一、Modsecurity规则语法示例

SecRule是ModSecurity主要的指令,用于创建安全规则。其基本语法如下:

SecRule VARIABLES OPERATOR [ACTIONS]

  • VARIABLES

    代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等。

  • OPERATOR

    代表操作符,一般用来定义安全规则的匹配条件。常见的操作符包括:@rx(正则表达式)、@streq(字符串相同)、@ipmatch(IP相同)等。

  • ACTIONS

    代表响应动作,一般用来定义数据包被规则命中后的响应动作。常见的动作包括:deny(数据包被拒绝)、pass(允许数据包通过)、id(定义规则的编号)、severity(定义事件严重程度)等。

值得注意的是,如需获取更加深入的语法,请参考官方手册。由于本实验中涉及到了自定义安全规则,故将其中涉及到的三条规则做详细说明,如下:

规则1:防XSS攻击

SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:001,msg: 'XSS Attack',severity:ERROR,deny,status:404"

  • VARIABLES

    ARGS:所有请求参数;REQUEST_HEADERS:请求数据头部。

  • OPERATOR

    @rx <script>:如果正则匹配字符串"<script>"成功,则规则执行。

  • ACTIONS

    id:001规定该条规则编号为001;msg: 'XSS Attack'代表记录信息为:XSS Attack;severity:ERROR表示严重程度为ERROR;deny表示拒绝所有请求包;status:404表示服务器响应状态编号为404。

    说明:严重程度分为8级: EMERGENCY (0)、ALERT (1)、CRITICAL (2)、ERROR (3)、WARNING (4)、NOTICE (5)、INFO (6) 、DEBUG (7)

该规则表明:所有请求参数中包含字符串"<script>"的HTTP包均会被服务器拦截并记录。

规则2:设置白名单

SecRule REMOTE_ADDR "@ipmatch 192.168.1.9" "id:002,phase:1,t:none,

nolog,pass,ctl:ruleEngine=off"

  • VARIABLES

    REMOTE_ADDR:远程主机IP

  • OPERATOR

    @ipmatch 192.168.1.9:如果请求主机IP地址为192.168.1.9,则规则执行。

  • ACTIONS

    id:002规定该条规则编号为002;phase:1表示规则执行的范围为请求头部;t:none表示VARIABLES的值不需要转换(t代表transform);nolog代表不记录日志;pass代表继续下一条规则;ctl:ruleEngine=off代表关闭拦截模式,所有规则失效。

    说明:phase编号规定如下:Request Headers (1), Request Body (2), Response Headers (3), Response Body (4) and Logging (5).

该规则表明:对于主机192.168.1.9发送的HTTP包,服务器关闭拦截模式,允许所有包通过。

规则3:chain规则

SecRule ARGS:username "@streq admin" chain,deny,id:003

SecRule REMOTE_ADDR "!streq 192.168.1.9"

  • VARIABLES

    ARGS:username所有表示请求参数中的用户名信息。

  • OPERATOR

    @streq admin表示用户名等于字符串"admin",则执行ACTIONS。

  • ACTIONS

    id:003规定该条规则编号为003;chain表示用户名等于admin的情况下,必须完成第二行规则的匹配(远程主机IP不是192.168.1.9),才能执行下一个动作;deny表示所有请求包被拒绝。

该规则表明:所有主机名为admin,但对应主机IP地址不是192.168.1.9的请求包均会被服务器拒绝。也就意味着只有某一台主机可以用admin用户登录(一般情况是系统管理员的主机),大大提高了系统安全性。

二、一键安装LAMP环境

  1. 执行命令apt-get update
  2. 执行命令apt-get install lamp-server^
    1. 在安装过程中会跳出Mysql数据库root用户密码设置窗口,按要求输入密码:123,按Tab键选择"Ok",按回车进入下一步,如下图所示:

  3. 重复输入密码:123,按Tab键选中"Ok",按回车继续安装,如下图所示:

  4. 打开浏览器,在地址栏输入:http://localhost,可以验证apache2安装成功,如下图所:

5.输入命令mysql -u root -p ,成功进入mysql窗口,mysql安装成功。

三、安装modsecurity

  1. 安装libapache2-modsecurity模块及其依赖包,输入:

    $ apt-get install libxml2 libxml2-dev libxml2-utils libapache2-modsecurity

  2. 查询ModSecurity版本号,验证安装是否成功,输入:

    $ dpkg -s libapache2-modsecurity | grep Version

    注意:看清Version的大小写。

  3. 重启Apache服务,输入:

    $ service apache2 reload

  4. 配置modsecurity,启用拦截模式,输入:

    $ cd /etc/modsecurity

    $ mv modsecurity.conf-recommended modsecurity.conf

    $ vim modsecurity.conf

    上述操作将安装包中的推荐配置文件改名为标准的配置文件名,并启用Vim编辑器编辑该配置文件。

  5. 编辑modsecurity.conf,将"SecRuleEngine DetectionOnly"改为"SecRuleEngine On",保存并退出。如下图所示:

    上述操作将开启安全规则引擎,即启用拦截模式,过滤HTTP流量。

四、配置自定义规则

  1. 进入文件夹activated_rules,将启动文件关联到此文件夹中,采用软链接的方式,输入:

    $ cd /usr/share/modsecurity-crs/activated_rules

    $ ln -s ../modsecurity_crs_10_setup.conf ./modsecurity_crs_10_setup.conf

    $ tree

  2. 执行命令vim MY.conf,创建自己的规则文件MY.conf。写入防XSS规则(编号001)如下:

    SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:003,msg: 'XSS Attack',severity:ERROR,deny,status:404"

  3. 设置配置文件security2.conf,输入:

    $ vim /etc/apache2/mods-available/security2.conf

  4. 在该文件中添加:IncludeOptional /usr/share/modsecurity-crs/activated_rules/*.conf,如下图所示:

  5. 重启apache服务,输入:

    $ service apache2 reload

五、验证防护效果

  1. 登录主机"hacker",进入攻击者模式。在浏览器地址栏输入:http://localhost/ ?q=<script> alert(1)</script>。实验结果如下图所示:

  2. 执行命令vim /var/log/apache2/modsec_audit.log,查看WAF拦截日志,如下图所示:

    由上图可知,从本地主机发出的GET请求被规则文件MY.conf中的001号规则准确命中,消息中包含的恶意代码被拦截。

在ubuntu16.04中安装apache2+modsecurity以及自定义WAF规则详解的更多相关文章

  1. SLAM+语音机器人DIY系列:(二)ROS入门——3.在ubuntu16.04中安装ROS kinetic

    摘要 ROS机器人操作系统在机器人应用领域很流行,依托代码开源和模块间协作等特性,给机器人开发者带来了很大的方便.我们的机器人“miiboo”中的大部分程序也采用ROS进行开发,所以本文就重点对ROS ...

  2. Ubuntu16.04中安装stlink驱动

    系统环境: Vmware12, Ubuntu16.04 Stlink version:v1.4.0 一.安装依赖包: sudo apt-get install libusb-1.0 sudo apt- ...

  3. ROS-1 : Ubuntu16.04中安装ROS Kinetic

    1.安装 ROS Kinetic仅支持Wily(Ubuntu 15.10).Xenial( Ubuntu16.04)和Jessie(Debian 8)的debian软件包. 1.1 配置Ubuntu ...

  4. 如何在Ubuntu16.04 中安装Linux, Nginx, MySQL, PHP (LEMP 栈)

    介绍 LEMP 栈是用来开发动态网页和web 应用程序的一系列软件集合,LEMP描述的是Linux操作系统,Nginx web 服务器,以及后端数据存储MySQL/MariaDB数据库和服务器端动态脚 ...

  5. Docker - 在Ubuntu16.04中安装Docker CE

    Get Docker for Ubuntu Check system version root@Ubuntu16:~# uname -a Linux Ubuntu16 4.8.0-36-generic ...

  6. Ubuntu16.04中安装搜狗输入法

    1.从搜狗输入法官网界面下载安装包 https://pinyin.sogou.com/linux/ 2.安装 sudo dpkg -i sogoupinyin_2.1.0.0082_amd64.deb ...

  7. Ubuntu16.04中安装VirtualBox及简单配置

    sudo apt-get -y install virtualbox 注:将该图表拖到桌面上即可 往下的过程都不变..... 将左边的菜单栏移动到下面 打开一个终端输入:gsettings set c ...

  8. ubuntu16.04中安装下载工具uget+aria2并配置chrome (stable版)

    1.安装uGut sudo apt-get install uget 2.安装aria2 sudo apt-get install arias 3.配置uGet默认下载插件为aria2 菜单栏依次打开 ...

  9. 在Ubuntu16.04中安装Docker CE

    apt-get install apt-transport-https ca-certificates curl software-properties-common curl -fsSL https ...

随机推荐

  1. 移动端图片放大滑动查看-插件photoswipe的使用

    最近在开发项目的时候,遇到一个需求,需要移动端实现放大查看图片的功能,然后我就在网上搜索了一下资料,看到了photoswipe这个插件,后来试了试,确实挺好用的,它可以实现手势放大缩小查看图片,左右滑 ...

  2. 十类经典office实用技巧

    IT工程师不得不会的职场office软件(不是金山WPS),其中ppt最重要也最难学的.之前已经另作文分享,本文是word与excel的十个隐藏技能.一.Excel表格计算公式1.求所有数值和:SUM ...

  3. C++ Primmer 学习笔记

    一.开始 (一)输入输出 1.endl的作用 endl操纵符用于结束当前行,将与设备关联的缓冲区内容刷新到设备中.如果没有这个字符,一旦程序突然崩溃,就可能导致输出还停留在缓冲区里,而不显示到设备. ...

  4. ServletResponse的一些知识点

    ServletResponse* 服务器对浏览器做出的响应,将需要发送给浏览器的所有数据全部存放在此对象上.* 发送数据,使用流操作,将所需要的数据,存放在指定的流中,数据将显示到浏览器中* 字符流 ...

  5. 团队作业8——Beta项目(冲刺计划)

    Beta阶段冲刺计划 经过几周的努力我们完成了Alpha的开发,进过一段时间的调整与重组我们继续向Beta版进发. 1. 新成员介绍 林乔桦(201421123074):掌握c语言,JavaScrip ...

  6. 第02周-Java作业评价

    1. 本周作业简评与建议 作业存在的问题 格式上还是存在问题,但是比较第一次有很大的进步. 答题上,有的同学还是很敷衍,题目要求有分析过程,但是只写一个false,true,没有分析.也比较缺少自己的 ...

  7. 201521123095 《Java程序设计》第2周学习总结

    1. 本周学习总结 学会了使用码云管理代码,使用eclipse关联jdk源代码: 还学习了Java语言中各种数据类型以及运算符. 2. 书面作业 1.使用Eclipse关联jdk源代码,并查看Stri ...

  8. NA笔记

    常用配置命令 mstsc 远程桌面控制指令(在运行中输入) cmd 运行 copy running-config start 正在启动文件 copy running-config startup-ci ...

  9. Intellij idea使用Junit

    之前使用idea做Junit测试的时候,都是一个一个方法来写,然后在方法名@Test这样测试-.. 后来发现eclipse有直接把整个类的方法都可以抽取出来,自动生成Junit测试方法-于是在找Ide ...

  10. Spring - lookup-method方式实现依赖注入

    引言 假设一个单例模式的bean A需要引用另外一个非单例模式的bean B,为了在我们每次引用的时候都能拿到最新的bean B,我们可以让bean A通过实现ApplicationContextWa ...