evolix/wiki
22
0
Fork 0
Code Releases Activity

Compléments

Browse source
This commit is contained in:
Ludovic Poujol 2018-11-28 14:50:43 +01:00
parent 3c9a154358
commit cc4f44291d
1 changed files with 10 additions and 12 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

22
HowtoApache.md
View file

@ -813,9 +813,9 @@ Voir <https://wiki.evolix.org/HowtoFail2Ban#apache-nginx>
### ModSecurity
L'utilisation de [ModSecurity](http://www.modsecurity.org) permet
d'interdire certaines requêtes (attaques XSS connues, etc.) au
niveau d'Apache. On l'installe généralement avec le
[OWASP ModSecurity Core Rule Set](https://coreruleset.org/) (CRS)
de bloquer certaines requêtes HTTP (attaques XSS connues, etc.) au
niveau d'Apache. On l'installe avec le [OWASP ModSecurity Core Rule Set](https://coreruleset.org/) (CRS)
qui est un ensemble de règles ModSecurity couvrant un large spectre d'attaques possibles.
~~~
# apt install libapache2-mod-security2 modsecurity-crs
@ -834,7 +834,6 @@ Nous faisons une configuration minimale via
SecResponseBodyAccess Off
#SecResponseBodyLimit 524288
SecResponseBodyMimeType (null) text/html text/plain text/xml
#SecServerSignature "Apache/2.2.0 (Fedora)"
SecUploadDir /tmp
SecUploadKeepFiles Off
SecDefaultAction "log,auditlog,deny,status:406,phase:2,t:none"
@ -858,22 +857,21 @@ Nous faisons une configuration minimale via
# See https://github.com/SpiderLabs/ModSecurity/issues/712
SecRuleRemoveById "910000-910999"
ErrorDocument 406 http://SERVERNAME/406.html
</IfModule>
~~~
Nous désactivons le audit log par défaut, puisque linformation
enregistrer dans les autres logs est suffisante. Par contre, il
est important de le réactiver lorsque vous faites un audit des
règles applicables a un serveur. Dans ce cas, il existe des
[outils](https://github.com/Apache-Labor/labor/blob/master/bin/.apache-modsec.alias)
Nous désactivons le log d'audit par défaut, puisque linformation
enregistrée dans le log d'erreur Apache est suffisante pour connaître
la raison d'un bloquage. Par contre, il est utile de le réactiver lorsque
vous faites un audit des règles applicables a un serveur ou lors de la rédaction
de nouvelles règles. Dans ce cas, il existe des [outils](https://github.com/Apache-Labor/labor/blob/master/bin/.apache-modsec.alias)
pour faciliter lobtention de statistiques du audit log.
On peut aussi ajuster certains paramètres de ModSecurity Core Rule
Set en ajustant le fichier `/etc/modsecurity/crs/crs-setup.conf`.
Set en modifiant le fichier `/etc/modsecurity/crs/crs-setup.conf`.
C'est notamment ici qu'il faudra ajuster si on utilise d'autres
méthodes HTTP (comme PATCH, DELETE) qui risque d'être bloquées
méthodes HTTP (comme PATCH, PUT, DELETE...) qui sont bloquées par défaut.
On pourra désactiver modsecurity dans des vhosts ou sur des dossiers
en particulier en jouant avec la directive `SecRuleEngine Off`.