[科普文]ubuntu上安装Apache2+ModSecurity及自定义WAF规则

最新推荐文章于 2024-08-06 21:34:09 发布
最新推荐文章于 2024-08-06 21:34:09 发布
阅读量2.3k 收藏 3
点赞数
分类专栏: 渗透

转载地址:http://danqingdani.blog.163.com/blog/static/186094195201481562831737/

虽然VPS使用了云WAF功能,但还是有点小担心,为了双重保险,决定使用modsecurity来定制规则,以下介绍如何为apache服务器配置ModSecurity防护罩(modsecurity目前也支持Nginx,IIS) 。


本次选择使用包管理器来安装,因为每次使用源码包的安装方式,都会被诡异的库依赖错误弄得发型都抓乱。

安装环境:
OS:Ubuntu 14.04.1 LTS
Apache:  Apache/2.4.7 (Ubuntu)

第一步:安装libapache2-modsecurity模块及其依赖包 
apt-get install libxml2 libxml2-dev libxml2-utils libaprutil1 libaprutil1-dev libapache2-modsecurity
我们可以使用以下命令查看一下modsecurity的当前版本 
dpkg -s libapache2-modsecurity | grep Version
我的vps上安装的是 Version: 2.7.7-2


第二步:配置modsecurity,启用拦截模式 
service apache2 reload
该命令生效后,会在 /var/log/apache2/目录下生成modsecurity的日志文件modsec_audit.log 

cd /etc/modsecurity/

  
  

   
   mv modsecurity.conf-recommended modsecurity.conf
  
  

  
  

   
   vim /etc/modsecurity/modsecurity.conf
  
  
修改
SecRuleEngine On

第三步:使用modsecurity核心规则集
核心规则集的详细介绍参见:

ModSecurity CRS 笔记、WAF防御checklist,及WAF架构的一些想法

 将我们想起用的规则集放置在以下目录下 
cd /usr/share/modsecurity-crs/activated_rules/
选择启用base规则集 
for f in $(ls ../base_rules/); do ln -s ../base_rules/$f; done
你可以采用同样的办法启用其他规则集,注意不同的规则集可能需要启用特定的模块
修改apache模块配置,启用规则集
注意:modsecurity 2.7版本与2.6版本的配置文件有些区别
(1)2.7版本 
vim /etc/apache2/mods-available/security2.conf 
修改

  
  

   
   <IfModule security2_module>
   
   

    
            
    
    # Default Debian dir for modsecurity's persistent data
   
   

   
   

    
            SecDataDir /var/cache/modsecurity
   
   

   
   


   
   

   
   

    
            
    
    # Include all the *.conf files in /etc/modsecurity.
   
   

   
   

    
            # Keeping your local configuration in that directory
   
   

   
   

    
            # will allow for an easy upgrade of THIS file and
   
   

   
   

    
            # make your life easier
   
   

   
   

    
            IncludeOptional /etc/modsecurity/*.conf
   
   

   
   

    
            IncludeOptional /usr/share/modsecurity-crs/*.conf
   
   

   
   

    
            IncludeOptional /usr/share/modsecurity-crs/activated_rules/*.conf
   
   

   
   

    
    </IfModule>
(2)2.6版本 
vim  /etc/apache2/mods-available/mod-security.conf
修改

  
  

   
           Include /etc/modsecurity/*.conf
   
   

   
           Include /usr/share/modsecurity-crs/*.conf
   
   

   
           Include /usr/share/modsecurity-crs/activated_rules/*.conf

第四步:启用modsecurity模块 
a2enmod headers

  
  

   
   a2enmod security2 (版本2.6 a2enmod mod-security)
  
  

  
  

   
   service apache2 restart

第五步:测试真实的攻击payload
看是否能拦截 
http://www.tanjiti.com/?case=archive&act=orders&aid[typeid`%3D1%20and%20ord(mid((select/**/concat(username,0x3a,password)%20from%20cmseasy_user),1,1))%3C49%23]=1
我们发现请求包被403拦截了,
可以查看modsecurity日志文件看具体的拦截情况 
tail /var/log/apache2/modsec_audit.log 



  
  

   
   message: Access denied with code 403 (phase 2). Pattern match "(/\\*!?|\\*/|[';]--|--[\\s\\r\\n\\v\\f]|(?:--[^-]*?-)|([^\\-&])#.*?[\
   
   

   
   \s\\r\\n\\v\\f]|;?\\x00)" at ARGS_NAMES:aid[typeid`=1 and ord(mid((select/**/concat(username,0x3a,password) from cmseasy_user),1,1))
   
   

   
   <49#]. [file "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "49"] [id "981231"] [
   
   

   
   rev "2"] [msg "SQL Comment Sequence Detected."] [data "Matched Data: /* found within ARGS_NAMES:aid[typeid`=1 and ord(mid((select/**
   
   

   
   /concat(username,0x3a,password) from cmseasy_user),1,1))<49#]: aid[typeid`=1 and ord(mid((select/**/concat(username,0x3a,password) f
   
   

   
   rom cmseasy_user),1,1))<49#]"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.8"] [maturity "8"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTAC
   
   

   
   K/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"]
可以看到是被base规则集的 modsecurity_crs_41_sql_injection_attacks.conf文件的规则 981231拦截,命中了SQL注释语句。

对于网站结构比较了解的站长们,完全可以自定义规则,特别是白名单规则来防护我们的网站。

第六步:自定义WAF规则
规则语法快速入门参考

ModSecurity SecRule cheatsheets


WAF规则实例1:上传文件名白名单,只允许上传图片文件 
vim /usr/share/modsecurity-crs/activated_rules/MY.conf
添加规则 
SecRule FILES "!\\.(?i:jpe?g|gif|png|bmp)$" "deny,tag:'WEB_ATTACK/FILEUPLOAD',msg:'upload no-picture file',id:0000001,phase:2"

测试,上传php文件 
(http的使用参照

HTTP发包工具 -HTTPie

http www.tanjiti.com filename@a.php
我们可以看到请求包被拦截,查看modsecurity日志 
more /var/log/apache2/modsec_audit.log
可以看到命中了规则0000001 
Message: Access denied with code 403 (phase 2). Match of "rx \\.(?i:jpe?g|gif|png|bmp)$" against "FILES:filename" required. [file "/
usr/share/modsecurity-crs/activated_rules/MY.conf"] [line "1"] [id "0000001"] [msg "upload no-picture file"] [tag "WEB_ATTACK/FILEUP
LOAD"]


WAF规则实例2: 上传文件名中包含%00进行阻断 
vim /usr/share/modsecurity-crs/activated_rules/MY.conf
 添加规则 
SecRule FILES "@contains %00" "deny,tag:'WEB_ATTACK/FILEUPLOAD',msg:'filename has null character',id:0000002,phase:2"

测试,上传文件名包含%00的文件 
http www.tanjiti.com filename@a.php%00.jpeg
我们可以看到请求包被拦截,查看modsecurity日志 
more /var/log/apache2/modsec_audit.log
可以看到命中了规则0000002 
Message: Access denied with code 403 (phase 2). String match "%00" at FILES:filename. [file "/usr/share/modsecurity-crs/activated_ru
les/MY.conf"] [line "2"] [id "0000002"] [msg "filename has null character"] [tag "WEB_ATTACK/FILEUPLOAD"]

非常简单吧,下一步,计划介绍一下nginx服务器的防护。
天天向上_好好学习
关注
专栏目录
ubuntu16.04中安装apache2+modsecurity以及自定义WAF规则详解
qq_27366789的博客
10-15 663
一、Modsecurity规则语法示例 SecRule是ModSecurity主要的指令,用于创建安全规则。其基本语法如下: SecRule VARIABLES OPERATOR [ACTIONS] VARIABLES 代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有件名称)等。 OPERATOR 代表操...
ubuntu安装Apache2+ModSecurity及实现防SQL注入演示
www1234的博客
09-11 3587
ubuntu安装Apache2+ModSecurity及实现防SQL注入演示 一、Apache2安装 1.1、安装环境: OS:Ubuntu 16.04.1 LTS Apache: Apache/2.4.18 (Ubuntu)安装命令: 更新安装源: sudo apt-get install update sudo apt-get install apache21.2、Apac
利用ubuntu 14.04+apache+modsecurity实现云WAF
netsec_steven的博客
06-09 487
近年来,云计算的热潮推动着IT行业的发展,很多企业的产品或服务都在尽力与云“挂钩”。其中,在国内外信息安全市场中,也多了一个新的概念,就是“云WAF”。 云WAF,也称WEB应用防火墙的云模式。它是一种全新的信息安全产品模式。这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对 网站实施安全防护。防SQL注入、防XSS、防DDOS等,这些传统WAF上存在的功能,云WAF同样
win下apache 搭建 waf防火墙
最新发布
hartyu的博客
08-06 513
删除或屏蔽 apache\conf\modsecurity\rules\REQUEST-920-PROTOCOL-ENFORCEMENT.conf 第722-741行内容。解压 owasp-modsecurity-crs-3.3-dev,把 rules 件夹复制到apache\conf\modsecurity 目录下。打开 mod_security-2.9.3-win32-VC15.zip\mod_security-2.9.3\mod_security。下载 mod_security。
Ubuntu安装ModSecurity模块
 RBPi' Blog
06-03 965
ModSecurity官网:www.modsecurity.org 所需的一些依赖安装 pcre: sudo apt-get install libpcre3 libpcre3-dev libxml2: sudo apt-get install libxml2 libxml2-dev ./configure –with-apxs=/usr/bin/apxs...
Ubuntu下Nginx配置ModSecurity详细思路及过程
qq490765184的博客
09-14 1140
Ubuntu下Nginx配置ModSecurity详细思路及过程
WAF学习之二——ubuntu/deepin配置nginx+ModSecurity
weixin_38719347的博客
02-23 1509
1.安装依赖 sudo apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf 2.编译ModSecurity 由于ModSecurity for...
如何在Ubuntu 20.04 LTS上安装ModSecurity Apache
A5互联
11-25 819
在本中我们将向您展示如何在香港服务器的Ubuntu 20.04 LTS系统上安装ModSecurity Apache。ModSecurity是一个Apache模块,它可以帮助保护你的网站免受各种攻击,如跨站脚本、SQL注入攻击、路径遍历攻击等。ModSecurity还可以实时监控网站流量,帮助你检测和应对入侵。 步骤1.首先,通过apt在终端中运行以下以下命令,确保所有系统软件包都是最新的。 sudo apt update sudo apt upgrade 步骤2.在Ubuntu 20.04上安装ModS
ModSecurityCRS:在Apache服务器上实现ModSecurity,核心规则集(CRS)。 ModSecurity,有时也称为Modsec,是一种开源Web应用程序防火墙。 使用Virtual Box在Ubuntu VM上安装并配置了ModSecurity
02-06
Ubuntu上,可以使用`apt-get`命令安装Apache服务器,运行`sudo apt-get install apache2`即可。 3. **安装ModSecurity**: - 首先,更新系统包列表`sudo apt-get update`,然后安装必要的依赖项`sudo apt-get ...
Apache下ModSecurity安装启用与配置
09-15
**三、Ubuntu安装Apache2+ModSecurity自定义WAF规则** 在Ubuntu 14.04.1 LTS环境下,建议使用包管理器安装Apache和ModSecurity,因为它们会自动处理依赖关系: 1. **安装Apache**:使用`apt-get install ...
ubuntu安装ModSecurity
雪水
01-04 2134
环境:Ubuntu 14.04 一、准备各种库件 1、安装apache apt-get install apache2 apt-get install apache2-dev 2、安装libapr和libapr-util 官网http://apr.apache.org/下载libapr和libapr-util压缩包 先安装libapr ./configure make sud
libapache2-modsecurity_2.7.7-2_all.deb
04-12
libapache2-modsecurity_2.7.7-2_all.deb
ModSecurity/2.x + Apache 安装
xufuangchao的博客
05-14 465
章目录1. Apache源码安装1.1 安装包1.2 解压缩1.3 apr/apr-util/pcre安装1.4 apache安装1.5 启动1.6 Apache代理配置2. Mod_security安装2.1 安装包2.2 依赖2.3 安装依赖2.4 安装modsecurity2.5 确认Apache已添加Mod_security模块2.6 确认Apache和Mod_security指向同一个PCRE库2.7 为Mod_security添加权限2.8 在Apache上加载Mod_security模块 P
linux命令 waf,常用waf命令
weixin_31640385的博客
05-09 1348
常用waf命令一、配置及编译:$ ./waf configure [option]$ ./waf帮助: $ ./waf --help配置调试,优化调试:$ ./waf -d configure: debug,optimized改变flag: $ CXXFLAGS="-O3" ./waf configure或者: $CXX=g++-3.4 ./waf configure编译的结果放在目录:...
(原创)ubuntu14.04+apache2+modsecurity 构建云waf
weixin_30707875的博客
03-27 94
目前我国大部分的网站还是基于在本地部署防火墙或者是waf来防御未知的攻击,但是这种模式需要网站管理员不断的更新系统维护及防护规则库来获取最新的防护能力。 云waf,顾名思义,就是在云端的waf防火墙,仅仅需要将web服务器的dns修改到我们提供的dns服务器的ip就可以为你的网站提供服务,而你从此以后将高枕无忧。 现在说来一下云waf的基本工作原理及在本地配置一个云waf模型。 ...
ModSecurity规则
浅笑996的博客
10-26 5469
一、ModSecurity规则 基本格式 SecRule VARIABLES OPERATOR ACTIONS SecRule:ModSecurity主要的指令,用于创建安全规则。 VARIABLES :代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有件名称)等。 OPERATOR:代表操作符,一般用来定义安全规则的匹配条件...
modsecurity配置指令学习
weixin_30819163的博客
11-21 667
事务(transactions) Console(控制台) 1 Introduction Modsecurity是保护网络应用安全的工作。不,从零开始。我常称modsecurityWAF(网络应用防火墙),这是种被广泛接受的叫法,它指的是为保护网络应用而专门设计的产品族。也有些时候我称它为HTTP入侵检测工具,我认为这个称呼更好的描述了modsecurity做了什么。 Unders...
Apache HTTP 过滤器filter、开源WAFModSecurity)、Apache 模块开发
西京刀客
03-08 2503
在编写Apache模块时,需要具备C或C++编程经验和对Apache Web服务器的基本了解。另外,需要参考Apache的档和API参考手册来编写代码和构建模块。
ubuntu安装waf
07-27
要在Ubuntu安装WAF(Web Application Firewall),可以按照以下步骤进行操作: 1. 首先,打开终端。 2. 使用以下命令更新软件包列表: ``` sudo apt update ``` 3. 接下来,安装WAF软件包。根据你的需求,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值