MyException - 我的异常网
当前位置:我的异常网» Apache » 在ubuntu16.04中装配apache2+modsecurity以及自定义

在ubuntu16.04中装配apache2+modsecurity以及自定义WAF规则详解

www.MyException.Cn  网友分享于:2013-10-19  浏览:0次
在ubuntu16.04中安装apache2+modsecurity以及自定义WAF规则详解

一、Modsecurity规则语法示例

SecRuleModSecurity主要的指令,用于创建安全规则。其基本语法如下:

SecRule VARIABLES OPERATOR [ACTIONS]

  • VARIABLES

    代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等。

  • OPERATOR

    代表操作符,一般用来定义安全规则的匹配条件。常见的操作符包括:@rx(正则表达式)、@streq(字符串相同)、@ipmatch(IP相同)等。

  • ACTIONS

    代表响应动作,一般用来定义数据包被规则命中后的响应动作。常见的动作包括:deny(数据包被拒绝)、pass(允许数据包通过)、id(定义规则的编号)、severity(定义事件严重程度)等。

值得注意的是,如需获取更加深入的语法,请参考官方手册。由于本实验中涉及到了自定义安全规则,故将其中涉及到的三条规则做详细说明,如下:

规则1:防XSS攻击

SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:001,msg: 'XSS Attack',severity:ERROR,deny,status:404"

  • VARIABLES

    ARGS:所有请求参数;REQUEST_HEADERS:请求数据头部。

  • OPERATOR

    @rx <script>:如果正则匹配字符串"<script>"成功,则规则执行。

  • ACTIONS

    id:001规定该条规则编号为001msg: 'XSS Attack'代表记录信息为:XSS Attackseverity:ERROR表示严重程度为ERRORdeny表示拒绝所有请求包;status:404表示服务器响应状态编号为404

    说明:严重程度分为8级: EMERGENCY (0)ALERT (1)CRITICAL (2)ERROR (3)WARNING (4)NOTICE (5)INFO (6) DEBUG (7)

该规则表明:所有请求参数中包含字符串"<script>"HTTP包均会被服务器拦截并记录。

规则2:设置白名单

SecRule REMOTE_ADDR "@ipmatch 192.168.1.9" "id:002,phase:1,t:none,

nolog,pass,ctl:ruleEngine=off"

  • VARIABLES

    REMOTE_ADDR:远程主机IP

  • OPERATOR

    @ipmatch 192.168.1.9:如果请求主机IP地址为192.168.1.9,则规则执行。

  • ACTIONS

    id:002规定该条规则编号为002phase:1表示规则执行的范围为请求头部;t:none表示VARIABLES的值不需要转换(t代表transform);nolog代表不记录日志;pass代表继续下一条规则;ctl:ruleEngine=off代表关闭拦截模式,所有规则失效。

    说明:phase编号规定如下:Request Headers (1), Request Body (2), Response Headers (3), Response Body (4) and Logging (5).

该规则表明:对于主机192.168.1.9发送的HTTP包,服务器关闭拦截模式,允许所有包通过。

规则3chain规则

SecRule ARGS:username "@streq admin" chain,denyid:003

SecRule REMOTE_ADDR "!streq 192.168.1.9"

  • VARIABLES

    ARGS:username所有表示请求参数中的用户名信息。

  • OPERATOR

    @streq admin表示用户名等于字符串"admin",则执行ACTIONS

  • ACTIONS

    id:003规定该条规则编号为003chain表示用户名等于admin的情况下,必须完成第二行规则的匹配(远程主机IP不是192.168.1.9),才能执行下一个动作;deny表示所有请求包被拒绝。

该规则表明:所有主机名为admin,但对应主机IP地址不是192.168.1.9的请求包均会被服务器拒绝。也就意味着只有某一台主机可以用admin用户登录(一般情况是系统管理员的主机),大大提高了系统安全性。

二、一键安装LAMP环境

  1. 执行命令apt-get update
  2. 执行命令apt-get install lamp-server^
    1. 在安装过程中会跳出Mysql数据库root用户密码设置窗口,按要求输入密码:123,按Tab键选择"Ok",按回车进入下一步,如下图所示:

  3. 重复输入密码:123,按Tab键选中"Ok",按回车继续安装,如下图所示:

  4. 打开浏览器,在地址栏输入:http://localhost,可以验证apache2安装成功,如下图所:

 

 

5.输入命令mysql -u root -p ,成功进入mysql窗口,mysql安装成功。

三、安装modsecurity

  1. 安装libapache2-modsecurity模块及其依赖包,输入:

    $ apt-get install libxml2 libxml2-dev libxml2-utils libapache2-modsecurity

  2. 查询ModSecurity版本号,验证安装是否成功,输入:

    $ dpkg -s libapache2-modsecurity | grep Version

    注意:看清Version的大小写。

  3. 重启Apache服务,输入:

    $ service apache2 reload

  4. 配置modsecurity,启用拦截模式,输入:

    $ cd /etc/modsecurity

    $ mv modsecurity.conf-recommended modsecurity.conf

    $ vim modsecurity.conf

    上述操作将安装包中的推荐配置文件改名为标准的配置文件名,并启用Vim编辑器编辑该配置文件。

  5. 编辑modsecurity.conf,将"SecRuleEngine DetectionOnly"改为"SecRuleEngine On",保存并退出。如下图所示:

    上述操作将开启安全规则引擎,即启用拦截模式,过滤HTTP流量。

四、配置自定义规则

  1. 进入文件夹activated_rules,将启动文件关联到此文件夹中,采用软链接的方式,输入:

    $ cd /usr/share/modsecurity-crs/activated_rules

    $ ln -s ../modsecurity_crs_10_setup.conf ./modsecurity_crs_10_setup.conf

    $ tree

  2. 执行命令vim MY.conf,创建自己的规则文件MY.conf。写入防XSS规则(编号001)如下:

    SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:003,msg: 'XSS Attack',severity:ERROR,deny,status:404"

  3. 设置配置文件security2.conf,输入:

    $ vim /etc/apache2/mods-available/security2.conf

  4. 在该文件中添加:IncludeOptional /usr/share/modsecurity-crs/activated_rules/*.conf,如下图所示:

  5. 重启apache服务,输入:

    $ service apache2 reload

五、验证防护效果

  1. 登录主机"hacker",进入攻击者模式。在浏览器地址栏输入:http://localhost/ ?q=<script> alert(1)</script>。实验结果如下图所示:

  2. 执行命令vim /var/log/apache2/modsec_audit.log,查看WAF拦截日志,如下图所示:

    由上图可知,从本地主机发出的GET请求被规则文件MY.conf中的001号规则准确命中,消息中包含的恶意代码被拦截。

文章评论

老程序员的下场
老程序员的下场
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
编程语言是女人
编程语言是女人
中美印日四国程序员比较
中美印日四国程序员比较
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
10个调试和排错的小建议
10个调试和排错的小建议
鲜为人知的编程真相
鲜为人知的编程真相
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
 程序员的样子
程序员的样子
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
程序员应该关注的一些事儿
程序员应该关注的一些事儿
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
我的丈夫是个程序员
我的丈夫是个程序员
漫画:程序员的工作
漫画:程序员的工作
程序员和编码员之间的区别
程序员和编码员之间的区别
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
Java程序员必看电影
Java程序员必看电影
程序员都该阅读的书
程序员都该阅读的书
Google伦敦新总部 犹如星级庄园
Google伦敦新总部 犹如星级庄园
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
那些争议最大的编程观点
那些争议最大的编程观点
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
总结2014中国互联网十大段子
总结2014中国互联网十大段子
旅行,写作,编程
旅行,写作,编程
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
每天工作4小时的程序员
每天工作4小时的程序员
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
程序员必看的十大电影
程序员必看的十大电影
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
一个程序员的时间管理
一个程序员的时间管理
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
为什么程序员都是夜猫子
为什么程序员都是夜猫子
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有