CentOS 6 और Apache 2 पर मोडसिटी और OWASP

• स्थापना
• ModSecurity का उपयोग करना
• एक नियम को संशोधित करना / एक नियम आईडी को अक्षम करना

ModSecurity IIS, Apache2 और Nginx के साथ काम करने के लिए डिज़ाइन की गई एक वेब एप्लिकेशन परत फ़ायरवॉल है। यह अपाचे लाइसेंस 2.0 के तहत मुक्त, मुक्त स्रोत सॉफ्टवेयर है। ModSecurity आपके वेब ट्रैफ़िक की निगरानी और विश्लेषण करके आपके वेब सर्वर को सुरक्षित रखने में मदद करता है। यह नियमित अभिव्यक्तियों का उपयोग करके अधिकांश ज्ञात कारनामों से हमलों का पता लगाने और ब्लॉक करने के लिए वास्तविक समय में करता है। अपने दम पर, ModSecurity सीमित सुरक्षा देता है और सुरक्षा को अधिकतम करने के लिए नियमों पर निर्भर करता है।

ओपन वेब एप्लीकेशन सिक्योरिटी प्रोजेक्ट (OWASP) कोर रूल सेट (CRS) जेनेरिक अटैक डिटेक्शन नियमों का एक सेट है जो किसी भी वेब एप्लिकेशन के लिए आधार स्तर की सुरक्षा प्रदान करता है। नियम मुक्त, खुला स्रोत है, और वर्तमान में स्पाइडर लैब्स द्वारा प्रायोजित है।

OWASP CRS प्रदान करता है:

• HTTP सुरक्षा - HTTP प्रोटोकॉल के उल्लंघन और स्थानीय रूप से परिभाषित उपयोग नीति का पता लगाना।
• रीयल-टाइम ब्लैकलिस्ट लुकअप - 3rd पार्टी आईपी प्रतिष्ठा का उपयोग करता है।
• HTTP सुरक्षा सेवा की सुरक्षा - HTTP बाढ़ और धीमे HTTP DoS हमलों से बचाव।
• सामान्य वेब अटैक प्रोटेक्शन - सामान्य वेब एप्लिकेशन सुरक्षा हमलों का पता लगाना।
• स्वचालन का पता लगाने - बॉट, क्रॉलर, स्कैनर और अन्य सतह की दुर्भावनापूर्ण गतिविधि का पता लगाना।
• फ़ाइल अपलोड के लिए AV स्कैनिंग के साथ एकीकरण - वेब एप्लिकेशन के माध्यम से अपलोड की गई दुर्भावनापूर्ण फ़ाइलों का पता लगाता है।
• ट्रैकिंग संवेदनशील डेटा - क्रेडिट कार्ड के उपयोग को ट्रैक करता है और रिसाव को रोकता है।
• ट्रोजन संरक्षण - ट्रोजन हॉर्स का पता लगाता है।
• एप्लिकेशन की पहचान की पहचान - एप्लिकेशन के गलत कॉन्फ़िगरेशन पर अलर्ट।
• त्रुटि का पता लगाना और छिपाना - सर्वर द्वारा भेजे गए त्रुटि संदेशों को अस्वीकार करना।

स्थापना

यह मार्गदर्शिका आपको दिखाती है कि अपाचे 2 चलाने वाले CentOS 6 पर मॉडसैक्विटी और OWASP नियम कैसे स्थापित करें।

सबसे पहले, आपको यह सुनिश्चित करने की आवश्यकता है कि आपका सिस्टम अद्यतित है।

 yum -y update

यदि आपने अपाचे 2 स्थापित नहीं किया है, तो अब इसे स्थापित करें।

 yum -y install httpd

अब आपको काम करने के लिए ModSecurity के लिए कुछ निर्भरताएँ स्थापित करने की आवश्यकता है। आपके सर्वर कॉन्फ़िगरेशन के आधार पर, इनमें से कुछ या सभी पैकेज पहले से ही इंस्टॉल किए जा सकते हैं। यम आपके पास मौजूद पैकेजों को स्थापित करेगा और यदि कोई भी पैकेज पहले से स्थापित है तो आपको सूचित करेगा।

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

निर्देशिका बदलें और ModSecuity वेबसाइट से स्रोत कोड डाउनलोड करें। वर्तमान स्थिर संस्करण 2.8 है।

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

पैकेज निकालें और इसकी निर्देशिका में बदलें।

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

स्रोत कोड को कॉन्फ़िगर और संकलित करें।

 ./configure
 make
 make install

अपाचे निर्देशिका के लिए डिफ़ॉल्ट मोडसुरिटी कॉन्फ़िगरेशन और यूनिकोड मैपिंग फ़ाइल की प्रतिलिपि बनाएँ।

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

ModSecurity का उपयोग करने के लिए Apache कॉन्फ़िगर करें। 2 तरीके हैं जो आप ऐसा कर सकते हैं।

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... या नैनो की तरह एक पाठ संपादक का उपयोग करें:

 nano /etc/httpd/conf/httpd.conf

उस फ़ाइल के निचले भाग पर, एक अलग रेखा पर इसे जोड़ें:

 LoadModule security2_module modules/mod_security2.so

अब आप Apache शुरू कर सकते हैं और इसे बूट पर शुरू करने के लिए कॉन्फ़िगर कर सकते हैं।

 service httpd start
 chkconfig httpd on

यदि आपने इस गाइड का उपयोग करने से पहले Apache स्थापित किया था, तो आपको इसे पुनः आरंभ करने की आवश्यकता है।

 service httpd restart

अब आप OWASP कोर नियम सेट डाउनलोड कर सकते हैं।

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

अब OWASP नियमों को कॉन्फ़िगर करें।

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

इसके बाद, आपको अपाचे कॉन्फ़िगरेशन में नियमों को जोड़ना होगा। फिर से हम इसे दो तरीकों से कर सकते हैं।

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... या एक पाठ संपादक के साथ:

 nano /etc/httpd/conf/httpd.conf

अलग लाइनों पर फ़ाइल के निचले भाग में इसे जोड़ें:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

अब अपाचे को रीस्टार्ट करें।

 service httpd restart

अंत में, स्थापना फ़ाइलों को हटा दें।

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

ModSecurity का उपयोग करना

डिफ़ॉल्ट रूप से, ModSecurity डिटेक्शन-ओनली मोड में चलता है, जिसका अर्थ है कि यह सभी नियम विराम को लॉग करेगा लेकिन कोई कार्रवाई नहीं करेगा। यह नई स्थापनाओं के लिए अनुशंसित है ताकि आप अपाचे त्रुटि लॉग में उत्पन्न घटनाओं को देख सकें। लॉग की समीक्षा करने के बाद, आप तय कर सकते हैं कि सुरक्षा मोड में जाने से पहले नियम में कोई संशोधन या नियम को अक्षम करना (नीचे देखें)।

अपाचे त्रुटि लॉग देखने के लिए:

 cat /var/log/httpd/error_log

अपाचे त्रुटि लॉग में ModSecurity लाइन को नौ तत्वों में तोड़ा गया है। प्रत्येक तत्व इस बारे में जानकारी प्रदान करता है कि ईवेंट को क्यों ट्रिगर किया गया था।

• पहला भाग बताता है कि किस नियम फ़ाइल ने इस घटना को ट्रिगर किया।
• दूसरा भाग बताता है कि नियम फ़ाइल में कौन सी रेखा नियम को शुरू करती है।
• तीसरा तत्व आपको बताता है कि किस नियम को ट्रिगर किया गया था।
• चौथा तत्व आपको नियम का संशोधन बताता है।
• पांचवें तत्व में डीबगिंग उद्देश्यों के लिए विशेष डेटा शामिल है।
• छठा तत्व इस घटना की गंभीरता की लॉगिंग गंभीरता को परिभाषित करता है।
• सातवाँ खंड बताता है कि क्या क्रिया हुई और किस चरण में हुई।

ध्यान दें कि कुछ तत्व आपके सर्वर के कॉन्फ़िगरेशन के आधार पर अनुपस्थित हो सकते हैं।

मोड से सुरक्षा को मोड में बदलने के लिए, टेक्स्ट एडिटर में कंफर्ट फाइल खोलें:

 nano /etc/httpd/conf.d/modsecurity.conf

... और परिवर्तन:

 SecRuleEngine DetectionOnly

सेवा:

 SecRuleEngine On

यदि आप किसी भी ब्लॉक का सामना करते हैं जब ModSecurity चल रहा होता है, तो आपको HTTP त्रुटि लॉग में नियम की पहचान करने की आवश्यकता होती है। "टेल" कमांड आपको वास्तविक समय में लॉग देखने की अनुमति देता है:

 tail -f /var/log/httpd/error_log

लॉग को देखते हुए ब्लॉक के कारण कार्रवाई को दोहराएं।

एक नियम को संशोधित करना / एक नियम आईडी को अक्षम करना

एक नियम को संशोधित करना इस ट्यूटोरियल के दायरे से परे है।

किसी विशिष्ट नियम को अक्षम करने के लिए, आप नियम आईडी की पहचान करते हैं जो तीसरे तत्व में है (उदाहरण के लिए [आईडी = 200000]) और फिर इसे अपाचे कॉन्फ़िगरेशन फ़ाइल में अक्षम करें:

 nano /etc/httpd/conf/httpd.conf

... नियम आईडी के साथ फाइल के नीचे निम्नलिखित जोड़कर:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

यदि आप पाते हैं कि ModSecurity आपकी वेबसाइट पर सभी कार्रवाइयों को रोक रहा है, तो "Core Rule Set" संभवतः "सेल्फ-कॉनटैन्ड" मोड में है। आपको इसे "सहयोगात्मक जांच" में बदलने की आवश्यकता है, जो केवल विसंगतियों का पता लगाता है और उन्हें अवरुद्ध करता है। उसी समय, आप "स्व-नियंत्रित" विकल्पों को देख सकते हैं और यदि आप ऐसा करना चाहते हैं तो उन्हें बदल सकते हैं।

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

"डिटेक्शन" को "सेल्फ-कंटेस्टेड" में बदलें।

आप बिना लॉग-इन किए वेब एप्लिकेशन फ़ायरवॉल (WAF) के माध्यम से अपने IP को अनुमति देने के लिए ModSecurity कॉन्फ़िगर कर सकते हैं:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... या लॉगिंग के साथ:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly