Povolenie mod_evasive na Apache

Mod_evasive je modul pre Apache, ktorý automaticky vykoná akciu, keď sa zistí HTTP DoS útok alebo útok hrubou silou. Mod_evasive dokáže zaznamenať a nahlásiť zneužitie a upozorniť na problémy prostredníctvom e-mailu. Skôr ako budete postupovať podľa tohto návodu, mali by ste už mať nainštalovaný server LAMP, ktorý funguje správne.

Táto príručka bola napísaná pre CentOS a jeho variácie (napríklad RHEL) a Debian a jeho variácie (napríklad Ubuntu).

Modul vytvorí tabuľku IP adries a URL. Ak sú splnené podmienky nastavené v konfigurácii (ako je popísané ďalej v tomto dokumente), zneužívajúcim používateľom sa zobrazí chyba 403 (zakázaná). Zaznamená sa aj adresa IP a ak je táto možnosť nastavená, na zadanú e-mailovú adresu sa odošle e-mail.

Krok 1: Inštalácia httpd-devel

Balík httpd-devel obsahuje požadované súbory, ktoré potrebujete na zostavenie dynamických zdieľaných objektov pre Apache. Tento balík potrebujeme na inštaláciu modulu, keďže si ho v nasledujúcich krokoch skompilujeme sami.

Na CentOS/RHEL vykonajte:

yum install httpd-devel

Na Debian/Ubuntu vykonajte:

apt-get install apache2-utils

Po úspešnej inštalácii tohto balíka prejdite na ďalší krok. Ak inštalácia nie je správne dokončená, ďalší krok (s najväčšou pravdepodobnosťou) zlyhá.

Krok 2: Stiahnutie a inštalácia mod_evasive

Metóda 1: Kompilácia

Stiahnite si modul:

cd /usr/src
wget http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz

Extrahujte modul:

tar xzf mod_evasive*.tar.gz

Prejdite do adresára:

cd mod_evasive

Ďalej budeme používať apxs2, nástroj vytvorený na vytváranie a inštaláciu modulov, ktoré rozširujú funkčnosť Apache. Apxs2vytvorí dynamický zdieľaný objekt, čo je dôvod, prečo sme nainštalovali httpd-develv kroku #1.

Vykonať:

apxs2 -cia mod_evasive20.c

Metóda 2: Inštalácia pomocou yum(odporúča sa)

Keď máte epel-releaseúložisko nainštalované, mod_evasiveje k dispozícii prostredníctvom yum.

Pridajte úložisko:

yum install epel-release

Nainštalujte modul pomocou yum:

 yum install mod_evasive

Krok 3: Pridanie modulu do Apache

Vo všeobecnosti Apache načítava všetky moduly z mods-enabled, takže vždy, keď je modul pridaný do tohto priečinka, nie je potrebné ho pridávať do konfigurácie Apache ručne. Otvorte konfiguračný súbor a skontrolujte, či je to tak.

Na CentOS je príslušný súbor: /etc/httpd/conf/httpd.conf

Na Ubuntu je príslušný súbor: /etc/apache2/apache2.conf

Hľadať Include. Riadok ako napríklad Include mods-enabled/*.confhovorí Apache, aby načítal všetky moduly. Ak tam nie je, pridajte tento riadok do hornej časti súboru a reštartujte Apache.

Pre Ubuntu pridajte nasledujúci obsah na koniec súboru:

LoadModule evasive20_module /usr/lib/httpd/modules/mod_evasive20.so

Krok 4: Konfigurácia a zmena nastavení

Pridajte nasledujúci blok do konfiguračného súboru. Cesty sú rovnaké ako v kroku #3.

<IfModule mod_evasive20.c>
    DOSHashTableSize 3097
    DOSPageCount 2
    DOSSiteCount 50
    DOSPageInterval 1
    DOSSiteInterval 1
    DOSBlockingPeriod 60
    DOSEmailNotify <william@williamdavidedwards.com>
</IfModule>

Rýchly prehľad týchto parametrov nájdete v README. Súbor README si môžete prečítať nasledovne:

cat /usr/src/cd mod_evasive/README

S najväčšou pravdepodobnosťou budete musieť z času na čas tieto nastavenia upraviť, aby ste sa uistili, že sú vhodné pre váš server a webové stránky. Koniec koncov, niektoré servery majú väčšiu aktivitu a návštevnosť ako iné.

Krok 5: Reštartovanie webového servera

Reštartujte webový server Apache, aby sa zmeny prejavili a modul sa načítal:

service httpd restart

Uistite sa, že je modul načítaný do Apache:

httpd -M | grep evasive

Toto by sa malo vrátiť evasive20_module (shared). Ak nie, modul nebol správne načítaný a odporúčame znova skontrolovať konfiguračné súbory a či boli správne uložené.

Upozorňujeme, že tento modul nenahrádza ochranu DDoS, pretože nemôže fungovať pri vyčerpaní kapacity servera. Vultr v skutočnosti ponúka ochranu DDoS, ktorá je veľmi užitočná pre lepšiu ochranu servera (rovnako ako pri použití tohto modulu). Pre jednoduchšie hrozby, najmä útoky založené na skriptoch, modul robí svoju prácu a je určite užitočný.

Teraz ste nainštalovali mod_evasivemodul do Apache, čím ste zvýšili bezpečnosť svojej webovej aplikácie.