Vai al contenuto

Application Firewall (WAF) basato sul Web

Non ancora testato

Questa procedura potrebbe funzionare così com'è. Il test su Rocky 10 è incompleto al 22 settembre 2025. Se lo usi e riscontri dei problemi, ti preghiamo di comunicarcelo.

Prerequisiti

  • Un server web Rocky Linux con Apache
  • Conoscenza di un editor a riga di comando (in questo esempio si usa vi )
  • Un buon livello di confidenza con l'emissione di comandi dalla riga di comando, la visualizzazione dei log e altri compiti generali di amministratore di sistema
  • La consapevolezza che l'installazione di questo strumento richiede anche il monitoraggio delle azioni e la messa a punto dell'ambiente
  • L'utente root esegue tutti i comandi o un utente regolare con sudo

Introduzione

mod_security è un firewall per applicazioni web-based (WAF) open source. È solo uno dei possibili elementi di una configurazione di server web Apache protetta. Utilizzatelo con o senza altri strumenti.

Se volete usare questo e altri strumenti di hardening, fate riferimento alla guida Apache Hardened Web Server. Questo documento utilizza anche tutti i presupposti e le convenzioni delineati nel documento originale. È buona norma rivederlo prima di continuare.

Una cosa che manca a mod_security quando viene installato dal repository Atomicorp è che le regole installate sono minime. Per ottenere un pacchetto più ampio di regole di mod_security a costo zero, questa procedura utilizza le regole OWASP mod_security che si trovano qui. OWASP è l'acronimo di Open Web Application Security Project. Per saperne di più su OWASP, cliccate qui.

Suggerimento

Come detto, questa procedura utilizza le regole OWASP mod_security. Ciò che non viene utilizzato è la configurazione fornita da quel sito. Questo sito fornisce anche ottimi tutorial sull'uso di mod_security' e di altri strumenti legati alla sicurezza. Il documento che state elaborando con mow non fa altro che aiutarvi a installare gli strumenti e le regole necessarie per l'hardening conmod_security' su un server web Rocky Linux. Netnea è un team di professionisti tecnici che offre corsi di sicurezza sul proprio sito web. La maggior parte di questi contenuti è disponibile gratuitamente, ma ci sono opzioni per la formazione interna o di gruppo.

Repository aggiuntivo

Per installare mod_security è necessario il repository Atomicorp (atomic.repo). Farlo con questa riga e rispondere sì a tutte le impostazioni predefinite:

wget -q -O - https://www.atomicorp.com/installers/atomic | sh

Esegui dnf upgrade per leggere tutte le modifiche.

Installazione di mod_security

Per installare il pacchetto base, utilizzate questo comando. Installerà tutte le dipendenze mancanti. È necessario anche wget, se non è installato:

dnf install mod_security wget

Installazione delle regole di mod_security

Nota

È importante seguire attentamente questa procedura. La configurazione di Netnea è stata modificata per adattarla a Rocky Linux.

  1. Per accedere alle regole attuali di OWASP, visitate il sito GitHub.

  2. Sul lato destro della pagina, cercate le release e fate clic sul tag dell'ultima release.

  3. Nella sezione "Assets" della pagina successiva, fare clic con il tasto destro del mouse sul collegamento "Source Code (tar.gz)" e copiare il link.

  4. Sul vostro server, andate nella directory di configurazione di Apache:

    cd /etc/httpd/conf

  5. Inserite wget e incollate il vostro link. Esempio:

    wget https://github.com/coreruleset/coreruleset/archive/refs/tags/v3.3.5.tar.gz

  6. Decomprimere il file:

    tar xzvf v3.3.5.tar.gz

    Questo crea una directory con le informazioni di rilascio nel nome. Esempio: "coreruleset-3.3.5"

  7. Creare un collegamento simbolico chiamato "crs" che rimanda alla directory della release. Esempio:

    ln -s coreruleset-3.3.5/ /etc/httpd/conf/crs

  8. Rimuovere il file tar.gz. Esempio:

    rm -f v3.3.5.tar.gz

  9. Copiare la configurazione temporanea in modo che venga caricata all'avvio:

    cp crs/crs-setup.conf.example crs/crs-setup.conf

    Questo file è modificabile, ma probabilmente non sarà necessario apportare alcuna modifica.

Le regole di mod_security sono ora in vigore.

Configurazione

Una volta definite le regole, il passo successivo consiste nel configurarle in modo che vengano caricate ed eseguite quando httpd e mod_security vengono eseguiti.

mod_security ha già un file di configurazione che si trova in /etc/httpd/conf.d/mod_security.conf. È necessario modificare questo file per includere le regole OWASP. Per farlo, modificare il file di configurazione:

vi /etc/httpd/conf.d/mod_security.conf

Aggiungere il seguente contenuto subito prima del tag finale`(

Author: Steven Spencer

Contributors: Ezequiel Bruni, Ganna Zhyrnova