Compléments sur Modsecurity
This commit is contained in:
parent
45d5619e18
commit
a230f542d0
|
@ -582,7 +582,7 @@ Voir <https://wiki.evolix.org/HowtoFail2Ban#apache-nginx>
|
||||||
|
|
||||||
### ModSecurity
|
### ModSecurity
|
||||||
|
|
||||||
L'utilisation de [ModSecurity](http://www.modsecurity.org) permet d'interdire certaines requêtes (attaques XSS connues, etc.) au niveau d'Apache.
|
L'utilisation de [ModSecurity](http://www.modsecurity.org) permet d'interdire certaines requêtes (attaques XSS connues, etc.) au niveau d'Apache. On l'installe généralement avec le [OWASP ModSecurity Core Rule Set](https://coreruleset.org/) (CRS)
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# apt install libapache2-mod-security2 modsecurity-crs
|
# apt install libapache2-mod-security2 modsecurity-crs
|
||||||
|
@ -619,12 +619,27 @@ Nous faisons une configuration minimale via `/etc/apache2/conf-available/modsecu
|
||||||
SecRule REQUEST_URI "modsecuritytest2"
|
SecRule REQUEST_URI "modsecuritytest2"
|
||||||
SecRule REQUEST_FILENAME "(?:n(?:map|et|c)|w(?:guest|sh)|cmd(?:32)?|telnet|rcmd|ftp)\.exe"
|
SecRule REQUEST_FILENAME "(?:n(?:map|et|c)|w(?:guest|sh)|cmd(?:32)?|telnet|rcmd|ftp)\.exe"
|
||||||
|
|
||||||
#Include /usr/share/modsecurity-crs/*.conf
|
Include /usr/share/modsecurity-crs/owasp-crs.load
|
||||||
|
|
||||||
|
|
||||||
ErrorDocument 406 http://SERVERNAME/406.html
|
ErrorDocument 406 http://SERVERNAME/406.html
|
||||||
</IfModule>
|
</IfModule>
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
|
On peut aussi ajuster certains paramètres de ModSecurity Core Rule Set en ajustant le fichier `/etc/modsecurity/crs/crs-setup.conf`. C'est notamment ici qu'il faudra ajuster si on utilise d'autres méthodes HTTP (comme PATCH, DELETE) qui risque d'être bloquées
|
||||||
|
|
||||||
|
On pourra désactiver modsecurity dans des vhosts ou sur des dossiers en particulier en jouant avec la directive `SecRuleEngine Off` Utile notamment sur l'administration de Wordpress ou PHPmyAdmin
|
||||||
|
~~~
|
||||||
|
<Directory "/home/monsite/www/wp-admin">
|
||||||
|
<IfModule security2_module>
|
||||||
|
SecRuleEngine Off
|
||||||
|
</IfModule>
|
||||||
|
</Directory>
|
||||||
|
~~~
|
||||||
|
|
||||||
|
On peut aussi désactiver des règles spécifiques en utilisant `SecRuleRemoveById XXXX`
|
||||||
|
|
||||||
|
|
||||||
Le Wiki À propos de [ces directives](https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual)
|
Le Wiki À propos de [ces directives](https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual)
|
||||||
|
|
||||||
Pour une configuration avancée, on ajuste l'utilisation du jeu de règles *modsecurity-crs* et l'on gère nos propres règles personnalisées.
|
Pour une configuration avancée, on ajuste l'utilisation du jeu de règles *modsecurity-crs* et l'on gère nos propres règles personnalisées.
|
||||||
|
|
Loading…
Reference in a new issue