Povolení mod_evasive na Apache

Mod_evasive je modul pro Apache, který automaticky zasáhne, když je detekován HTTP DoS útok nebo útok hrubou silou. Mod_evasive je schopen zaznamenat a nahlásit zneužití a upozornit na problémy prostřednictvím e-mailu. Než budete postupovat podle této příručky, měli byste již mít server LAMP, který funguje správně.

Tato příručka byla napsána pro CentOS a jeho varianty (jako je RHEL) a Debian a jeho varianty (jako je Ubuntu).

Modul vytvoří tabulku IP adres a URL. Pokud jsou splněny podmínky nastavené v konfiguraci (jak je popsáno dále v tomto dokumentu), obtěžujícím uživatelům se zobrazí chyba 403 (zakázaná). Rovněž se zaprotokoluje IP adresa, a pokud je tato možnost nastavena, bude na zadanou e-mailovou adresu odeslán e-mail.

Krok 1: Instalace httpd-devel

Balíček httpd-devel obsahuje požadované soubory, které potřebujete k sestavení dynamických sdílených objektů pro Apache. Tento balíček potřebujeme k instalaci modulu, protože jej v následujících krocích zkompilujeme sami.

Na CentOS/RHEL spusťte:

yum install httpd-devel

Na Debian/Ubuntu spusťte:

apt-get install apache2-utils

Po úspěšné instalaci tohoto balíčku přejděte k dalšímu kroku. Pokud není instalace správně dokončena, další krok (s největší pravděpodobností) selže.

Krok 2: Stažení a instalace mod_evasive

Metoda 1: Kompilace

Stáhněte si modul:

cd /usr/src
wget http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz

Extrahujte modul:

tar xzf mod_evasive*.tar.gz

Přejděte do adresáře:

cd mod_evasive

Dále budeme používat apxs2, nástroj vytvořený pro vytváření a instalaci modulů, které rozšiřují funkčnost Apache. Apxs2vytvoří dynamický sdílený objekt, což je důvod, proč jsme nainstalovali httpd-develv kroku #1.

Vykonat:

apxs2 -cia mod_evasive20.c

Metoda 2: Instalace pomocí yum(doporučeno)

Když máte epel-releaseúložiště nainstalované, mod_evasiveje k dispozici prostřednictvím yum.

Přidejte úložiště:

yum install epel-release

Nainstalujte modul pomocí yum:

 yum install mod_evasive

Krok 3: Přidání modulu do Apache

Obecně platí, že Apache načítá všechny moduly z mods-enabled, takže kdykoli je modul přidán do této složky, není nutné jej přidávat do konfigurace Apache ručně. Otevřete svůj konfigurační soubor a zkontrolujte, zda se jedná o tento případ.

Na CentOS je relevantní soubor: /etc/httpd/conf/httpd.conf

Na Ubuntu je relevantní soubor: /etc/apache2/apache2.conf

Hledat Include. Řádek jako například Include mods-enabled/*.confříká Apache, aby nahrál všechny moduly. Pokud tam není, přidejte tento řádek na začátek souboru a restartujte Apache.

Pro Ubuntu přidejte na konec souboru následující obsah:

LoadModule evasive20_module /usr/lib/httpd/modules/mod_evasive20.so

Krok 4: Konfigurace a změna nastavení

Přidejte následující blok do konfiguračního souboru. Cesty jsou stejné jako v kroku #3.

<IfModule mod_evasive20.c>
    DOSHashTableSize 3097
    DOSPageCount 2
    DOSSiteCount 50
    DOSPageInterval 1
    DOSSiteInterval 1
    DOSBlockingPeriod 60
    DOSEmailNotify <william@williamdavidedwards.com>
</IfModule>

Rychlý přehled těchto parametrů naleznete v README. Soubor README si můžete přečíst následovně:

cat /usr/src/cd mod_evasive/README

Pravděpodobně budete muset čas od času tato nastavení upravit, abyste se ujistili, že jsou pro váš server a webové stránky správná. Koneckonců, některé servery mají větší aktivitu a provoz než jiné.

Krok 5: Restartování webového serveru

Restartujte webový server Apache, aby se změny projevily a modul se načetl:

service httpd restart

Ujistěte se, že je modul načten do Apache:

httpd -M | grep evasive

Toto by se mělo vrátit evasive20_module (shared). Pokud ne, modul nebyl správně načten a doporučujeme znovu zkontrolovat konfigurační soubory a zda byly správně uloženy.

Upozorňujeme, že tento modul nenahrazuje ochranu DDoS, protože nemůže fungovat při vyčerpání kapacity serveru. Ve skutečnosti Vultr nabízí DDoS Protection, která je velmi užitečná pro lepší ochranu serveru (stejně jako použití tohoto modulu). U jednodušších hrozeb, zejména útoků založených na skriptech, modul dělá svou práci a je rozhodně užitečný.

Nyní jste nainstalovali mod_evasivemodul do Apache, čímž jste zvýšili bezpečnost své webové aplikace.