Ajouts de nouvelles directives modsecurity

This commit is contained in:
Patrick Marchand 2018-11-02 17:35:56 -04:00
parent 77b48096ea
commit 82f24dfaec

View file

@ -838,9 +838,9 @@ Nous faisons une configuration minimale via
SecUploadDir /tmp SecUploadDir /tmp
SecUploadKeepFiles Off SecUploadKeepFiles Off
SecDefaultAction "log,auditlog,deny,status:406,phase:2,t:none" SecDefaultAction "log,auditlog,deny,status:406,phase:2,t:none"
SecAuditEngine RelevantOnly SecAuditEngine Off
#SecAuditLogRelevantStatus "^[45]" #SecAuditLogRelevantStatus "^[45]"
SecAuditLogType Off SecAuditLogType Serial
SecAuditLog /var/log/apache2/modsecurity_audit.log SecAuditLog /var/log/apache2/modsecurity_audit.log
SecAuditLogParts "ABIFHZ" SecAuditLogParts "ABIFHZ"
#SecArgumentSeparator "&" #SecArgumentSeparator "&"
@ -854,6 +854,13 @@ Nous faisons une configuration minimale via
SecRule REQUEST_FILENAME "(?:n(?:map|et|c)|w(?:guest|sh)|cmd(?:32)?|telnet|rcmd|ftp)\.exe" SecRule REQUEST_FILENAME "(?:n(?:map|et|c)|w(?:guest|sh)|cmd(?:32)?|telnet|rcmd|ftp)\.exe"
Include /usr/share/modsecurity-crs/owasp-crs.load Include /usr/share/modsecurity-crs/owasp-crs.load
# Removed because it does not play well with apache-itk
SecRuleRemoveById "901000-901999"
# Removed because IP reputation based blocking is hard to predict
# and reason about
SecRuleRemoveById "910000-910999"
ErrorDocument 406 http://SERVERNAME/406.html ErrorDocument 406 http://SERVERNAME/406.html
@ -876,7 +883,8 @@ On pourra désactiver modsecurity dans des vhosts ou sur des dossiers
en particulier en jouant avec la directive `SecRuleEngine Off`. en particulier en jouant avec la directive `SecRuleEngine Off`.
Ceci peut être utile en cas de problèmes, mais il est toujours mieux Ceci peut être utile en cas de problèmes, mais il est toujours mieux
de faire un léger audit afin didentifier les règles problématiques de faire un léger audit afin didentifier les règles problématiques
et les désactiver avec `SecRuleRemoveById XXXX`. et les désactiver avec `SecRuleRemoveById XXXX`, comme nous le
faisont avec les règles 901* et 910*.
~~~ ~~~
<Directory "/home/monsite/www/wp-admin"> <Directory "/home/monsite/www/wp-admin">