Apache und mod_security

juedan

FreeBSDler
Hallo Forum,

um meinen Webserver etwas sicherer zu machen, wollte ich mod_security konfigurieren. Gescheitert bin ich letztlich daran, dass es so gut wie keine gute Dokumentation gibt. Alles, was ich bisher gefunden habe, endete mit "duplicate rules detected" oder die Seiten werden unvollständig geladen.
Nun gut, ich habe mod_security wieder abgeschaltet und bin auf der Suche nach guter(!) Literatur, die mod_security mit seiner Konfiguration und seinen Rules verständlich erklärt. Es darf gerne ein Buch sein, da kann man wenigstens mit Bleistift oder mit PostIts ein paar Notizen machen.

Danke im Voraus für die Antworten.
 
Ich kannte das bisher nicht und kann Dir also leider auch nicht helfen, aber in einer der Anleitungen steht das:

You should understand that ModSecurity is incredibly complex and can alter your site's ability to serve pages. It would be wise to fully understand ModSecurity before enabling this feature.

Das klingt für mich nach viel zu Lernen, bis das spezifisch an die individuellen Web-Anwendungen angepasst ist, die es schützen soll, und dann auch wirklich schützt ohne irgendwas kaputt zu machen. Eine Copy&Paste Anleitung wird's da nicht geben, genausowenig wie z.B. bei SELinux oder AppArmor oder AIDE (hab' alles drei auf Linux Servern im Einsatz).

Ich finde es jedenfalls hochinteressant und werde mich, sobald ich Zeit dafür habe, damit auseinandersetzen. Dafür ein Danke!
 
Guten Abend,

zunächst einmal Danke an Euch.

Die erste Anleitung hatte ich gefunden, kurz ausprobiert und sie lief nicht (Pfade waren angepasst!) :
bei "Include /usr/share/doc/mod-security-common/examples/rules/*.conf" kam die Fehlermeldung "duplicate rules..."
nachdem ich das auskommentiert hatte und nur
"Include /usr/share/doc/mod-security-common/examples/rules/base_rules/*.conf" eingetragen war, wurden kein CSS und JavaScript mehr geladen.
Die zweite und dritte Empfehlung kannte ich noch nicht.

Das klingt für mich nach viel zu Lernen, bis das spezifisch an die individuellen Web-Anwendungen angepasst ist, die es schützen soll, und dann auch wirklich schützt ohne irgendwas kaputt zu machen. Eine Copy&Paste Anleitung wird's da nicht geben, genausowenig wie z.B. bei SELinux oder AppArmor oder AIDE (hab' alles drei auf Linux Servern im Einsatz).
Dieser Sache bin ich mir bewußt, weil das im Grunde für alle Sicherheitsmaßnahnen gilt: man muß sich einlesen, verstehen und dann anwenden. Copy&Paste gibt es da nicht.
Aus diesem Grunde möchte ich auch vernünftige Literatur lesen und kein Howto.

Schönen Abend.
 
In der ersten Anleitung ist das schon sehr gut beschrieben, und die Fehlermeldung zeigt doch wo es hakt: "duplicate rules".
Aus der Zeit, als ich mich mit Apache unter SuSE beschäftigt habe weiß ich noch, daß man bei der Konfiguration sehr aufpassen muß, weil man sonst durch einen Befehl, z. B. in Zeile 50 etwas aushebelt, was man in Zeile 17 festgelegt hat.

Sieh mal in Deine Apache-Konfiguration, ob da nicht eine Anweisung steht, welche die Fehlermeldung doppelter Regeln verursacht.

Direkte Literatur a la Buch wirst Du wohl über mod-security nicht finden, ansonsten gibt es eigentlich jede Menge darüber zu lesen:
Application Level Firewall mit ModSecurity und Apache

Dokumentation zu mod-security

Die Projektseite
 
Guten Abend,
Dieser Sache bin ich mir bewußt, weil das im Grunde für alle Sicherheitsmaßnahnen gilt: man muß sich einlesen, verstehen und dann anwenden. Copy&Paste gibt es da nicht.
Aus diesem Grunde möchte ich auch vernünftige Literatur lesen und kein Howto.
Wenn Du was findest, sag Bescheid... :) Kann mich erinnern dass ich insbesondere bei SELinux von anfänglich nur "Bahnhof" ziemlich viel Zeit und Mühe bis zum erhellenden "Aha!" investieren musste...
 
Hallo zusammen,

@Idefixx : Fehler gefunden. Die Rules wurden in apache24/modules.d/280_mod_security.conf eingebunden...
@Rosendoktor : Mein Buchhändler hat hier nur ältere Literatur gefunden

Bücher gibt es schon, aber die beziehen sich auf ältere Versionen von mod_security. Z.B O'Reilly
Ich habe mir dieses Buch im Internetauktionshaus geschossen ("wannst Di schickst, kriagst no oans" :D ):
https://www.wiley.com/en-us/Web+App...+Hackers+and+Protecting+Users-p-9781118362181
Darin wird auf mod_security 2.5 eingegangen.

Zwei Rules habe ich schon mal gebastelt:
SecRule "REQUEST_URI" "passwd$" "id:'9000000',log,deny,status:500"
SecRule "REQUEST_URI" "shadow$" "id:'9000001',log,deny,status:500"

Vielen Dank für Euren Input.

Bist demnächst und bleibt gesund!
 
Zurück
Oben