Otetaan mod_evasive käyttöön Apachessa

Mod_evasive on Apachen moduuli, joka toimii automaattisesti, kun HTTP DoS -hyökkäys tai brute force -hyökkäys havaitaan. Mod_evasive pystyy kirjautumaan ja raportoimaan väärinkäytöksistä sekä ilmoittamaan ongelmista sähköpostitse. Ennen kuin seuraat tätä opasta, sinulla pitäisi jo olla LAMP-palvelin, joka toimii oikein.

Tämä opas on kirjoitettu CentOS:lle ja sen muunnelmille (kuten RHEL) ja Debianille ja sen muunnelmille (kuten Ubuntu).

Moduuli luo taulukon IP-osoitteista ja URL-osoitteista. Jos määrityksissä asetetut ehdot (kuten kuvataan myöhemmin tässä asiakirjassa) täyttyvät, väärinkäyttäville käyttäjille tulee 403 (kielletty) virhe. Myös IP-osoite kirjataan lokiin, ja jos vaihtoehto on asetettu, sähköposti lähetetään määritettyyn sähköpostiosoitteeseen.

Vaihe 1: Asennus httpd-devel

httpd-devel-paketti sisältää tarvittavat tiedostot, joita tarvitset dynaamisten jaettujen objektien rakentamiseen Apachelle. Tarvitsemme tämän paketin moduulin asentamiseen, sillä kokoamme sen itse seuraavissa vaiheissa.

Suorita CentOS/RHEL:ssä:

yum install httpd-devel

Suorita Debian/Ubuntu:

apt-get install apache2-utils

Kun tämä paketti on asennettu onnistuneesti, siirry seuraavaan vaiheeseen. Jos asennusta ei ole suoritettu kunnolla, seuraava vaihe epäonnistuu (todennäköisimmin).

Vaihe 2: Lataaminen ja asentaminen mod_evasive

Tapa 1: Kokoaminen

Lataa moduuli:

cd /usr/src
wget http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz

Pura moduuli:

tar xzf mod_evasive*.tar.gz

Siirry hakemistoon:

cd mod_evasive

Seuraavaksi käytämme apxs2työkalua, joka on luotu Apachen toimintoja laajentavien moduulien rakentamiseen ja asentamiseen. Apxs2rakentaa dynaamisen jaetun objektin, minkä vuoksi asensimme httpd-develvaiheessa #1.

Suorittaa:

apxs2 -cia mod_evasive20.c

Tapa 2: Asennus käyttäen yum(suositus)

Kun epel-releasearkisto on asennettu, se mod_evasiveon käytettävissä yum.

Lisää arkisto:

yum install epel-release

Asenna moduuli käyttämällä yum:

 yum install mod_evasive

Vaihe 3: Moduulin lisääminen Apacheen

Yleensä Apache lataa kaikki moduulit osoitteesta mods-enabled, joten aina kun moduuli lisätään kyseiseen kansioon, sitä ei tarvitse lisätä Apache-kokoonpanoon manuaalisesti. Avaa asetustiedostosi tarkistaaksesi, onko näin.

CentOS:ssä asiaankuuluva tiedosto on: /etc/httpd/conf/httpd.conf

Ubuntussa asiaankuuluva tiedosto on: /etc/apache2/apache2.conf

Etsi Include. Rivi, kuten Include mods-enabled/*.confkäskee Apachea ladata kaikki moduulit. Jos sitä ei ole, lisää se rivi tiedoston alkuun ja käynnistä Apache uudelleen.

Lisää Ubuntua varten seuraava sisältö tiedoston alaosaan:

LoadModule evasive20_module /usr/lib/httpd/modules/mod_evasive20.so

Vaihe 4: Asetusten määrittäminen ja muuttaminen

Lisää seuraava lohko asetustiedostoon. Polut ovat samat kuin vaiheessa #3.

<IfModule mod_evasive20.c>
    DOSHashTableSize 3097
    DOSPageCount 2
    DOSSiteCount 50
    DOSPageInterval 1
    DOSSiteInterval 1
    DOSBlockingPeriod 60
    DOSEmailNotify <william@williamdavidedwards.com>
</IfModule>

Pikakuvaus näistä parametreista löytyy kohdasta README. Voit lukea README-tiedoston seuraavasti:

cat /usr/src/cd mod_evasive/README

Sinun on todennäköisesti säädettävä näitä asetuksia ajoittain varmistaaksesi, että ne sopivat juuri palvelimellesi ja verkkosivustollesi. Loppujen lopuksi joillakin palvelimilla on enemmän toimintaa ja liikennettä kuin toisilla.

Vaihe 5: Käynnistä Web-palvelin uudelleen

Käynnistä Apache-verkkopalvelin uudelleen, jotta muutokset tulevat voimaan ja moduuli latautuu:

service httpd restart

Varmista, että moduuli on ladattu Apacheen:

httpd -M | grep evasive

Tämän pitäisi palata evasive20_module (shared). Jos ei, moduulia ei ole ladattu oikein ja suosittelemme tarkistamaan konfiguraatiotiedostot uudelleen ja onko ne tallennettu oikein.

Huomaa, että tämä moduuli ei korvaa DDoS-suojausta, koska se ei voi toimia, kun palvelimen kapasiteetti on käytetty loppuun. Itse asiassa Vultr tarjoaa DDoS-suojauksen, joka on erittäin hyödyllinen palvelimen parempaan suojaamiseen (sekä tämän moduulin käyttöön). Yksinkertaisemmissa uhissa, erityisesti komentosarjapohjaisissa hyökkäyksissä, moduuli tekee tehtävänsä ja on ehdottomasti hyödyllinen.

Olet nyt asentanut mod_evasivemoduulin Apacheen ja tehnyt verkkosovelluksestasi turvallisemman.