2008年7月11日 星期五

Apache 防制 惡意攻擊的加強安全性mod_security模組

引用出處
目前網路有現成的模組 您可以使用 mod_security 增加 Apache 的安全性
mod_security 是 Apache 的一個模組
可以提供入侵偵測及防禦,它就如同是web應用程式的防火牆
可以用來抵擋知名及不知名的攻擊如 SQL injection attacks 、cross-site scripting、path traversal attacks
以下說明安裝過程:

mod_security 1.9.x模塊的下載與安裝

下載地址:http://www.modsecurity.org/download/index.html

建議使用1.9.x,因為2.x的配置指令與1.x完全不同


以下說明一下安裝及設定過程:


$ wget http://www.modsecurity.org/download/modsecurity-apache_1.9.5.tar.gz
$ tar zxvf modsecurity-apache_1.9.5.tar.gz
$ cd modsecurity-apache_1.9.5
$ cd apache2
$ /usr/sbin/apxs -cia mod_security.c

編譯完成後,/usr/lib/httpd/modules/ 下會生成一個 mod_security.so 模組檔
安裝時會自動在 /etc/httpd/conf/httpd.conf 內加入以下內容:
LoadModule security_module /usr/lib/httpd/modules/ mod_security.so


以下為設定 mod_security 模組,在 /etc/httpd/conf/httpd.conf 內加入以下內容:

<IfModule mod_security>
# 打開過濾引擎開關。如果是Off,那麼下面這些都不起作用了。
SecFilterEngine On
# 把設置傳遞給字目錄
SecFilterInheritance Off
# 檢查url編碼
SecFilterCheckURLEncoding On
# 檢測內容長度以避免堆溢出攻擊
#SecFilterForceByteRange 32 126
# 日誌的文件和位置。一定要先建立好目錄,否則apache重新啟動的時候會報錯。
SecAuditLog /var/log/httpd/mod_security_audit_log
# debug的設置
SecFilterDebugLog /var/log/httpd/mod_security_debug_log
SecFilterDebugLevel 9
#當匹配chmod,wget等命令的時候,重新定向到一個特殊的頁面,讓攻擊者知難而退
SecFilter chmod redirect:http://www.google.com
SecFilter wget redirect:http://www.google.com
# 預設的動作
SecFilterDefaultAction "deny,log,status:406"
# 防止操作系統關鍵詞攻擊
SecFilter /etc/*passwd
SecFilter /bin/*sh
# 防止double dot攻擊
SecFilter "\.\./"
# 防止跨站腳本(CSS)攻擊
SecFilter "<( |\n)*script"
# Prevent XSS atacks (HTML/Javascript injection)
SecFilter "<(.|\n)+>"
# 防止sql注入式攻擊
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
#偽裝服務器標識
SecServerSignature "Microsoft-IIS/6.0"
</IfModule>

完成之後, restart httpd 即可
$ service httpd restart

這樣就大功告成喔!這麼一來系統的安全性就又提升了唷!
我想建議大家多多使用這個模組,不要說盜連,其實很多入侵行為都是藉由網頁而植入惡意程式的,修補及更新當然是需要的,但是如果能藉由一些現成的套件來對自己的網站多一些防護的話,我想安全性還是可以提高一些。


官方首頁: http://www.modsecurity.org/index.php

簡介: http://www.onlamp.com/pub/a/apache/2003/11/26/mod_security.html

你也可以使用專家寫好的規則: http://www.gotroot.com/tiki-index.php?page=mod_security+rules

【下列文章您可能也有興趣】

沒有留言: