sexta-feira, 9 de setembro de 2011

Instalando ModSecurity

Neste artigo estarei abordando a instalação e configuração do Modsecurity no Slackware.


Sugiro uma boa leitura sobre este módulo no site oficial:



Com apache instalado faça o Download dos Slackbuilds direto no site:

http://slackbuilds.org/repository/13.37/network/modsecurity-apache


Efetue o procedimento normal de instalação dos builds.

Após a configuração, edite o conf do apache em /etc/httpd/httpd.conf adicionando as seguintes linhas:


ServerTokens Prod

Include /etc/httpd/extra/httpd-modsecurity-minimal.conf

Include /etc/httpd/extra/mod_security.conf

Obs Renomiei os confs apenas por questão organização**

Feito isso reinicie o apache com o comando apachectl restart

Agora vamos testar com um simples comando:

lynx -dump -head http://localhost/


root@firewall6:/srv/www/htdocs# lynx -dump -head http://localhost/
HTTP/1.1 403 Forbidden

Date: Fri, 09 Sep 2011 06:21:11 GMT

Server: Apache

Connection: close

Content-Type: text/html; charset=iso-8859-1

Conforme o resultado acima, veja que a saída do comando lynx já recebe um uretorno do tipo "403"


[Fri Sep 09 03:24:10 2011] [error] [client 127.0.0.1] ModSecurity: Access denied with code 403 (phase 2). Pattern match "^[\\\\d.:]+$" at REQUEST_HEADERS:Host. [file "/usr/modsecurity.d/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "97"] [id "960017"] [rev "2.0.10"] [msg "Host header is a numeric IP address"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/IP_HOST"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [tag "http://technet.microsoft.com/en-us/magazine/2005.01.hackerbasher.aspx"] [hostname "127.0.0.1"] [uri "/"] [unique_id "TmmxCn8AAAEAADAeDkAAAAAA"]

Através do Log já podemos ver o trabalho conjunto entre ModSecurity e Apache.

Arquivo do blog