Apache - mod_security

[Lundil]

На интересный модуль наткнулся недавно к Apache, с его помощью можно решить некоторые проблемы безопасности сервера в том числе и DOS атаки (частично). Есть модули под Linux и Windows. Кому интересно (думаю об этом в последнее время начали думать побольше народа..) смотрите на их сайте Офф-сайт
Страница скачиваний

пример конфига

Код: Выделить всё • Развернуть

<IfModule mod_security.c>
    SecFilterEngine On
    SecFilterCheckURLEncoding On
    SecFilterForceByteRange 0 255

    SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "spider" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "PTX$" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "copi" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "webdav" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "winhtt" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "yournam" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "telepor" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "copy" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "archiv" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "wget" redirect:http://lleo.aha.ru/na/

    SecServerSignature "Apache/1.3.1 (Win32)"
    SecAuditEngine RelevantOnly
    SecAuditLog logs/audit_log
    SecFilterDebugLog logs/modsec_debug_log
    SecFilterDebugLevel 0
    SecFilterScanPOST On
    SecFilter /etc/password
    SecFilter "\.\./"
    SecFilter "<( |\n)*script"
    SecFilter ":( |\n)*xscript"
    SecFilter "<(.|\n)+>"
    SecFilter "delete[[:space:]]+from"
    SecFilter "insert[[:space:]]+into"
    SecFilter "select.+from"
</IfModule>

[zk]

Неплохой модуль, но у себя не ставил.
Есть смысл ставить когда много сканят или когда есть риск дырок в скриптах, отчасти помогает.
Ещё причина по которой не ставил - потеря производительности около 20%, а у меня итак машинка слабая =)

А вообще штука очень мощная и классная, настроек тьма =)

[Lundil]

у себя поставил, так ка вчера еще какой-то придурок меня сканировал через Xspider аш целых 2 раза.
с 19.00 до 21.00 пытал мой сервер адрес у придурка был 88.147.206.179

[zk]

Меня в среднем 1-2 раза в сутки сканят =)

Кстати раз уж поставил, расскажи что там и как настраивал =))

[Rostov114]

у себя поставил, так ка вчера еще какой-то придурок меня сканировал через Xspider аш целых 2 раза.
с 19.00 до 21.00 пытал мой сервер адрес у придурка был 88.147.206.179

=) Интересно что при помощи него можно найти.

По теме. Правда дай пожалуйста настройки...мод интересный...

[Lundil]

в настройках особо не копался, просто сделал некоторые вещи, чтоб избежать возможных ошибок, который возможно допускал при написании сайта (их приводить не буду...))))
а основная часть защита от XSS иньекции всякие... вот конфиг
дальше по мере необходимости буду его дополнять

Код: Выделить всё • Развернуть

<IfModule mod_security.c>
    SecFilterEngine On
    SecFilterCheckURLEncoding On
    SecFilterForceByteRange 0 255

    SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "spider" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "PTX$" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "copi" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "webdav" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "winhtt" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "yournam" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "telepor" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "copy" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "archiv" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "wget" redirect:http://lleo.aha.ru/na/

    SecServerSignature "Apache/1.3.1 (Win32)"
    SecAuditEngine RelevantOnly
    SecAuditLog logs/audit_log
    SecFilterDebugLog logs/modsec_debug_log
    SecFilterDebugLevel 0
    SecFilterScanPOST On
    SecFilter /etc/password
    SecFilter "\.\./"
    SecFilter "<( |\n)*script"
    SecFilter ":( |\n)*xscript"
    SecFilter "<(.|\n)+>"
    SecFilter "delete[[:space:]]+from"
    SecFilter "insert[[:space:]]+into"
    SecFilter "select.+from"
</IfModule>

в общем практически все стандартно в соответствии с минимальное настройкой этого модуля. Детально разбирать про DOS-атаки по-позже буду....

[zk]

redirect:http://lleo.aha.ru/na/
SecServerSignature "Apache/1.3.1 (Win32)"

жжёшь, да =)

З.Ы. Помести конфиг в свой первый пост, для наглядности...

[Sicness]

Читал много литературы по защите, часто советуют mod_security, только есть оговорка. При стандартной настроке, он не использует большенства своих возможностей. На офф сайте, вроде, есть целые списки готовых конфигов, но как указано в литературе, Вы их используете на свой страх и риск, т.к. есть шанс что блокироваться будут и запросы легальные; всё зависит от правельности настройки конфига.
Я хочу сказать что не всё так просто, но сам не пробовал. +)

[zk]

Я хочу сказать что не всё так просто, но сам не пробовал. +)

Немного здравого смысла + анализ накопленных логов, и можно составить свои правила.
Представленный выше конфиг - вполне адекватен, разве что посылать юзера за wget или teleport не очень этично =))))

[vgkseul26]

Подскажите плиз как и куда его вообще устанавливать.