Перейти до змісту

Брандмауер веб-додатків (WAF)

Ще не протестовано

Ця процедура може працювати як є. Тестування 10-ї версії не завершене станом на 22 вересня 2025 року. Якщо ви користуєтеся ним і виявите проблеми, будь ласка, повідомте нас.

Передумови

  • Веб-сервер Rocky Linux, на якому працює Apache
  • Вміння працювати з редактором командного рядка (у цьому прикладі ми використовуємо vi)
  • Високий рівень комфорту з видачею команд із командного рядка, переглядом журналів та іншими загальними обов’язками системного адміністратора
  • Розуміння того, що встановлення цього інструменту також потребує моніторингу дій і налаштування під ваше середовище
  • Користувач root виконує всі команди або звичайний користувач за допомогою sudo

Вступ

mod_security – це брандмауер веб-додатків (WAF) із відкритим кодом. Це лише одна з можливих частин посиленого веб-сервера Apache. Використовуйте його з іншими інструментами або без них.

Якщо ви бажаєте скористатися цим та іншими інструментами захисту, зверніться до посібника з надійного веб-сервера Apache. У цьому документі також використовуються всі припущення та умовності, викладені в цьому оригінальному документі. Перш ніж продовжити, варто переглянути його.

Одна річ, якої бракує mod_security після встановлення з репозиторію Atomicorp, це мінімальний набір встановлених правил. Щоб отримати розширеніший пакет безкоштовних правил mod_security, ця процедура використовує OWASP mod_security правила, які можна знайти тут. OWASP означає Open Web Application Security Project. Ви можете дізнатися більше про OWASP тут.

Підказка

Як зазначено, ця процедура використовує правила OWASP mod_security. Не використовується конфігурація, надана цим сайтом. Цей сайт також містить чудові посібники з використання mod_security та інших інструментів, пов’язаних із безпекою. Документ, над яким ви працюєте mow, лише допомагає встановити інструменти та правила, необхідні для захисту за допомогою mod_security на веб-сервері Rocky Linux. Netnea — це команда технічних професіоналів, яка проводить курси безпеки на своєму веб-сайті. Значна частина цього вмісту безкоштовна, але у них є варіанти внутрішнього або групового навчання.

Додатковий репозиторій

Щоб встановити mod_security, вам знадобиться репозиторій Atomicorp (atomic.repo). Зробіть це з цим рядком і дайте відповідь «так» на всі значення за замовчуванням:

wget -q -O - https://www.atomicorp.com/installers/atomic | sh

Запустіть команду dnf upgrade, щоб прочитати всі зміни.

Встановлення mod_security

Щоб встановити базовий пакет, використовуйте цю команду. Він встановить усі відсутні залежності. Вам також потрібен wget, якщо він не встановлений:

dnf install mod_security wget

Встановлення правил mod_security

Примітка

Важливо ретельно дотримуватися цієї процедури. Конфігурацію від Netnea було змінено відповідно до Rocky Linux.

  1. Отримайте доступ до поточних правил OWASP на їхньому сайті GitHub.

  2. У правій частині сторінки знайдіть випуски та натисніть тег останнього випуску.

  3. У розділі «Активи» на наступній сторінці клацніть правою кнопкою миші посилання «Вихідний код (tar.gz)» і скопіюйте посилання.

  4. На вашому сервері перейдіть до каталогу конфігурації Apache:

    cd /etc/httpd/conf

  5. Введіть wget і вставте своє посилання. Приклад:

    wget https://github.com/coreruleset/coreruleset/archive/refs/tags/v3.3.5.tar.gz

  6. Розпакуйте файл:

    tar xzvf v3.3.5.tar.gz

    Це створює каталог із інформацією про випуск у назві. Приклад: "coreruleset-3.3.5"

  7. Створіть символічне посилання «crs» на каталог випуску. Приклад:

    ln -s coreruleset-3.3.5/ /etc/httpd/conf/crs

  8. Видаліть файл tar.gz. Приклад:

    rm -f v3.3.5.tar.gz

  9. Скопіюйте тимчасову конфігурацію, щоб вона завантажувалася під час запуску:

    cp crs/crs-setup.conf.example crs/crs-setup.conf

    Цей файл можна редагувати, але вам, імовірно, не потрібно буде вносити жодних змін.

Тепер діють правила mod_security.

Конфігурація

Після встановлення правил наступним кроком буде налаштування цих правил для завантаження та запуску під час виконання httpd і mod_security.

mod_security вже має файл конфігурації, розташований у /etc/httpd/conf.d/mod_security.conf. Вам потрібно буде змінити цей файл, щоб включити правила OWASP. Для цього відредагуйте файл конфігурації:

vi /etc/httpd/conf.d/mod_security.conf

Додайте наступний вміст безпосередньо перед кінцевим тегом (`

Author: Steven Spencer

Contributors: Ezequiel Bruni, Ganna Zhyrnova