Встановіть Plesk на CentOS 7
Використання іншої системи? Plesk — це власна панель керування веб-хостом, яка дозволяє користувачам адмініструвати свої персональні та/або клієнтські веб-сайти, бази даних
ModSecurity — це брандмауер рівня веб-додатків, розроблений для роботи з IIS, Apache2 і Nginx. Це безкоштовне програмне забезпечення з відкритим кодом, випущене під ліцензією Apache 2.0. ModSecurity допомагає захистити ваш веб-сервер, відстежуючи та аналізуючи трафік вашого веб-сайту. Він робить це в режимі реального часу для виявлення та блокування атак з боку більшості відомих експлойтів за допомогою регулярних виразів. Сама по собі ModSecurity забезпечує обмежений захист і покладається на набори правил для максимального захисту.
Основний набір правил (CRS) Open Web Application Security Project (OWASP) — це набір загальних правил виявлення атак, які забезпечують базовий рівень захисту для будь-якого веб-додатка. Набір правил безкоштовний, з відкритим кодом і наразі спонсорується Spider Labs.
OWASP CRS забезпечує:
У цьому посібнику показано, як встановити ModSecurity та набір правил OWASP на CentOS 6 під керуванням Apache 2.
По-перше, вам потрібно переконатися, що ваша система оновлена.
yum -y update
Якщо ви не встановили Apache 2, встановіть його зараз.
yum -y install httpd
Тепер вам потрібно встановити деякі залежності, щоб ModSecurity працював. Залежно від конфігурації вашого сервера, деякі або всі ці пакети вже можуть бути встановлені. Yum встановить пакунки, яких у вас немає, і повідомить вас, якщо якийсь із пакетів уже встановлено.
yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel
Змініть каталог і завантажте вихідний код з веб-сайту ModSecuity. Поточна стабільна версія 2.8.
cd /opt/
wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
Розпакуйте пакет і перейдіть до його каталогу.
tar xzfv modsecurity-2.8.0.tar.gz
cd modsecurity-2.8.0
Налаштуйте та скомпілюйте вихідний код.
./configure
make
make install
Скопіюйте конфігурацію ModSecurity за замовчуванням і файл зіставлення Unicode в каталог Apache.
cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
cp unicode.mapping /etc/httpd/conf.d/
Налаштуйте Apache на використання ModSecurity. Ви можете зробити це 2 способами.
echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf
... або скористайтеся текстовим редактором, таким як nano:
nano /etc/httpd/conf/httpd.conf
Унизу цього файлу в окремому рядку додайте це:
LoadModule security2_module modules/mod_security2.so
Тепер ви можете запустити Apache і налаштувати його на запуск під час завантаження.
service httpd start
chkconfig httpd on
Якщо у вас був встановлений Apache до використання цього посібника, вам просто потрібно його перезапустити.
service httpd restart
Тепер ви можете завантажити основний набір правил OWASP.
cd /etc/httpd
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
Тепер налаштуйте набір правил OWASP.
cd modsecurity-crs
cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf
Далі вам потрібно додати набір правил до конфігурації Apache. Знову ж таки, ми можемо зробити це двома способами.
echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf
... або за допомогою текстового редактора:
nano /etc/httpd/conf/httpd.conf
Унизу файлу в окремих рядках додайте це:
Include modsecurity-crs/modsecurity_crs_10_config.conf
Include modsecurity-crs/base_rules/*.conf
Тепер перезапустіть Apache.
service httpd restart
Нарешті, видаліть інсталяційні файли.
yum erase /opt/modsecurity-2.8.0
yum erase /opt/modsecurity-2.8.0.tar.gz
За замовчуванням ModSecurity працює в режимі лише виявлення, що означає, що він реєструє всі порушення правил, але не вживає жодних дій. Це рекомендовано для нових інсталяцій, щоб ви могли переглядати події, згенеровані в журналі помилок Apache. Після перегляду журналу ви можете вирішити, чи потрібно вносити будь-які зміни в набір правил або вимкнути правило (див. нижче), перш ніж перейти в режим захисту.
Щоб переглянути журнал помилок Apache:
cat /var/log/httpd/error_log
Рядок ModSecurity у журналі помилок Apache розбитий на дев’ять елементів. Кожен елемент надає інформацію про те, чому подія була ініційована.
Зауважте, що деякі елементи можуть бути відсутні в залежності від конфігурації вашого сервера.
Щоб змінити ModSecurity на режим захисту, відкрийте файл conf у текстовому редакторі:
nano /etc/httpd/conf.d/modsecurity.conf
... і змінити:
SecRuleEngine DetectionOnly
до:
SecRuleEngine On
Якщо ви зіткнулися з будь-якими блоками під час роботи ModSecurity, вам потрібно визначити правило в журналі помилок HTTP. Команда «хвіст» дозволяє переглядати журнали в режимі реального часу:
tail -f /var/log/httpd/error_log
Повторіть дію, яка спричинила блокування, під час перегляду журналу.
Змінення набору правил виходить за рамки цього підручника.
Щоб вимкнути конкретне правило, ви визначаєте ідентифікатор правила, який знаходиться в третьому елементі (наприклад, [id=200000]), а потім вимикаєте його у файлі конфігурації Apache:
nano /etc/httpd/conf/httpd.conf
..., додавши наступне в нижню частину файлу з ідентифікатором правила:
<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>
Якщо ви виявите, що ModSecurity блокує всі дії на вашому веб-сайті(ах), то "Основний набір правил", ймовірно, перебуває в "автономному" режимі. Вам потрібно змінити цей параметр на «Спільне виявлення», яке виявляє та блокує лише аномалії. У той же час ви можете переглянути параметри «Автономний» і змінити їх, якщо хочете.
nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf
Змініть «виявлення» на «Автономний».
Ви також можете налаштувати ModSecurity, щоб дозволити ваш IP через брандмауер веб-програми (WAF) без реєстрації:
SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off
... або з журналом:
SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly
Використання іншої системи? Plesk — це власна панель керування веб-хостом, яка дозволяє користувачам адмініструвати свої персональні та/або клієнтські веб-сайти, бази даних
Squid — популярна безкоштовна програма для Linux, яка дозволяє створювати веб-проксі для переадресації. У цьому посібнику ви дізнаєтеся, як встановити Squid на CentOS, щоб перетворити вас
Вступ Lighttpd — це форк Apache, який має набагато меншу ресурсомісткість. Він легкий, звідси його назва, і досить простий у використанні. Встановити
VULTR нещодавно вніс зміни на свою сторону, і тепер усе має працювати нормально з коробки з увімкненим NetworkManager. Якщо ви бажаєте вимкнути
Icinga2 — це потужна система моніторингу, і при використанні в моделі «майстер-клієнт» вона може замінити потребу в перевірках моніторингу на основі NRPE. Майстер-клієнт
Використання іншої системи? Apache Cassandra — це безкоштовна система керування базами даних NoSQL з відкритим вихідним кодом, яка розроблена для забезпечення масштабованості, високої
Використання іншої системи? Microweber — це CMS та інтернет-магазин із відкритим вихідним кодом. Вихідний код Microweber розміщено на GitHub. Цей посібник покаже вам
Використання іншої системи? Vanilla forum — це програма з відкритим вихідним кодом, написана на PHP. Це повністю настроюваний, простий у використанні та підтримує зовнішній вигляд
Використання іншої системи? Mattermost — це автономна альтернатива службі обміну повідомленнями Slack SAAS з відкритим кодом. Іншими словами, з Mattermost ви бл
Панель керування Plesk має дуже гарну інтеграцію для Lets Encrypt. Lets Encrypt є одним із єдиних постачальників SSL, які надають сертифікати повністю
Lets Encrypt — це центр сертифікації, який надає безкоштовні сертифікати SSL. cPanel створив чітку інтеграцію, щоб ви і ваш клієнт
Використання іншої системи? Concrete5 — це CMS з відкритим вихідним кодом, яка пропонує багато відмінних і корисних функцій, які допомагають редакторам легко створювати вміст.
Використання іншої системи? Review Board — це безкоштовний інструмент з відкритим кодом для перегляду вихідного коду, документації, зображень та багато іншого. Це веб-програмне забезпечення
У цьому посібнику ви дізнаєтеся, як налаштувати автентифікацію HTTP для веб-сервера Nginx, що працює на CentOS 7. Вимоги Щоб почати, вам знадобиться
Використання іншої системи? GoAccess — це аналізатор веб-журналів з відкритим вихідним кодом. Ви можете використовувати його для аналізу журналів у режимі реального часу в терміналі або
YOURLS (Your Own URL Shortener) — програма для скорочення URL-адрес і аналізу даних із відкритим вихідним кодом. У цій статті ми розглянемо процес встановлення
Використання іншої системи? Вступ ArangoDB — це відкрита база даних NoSQL з гнучкою моделлю даних для документів, графіків і ключів-значень. це є
Вступ Каталог /etc/ відіграє важливу роль у функціонуванні системи Linux. Причина цього в тому, що майже кожна конфігурація системи
Багато системних адміністраторів керують великою кількістю серверів. Якщо потрібно отримати доступ до файлів на різних серверах, увійти на кожен окремо бл
У цьому посібнику буде описано процес встановлення ігрового сервера Half Life 2 на систему CentOS 6. Крок 1: Встановлення необхідних умов Щоб налаштувати ou
Штучний інтелект не в майбутньому, він тут прямо в сьогоденні У цьому блозі Прочитайте, як програми штучного інтелекту вплинули на різні сектори.
Ви також стали жертвою DDOS-атак і спантеличені методами запобігання? Прочитайте цю статтю, щоб вирішити свої запитання.
Можливо, ви чули, що хакери заробляють багато грошей, але чи замислювалися ви коли-небудь, як вони заробляють такі гроші? давайте обговоримо.
Ви хочете побачити революційні винаходи Google і як ці винаходи змінили життя кожної людини сьогодні? Тоді читайте в блозі, щоб побачити винаходи Google.
Концепція самокерованих автомобілів, щоб вирушати в дороги за допомогою штучного інтелекту, є мрією, яку ми давно мріємо. Але, незважаючи на кілька обіцянок, їх ніде не видно. Прочитайте цей блог, щоб дізнатися більше…
Оскільки наука розвивається швидкими темпами, бере на себе багато наших зусиль, ризики піддати себе незрозумілій Сингулярності також зростає. Читайте, що може означати для нас сингулярність.
Методи зберігання даних можуть розвиватися з моменту народження Даних. Цей блог висвітлює еволюцію зберігання даних на основі інфографіки.
Прочитайте блог, щоб дізнатися про різні шари архітектури великих даних та їх функціональні можливості найпростішим способом.
У цьому цифровому світі пристрої розумного дому стали важливою частиною життя. Ось кілька дивовижних переваг пристроїв розумного дому щодо того, як вони роблять наше життя гідним життя та спрощують його.
Нещодавно Apple випустила додаткове оновлення macOS Catalina 10.15.4, щоб виправити проблеми, але схоже, що оновлення викликає більше проблем, що призводять до блокування комп’ютерів Mac. Прочитайте цю статтю, щоб дізнатися більше