Compléments
This commit is contained in:
parent
3c9a154358
commit
cc4f44291d
|
@ -813,9 +813,9 @@ Voir <https://wiki.evolix.org/HowtoFail2Ban#apache-nginx>
|
||||||
### ModSecurity
|
### ModSecurity
|
||||||
|
|
||||||
L'utilisation de [ModSecurity](http://www.modsecurity.org) permet
|
L'utilisation de [ModSecurity](http://www.modsecurity.org) permet
|
||||||
d'interdire certaines requêtes (attaques XSS connues, etc.) au
|
de bloquer certaines requêtes HTTP (attaques XSS connues, etc.) au
|
||||||
niveau d'Apache. On l'installe généralement avec le
|
niveau d'Apache. On l'installe avec le [OWASP ModSecurity Core Rule Set](https://coreruleset.org/) (CRS)
|
||||||
[OWASP ModSecurity Core Rule Set](https://coreruleset.org/) (CRS)
|
qui est un ensemble de règles ModSecurity couvrant un large spectre d'attaques possibles.
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# apt install libapache2-mod-security2 modsecurity-crs
|
# apt install libapache2-mod-security2 modsecurity-crs
|
||||||
|
@ -834,7 +834,6 @@ Nous faisons une configuration minimale via
|
||||||
SecResponseBodyAccess Off
|
SecResponseBodyAccess Off
|
||||||
#SecResponseBodyLimit 524288
|
#SecResponseBodyLimit 524288
|
||||||
SecResponseBodyMimeType (null) text/html text/plain text/xml
|
SecResponseBodyMimeType (null) text/html text/plain text/xml
|
||||||
#SecServerSignature "Apache/2.2.0 (Fedora)"
|
|
||||||
SecUploadDir /tmp
|
SecUploadDir /tmp
|
||||||
SecUploadKeepFiles Off
|
SecUploadKeepFiles Off
|
||||||
SecDefaultAction "log,auditlog,deny,status:406,phase:2,t:none"
|
SecDefaultAction "log,auditlog,deny,status:406,phase:2,t:none"
|
||||||
|
@ -858,22 +857,21 @@ Nous faisons une configuration minimale via
|
||||||
# See https://github.com/SpiderLabs/ModSecurity/issues/712
|
# See https://github.com/SpiderLabs/ModSecurity/issues/712
|
||||||
SecRuleRemoveById "910000-910999"
|
SecRuleRemoveById "910000-910999"
|
||||||
|
|
||||||
|
|
||||||
ErrorDocument 406 http://SERVERNAME/406.html
|
ErrorDocument 406 http://SERVERNAME/406.html
|
||||||
</IfModule>
|
</IfModule>
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Nous désactivons le audit log par défaut, puisque l’information
|
Nous désactivons le log d'audit par défaut, puisque l’information
|
||||||
enregistrer dans les autres logs est suffisante. Par contre, il
|
enregistrée dans le log d'erreur Apache est suffisante pour connaître
|
||||||
est important de le réactiver lorsque vous faites un audit des
|
la raison d'un bloquage. Par contre, il est utile de le réactiver lorsque
|
||||||
règles applicables a un serveur. Dans ce cas, il existe des
|
vous faites un audit des règles applicables a un serveur ou lors de la rédaction
|
||||||
[outils](https://github.com/Apache-Labor/labor/blob/master/bin/.apache-modsec.alias)
|
de nouvelles règles. Dans ce cas, il existe des [outils](https://github.com/Apache-Labor/labor/blob/master/bin/.apache-modsec.alias)
|
||||||
pour faciliter l’obtention de statistiques du audit log.
|
pour faciliter l’obtention de statistiques du audit log.
|
||||||
|
|
||||||
On peut aussi ajuster certains paramètres de ModSecurity Core Rule
|
On peut aussi ajuster certains paramètres de ModSecurity Core Rule
|
||||||
Set en ajustant le fichier `/etc/modsecurity/crs/crs-setup.conf`.
|
Set en modifiant le fichier `/etc/modsecurity/crs/crs-setup.conf`.
|
||||||
C'est notamment ici qu'il faudra ajuster si on utilise d'autres
|
C'est notamment ici qu'il faudra ajuster si on utilise d'autres
|
||||||
méthodes HTTP (comme PATCH, DELETE) qui risque d'être bloquées
|
méthodes HTTP (comme PATCH, PUT, DELETE...) qui sont bloquées par défaut.
|
||||||
|
|
||||||
On pourra désactiver modsecurity dans des vhosts ou sur des dossiers
|
On pourra désactiver modsecurity dans des vhosts ou sur des dossiers
|
||||||
en particulier en jouant avec la directive `SecRuleEngine Off`.
|
en particulier en jouant avec la directive `SecRuleEngine Off`.
|
||||||
|
|
Loading…
Reference in a new issue