Francisco C Soares

Saudações,

Visto que no ultimo post eu fiz menção de turbinar o Apache, que tal então melhorarmos a segurança deste motor, o Apache, para que ele não "exploda"? EHEHEEHEH ...

Ativando o mod_security no Apache.

Fazendo a mesma citação do post anterior ...
Em Debian-Like o processo é simples.

Instale o mod_security com o comando:

#apt-get install libapache2-modsecurity

!KO, neste ponto o modulo já está ativado, entretanto, não funcional.

Faço-o funcionar! Renomeie o arquivo principal de configuração:

#cd /etc/modsecurity
#mv modsecurity.conf-recommended modsecurity.conf

Edite o arquivo modsecurity.conf:

#vi /etc/modsecurity/modsecurity.conf

Localize a diretiva SecDebugLogLevel 3 e descomente a linha:

DE:
#SecDebugLogLevel 3

PARA:
SecDebugLogLevel 3

Salve o arquivo.

Estamos quase lá!
Edite o arquivo mod-security.conf  dentro do diretório /etc/apache2/mods-enabled:

#vi /etc/apache2/mods-enabled/mod-security.conf

Dentro deste arquivo (mod-security.conf), adicione ao seu conteúdo a linha abaixo:

EXEMPLO:

DE:
<IfModule security2_module>
        # Default Debian dir for modsecurity's persistent data
        SecDataDir /var/cache/modsecurity

        # Include all the *.conf files in /etc/modsecurity.
        # Keeping your local configuration in that directory
        # will allow for an easy upgrade of THIS file and
        # make your life easier
        Include "/etc/modsecurity/*.conf"
</IfModule>

PARA:
<IfModule security2_module>
        # Default Debian dir for modsecurity's persistent data
        SecDataDir /var/cache/modsecurity

        # Include all the *.conf files in /etc/modsecurity.
        # Keeping your local configuration in that directory
        # will allow for an easy upgrade of THIS file and
        # make your life easier
        Include "/etc/modsecurity/*.conf"

        # REGRAS ESSENCIAIS
        Include /usr/share/modsecurity-crs/base_rules/*.conf
</IfModule>

Mais regras podem ser encontradas no diretório /usr/share/modsecurity-crs.
Mas, seja cauteloso! Como menciona o leia-me /usr/share/doc/modsecurity-crs/README.Debian ... algumas regas são experimentais ou "violentas"!

Bem, é isto! Recarregando o Apache já teremos o modulo em funcionamento.

#/etc/init.d/apache2 reload

VAMOS TESTAR?

Acesse seu servidor com uma das linhas, de exemplo, abaixo:

http://127.0.0.1/?<SCRIPT>alert(“Teste")</SCRIPT>

ou

http://127.0.0.1/index.html?<SCRIPT>alert(“Teste")</SCRIPT>

ou

http://127.0.0.1/index.php?<SCRIPT>alert(“Teste")</SCRIPT>

Funcionou? EHEHEHE... Vamos vê os logs!

Acesse o arquivo /var/log/apache2/modsec_audit.log.

#tail -n 15 /var/log/apache2/modsec_audit.log


Notou  as msgs? Veja:
... [msg "Method is not allowed by policy"] ...
... [msg "HTTP protocol version is not allowed by policy"] ...
... [msg "Possible XSS Attack Detected - HTML Tag Handler"] ...
... [msg "XSS Attack Detected"] ...
... [msg "IE XSS Filters - Attack Detected"] ...

Pronto, seu mod_security já está lhe garantindo uma camada extra de proteção.

Para saber mais sobre o formato do log do mod_security, acesse:
http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Data_Format


Paz a todos!