使用ModSecurity 保護Web服務安全(6)

5  使用例子

SecRule REQBODY_PROCESSOR_ERROR "!@eq 0“ "phase:2,log,deny,msg:'Failed to parse request body.',severity:2“

說明：

REQBODY_PROCESSOR_ERROR：指定針對request body發生的進程發生的錯誤的代碼

"!@eq 0“：當不等于0時，即有錯誤發生時

處理動作 "phase:2,log,deny,msg:'Failed to parse request body.',severity:2“

phase:2：由于對象為request body，因此指定在phase:2進行

log：當情況符合（發生錯誤），將錯誤記錄

deny：將這個處理拒絕

msg:'Failed to parse request body'：網頁上并顯示出這樣的錯誤訊息

severity:2：將此狀況列為嚴重程度為2

6 （ModSecurity Core Rules）  核心規則內容

ModSecurity是一個WEB應用防火墻引擎，自身所提供的保護非常少。為了變得更有用些，ModSecurity必須啟用規則配置。為了讓用戶能夠充分利用ModSecurity離開方塊，Breach Security, Inc.為ModSecurity 2.x提供了一套免費的認證規則集。和入侵檢測及防御系統不一樣，它們依賴于具體的簽名過的已知漏洞，而這一核心規則卻是為從網絡應用中發現的不知名的漏洞提供一般的保護，通常這些漏洞大多數情況下都是自定義編碼的。這一核心規則有了大量的評論，從而使得這些能夠被用來做ModSecurity的部署向導。最新的核心規則可能通過ModeSecurity的站點找到-http://www.modsecurity.org/projects/rules。

核心規則內容

為了提供一般WEB應用保護，核心規則使用以下技術：

l  HTTP保護 - HTTP協議正規劃檢測，并啟用本地有效策略

l  一般WEB攻擊保護 - 檢測一般WEB應用的安全攻擊

l  自動檢測 - 檢測機器人、爬蟲、掃描器和其它的表面惡意行動

l  木馬檢測 - 檢測木馬程序進入

l  過失隱藏 - 偽裝服務器發出錯誤消息

7 使用remo管理規則

Remo是一個ModSecurity  規則編輯器。使用Remo 可以更加方便管理規則。

安裝remo ：

#yum install ruby irb libsqlite3-ruby1.8

#wget http://remo.netnea.com/files/remo-0.2.0.tar.gz
#tar xvzf remo-0.2.0.tar.gz
#cd remo-0.2.0
#ruby script/server

使用瀏覽器訪問http://localhost:3000/main/index 即可使用remo管理規則如圖-5。

圖-5

如果有需要服務器的租用與托管的敬請聯系QQ：１５０１２８１７５８（億恩星辰）　　　聯系電話：０３７１—６３３２２２２０

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]