mod_security & Vhosts

[docHouse]

Moin moin zusammen,
entweder habe ich das überlesen oder einfach nur nicht gefunden.
Wie kann ich für einzelne Vhosts mod_security ausschalten? Resp. geht das überhaupt ?

Oder aber ist hier jemand der ein entsprechendes Regelwerk hat, das für Typo3 einwandfrei funktioniert ? Oder eine Info wo ich das finden könnte ?
gotroot und modsecurity haben mir leider nicht helfen können, oder ich war zu blind.

Ich verwende derzeit noch die 1.9

Grüße
M.

 

[Thorsten]

Hallo!
Ich vermute mal SecRuleEngine Off.
Siehe Configuration Directives

mfG
Thorsten

 

[docHouse]

Hi,
naja nicht ganz - aber so gehts mittels der vhost.conf:

<Directory /var/www/vhosts/xxx.de/httpdocs/>
   <IfModule mod_security.c>
      SecFilterEngine Off
   </IfModule>
</Directory>

Nun aber zu einem weiterem Problemchen ;-)
Folgender Code wird in die Log Datei geschrieben - es handelt sich hierbei um eine Gallery innerhalb von Joomla.

==ea21a07f==============================
Request: www.xxx.de 87.122.207.254 - - [01/Aug/2007:10:45:53 +0200] "POST /components/com_expose/expose/manager/amfphp/gateway.php HTTP/1.1" 403 962 "http://www.xxx.de/components/com_expose/expose/manager/manager.swf" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6" - "-"
----------------------------------------
POST /components/com_expose/expose/manager/amfphp/gateway.php HTTP/1.1
Host: www.xxxl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: 3dcc87e731066870fe461def1049a4ec=c0af20113f51d3269f6424f0e29cb777; mosvisitor=1; bf44cd19faa3bf26f5c6a1a704ce9dda=bbc9f73bd5ab6b6027b5d5ddd56abb90
Referer: http://www.xxx.de/components/com_expose/expose/manager/manager.swf
Content-type: application/x-amf
Content-length: 147
mod_security-action: 403
mod_security-message: Access denied with code 403. Pattern match "!(^application/x-www-form-urlencoded$|^multipart/form-data;)" at HEADER("Content-Type") [severity "EMERGENCY"]

147
   
 Credentials    P password -ae94be3cd532ce4a025884819eb08c98LookieHereNow userid manager  	 
 com.slooz.AlbumManager.login /1   
    

HTTP/1.1 403 Forbidden
Last-Modified: Tue, 05 Jun 2007 06:31:27 GMT
ETag: "109000e-3c2-d4c80dc0"
Accept-Ranges: bytes
Content-Length: 962
Keep-Alive: timeout=15, max=96
Connection: Keep-Alive
Content-Type: text/html
--ea21a07f--

Ich bekomme es nicht hin, die entsprechende Regel

# Only accept request encodings we know how to handle
# we exclude GET requests from this because some (automated)
# clients supply "text/html" as Content-Type
SecFilterSelective REQUEST_METHOD "!^(GET|HEAD)$" chain
SecFilterSelective HTTP_Content-Type "!(^application/x-www-form-urlencoded$|^multipart/form-data;)"

zu excludieren. Denke mal, ich habe heute einfach ein Brett vor dem Kopp
Schalte ich die Regel in der modsecurity.conf komplett aus, dann klappt es, aber das ist ja nicht Sinn der Sache ...

Jemand vielleicht eine Idee ?

Viele Grüße
M.

 

[Tengu]

Bin auch noch einigermaßen "frisch" auf dem Gebiet, aber ein Frage vorweg: welche Mod-Security Version benutzt du und welches Ruleset (z.B. Core Ruleset oder GotRoot) bzw. verwendest du (auch oder nur) eigene Rules?

Bei den fertigen Rulesets von modsecurity.org/gotroot ist jeder Rule eine ID zugeordnet, das sieht dann etwa so aus:

SecRule REQUEST_METHOD "TRACE" "id:340007,rev:1,severity:2,msg:'TRACE method denied'"

Mit der folgenden Direktive kannst du abhängig vom Pfad bestimmte Prüfungen ausschalten. Die Direktive muss oberhalb aller anderen Regeln (SecRule) in der modsecurity.conf stehen!

<LocationMatch "com_expose/expose/manager/amfphp/gateway.php">
SecRuleRemoveById 340007
</LocationMatch>