Mod_security regeln

[Gast4121]

Guten Abend,

ich suche mod_security Regeln, welche nicht zu streng sind. Die von gotrules sowie die Beispielregeln schlagen bei CMSsystemen sehr oft ungewollt an. Könnt Ihr mir da etwas empfehlen?

Grüße

 

[redled]

Welche Version setzt Du denn ein?
1.9.5 oder 2.x ?

Zu den Regeln kann ich nur folgendes sagen. Man muss! diese anpassen.
Sprich, aussortieren. 1:1 kopieren ist nicht zu empfehlen.
Jede Regel muss ja geparst werden, was wiederum Zeit und Speicher kostet.
Wichtig sind Regeln gegen Rootkits, Apache-Rules und SQl-Injektions.

Je magerer und cleverer diese formuliert sind, desto besser.

1. Was will ich mit mod_security Filtern, Umleiten, Protokollieren
2. Welche Anwendungen laufen auf meinen Server
3. Welche Rules benötige ich
4. Regelsatz erstellen, nicht kopieren
5. Im Log nachschauen, welche Regel wo und was blockt. Diese dann evtl. auskommentieren bzw. anpassen.

Grüße Rico

 

[Gast4121]

Ich setze eine Version 2 ein. Kannst du mir denn einen Grundstamm zum Filtern/Bannen empfehlen? Ich denke ich bräuchte vorwiegend etwas gegen SQl-Injektions.

Apacheregeln sind dazu da, die Scriptausführung zu begrenzen?

Grüße

 

[Deleted member 4401]

Hm, also bevor du ewig nach Rulesets suchst bei denen dann doch wieder erwünschte Requests geblockt werden empfehle ich dir mal einen Abend Zeit zu nehmen, das audit_log zu durchforsten und Ausnahmeregeln zu erstellen. Mach imo mehr Sinn da du nie Rulesets dritter finden wirst die genau auf deine Bedürfnisse zugeschnitten sind.

Habe im Laufe der Zeit viele Regeln anpassen müssen, meistens wegen Wordpress und phpnuke.
Wenn es hakt ist die erste Anlaufstelle die mod security Mailing List, normalerweise bekommst du dort schon nach weniger als 1 Stunde die ersten Antworten:
https://lists.sourceforge.net/lists/listinfo/mod-security-users

Würde dir ja gerne meine Rulesets gegen SQL-Injections geben, nur leider benutze ich eine ältere Version und die Syntax ist nicht kompatibel.