ModSecurity і OWASP на CentOS 6 і Apache 2

ModSecurity — це брандмауер рівня веб-додатків, розроблений для роботи з IIS, Apache2 і Nginx. Це безкоштовне програмне забезпечення з відкритим кодом, випущене під ліцензією Apache 2.0. ModSecurity допомагає захистити ваш веб-сервер, відстежуючи та аналізуючи трафік вашого веб-сайту. Він робить це в режимі реального часу для виявлення та блокування атак з боку більшості відомих експлойтів за допомогою регулярних виразів. Сама по собі ModSecurity забезпечує обмежений захист і покладається на набори правил для максимального захисту.

Основний набір правил (CRS) Open Web Application Security Project (OWASP) — це набір загальних правил виявлення атак, які забезпечують базовий рівень захисту для будь-якого веб-додатка. Набір правил безкоштовний, з відкритим кодом і наразі спонсорується Spider Labs.

OWASP CRS забезпечує:

  • Захист HTTP – виявлення порушень протоколу HTTP і локально визначеної політики використання.
  • Пошук у чорному списку в реальному часі - використовує репутацію IP сторонніх розробників.
  • HTTP Denial of Service Protection - захист від переповнень HTTP і повільних атак HTTP DoS.
  • Захист від поширених веб-атак – виявлення поширених атак безпеки веб-додатків.
  • Виявлення автоматизації – виявлення ботів, сканерів, сканерів та інших поверхневих шкідливих дій.
  • Інтеграція з AV-скануванням для завантаження файлів - виявляє шкідливі файли, завантажені через веб-додаток.
  • Відстеження конфіденційних даних - відстежує використання кредитної картки та блокує витоки.
  • Захист від троянів - Виявляє троянських коней.
  • Виявлення дефектів програми – сповіщення про неправильну конфігурацію програми.
  • Виявлення та приховування помилок – маскування повідомлень про помилки, надісланих сервером.

Установка

У цьому посібнику показано, як встановити ModSecurity та набір правил OWASP на CentOS 6 під керуванням Apache 2.

По-перше, вам потрібно переконатися, що ваша система оновлена.

 yum -y update

Якщо ви не встановили Apache 2, встановіть його зараз.

 yum -y install httpd

Тепер вам потрібно встановити деякі залежності, щоб ModSecurity працював. Залежно від конфігурації вашого сервера, деякі або всі ці пакети вже можуть бути встановлені. Yum встановить пакунки, яких у вас немає, і повідомить вас, якщо якийсь із пакетів уже встановлено.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Змініть каталог і завантажте вихідний код з веб-сайту ModSecuity. Поточна стабільна версія 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Розпакуйте пакет і перейдіть до його каталогу.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Налаштуйте та скомпілюйте вихідний код.

 ./configure
 make
 make install

Скопіюйте конфігурацію ModSecurity за замовчуванням і файл зіставлення Unicode в каталог Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Налаштуйте Apache на використання ModSecurity. Ви можете зробити це 2 способами.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... або скористайтеся текстовим редактором, таким як nano:

 nano /etc/httpd/conf/httpd.conf

Унизу цього файлу в окремому рядку додайте це:

 LoadModule security2_module modules/mod_security2.so

Тепер ви можете запустити Apache і налаштувати його на запуск під час завантаження.

 service httpd start
 chkconfig httpd on

Якщо у вас був встановлений Apache до використання цього посібника, вам просто потрібно його перезапустити.

 service httpd restart

Тепер ви можете завантажити основний набір правил OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Тепер налаштуйте набір правил OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Далі вам потрібно додати набір правил до конфігурації Apache. Знову ж таки, ми можемо зробити це двома способами.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... або за допомогою текстового редактора:

 nano /etc/httpd/conf/httpd.conf

Унизу файлу в окремих рядках додайте це:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Тепер перезапустіть Apache.

 service httpd restart

Нарешті, видаліть інсталяційні файли.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Використання ModSecurity

За замовчуванням ModSecurity працює в режимі лише виявлення, що означає, що він реєструє всі порушення правил, але не вживає жодних дій. Це рекомендовано для нових інсталяцій, щоб ви могли переглядати події, згенеровані в журналі помилок Apache. Після перегляду журналу ви можете вирішити, чи потрібно вносити будь-які зміни в набір правил або вимкнути правило (див. нижче), перш ніж перейти в режим захисту.

Щоб переглянути журнал помилок Apache:

 cat /var/log/httpd/error_log

Рядок ModSecurity у журналі помилок Apache розбитий на дев’ять елементів. Кожен елемент надає інформацію про те, чому подія була ініційована.

  • Перша частина розповідає, який файл правил ініціював цю подію.
  • Друга частина розповідає, з якого рядка у файлі правил починається правило.
  • Третій елемент повідомляє, яке правило було запущено.
  • Четвертий елемент повідомляє про перегляд правила.
  • П'ятий елемент містить спеціальні дані для налагодження.
  • Шостий елемент визначає серйозність реєстрації цієї події.
  • У сьомому розділі описано, яка дія відбулася і на якій фазі вона відбулася.

Зауважте, що деякі елементи можуть бути відсутні в залежності від конфігурації вашого сервера.

Щоб змінити ModSecurity на режим захисту, відкрийте файл conf у текстовому редакторі:

 nano /etc/httpd/conf.d/modsecurity.conf

... і змінити:

 SecRuleEngine DetectionOnly

до:

 SecRuleEngine On

Якщо ви зіткнулися з будь-якими блоками під час роботи ModSecurity, вам потрібно визначити правило в журналі помилок HTTP. Команда «хвіст» дозволяє переглядати журнали в режимі реального часу:

 tail -f /var/log/httpd/error_log

Повторіть дію, яка спричинила блокування, під час перегляду журналу.

Змінення набору правил/вимкнення ідентифікатора правила

Змінення набору правил виходить за рамки цього підручника.

Щоб вимкнути конкретне правило, ви визначаєте ідентифікатор правила, який знаходиться в третьому елементі (наприклад, [id=200000]), а потім вимикаєте його у файлі конфігурації Apache:

 nano /etc/httpd/conf/httpd.conf

..., додавши наступне в нижню частину файлу з ідентифікатором правила:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Якщо ви виявите, що ModSecurity блокує всі дії на вашому веб-сайті(ах), то "Основний набір правил", ймовірно, перебуває в "автономному" режимі. Вам потрібно змінити цей параметр на «Спільне виявлення», яке виявляє та блокує лише аномалії. У той же час ви можете переглянути параметри «Автономний» і змінити їх, якщо хочете.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Змініть «виявлення» на «Автономний».

Ви також можете налаштувати ModSecurity, щоб дозволити ваш IP через брандмауер веб-програми (WAF) без реєстрації:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... або з журналом:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly

Leave a Comment

Встановіть Plesk на CentOS 7

Встановіть Plesk на CentOS 7

Використання іншої системи? Plesk — це власна панель керування веб-хостом, яка дозволяє користувачам адмініструвати свої персональні та/або клієнтські веб-сайти, бази даних

Як встановити Squid Proxy на CentOS

Як встановити Squid Proxy на CentOS

Squid — популярна безкоштовна програма для Linux, яка дозволяє створювати веб-проксі для переадресації. У цьому посібнику ви дізнаєтеся, як встановити Squid на CentOS, щоб перетворити вас

Як встановити Lighttpd (LLMP Stack) на CentOS 6

Як встановити Lighttpd (LLMP Stack) на CentOS 6

Вступ Lighttpd — це форк Apache, який має набагато меншу ресурсомісткість. Він легкий, звідси його назва, і досить простий у використанні. Встановити

Налаштування статичної мережі та IPv6 на CentOS 7

Налаштування статичної мережі та IPv6 на CentOS 7

VULTR нещодавно вніс зміни на свою сторону, і тепер усе має працювати нормально з коробки з увімкненим NetworkManager. Якщо ви бажаєте вимкнути

Змінення Icinga2 для використання моделі Master/Client на CentOS 6 або CentOS 7

Змінення Icinga2 для використання моделі Master/Client на CentOS 6 або CentOS 7

Icinga2 — це потужна система моніторингу, і при використанні в моделі «майстер-клієнт» вона може замінити потребу в перевірках моніторингу на основі NRPE. Майстер-клієнт

Як встановити Apache Cassandra 3.11.x на CentOS 7

Як встановити Apache Cassandra 3.11.x на CentOS 7

Використання іншої системи? Apache Cassandra — це безкоштовна система керування базами даних NoSQL з відкритим вихідним кодом, яка розроблена для забезпечення масштабованості, високої

Як встановити Microweber на CentOS 7

Як встановити Microweber на CentOS 7

Використання іншої системи? Microweber — це CMS та інтернет-магазин із відкритим вихідним кодом. Вихідний код Microweber розміщено на GitHub. Цей посібник покаже вам

Як встановити Vanilla Forum на CentOS 7

Як встановити Vanilla Forum на CentOS 7

Використання іншої системи? Vanilla forum — це програма з відкритим вихідним кодом, написана на PHP. Це повністю настроюваний, простий у використанні та підтримує зовнішній вигляд

Як встановити Mattermost 4.1 на CentOS 7

Як встановити Mattermost 4.1 на CentOS 7

Використання іншої системи? Mattermost — це автономна альтернатива службі обміну повідомленнями Slack SAAS з відкритим кодом. Іншими словами, з Mattermost ви бл

Lets Encrypt на Plesk

Lets Encrypt на Plesk

Панель керування Plesk має дуже гарну інтеграцію для Lets Encrypt. Lets Encrypt є одним із єдиних постачальників SSL, які надають сертифікати повністю

Дозволяє шифрувати на cPanel

Дозволяє шифрувати на cPanel

Lets Encrypt — це центр сертифікації, який надає безкоштовні сертифікати SSL. cPanel створив чітку інтеграцію, щоб ви і ваш клієнт

Як встановити Concrete5 на CentOS 7

Як встановити Concrete5 на CentOS 7

Використання іншої системи? Concrete5 — це CMS з відкритим вихідним кодом, яка пропонує багато відмінних і корисних функцій, які допомагають редакторам легко створювати вміст.

Як встановити Review Board на CentOS 7

Як встановити Review Board на CentOS 7

Використання іншої системи? Review Board — це безкоштовний інструмент з відкритим кодом для перегляду вихідного коду, документації, зображень та багато іншого. Це веб-програмне забезпечення

Налаштуйте автентифікацію HTTP за допомогою Nginx на CentOS 7

Налаштуйте автентифікацію HTTP за допомогою Nginx на CentOS 7

У цьому посібнику ви дізнаєтеся, як налаштувати автентифікацію HTTP для веб-сервера Nginx, що працює на CentOS 7. Вимоги Щоб почати, вам знадобиться

Як встановити GoAccess на CentOS 7

Як встановити GoAccess на CentOS 7

Використання іншої системи? GoAccess — це аналізатор веб-журналів з відкритим вихідним кодом. Ви можете використовувати його для аналізу журналів у режимі реального часу в терміналі або

Як встановити YOURLS на CentOS 7

Як встановити YOURLS на CentOS 7

YOURLS (Your Own URL Shortener) — програма для скорочення URL-адрес і аналізу даних із відкритим вихідним кодом. У цій статті ми розглянемо процес встановлення

Як встановити та налаштувати ArangoDB на CentOS 7

Як встановити та налаштувати ArangoDB на CentOS 7

Використання іншої системи? Вступ ArangoDB — це відкрита база даних NoSQL з гнучкою моделлю даних для документів, графіків і ключів-значень. це є

Використання Etckeeper для контролю версій /etc

Використання Etckeeper для контролю версій /etc

Вступ Каталог /etc/ відіграє важливу роль у функціонуванні системи Linux. Причина цього в тому, що майже кожна конфігурація системи

Чому ви повинні використовувати SSHFS? Як підключити віддалену файлову систему з SSHFS на CentOS 6

Чому ви повинні використовувати SSHFS? Як підключити віддалену файлову систему з SSHFS на CentOS 6

Багато системних адміністраторів керують великою кількістю серверів. Якщо потрібно отримати доступ до файлів на різних серверах, увійти на кожен окремо бл

Налаштування сервера Half Life 2 на CentOS 6

Налаштування сервера Half Life 2 на CentOS 6

У цьому посібнику буде описано процес встановлення ігрового сервера Half Life 2 на систему CentOS 6. Крок 1: Встановлення необхідних умов Щоб налаштувати ou

Повстання машин: застосування ШІ в реальному світі

Повстання машин: застосування ШІ в реальному світі

Штучний інтелект не в майбутньому, він тут прямо в сьогоденні У цьому блозі Прочитайте, як програми штучного інтелекту вплинули на різні сектори.

DDOS-атаки: короткий огляд

DDOS-атаки: короткий огляд

Ви також стали жертвою DDOS-атак і спантеличені методами запобігання? Прочитайте цю статтю, щоб вирішити свої запитання.

Ви коли-небудь замислювалися, як хакери заробляють гроші?

Ви коли-небудь замислювалися, як хакери заробляють гроші?

Можливо, ви чули, що хакери заробляють багато грошей, але чи замислювалися ви коли-небудь, як вони заробляють такі гроші? давайте обговоримо.

Революційні винаходи від Google, які полегшать ваше життя.

Революційні винаходи від Google, які полегшать ваше життя.

Ви хочете побачити революційні винаходи Google і як ці винаходи змінили життя кожної людини сьогодні? Тоді читайте в блозі, щоб побачити винаходи Google.

Friday Essential: Що сталося з автомобілями, керованими штучним інтелектом?

Friday Essential: Що сталося з автомобілями, керованими штучним інтелектом?

Концепція самокерованих автомобілів, щоб вирушати в дороги за допомогою штучного інтелекту, є мрією, яку ми давно мріємо. Але, незважаючи на кілька обіцянок, їх ніде не видно. Прочитайте цей блог, щоб дізнатися більше…

Технологічна сингулярність: віддалене майбутнє людської цивілізації?

Технологічна сингулярність: віддалене майбутнє людської цивілізації?

Оскільки наука розвивається швидкими темпами, бере на себе багато наших зусиль, ризики піддати себе незрозумілій Сингулярності також зростає. Читайте, що може означати для нас сингулярність.

Еволюція зберігання даних – інфографіка

Еволюція зберігання даних – інфографіка

Методи зберігання даних можуть розвиватися з моменту народження Даних. Цей блог висвітлює еволюцію зберігання даних на основі інфографіки.

Функціональні можливості шарів еталонної архітектури великих даних

Функціональні можливості шарів еталонної архітектури великих даних

Прочитайте блог, щоб дізнатися про різні шари архітектури великих даних та їх функціональні можливості найпростішим способом.

6 дивовижних переваг використання пристроїв розумного дому в нашому житті

6 дивовижних переваг використання пристроїв розумного дому в нашому житті

У цьому цифровому світі пристрої розумного дому стали важливою частиною життя. Ось кілька дивовижних переваг пристроїв розумного дому щодо того, як вони роблять наше життя гідним життя та спрощують його.

Оновлення доповнення macOS Catalina 10.15.4 спричиняє більше проблем, ніж вирішує

Оновлення доповнення macOS Catalina 10.15.4 спричиняє більше проблем, ніж вирішує

Нещодавно Apple випустила додаткове оновлення macOS Catalina 10.15.4, щоб виправити проблеми, але схоже, що оновлення викликає більше проблем, що призводять до блокування комп’ютерів Mac. Прочитайте цю статтю, щоб дізнатися більше