Dépannage Pc
|
||||||||||
 |
||||||||||
Proteger son serveur apache 2.2.3 avec un firewall : mod_security |
 Assistance informatique gratuite |
|||||||||
|
||||||||||
#1
- Jérémy
Proteger son serveur apache 2.2.3 avec un firewall : mod_security
Vous avez dut surement remarquer que des robots cherchent des faillent ou lancent des requetes automatisées sur des failles potentielement éxistentes.
Avec le module sécurity pour Apache 2.2.3 que vous soyez sur Windows ou GNU/linux, vous protegera de ces attaques.
Attention la configuration du module par défault citée ci dessous est vraiment très restrictive, certaine configuration de réecriture d'url ( mod_rewrite ) risquent de provoquer une érreur 403 ( Forbiden ).
Plutôt que de changer la configuration du mod_sécurity, préferez le changement de configuration de votre url rewriting.
Configuration par défault :
Code:
# Turn the filtering engine On or Off
SecFilterEngine On
# Make sure that URL encoding is valid
SecFilterCheckURLEncoding On
# Unicode encoding check
SecFilterCheckUnicodeEncoding Off
# Only allow bytes from this range
SecFilterForceByteRange 0 255
# Only log suspicious requests
SecAuditEngine RelevantOnly
# The name of the audit log file
SecAuditLog logs/audit_log
# Debug level set to a minimum
SecFilterDebugLog logs/modsec_debug_log
SecFilterDebugLevel 0
# Should mod_security inspect POST payloads
SecFilterScanPOST On
# By default log and deny suspicious requests
# with HTTP status 500
SecFilterDefaultAction "deny,log,status:500"
</IfModule>
2ème exemple :
Code:
SecFilterEngine On
# Reject requests with status 403
SecFilterDefaultAction "deny,log,status:403"
# Some sane defaults
SecFilterScanPOST On
SecFilterCheckURLEncoding On
SecFilterCheckUnicodeEncoding Off
# Accept almost all byte values
SecFilterForceByteRange 1 255
#Injection SQL
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
#Attaque par chemin transversal
SecFilter "\.\./"
#Injection javascript
SecFilter "<script"
#Attaques XSS
SecFilter "<.+>"
SecFilter "<[[:space:]]*script"
#Necessite headers HTTP_USER_AGENT ou HTTP_POST
SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$"
# Server masking is optional
# SecServerSignature "Microsoft-IIS/5.0"
SecUploadDir /tmp
SecUploadKeepFiles Off
# Only record the interesting stuff
SecAuditEngine RelevantOnly
SecAuditLog logs/audit_log
# You normally won't need debug logging
SecFilterDebugLevel 0
SecFilterDebugLog logs/modsec_debug_log
# Only accept request encodings we know how to handle
# we exclude GET requests from this because some (automated)
# clients supply "text/html" as Content-Type
SecFilterSelective REQUEST_METHOD "!^(GET|HEAD)$" chain
SecFilterSelective HTTP_Content-Type \
"!(^application/x-www-form-urlencoded$|^multipart/form-data;)"
# Do not accept GET or HEAD requests with bodies
SecFilterSelective REQUEST_METHOD "^(GET|HEAD)$" chain
SecFilterSelective HTTP_Content-Length "!^$"
# Require Content-Length to be provided with
# every POST request
Le module doit être activé comme ça :
LoadModule security_module modules/mod_security.c
#2
- Guest123
Re: Proteger son serveur apache 2.2.3 avec un firewall : mod_security
D'apres ta configuration, dans le premier exemple, il s'agirait plutot d'une erreur 500 :p.
Réponse rapide
|==> Faire un lien vers ce sujet ??
<a href="http://www.brakstar.com/forum/braktopic_34.html" title="Proteger son serveur apache 2.2.3 avec un firewall : mod_security">Proteger son serveur apache 2.2.3 avec un firewall : mod_security</a>
|
|
| Forum :
Réseau - Sécurité - Materiel Php - Référencement - Serveurs - Divers Windows - Internet - Logiciels - Communication |
SARL Brakstar - siret : 48501380900010 RCS 9 allée du colonel Koch. 91250 Saintry sur Seine Tel : 01.69.89.99.57 - Mail : societe@brakstar.com |