Compléments
This commit is contained in:
parent
3c9a154358
commit
cc4f44291d
|
@ -813,9 +813,9 @@ Voir <https://wiki.evolix.org/HowtoFail2Ban#apache-nginx>
|
|||
### ModSecurity
|
||||
|
||||
L'utilisation de [ModSecurity](http://www.modsecurity.org) permet
|
||||
d'interdire certaines requêtes (attaques XSS connues, etc.) au
|
||||
niveau d'Apache. On l'installe généralement avec le
|
||||
[OWASP ModSecurity Core Rule Set](https://coreruleset.org/) (CRS)
|
||||
de bloquer certaines requêtes HTTP (attaques XSS connues, etc.) au
|
||||
niveau d'Apache. On l'installe avec le [OWASP ModSecurity Core Rule Set](https://coreruleset.org/) (CRS)
|
||||
qui est un ensemble de règles ModSecurity couvrant un large spectre d'attaques possibles.
|
||||
|
||||
~~~
|
||||
# apt install libapache2-mod-security2 modsecurity-crs
|
||||
|
@ -834,7 +834,6 @@ Nous faisons une configuration minimale via
|
|||
SecResponseBodyAccess Off
|
||||
#SecResponseBodyLimit 524288
|
||||
SecResponseBodyMimeType (null) text/html text/plain text/xml
|
||||
#SecServerSignature "Apache/2.2.0 (Fedora)"
|
||||
SecUploadDir /tmp
|
||||
SecUploadKeepFiles Off
|
||||
SecDefaultAction "log,auditlog,deny,status:406,phase:2,t:none"
|
||||
|
@ -858,22 +857,21 @@ Nous faisons une configuration minimale via
|
|||
# See https://github.com/SpiderLabs/ModSecurity/issues/712
|
||||
SecRuleRemoveById "910000-910999"
|
||||
|
||||
|
||||
ErrorDocument 406 http://SERVERNAME/406.html
|
||||
</IfModule>
|
||||
~~~
|
||||
|
||||
Nous désactivons le audit log par défaut, puisque l’information
|
||||
enregistrer dans les autres logs est suffisante. Par contre, il
|
||||
est important de le réactiver lorsque vous faites un audit des
|
||||
règles applicables a un serveur. Dans ce cas, il existe des
|
||||
[outils](https://github.com/Apache-Labor/labor/blob/master/bin/.apache-modsec.alias)
|
||||
Nous désactivons le log d'audit par défaut, puisque l’information
|
||||
enregistrée dans le log d'erreur Apache est suffisante pour connaître
|
||||
la raison d'un bloquage. Par contre, il est utile de le réactiver lorsque
|
||||
vous faites un audit des règles applicables a un serveur ou lors de la rédaction
|
||||
de nouvelles règles. Dans ce cas, il existe des [outils](https://github.com/Apache-Labor/labor/blob/master/bin/.apache-modsec.alias)
|
||||
pour faciliter l’obtention de statistiques du audit log.
|
||||
|
||||
On peut aussi ajuster certains paramètres de ModSecurity Core Rule
|
||||
Set en ajustant le fichier `/etc/modsecurity/crs/crs-setup.conf`.
|
||||
Set en modifiant le fichier `/etc/modsecurity/crs/crs-setup.conf`.
|
||||
C'est notamment ici qu'il faudra ajuster si on utilise d'autres
|
||||
méthodes HTTP (comme PATCH, DELETE) qui risque d'être bloquées
|
||||
méthodes HTTP (comme PATCH, PUT, DELETE...) qui sont bloquées par défaut.
|
||||
|
||||
On pourra désactiver modsecurity dans des vhosts ou sur des dossiers
|
||||
en particulier en jouant avec la directive `SecRuleEngine Off`.
|
||||
|
|
Loading…
Reference in a new issue