ModSecurity и OWASP для CentOS 6 и Apache 2

ModSecurity - это межсетевой экран уровня веб-приложений, разработанный для работы с IIS, Apache2 и Nginx. Это бесплатное программное обеспечение с открытым исходным кодом, выпущенное под лицензией Apache 2.0. ModSecurity помогает защитить ваш веб-сервер, отслеживая и анализируя трафик вашего сайта. Он делает это в режиме реального времени для обнаружения и блокирования атак от большинства известных эксплойтов с использованием регулярных выражений. Сам по себе ModSecurity обеспечивает ограниченную защиту и опирается на наборы правил для максимальной защиты.

Основной набор правил (CRS) Open Security Project Project (OWASP) - это набор общих правил обнаружения атак, которые обеспечивают базовый уровень защиты для любого веб-приложения. Набор правил бесплатный, с открытым исходным кодом и в настоящее время спонсируется Spider Labs.

OWASP CRS обеспечивает:

  • Защита HTTP - обнаружение нарушений протокола HTTP и локальной политики использования.
  • Поиск в черном списке в режиме реального времени - использует репутацию сторонних IP.
  • HTTP Denial of Service Protection - защита от HTTP-затопления и медленных HTTP-атак DoS.
  • Common Web Attacks Protection - обнаружение распространенных атак безопасности веб-приложений.
  • Автоматическое обнаружение - обнаружение ботов, сканеров, сканеров и других злоумышленных действий на поверхности.
  • Интеграция с AV Scanning для загрузки файлов - обнаруживает вредоносные файлы, загруженные через веб-приложение.
  • Отслеживание конфиденциальных данных - отслеживает использование кредитных карт и блокирует утечки.
  • Троянская защита - Обнаруживает троянских коней.
  • Идентификация дефектов приложения - оповещения о неправильной конфигурации приложения.
  • Обнаружение и скрытие ошибок - маскировка сообщений об ошибках, отправленных сервером.

Монтаж

В этом руководстве показано, как установить наборы правил ModSecurity и OWASP в CentOS 6 под управлением Apache 2.

Во-первых, вы должны убедиться, что ваша система обновлена.

 yum -y update

Если вы не установили Apache 2, установите его сейчас.

 yum -y install httpd

Теперь вам нужно установить некоторые зависимости для работы ModSecurity. В зависимости от конфигурации вашего сервера, некоторые или все эти пакеты могут быть уже установлены. Yum установит пакеты, которых у вас нет, и сообщит вам, если какой-либо из пакетов уже установлен.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Измените каталог и загрузите исходный код с сайта ModSecuity. Текущая стабильная версия 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Распакуйте пакет и перейдите в его каталог.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Сконфигурируйте и скомпилируйте исходный код.

 ./configure
 make
 make install

Скопируйте файл конфигурации ModSecurity по умолчанию и файл отображения Unicode в каталог Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Настройте Apache для использования ModSecurity. Есть 2 способа сделать это.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... или используйте текстовый редактор, такой как nano:

 nano /etc/httpd/conf/httpd.conf

В нижней части этого файла в отдельной строке добавьте:

 LoadModule security2_module modules/mod_security2.so

Теперь вы можете запустить Apache и настроить его для запуска при загрузке.

 service httpd start
 chkconfig httpd on

Если до использования этого руководства у вас был установлен Apache, вам просто нужно перезапустить его.

 service httpd restart

Теперь вы можете скачать основной набор правил OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Теперь настройте набор правил OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Далее вам нужно добавить набор правил в конфигурацию Apache. Опять же, мы можем сделать это двумя способами.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... или с помощью текстового редактора:

 nano /etc/httpd/conf/httpd.conf

Внизу файла в отдельных строках добавьте:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Теперь перезапустите Apache.

 service httpd restart

Наконец, удалите установочные файлы.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Использование ModSecurity

По умолчанию ModSecurity работает в режиме только обнаружения, что означает, что он регистрирует все нарушения правил, но не предпринимает никаких действий. Это рекомендуется для новых установок, чтобы вы могли наблюдать за событиями, генерируемыми в журнале ошибок Apache. После просмотра журнала вы можете решить, следует ли вносить какие-либо изменения в набор правил или отключить правило (см. Ниже), прежде чем переходить в режим защиты.

Чтобы просмотреть журнал ошибок Apache:

 cat /var/log/httpd/error_log

Строка ModSecurity в журнале ошибок Apache разбита на девять элементов. Каждый элемент предоставляет информацию о том, почему событие было вызвано.

  • Первая часть сообщает, какой файл правил вызвал это событие.
  • Вторая часть сообщает, с какой строки в файле правил начинается правило.
  • Третий элемент говорит вам, какое правило сработало.
  • Четвертый элемент говорит вам о пересмотре правила.
  • Пятый элемент содержит специальные данные для целей отладки.
  • Шестой элемент определяет серьезность регистрации этого серьезности события.
  • Седьмой раздел описывает, какое действие произошло и на какой стадии оно произошло.

Обратите внимание, что некоторые элементы могут отсутствовать в зависимости от конфигурации вашего сервера.

Чтобы переключить ModSecurity в режим защиты, откройте файл conf в текстовом редакторе:

 nano /etc/httpd/conf.d/modsecurity.conf

... и изменить:

 SecRuleEngine DetectionOnly

чтобы:

 SecRuleEngine On

Если вы обнаружите какие-либо блоки во время работы ModSecurity, вам необходимо определить правило в журнале ошибок HTTP. Команда "tail" позволяет вам просматривать логи в режиме реального времени:

 tail -f /var/log/httpd/error_log

Повторите действие, вызвавшее блокировку, просматривая журнал.

Изменение набора правил / отключение идентификатора правила

Изменение набора правил выходит за рамки этого руководства.

Чтобы отключить определенное правило, вы определяете идентификатор правила, который находится в третьем элементе (например, [id = 200000]), а затем отключаете его в файле конфигурации Apache:

 nano /etc/httpd/conf/httpd.conf

... добавив следующее в конец файла с идентификатором правила:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Если вы обнаружите, что ModSecurity блокирует все действия на вашем веб-сайте, тогда «Основной набор правил», вероятно, находится в «автономном» режиме. Вам нужно изменить это на «Совместное обнаружение», которое обнаруживает и блокирует только аномалии. В то же время, вы можете посмотреть на «Автономные» опции и изменить их, если хотите.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Измените «обнаружение» на «Автономный».

Вы также можете настроить ModSecurity, чтобы разрешить ваш IP через брандмауэр веб-приложений (WAF) без регистрации:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... или с ведением журнала:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly


Leave a Comment

Как установить Anchor CMS на CentOS 7 LAMP VPS

Как установить Anchor CMS на CentOS 7 LAMP VPS

Используете другую систему? Anchor CMS - это сверхпростая и чрезвычайно легкая бесплатная система управления контентом (CMS) с открытым исходным кодом.

Как обновить CentOS 7, Ubuntu 16.04 и Debian 8

Как обновить CentOS 7, Ubuntu 16.04 и Debian 8

При настройке нового сервера Linux рекомендуется обновить ядро ​​системы и другие пакеты до последней стабильной версии. В этой статье

Как установить Backdrop CMS 1.8.0 на CentOS 7 LAMP VPS

Как установить Backdrop CMS 1.8.0 на CentOS 7 LAMP VPS

Используете другую систему? Backdrop CMS 1.8.0 - это простая и гибкая, удобная для мобильных устройств, бесплатная система с открытым исходным кодом (CMS), которая позволяет нам

Настройте Magento на CentOS 6

Настройте Magento на CentOS 6

Если вы хотите разместить свой инвентарь в Интернете или просто магазин технических аксессуаров, Magento - отличное решение для электронной коммерции в Интернете. Это статья

Как установить AirSonic на CentOS 7

Как установить AirSonic на CentOS 7

Используете другую систему? AirSonic - это бесплатный и потоковый сервер с открытым исходным кодом. В этом уроке я проведу вас через процесс развертывания

Как установить OrangeScrum на CentOS 7

Как установить OrangeScrum на CentOS 7

OrangeScrum - это бесплатный инструмент управления проектами с открытым исходным кодом, который широко используется в малом и среднем бизнесе. В этой статье я проведу вас через

Как установить и настроить OrientDB Community Edition для CentOS 7

Как установить и настроить OrientDB Community Edition для CentOS 7

OrientDB - это мультимодельная СУБД NoSQL с открытым исходным кодом нового поколения. Благодаря поддержке нескольких моделей данных OrientDB может обеспечить большую функциональность и гибкость в

Как установить Vtiger CRM с открытым исходным кодом на CentOS 7

Как установить Vtiger CRM с открытым исходным кодом на CentOS 7

Vtiger CRM - это популярное приложение для управления взаимоотношениями с клиентами, которое может помочь предприятиям увеличить продажи, обеспечить обслуживание клиентов и увеличить прибыль. я

Как установить MaraDNS на CentOS 6

Как установить MaraDNS на CentOS 6

MaraDNS - это легкая, но надежная программа с открытым исходным кодом для DNS-сервера. По сравнению с другими приложениями того же типа, такими как ISC BIND, PowerDNS и djbdns

Установка Netdata в CentOS 7

Установка Netdata в CentOS 7

Используете другую систему? Netdata - восходящая звезда в области мониторинга показателей системы в режиме реального времени. По сравнению с другими инструментами того же рода, Netdata:

Как установить Starbound Server в CentOS 7

Как установить Starbound Server в CentOS 7

Используете другую систему? В этом уроке я расскажу, как настроить сервер Starbound в CentOS 7. Предварительные условия Вы должны иметь эту игру на себе

Кластеризация RabbitMQ на CentOS 7

Кластеризация RabbitMQ на CentOS 7

RabbitMQ - это брокер сообщений с открытым исходным кодом, который поддерживает AMQP, STOMP и другие коммуникационные технологии. Широко используется в корпоративных приложениях

Настройка многопользовательского сервера SA-MP San Andreas на CentOS 6

Настройка многопользовательского сервера SA-MP San Andreas на CentOS 6

Добро пожаловать в другой учебник Vultr. Здесь вы узнаете, как установить и запустить сервер SAMP. Это руководство было написано для CentOS 6. Предварительные условия

Установите Elgg на CentOS 7

Установите Elgg на CentOS 7

Используете другую систему? Elgg - это движок социальных сетей с открытым исходным кодом, который позволяет создавать социальные среды, такие как социальные сети кампуса и

Установка Bolt CMS на CentOS 7

Установка Bolt CMS на CentOS 7

Bolt - это CMS с открытым исходным кодом, написанная на PHP. Исходный код Bolts размещен на GitHub. Это руководство покажет вам, как установить Bolt CMS на новую CentOS 7 Vult.

Как установить и использовать Apache PredictionIO для машинного обучения в CentOS 7

Как установить и использовать Apache PredictionIO для машинного обучения в CentOS 7

Традиционные подходы к анализу данных невозможно использовать, когда наборы данных достигают определенного размера. Современная альтернатива анализу огромных массивов данных, которые я

Как установить Elasticsearch на экземпляре Vultr CentOS 7 Server

Как установить Elasticsearch на экземпляре Vultr CentOS 7 Server

Elasticsearch - популярный движок полнотекстового поиска и аналитики с открытым исходным кодом. Благодаря своей универсальности, масштабируемости и простоте использования, Elasticsearch широко используется

Развертывание Kubernetes с помощью Kubeadm на CentOS 7

Развертывание Kubernetes с помощью Kubeadm на CentOS 7

Обзор Эта статья призвана помочь вам в кратчайшие сроки запустить и запустить кластер Kubernetes с помощью kubeadm. Это руководство будет развертывать два сервера, на

Настройте Sails.js для разработки на CentOS 7

Настройте Sails.js для разработки на CentOS 7

Используете другую систему? Введение Sails.js - это инфраструктура MVC для Node.js, аналогичная Ruby on Rails. Это делает для разработки современных приложений вер

Как установить PufferPanel (бесплатная панель управления Minecraft) на CentOS 7

Как установить PufferPanel (бесплатная панель управления Minecraft) на CentOS 7

Введение В этом руководстве мы будем устанавливать PufferPanel на нашем Vultr VPS. PufferPanel - это бесплатная панель управления с открытым исходным кодом для управления вами.

Изучение 26 методов анализа больших данных: часть 1

Изучение 26 методов анализа больших данных: часть 1

Изучение 26 методов анализа больших данных: часть 1

6 невероятных фактов о Nintendo Switch

6 невероятных фактов о Nintendo Switch

Многие из вас знают Switch, который выйдет в марте 2017 года, и его новые функции. Для тех, кто не знает, мы подготовили список функций, которые делают «Switch» обязательным гаджетом.

Технические обещания, которые все еще не выполнены

Технические обещания, которые все еще не выполнены

Вы ждете, когда технологические гиганты выполнят свои обещания? проверить, что осталось недоставленным.

Функциональные возможности уровней эталонной архитектуры больших данных

Функциональные возможности уровней эталонной архитектуры больших данных

Прочтите блог, чтобы узнать о различных уровнях архитектуры больших данных и их функциях самым простым способом.

Как ИИ может вывести автоматизацию процессов на новый уровень?

Как ИИ может вывести автоматизацию процессов на новый уровень?

Прочтите это, чтобы узнать, как искусственный интеллект становится популярным среди небольших компаний и как он увеличивает вероятность их роста и дает преимущество перед конкурентами.

CAPTCHA: как долго она может оставаться жизнеспособным методом различения между человеком и ИИ?

CAPTCHA: как долго она может оставаться жизнеспособным методом различения между человеком и ИИ?

CAPTCHA стало довольно сложно решать пользователям за последние несколько лет. Сможет ли он оставаться эффективным в обнаружении спама и ботов в ближайшем будущем?

Технологическая сингулярность: далекое будущее человеческой цивилизации?

Технологическая сингулярность: далекое будущее человеческой цивилизации?

По мере того, как наука развивается быстрыми темпами, принимая на себя большую часть наших усилий, также возрастает риск подвергнуться необъяснимой сингулярности. Прочтите, что может значить для нас необычность.

Телемедицина и удаленное здравоохранение: будущее уже здесь

Телемедицина и удаленное здравоохранение: будущее уже здесь

Что такое телемедицина, дистанционное здравоохранение и их влияние на будущее поколение? Это хорошее место или нет в ситуации пандемии? Прочтите блог, чтобы узнать мнение!

Вы когда-нибудь задумывались, как хакеры зарабатывают деньги?

Вы когда-нибудь задумывались, как хакеры зарабатывают деньги?

Возможно, вы слышали, что хакеры зарабатывают много денег, но задумывались ли вы когда-нибудь о том, как они зарабатывают такие деньги? Давайте обсудим.

Обновление дополнения к macOS Catalina 10.15.4 вызывает больше проблем, чем решает

Обновление дополнения к macOS Catalina 10.15.4 вызывает больше проблем, чем решает

Недавно Apple выпустила macOS Catalina 10.15.4, дополнительное обновление для исправления проблем, но похоже, что это обновление вызывает больше проблем, приводящих к поломке компьютеров Mac. Прочтите эту статью, чтобы узнать больше