Доброго времени суток, уважаемые гуру ). Прошу помочь мне разобраться в следующем: имеется сервер (FreeBSD 6.3 stable), на нём крутится Apache v1.3+PHP+MySQL… Для Апача установлен модуль mod_security со следующим набором правил:
# Turn the filtering engine On or Off
SecFilterEngine On
# Make sure that URL encoding is valid
SecFilterCheckURLEncoding On
SecFilterCheckUnicodeEncoding Off
# Only allow bytes from this range
SecFilterForceByteRange 0 255
# The audit engine works independently and
# can be turned On of Off on the per-server or
# on the per-directory basis
SecAuditEngine RelevantOnly
# The name of the audit log file
SecAuditLog «/var/log/httpd_audit_log»
SecFilterDebugLog «/var/log/httpd_modsec_debug_log»
SecFilterDebugLevel 0
# Should mod_security inspect POST payloads
SecFilterScanPOST On
# Action to take by default
SecFilterDefaultAction «deny,log,status:500»
SecFilterSelective REMOTE_ADDR «^xxx.yyy.yyy.xxx$» nolog,allow
SecFilterSelective REMOTE_ADDR «^xxx.yyy.xx.yy$» nolog,allow
# Prevent OS specific keywords
SecFilter /etc/passwd
SecFilter /bin/ls
# WEB-ATTACKS chmod command attempt
SecFilter ./bin/chmod.
# WEB-ATTACKS chgrp command attempt
SecFilter ./chgrp.
# WEB-ATTACKS chown command attempt
SecFilter ./chown.
# WEB-ATTACKS chsh command attempt
SecFilter ./usr/bin/chsh.
# WEB-ATTACKS tftp command attempt
SecFilter .tftp\x20.
# WEB-ATTACKS gcc command attempt
SecFilter .gcc\x20-o.
# WEB-ATTACKS cc command attempt
SecFilter .cc\x20.
# WEB-ATTACKS /usr/bin/cpp command attempt
SecFilter ./usr/bin/cpp.
# WEB-ATTACKS cpp command attempt
SecFilter .cpp\x20.
# WEB-ATTACKS /usr/bin/g++ command attempt
SecFilter ./usr/bin/g\+\+.
# Prevent path traversal (..) attacks
SecFilter «\.\./»
# Weaker XSS protection but allows common HTML tags
SecFilter «<( |\n)*script»
# Prevent XSS atacks (HTML/Javascript injection)
SecFilter «<(.|\n)+>»
SecFilter «’»
SecFilter «\» »
# Very crude filters to prevent SQL injection attacks
SecFilter «delete[[:space:]]+from»
SecFilter «insert[[:space:]]+into»
SecFilter «drop[[:space:]]+table»
SecFilter «select.+from»
SecFilter «<[[:space:]]*script»
SecFilterSelective ARG_b2inc «!^$»
SecFilterSelective ARG_PHPSESSID «!^[0-9a-z]*$»
SecFilterSelective COOKIE_PHPSESSID «!^[0-9a-z]*$»
# Require HTTP_USER_AGENT and HTTP_HOST headers
SecFilterSelective «HTTP_USER_AGENT|HTTP_HOST» «^$»
Модуль работает, но периодически возникают ложные срабатывания… например при создании темы на форуме, правке php скриптов возникает ошибка 500… Как мне избавиться от этой проблемы?
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Расскажите, ЗАЧЕМ он Вам?
Это шутка?
Нет, вполне серьёзно. Для чего Вам мод_секьюрити?
Для защиты вэб-сервера от различного рода атак, например скулей… Он, собственно, для этого и предназначен))).
И что, реально атаковали и защитил?
Эмм.., уважаемый, я просил помощи разобраться в конкретной проблеме, а не обсуждать работу данного модуля. Если есть, что сказать по сабжу — буду весьма признателен, если нет, то не надо уводить тему в сторону, ок?