From cc4f44291d6f0f1b03bd8dd90cd59f6c5c562982 Mon Sep 17 00:00:00 2001 From: lpoujol Date: Wed, 28 Nov 2018 14:50:43 +0100 Subject: [PATCH] =?UTF-8?q?Compl=C3=A9ments?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- HowtoApache.md | 22 ++++++++++------------ 1 file changed, 10 insertions(+), 12 deletions(-) diff --git a/HowtoApache.md b/HowtoApache.md index de7485ce..cf0f85e1 100644 --- a/HowtoApache.md +++ b/HowtoApache.md @@ -813,9 +813,9 @@ Voir ### ModSecurity L'utilisation de [ModSecurity](http://www.modsecurity.org) permet -d'interdire certaines requêtes (attaques XSS connues, etc.) au -niveau d'Apache. On l'installe généralement avec le -[OWASP ModSecurity Core Rule Set](https://coreruleset.org/) (CRS) +de bloquer certaines requêtes HTTP (attaques XSS connues, etc.) au +niveau d'Apache. On l'installe avec le [OWASP ModSecurity Core Rule Set](https://coreruleset.org/) (CRS) +qui est un ensemble de règles ModSecurity couvrant un large spectre d'attaques possibles. ~~~ # apt install libapache2-mod-security2 modsecurity-crs @@ -834,7 +834,6 @@ Nous faisons une configuration minimale via SecResponseBodyAccess Off #SecResponseBodyLimit 524288 SecResponseBodyMimeType (null) text/html text/plain text/xml - #SecServerSignature "Apache/2.2.0 (Fedora)" SecUploadDir /tmp SecUploadKeepFiles Off SecDefaultAction "log,auditlog,deny,status:406,phase:2,t:none" @@ -858,22 +857,21 @@ Nous faisons une configuration minimale via # See https://github.com/SpiderLabs/ModSecurity/issues/712 SecRuleRemoveById "910000-910999" - ErrorDocument 406 http://SERVERNAME/406.html ~~~ -Nous désactivons le audit log par défaut, puisque l’information -enregistrer dans les autres logs est suffisante. Par contre, il -est important de le réactiver lorsque vous faites un audit des -règles applicables a un serveur. Dans ce cas, il existe des -[outils](https://github.com/Apache-Labor/labor/blob/master/bin/.apache-modsec.alias) +Nous désactivons le log d'audit par défaut, puisque l’information +enregistrée dans le log d'erreur Apache est suffisante pour connaître +la raison d'un bloquage. Par contre, il est utile de le réactiver lorsque +vous faites un audit des règles applicables a un serveur ou lors de la rédaction +de nouvelles règles. Dans ce cas, il existe des [outils](https://github.com/Apache-Labor/labor/blob/master/bin/.apache-modsec.alias) pour faciliter l’obtention de statistiques du audit log. On peut aussi ajuster certains paramètres de ModSecurity Core Rule -Set en ajustant le fichier `/etc/modsecurity/crs/crs-setup.conf`. +Set en modifiant le fichier `/etc/modsecurity/crs/crs-setup.conf`. C'est notamment ici qu'il faudra ajuster si on utilise d'autres -méthodes HTTP (comme PATCH, DELETE) qui risque d'être bloquées +méthodes HTTP (comme PATCH, PUT, DELETE...) qui sont bloquées par défaut. On pourra désactiver modsecurity dans des vhosts ou sur des dossiers en particulier en jouant avec la directive `SecRuleEngine Off`.