evolix/wiki
22
0
Fork 0
Code Releases Activity

Compléments

Browse source
This commit is contained in:
Ludovic Poujol 2018-11-28 14:50:43 +01:00
parent 3c9a154358
commit cc4f44291d
1 changed files with 10 additions and 12 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

22
HowtoApache.md
View file

@ -813,9 +813,9 @@ Voir <https://wiki.evolix.org/HowtoFail2Ban#apache-nginx>
### ModSecurity ### ModSecurity
L'utilisation de [ModSecurity](http://www.modsecurity.org) permet L'utilisation de [ModSecurity](http://www.modsecurity.org) permet
d'interdire certaines requêtes (attaques XSS connues, etc.) au de bloquer certaines requêtes HTTP (attaques XSS connues, etc.) au
niveau d'Apache. On l'installe généralement avec le niveau d'Apache. On l'installe avec le [OWASP ModSecurity Core Rule Set](https://coreruleset.org/) (CRS)
[OWASP ModSecurity Core Rule Set](https://coreruleset.org/) (CRS) qui est un ensemble de règles ModSecurity couvrant un large spectre d'attaques possibles.
~~~ ~~~
# apt install libapache2-mod-security2 modsecurity-crs # apt install libapache2-mod-security2 modsecurity-crs
@ -834,7 +834,6 @@ Nous faisons une configuration minimale via
SecResponseBodyAccess Off SecResponseBodyAccess Off
#SecResponseBodyLimit 524288 #SecResponseBodyLimit 524288
SecResponseBodyMimeType (null) text/html text/plain text/xml SecResponseBodyMimeType (null) text/html text/plain text/xml
#SecServerSignature "Apache/2.2.0 (Fedora)"
SecUploadDir /tmp SecUploadDir /tmp
SecUploadKeepFiles Off SecUploadKeepFiles Off
SecDefaultAction "log,auditlog,deny,status:406,phase:2,t:none" SecDefaultAction "log,auditlog,deny,status:406,phase:2,t:none"
@ -858,22 +857,21 @@ Nous faisons une configuration minimale via
# See https://github.com/SpiderLabs/ModSecurity/issues/712 # See https://github.com/SpiderLabs/ModSecurity/issues/712
SecRuleRemoveById "910000-910999" SecRuleRemoveById "910000-910999"
ErrorDocument 406 http://SERVERNAME/406.html ErrorDocument 406 http://SERVERNAME/406.html
</IfModule> </IfModule>
~~~ ~~~
Nous désactivons le audit log par défaut, puisque linformation Nous désactivons le log d'audit par défaut, puisque linformation
enregistrer dans les autres logs est suffisante. Par contre, il enregistrée dans le log d'erreur Apache est suffisante pour connaître
est important de le réactiver lorsque vous faites un audit des la raison d'un bloquage. Par contre, il est utile de le réactiver lorsque
règles applicables a un serveur. Dans ce cas, il existe des vous faites un audit des règles applicables a un serveur ou lors de la rédaction
[outils](https://github.com/Apache-Labor/labor/blob/master/bin/.apache-modsec.alias) de nouvelles règles. Dans ce cas, il existe des [outils](https://github.com/Apache-Labor/labor/blob/master/bin/.apache-modsec.alias)
pour faciliter lobtention de statistiques du audit log. pour faciliter lobtention de statistiques du audit log.
On peut aussi ajuster certains paramètres de ModSecurity Core Rule On peut aussi ajuster certains paramètres de ModSecurity Core Rule
Set en ajustant le fichier `/etc/modsecurity/crs/crs-setup.conf`. Set en modifiant le fichier `/etc/modsecurity/crs/crs-setup.conf`.
C'est notamment ici qu'il faudra ajuster si on utilise d'autres C'est notamment ici qu'il faudra ajuster si on utilise d'autres
méthodes HTTP (comme PATCH, DELETE) qui risque d'être bloquées méthodes HTTP (comme PATCH, PUT, DELETE...) qui sont bloquées par défaut.
On pourra désactiver modsecurity dans des vhosts ou sur des dossiers On pourra désactiver modsecurity dans des vhosts ou sur des dossiers
en particulier en jouant avec la directive `SecRuleEngine Off`. en particulier en jouant avec la directive `SecRuleEngine Off`.