首页  »   Apache

在ubuntu16.04中装配apache2+modsecurity以及自定义WAF规则详解

网友分享于:2013-10-19  浏览:0次
在ubuntu16.04中安装apache2+modsecurity以及自定义WAF规则详解

一、Modsecurity规则语法示例

SecRuleModSecurity主要的指令,用于创建安全规则。其基本语法如下:

SecRule VARIABLES OPERATOR [ACTIONS]

值得注意的是,如需获取更加深入的语法,请参考官方手册。由于本实验中涉及到了自定义安全规则,故将其中涉及到的三条规则做详细说明,如下:

规则1:防XSS攻击

SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:001,msg: 'XSS Attack',severity:ERROR,deny,status:404"

该规则表明:所有请求参数中包含字符串"<script>"HTTP包均会被服务器拦截并记录。

规则2:设置白名单

SecRule REMOTE_ADDR "@ipmatch 192.168.1.9" "id:002,phase:1,t:none,

nolog,pass,ctl:ruleEngine=off"

该规则表明:对于主机192.168.1.9发送的HTTP包,服务器关闭拦截模式,允许所有包通过。

规则3chain规则

SecRule ARGS:username "@streq admin" chain,denyid:003

SecRule REMOTE_ADDR "!streq 192.168.1.9"

该规则表明:所有主机名为admin,但对应主机IP地址不是192.168.1.9的请求包均会被服务器拒绝。也就意味着只有某一台主机可以用admin用户登录(一般情况是系统管理员的主机),大大提高了系统安全性。

二、一键安装LAMP环境

  1. 执行命令apt-get update
  2. 执行命令apt-get install lamp-server^
    1. 在安装过程中会跳出Mysql数据库root用户密码设置窗口,按要求输入密码:123,按Tab键选择"Ok",按回车进入下一步,如下图所示:

  3. 重复输入密码:123,按Tab键选中"Ok",按回车继续安装,如下图所示:

  4. 打开浏览器,在地址栏输入:http://localhost,可以验证apache2安装成功,如下图所:

 

 

5.输入命令mysql -u root -p ,成功进入mysql窗口,mysql安装成功。

三、安装modsecurity

  1. 安装libapache2-modsecurity模块及其依赖包,输入:

    $ apt-get install libxml2 libxml2-dev libxml2-utils libapache2-modsecurity

  2. 查询ModSecurity版本号,验证安装是否成功,输入:

    $ dpkg -s libapache2-modsecurity | grep Version

    注意:看清Version的大小写。

  3. 重启Apache服务,输入:

    $ service apache2 reload

  4. 配置modsecurity,启用拦截模式,输入:

    $ cd /etc/modsecurity

    $ mv modsecurity.conf-recommended modsecurity.conf

    $ vim modsecurity.conf

    上述操作将安装包中的推荐配置文件改名为标准的配置文件名,并启用Vim编辑器编辑该配置文件。

  5. 编辑modsecurity.conf,将"SecRuleEngine DetectionOnly"改为"SecRuleEngine On",保存并退出。如下图所示:

    上述操作将开启安全规则引擎,即启用拦截模式,过滤HTTP流量。

四、配置自定义规则

  1. 进入文件夹activated_rules,将启动文件关联到此文件夹中,采用软链接的方式,输入:

    $ cd /usr/share/modsecurity-crs/activated_rules

    $ ln -s ../modsecurity_crs_10_setup.conf ./modsecurity_crs_10_setup.conf

    $ tree

  2. 执行命令vim MY.conf,创建自己的规则文件MY.conf。写入防XSS规则(编号001)如下:

    SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:003,msg: 'XSS Attack',severity:ERROR,deny,status:404"

  3. 设置配置文件security2.conf,输入:

    $ vim /etc/apache2/mods-available/security2.conf

  4. 在该文件中添加:IncludeOptional /usr/share/modsecurity-crs/activated_rules/*.conf,如下图所示:

  5. 重启apache服务,输入:

    $ service apache2 reload

五、验证防护效果

  1. 登录主机"hacker",进入攻击者模式。在浏览器地址栏输入:http://localhost/ ?q=<script> alert(1)</script>。实验结果如下图所示:

  2. 执行命令vim /var/log/apache2/modsec_audit.log,查看WAF拦截日志,如下图所示:

    由上图可知,从本地主机发出的GET请求被规则文件MY.conf中的001号规则准确命中,消息中包含的恶意代码被拦截。

相关解决方案

最新解决方案