mod_security

[volker23]

Hallo

Lohnt sich die Verwendung von mod_security? Was habt ihr für Erfahrungen?

 

[HornOx]

IMHO solltest du dir ein Buch über Linux/Webserver/Sicherheit schnappen und das gründlich durcharbeiten bevor du zu jedem Thema über das du zufällig stolperst einen eigenen Thread aufmachst.
Ansonsten: Es gibt für so allgemeine Fragen sicher schon mehrere Antworten in den Weiten des Internets, search.msn.de oder vivisimo.com oder yahoo.com helfen dir beim finden.

 

[volker23]

Ich habe ein Buch ;-) Ich dachte hier im Forum kann man Tips austauschen, aber das geht anscheinend ja nicht...

 

[Guin]

Lohnt sich die Verwendung von mod_security?

Es lohnt sich, wenn man die richtigen Regeln benutzt.
Mod_Security lohnt sich nicht, wenn man nur sichere (keine bekannten Bugs/Exploits) Software nutzt.

So wirklich allgemein kann man das nicht sagen.

Was habt ihr für Erfahrungen?

Man kann in den Logs schoen sehen, wenn Security gegriffen hat. Bisher hat es mir geholfen mich gegen automatische Gaestebuchspammer zu verteidigen.

 

[volker23]

@ Guin: Das ist eine Antwort! Danke!

@HornOx: Schau dir mal den letzten Post an, das ist eine Antwort!

 

[HornOx]

Ich dachte hier im Forum kann man Tips austauschen, aber das geht anscheinend ja nicht...

Du solltest dir angewöhnen nicht von dem Verhalten eines Einzelnen auf das Verhalten von einer ganzen Gruppe zu schließen. IMHO sollten Fragen deutlich gezielter sein und sollten Eigeninitiative des Fragestellers erkennen lassen.

@HornOx: Schau dir mal den letzten Post an, das ist eine Antwort!

Das ist eine knappe(der Artikel auf Heise/c't zu dem Thema ist 5 Seiten lang) und teilweise irreführende Antwort, eine bessere kannst du dir selbst geben wenn du ein paar Sekunden suchst und dann nochmal ein paar Minuten ließt. Die Redundanz im Internet ist schon hoch genug, da muß man sie nicht noch mutwillig weiter erhöhen.

Mod_Security lohnt sich nicht, wenn man nur sichere (keine bekannten Bugs/Exploits) Software nutzt.

[...] the purpose of ModSecurity is to [...] protecting web applications from [...] unknown attacks.

 

[Guin]

Einen 5 Seiten Artikel wollte ich nicht schreiben.

Mod_Security lohnt sich nicht, wenn man nur sichere [...] Software nutzt.

Das stammt aus meiner persoenlichen Erfahrung. Klar es werden Anfragen in deren Query String sich "http" oder "../../shadow" oder aehnliches befindet abgefangen (Regelabhaengig), aber auch ohne mod_security haette das keinen Schaden angerichtet.
"lohnt sich nicht" haette ich nicht schreiben sollen. Es lohnt sich schon. Immerhin ist es kaum Aufwand es zu installieren.

protecting web applications from [...] unknown attacks.

Es bietet eine gewisse Sicherheit. Gerade zu meiner Anfangszeit konnte ich dadurch besser schlafen Aber 100%igen Schutz bietet ModSecurity nicht.

Neben dem Heise Artikel war auch die HP von gotroot.com mit die erste Anlaufstelle fuer mich. Auf der HP von modsecurity sollte man auch ab und an mal vorbeigucken.

 

[Tiggr]

Neben dem Heise Artikel war auch die HP von gotroot.com mit die erste Anlaufstelle fuer mich. Auf der HP von modsecurity sollte man auch ab und an mal vorbeigucken.

Guten Morgen,

ich schlafe seit gestern auch wesentlich besser! ;-) - Allerdings kam heute morgen, dass böse erwachen...

Und zwar scheinen die gotroot.com Rules zu hart zu sein, dass selbst mein Google Analytics Code geblockt wird. Ich bekomme auf 5 Seiten für gestern 0 Besucher angezeigt. Normalerweise hat jede Seite zwischen 30 und 50...

Komischerweise finde ich aber keine Logeinträge. Kann mir jemand helfen, dem Problem auf die Spur zu kommen? - Eigentlich müsste soetwas doch auch geloggt werden, oder???

<IfModule mod_security.c>
# Only inspect dynamic requests
# (YOU MUST TEST TO MAKE SURE IT WORKS AS EXPECTED)
#SecFilterEngine DynamicOnly

SecFilterEngine On

# Reject requests with status 500
SecFilterDefaultAction "deny,log,status:500"

# Some sane defaults
SecFilterScanPOST On
SecFilterCheckURLEncoding On
SecFilterCheckCookieFormat On
SecFilterCheckUnicodeEncoding Off
SecFilterNormalizeCookies On
# enable version 1 (RFC 2965) cookies
SecFilterCookieFormat 1

SecServerResponseToken Off

#If you want to scan the output, uncomment these
#SecFilterScanOutput On
#SecFilterOutputMimeTypes "(null) text/html text/plain"

# Accept almost all byte values
SecFilterForceByteRange 1 255

# Server masking is optional
#fake server banner - NOYB used - no one needs to know what we are using
SecServerSignature "KAVW"

#SecUploadDir /tmp
#SecUploadKeepFiles Off

# Only record the interesting stuff
SecAuditEngine RelevantOnly
SecAuditLog /var/log/modsec_audit_log

# You normally won't need debug logging
SecFilterDebugLevel 0
SecFilterDebugLog /var/log/modsec_debug_log

#And now, the rules
#Remove any of these Include lines you do not use or have rules for.

(ALLE RULES VON GOTROOT.COM)

</IfModule>

Würde mich über einen Lösungsansatz sehr freuen...

LG der Tiggr!