nixp.ru v3.0

26 мая 2017,
пятница,
12:24:53 MSK

DevOps с компанией «Флант»
ilia_m написал 12 января 2009 года в 18:56 (672 просмотра) Ведет себя как мужчина; открыл 13 тем в форуме, оставил 58 комментариев на сайте.

Доброго времени суток, уважаемые гуру ). Прошу помочь мне разобраться в следующем: имеется сервер (FreeBSD 6.3 stable), на нём крутится Apache v1.3+PHP+MySQL… Для Апача установлен модуль mod_security со следующим набором правил:

# Turn the filtering engine On or Off

SecFilterEngine On

# Make sure that URL encoding is valid

SecFilterCheckURLEncoding On

SecFilterCheckUnicodeEncoding Off

# Only allow bytes from this range

SecFilterForceByteRange 0 255

# The audit engine works independently and

# can be turned On of Off on the per-server or

# on the per-directory basis

SecAuditEngine RelevantOnly

# The name of the audit log file

SecAuditLog «/var/log/httpd_audit_log»

SecFilterDebugLog «/var/log/httpd_modsec_debug_log»

SecFilterDebugLevel 0

# Should mod_security inspect POST payloads

SecFilterScanPOST On

# Action to take by default

SecFilterDefaultAction «deny,log,status:500»

SecFilterSelective REMOTE_ADDR «^xxx.yyy.yyy.xxx$» nolog,allow

SecFilterSelective REMOTE_ADDR «^xxx.yyy.xx.yy$» nolog,allow

# Prevent OS specific keywords

SecFilter /etc/passwd

SecFilter /bin/ls

# WEB-ATTACKS chmod command attempt

SecFilter ./bin/chmod.

# WEB-ATTACKS chgrp command attempt

SecFilter ./chgrp.

# WEB-ATTACKS chown command attempt

SecFilter ./chown.

# WEB-ATTACKS chsh command attempt

SecFilter ./usr/bin/chsh.

# WEB-ATTACKS tftp command attempt

SecFilter .tftp\x20.

# WEB-ATTACKS gcc command attempt

SecFilter .gcc\x20-o.

# WEB-ATTACKS cc command attempt

SecFilter .cc\x20.

# WEB-ATTACKS /usr/bin/cpp command attempt

SecFilter ./usr/bin/cpp.

# WEB-ATTACKS cpp command attempt

SecFilter .cpp\x20.

# WEB-ATTACKS /usr/bin/g++ command attempt

SecFilter ./usr/bin/g\+\+.

# Prevent path traversal (..) attacks

SecFilter «\.\./»

# Weaker XSS protection but allows common HTML tags

SecFilter «<( |\n)*script»

# Prevent XSS atacks (HTML/Javascript injection)

SecFilter «<(.|\n)+>»

SecFilter «’»

SecFilter «\» »

# Very crude filters to prevent SQL injection attacks

SecFilter «delete[[:space:]]+from»

SecFilter «insert[[:space:]]+into»

SecFilter «drop[[:space:]]+table»

SecFilter «select.+from»

SecFilter «<[[:space:]]*script»

SecFilterSelective ARG_b2inc «!^$»

SecFilterSelective ARG_PHPSESSID «!^[0-9a-z]*$»

SecFilterSelective COOKIE_PHPSESSID «!^[0-9a-z]*$»

# Require HTTP_USER_AGENT and HTTP_HOST headers

SecFilterSelective «HTTP_USER_AGENT|HTTP_HOST» «^$»

Модуль работает, но периодически возникают ложные срабатывания… например при создании темы на форуме, правке php скриптов возникает ошибка 500… Как мне избавиться от этой проблемы?

botInca

Расскажите, ЗАЧЕМ он Вам?

ilia_m
botInca
Расскажите, ЗАЧЕМ он Вам?

Это шутка?

botInca
ilia_m
Это шутка?

Нет, вполне серьёзно. Для чего Вам мод_секьюрити?

ilia_m
botInca
Нет, вполне серьёзно. Для чего Вам мод_секьюрити?

Для защиты вэб-сервера от различного рода атак, например скулей… Он, собственно, для этого и предназначен))).

botInca
ilia_m
Для защиты вэб-сервера от различного рода атак, например скулей… Он, собственно, для этого и предназначен))).

И что, реально атаковали и защитил?

ilia_m
botInca
И что, реально атаковали и защитил?

Эмм.., уважаемый, я просил помощи разобраться в конкретной проблеме, а не обсуждать работу данного модуля. Если есть, что сказать по сабжу — буду весьма признателен, если нет, то не надо уводить тему в сторону, ок?