Изучение 26 методов анализа больших данных: часть 1
Изучение 26 методов анализа больших данных: часть 1
ModSecurity - это межсетевой экран уровня веб-приложений, разработанный для работы с IIS, Apache2 и Nginx. Это бесплатное программное обеспечение с открытым исходным кодом, выпущенное под лицензией Apache 2.0. ModSecurity помогает защитить ваш веб-сервер, отслеживая и анализируя трафик вашего сайта. Он делает это в режиме реального времени для обнаружения и блокирования атак от большинства известных эксплойтов с использованием регулярных выражений. Сам по себе ModSecurity обеспечивает ограниченную защиту и опирается на наборы правил для максимальной защиты.
Основной набор правил (CRS) Open Security Project Project (OWASP) - это набор общих правил обнаружения атак, которые обеспечивают базовый уровень защиты для любого веб-приложения. Набор правил бесплатный, с открытым исходным кодом и в настоящее время спонсируется Spider Labs.
OWASP CRS обеспечивает:
В этом руководстве показано, как установить наборы правил ModSecurity и OWASP в CentOS 6 под управлением Apache 2.
Во-первых, вы должны убедиться, что ваша система обновлена.
yum -y update
Если вы не установили Apache 2, установите его сейчас.
yum -y install httpd
Теперь вам нужно установить некоторые зависимости для работы ModSecurity. В зависимости от конфигурации вашего сервера, некоторые или все эти пакеты могут быть уже установлены. Yum установит пакеты, которых у вас нет, и сообщит вам, если какой-либо из пакетов уже установлен.
yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel
Измените каталог и загрузите исходный код с сайта ModSecuity. Текущая стабильная версия 2.8.
cd /opt/
wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
Распакуйте пакет и перейдите в его каталог.
tar xzfv modsecurity-2.8.0.tar.gz
cd modsecurity-2.8.0
Сконфигурируйте и скомпилируйте исходный код.
./configure
make
make install
Скопируйте файл конфигурации ModSecurity по умолчанию и файл отображения Unicode в каталог Apache.
cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
cp unicode.mapping /etc/httpd/conf.d/
Настройте Apache для использования ModSecurity. Есть 2 способа сделать это.
echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf
... или используйте текстовый редактор, такой как nano:
nano /etc/httpd/conf/httpd.conf
В нижней части этого файла в отдельной строке добавьте:
LoadModule security2_module modules/mod_security2.so
Теперь вы можете запустить Apache и настроить его для запуска при загрузке.
service httpd start
chkconfig httpd on
Если до использования этого руководства у вас был установлен Apache, вам просто нужно перезапустить его.
service httpd restart
Теперь вы можете скачать основной набор правил OWASP.
cd /etc/httpd
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
Теперь настройте набор правил OWASP.
cd modsecurity-crs
cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf
Далее вам нужно добавить набор правил в конфигурацию Apache. Опять же, мы можем сделать это двумя способами.
echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf
... или с помощью текстового редактора:
nano /etc/httpd/conf/httpd.conf
Внизу файла в отдельных строках добавьте:
Include modsecurity-crs/modsecurity_crs_10_config.conf
Include modsecurity-crs/base_rules/*.conf
Теперь перезапустите Apache.
service httpd restart
Наконец, удалите установочные файлы.
yum erase /opt/modsecurity-2.8.0
yum erase /opt/modsecurity-2.8.0.tar.gz
По умолчанию ModSecurity работает в режиме только обнаружения, что означает, что он регистрирует все нарушения правил, но не предпринимает никаких действий. Это рекомендуется для новых установок, чтобы вы могли наблюдать за событиями, генерируемыми в журнале ошибок Apache. После просмотра журнала вы можете решить, следует ли вносить какие-либо изменения в набор правил или отключить правило (см. Ниже), прежде чем переходить в режим защиты.
Чтобы просмотреть журнал ошибок Apache:
cat /var/log/httpd/error_log
Строка ModSecurity в журнале ошибок Apache разбита на девять элементов. Каждый элемент предоставляет информацию о том, почему событие было вызвано.
Обратите внимание, что некоторые элементы могут отсутствовать в зависимости от конфигурации вашего сервера.
Чтобы переключить ModSecurity в режим защиты, откройте файл conf в текстовом редакторе:
nano /etc/httpd/conf.d/modsecurity.conf
... и изменить:
SecRuleEngine DetectionOnly
чтобы:
SecRuleEngine On
Если вы обнаружите какие-либо блоки во время работы ModSecurity, вам необходимо определить правило в журнале ошибок HTTP. Команда "tail" позволяет вам просматривать логи в режиме реального времени:
tail -f /var/log/httpd/error_log
Повторите действие, вызвавшее блокировку, просматривая журнал.
Изменение набора правил выходит за рамки этого руководства.
Чтобы отключить определенное правило, вы определяете идентификатор правила, который находится в третьем элементе (например, [id = 200000]), а затем отключаете его в файле конфигурации Apache:
nano /etc/httpd/conf/httpd.conf
... добавив следующее в конец файла с идентификатором правила:
<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>
Если вы обнаружите, что ModSecurity блокирует все действия на вашем веб-сайте, тогда «Основной набор правил», вероятно, находится в «автономном» режиме. Вам нужно изменить это на «Совместное обнаружение», которое обнаруживает и блокирует только аномалии. В то же время, вы можете посмотреть на «Автономные» опции и изменить их, если хотите.
nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf
Измените «обнаружение» на «Автономный».
Вы также можете настроить ModSecurity, чтобы разрешить ваш IP через брандмауэр веб-приложений (WAF) без регистрации:
SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off
... или с ведением журнала:
SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly
Изучение 26 методов анализа больших данных: часть 1
Многие из вас знают Switch, который выйдет в марте 2017 года, и его новые функции. Для тех, кто не знает, мы подготовили список функций, которые делают «Switch» обязательным гаджетом.
Вы ждете, когда технологические гиганты выполнят свои обещания? проверить, что осталось недоставленным.
Прочтите блог, чтобы узнать о различных уровнях архитектуры больших данных и их функциях самым простым способом.
Прочтите это, чтобы узнать, как искусственный интеллект становится популярным среди небольших компаний и как он увеличивает вероятность их роста и дает преимущество перед конкурентами.
CAPTCHA стало довольно сложно решать пользователям за последние несколько лет. Сможет ли он оставаться эффективным в обнаружении спама и ботов в ближайшем будущем?
По мере того, как наука развивается быстрыми темпами, принимая на себя большую часть наших усилий, также возрастает риск подвергнуться необъяснимой сингулярности. Прочтите, что может значить для нас необычность.
Что такое телемедицина, дистанционное здравоохранение и их влияние на будущее поколение? Это хорошее место или нет в ситуации пандемии? Прочтите блог, чтобы узнать мнение!
Возможно, вы слышали, что хакеры зарабатывают много денег, но задумывались ли вы когда-нибудь о том, как они зарабатывают такие деньги? Давайте обсудим.
Недавно Apple выпустила macOS Catalina 10.15.4, дополнительное обновление для исправления проблем, но похоже, что это обновление вызывает больше проблем, приводящих к поломке компьютеров Mac. Прочтите эту статью, чтобы узнать больше