответа, тело ответа, а также регистрация.

Итак, приступим!

Сайт модуля modsecurity находится по адресу http://www.modsecurity.org/ Версия modsecurity 2 работает только для apache 2.x. Для apache 1.3.x можно использовать только modsecurity 1.
Заходим в нашу любимую консоль и выполняем:
cd /usr/local/src
wget http://www.modsecurity.org/download/modsecurity-apache_2.1.1.tar.gz
tar zxvf modsecurity-apache_2.1.1.tar.gz
cd modsecurity-apache_2.1.1/apache2
теперь нам необходимо отредактировать файл Makefile. Его нужно подогнать под наш дистрибутив, а именно изменить строку: top_dir = /apps/apache22 на другую строку. В top_dir должен быть прописан тот же путь что и в файле httpd.conf нашего сервера apache. Узнать путь можно например вот так:
cat /etc/httpd/conf/httpd.conf | grep ServerRoot
И в выводе команды видно что наш путь /etc/httpd
Таким образом в файле Makefile меняем строку top_dir = /apps/apache22 на top_dir = /etc/httpd
При необходимости можно отключить поддержку xml. Просто в некоторых дистрибутивах сталкивался с многочисленными ошибками при попытке компиляции модуля вместе с xml. Для отключения поддержки xml делаем:
Ищем строку
DEFS = -DWITH_LIBXML2
и меняем на
# DEFS = -DWITH_LIBXML2
то есть комментируем ее. Таким образом мы выключили поддержку XML.
Сохраняемся и выходим.
Для успешной компиляции и работы нашего модуля нам необходимо доставить еще несколько пакетов. Это httpd-devel и libxml2.
Ставим:
yum install httpd-devel
yum install libxml2* это если поддержка xml не была отключена
после чего наконец-то компилируем modsecurity. Пишем:
make
Останавливаем apache:
service httpd stop
и уcтанавливаем модуль куда надо:
make install
Все на этом наш модуль modsecurity 2 установлен.
Теперь нам необходимо скачать правила для modsecurity 2.
Для этого нам необходимо создать каталог где мы будем хранить правила. Удобно это сделать в папке /etc/httpd/conf/modsecurity. Создаем каталог.
mkdir /etc/httpd/conf/modsecurity
Переходим туда, скачиваем и распаковываем:
cd /etc/httpd/conf/modsecurity
http://www.modsecurity.org/download/modsecurity-core-rules_2.1-1.4.tar.gz
tar zxvf modsecurity-core-rules_2.1-1.4.tar.gz
На этом правила для modsecurity 2 установлены.
Далее пойдет настройка.
Для работы modsecurity 2 также необходим модуль apache mod_unique_id.so. Загрузку модуля необходимо прописать в /etc/httpd/conf/httpd.conf. А также в том же файле необходимо прописать загрузку модуля mod_security2.so и модуля libxml2.so если не отключали поддержку xml. Ну и, конечно, необходимо прописать загрузку наших правил для modsecurity 2.
Открываем файл /etc/httpd/conf/httpd.conf, ищем чисто из эстетических соображений место где у нас грузятся модули для apache (хотя в общем то можем прописать где угодно) и там прописываем следующие строки:

LoadModule unique_id_module modules/mod_unique_id.so
LoadFile /usr/lib/libxml2.so
LoadModule security2_module modules/mod_security2.so
Include /etc/httpd/conf/modsecurity/*.conf

Сохраняемся, и перезапускаем сервер apache:
service httpd restart

И наслаждаемся улучшенной защитой нашего сервера. Насладится можно в лог файлах /var/log/httpd/modsec_audit.log
и /var/log/httpd/modsec_debug.log
Для введения более жестких правил для modsecurity 2 необходимо переписать правила в каталоге /etc/httpd/conf/modsecurity. Там же присутствует подкаталог blocking. Вот файлы из него и нужно переписать поверх тех, которые присутствуют в каталоге /etc/httpd/conf/modsecurity. Например вот так:
cp -f --reply=yes /etc/httpd/conf/modsecurity/blocking/* /etc/httpd/conf/modsecurity/

На этом моя краткая заметка по установке и базовой настройке такого замечательного инструмента как modsecurity 2 заканчивается. Надейсь что кому-нибудь она пригодится. Как всегда жду Ваших замечаний и отзывов.

Поэтому и фамилия жила то в

Опубликовано yaoigames в Сб, 28/01/2012 - 13:18.

Поэтому и фамилия жила то в Москве, то в Александрове, то в Севастополе, то в Юрьеве - Польском. Ее тятька, Казимир Антонович Лубны - Герцык, был инженером - путейцем, патроном фрагмента основывающейся Московско - Ярославской стойкой шоссе и по роду своей деятельности нередко переезжал с точки на местечко. Возрасты жизни: 1874 - 1925 Уродилась 16 февраля 1874 года в обедневшей дворянской фамилии, в какой переплелись польско - литовские и германо - шведские корни.

To Baxtiyor: К сожалению для

Опубликовано admin (не проверено) в Чт, 16/08/2007 - 08:07.

To Baxtiyor:
К сожалению для такого проекта просто нет времени сейчас. Sad

: ТЕИС, 1996. – М. 640 с. 4.

Опубликовано intrance в Пт, 20/01/2012 - 21:25.

: ТЕИС, 1996. – М. 640 с. 4. М Административное право РФ.

В одном из посланий Кюхельбекер признался: "По тятьке и матери я немец, но не по языку: до шести лет я не знал ни обещания по - немецки; прирожденный мой слог - русский... Барклаем-де-Толли.

Во-вторых, свежая общественная явь вызывает порой и надобность свежих ударений при разыскании традиционных для ударенного объединения проблем. Так, фазис решительных экономических и политических реорганизаций, совершающихся нынче в России, спрашивает специального внимания, например, к вопросам этнической психологии ( особливо в связи с обострением межнациональных конфликтов ), психологии предпринимательства ( в связи со становлением свежих форм собственности ) и др. Если исходить из того, что социальная психология, прежде всего, анализирует те закономерности человеческого поведения и деятельности, которые обусловлены фактом включения людей в реальные социальные группы, то первый эмпирический факт, с которым сталкивается эта наука, есть факт общения и взаимодействия людей. Методологический принцип включения именно содержательного рассмотрения социально - психологических вопросов продиктован в том количестве и общими надобностями. По которым уложениям эволюционируют сии процессы, чем детерминированы их разные формочки, какова их структура, наконец, которое местечко они развлекают во целой сложной системе человеческих отношений?

Если не будет трудно то

Опубликовано Baxtiyor (не проверено) в Втр, 14/08/2007 - 21:49.

Если не будет трудно то помогите более защитить новую узбекскую платежную систему которая скоро выйдет на свет. Дайте более лучшую систему безопасности. Спасибо. e-mail: baxtiyor@yandex.ru

Спасибо за добрые слова! Но

Опубликовано admin (не проверено) в Втр, 14/08/2007 - 08:31.

Спасибо за добрые слова! Но еще раз хочу сказать, что в заметке рассмотрена базовая установка этого замечательного пакета. На самом деле возможностей у него значительно больше.

, 1992. История иностранной

Опубликовано avtogl в Чт, 19/01/2012 - 04:37.

, 1992. История иностранной психологии ( 30 –60 гг ХХ в. – М. ).

Говорят: опека объ этомъ есть дъло собственно отцов... 1997, с.627 ]. а отцы не хотятъ или тоже не могутъ. "[Барсуков. Если въ нем не будутъ съять добрыхъ растенiй, въ немъ непремънно выростутъ худосочные...

«Грубо говоря, — пишет Хэнди, — они образуют рынок рабочей силы, на который работодатели выходят по необходимости и тогда, когда пожелают, платя этим людям как можно меньше». Сей листочек клевера, по Хэнди, мыслит собой эластичный часть трудящейся мощности братии — сотрудников, каких приглашают для того, чтобы обеспечить постоянное, круглосуточное и ежедневное функционирование предприятия или выполнение пиковых объемов работы. Хэнди регистрирует, что у менеджеров является искушение эксплуатировать подобных сотрудников, выплачивая им наименьшие вознаграждения за наибольшие объемы трудов, и советует шатии не допускать этого. Отдельные из сотрудников этой категории алкают выпасть из экой запряжки как можно скорее и подыскать себе стабильную работку — в качестве либо штатных работников, либо занятых полный рабочий день контрактников. Третий листочек — преходящие и отчасти захваченные работницы.

Дикэ, тенета умела сберегать

Опубликовано fotokrk в Пнд, 23/01/2012 - 00:23.

Дикэ, тенета умела сберегать норы, совершенные в морском грунте от разрушения или заполнения отстоем. Голландец Артур Дикэ ( Arthur Decae ) предложил "морскую" гипотезу, по какой тенета у первопауков родилась еще до того, как они стали сухопутными. В водной сфере, находит А.

он употребляет собственные сведения об Эвересте, чтобы «представить себе, как он мож. Акт воображения, намеревается Райл, умеет быть формочкой репетиции — предвосхищения будущего — или же формочкой имитации, но он, безусловно, не есть некое «внутреннее видение». Подобным типом, духовная цитадель приватности — «мир образов» — наконец оказывается не неприступной. Итак, большинство традиционных философских вопросов вообще не представляет настоящими вопросами.

border-bottom:solid

Опубликовано al_ulama в Втр, 31/01/2012 - 11:20.

border-bottom:solid windowtext 1.0pt; border-top:none;

Для более детального штудирования этого спроса следует рассмотреть поверхности суждения на плоскости стоимость - доход. В этом эпизоде суждение будет зависеть от дохода потребителя и поверхность суждения уже не будет располагаться в анализируемом пространстве параллельно оси доходов. Это обозначает, что себестоимость производства товара возрастает. Только за счет предоставления лишних услуг или повышения качества.

Г. Келина, о почтительном

Опубликовано korm_vrn в Сб, 04/02/2012 - 14:58.

Г. Келина, о почтительном касательстве законодателя к увлечениям пострадавшего и отвечает мишени восстановления общественной справедливости — наивысшей задаче вмешательства преступного закона'. Менялся лишь кружочек правонарушений, возбуждение занятия по каким зависело от сетования пострадавшего, да регулирование занятий неофициального обвинения было отложено к уголовно - процессуальному законодательству. Трансляция законодателем на усмотрение пострадавшего не отметки степени общей опасности сделанного правонарушения, а волеизъявления спроса о дорогах выхода из появившегося конфликта, свидетельствует, как правильно заметила С. Если пострадавший находит, что справедливость будет восстановлена в том эпизоде, когда виноватый родит ему извинения, вернуть стащенную вещь, восстановит сломанное добро и т. д., законодатель не должен настаивать на непреложном возбуждении уголовного дела. По влияющему преступному билю примирение с пострадавшим рассматривается как один из независимых внешностей освобождения от преступной ответственности.

Лирическая повесть о русской

Опубликовано marticon в Чт, 02/02/2012 - 18:06.

Лирическая повесть о русской деревеньке "Печаль полей" ( 1909 ), повести "Шевеления" ( 1910 ), "Пристав Дерябин" ( 1911 ), "Наклонная Элен" ( 1913 ), роман "Преображение" ( 1914, остальное звание - "Валя" ) являлись разные ряды русского объединения, объятого предреволюционным кризисом. В роме "Бабаев" ( 1907 ) написан тип крайнего индивидуалиста, сделавшегося карателем. Преждевременные создания С. -Ц. ( повесть "Сад", 1905, и др. ) проникнуты сопереживанием к трагической линии беспорточника - работягаа, религией в самолучшее будущее.

Нигде не смог найти более

Опубликовано Baxtiyor (не проверено) в Пнд, 13/08/2007 - 19:16.

Нигде не смог найти более удобный и практичный пример установки modsecurity спасибо большое автору.