使用ModSecurity 保護(hù)Web服務(wù)安全(6)

5  使用例子

SecRule REQBODY_PROCESSOR_ERROR "!@eq 0“ "phase:2,log,deny,msg:'Failed to parse request body.',severity:2“

說(shuō)明：

REQBODY_PROCESSOR_ERROR：指定針對(duì)request body發(fā)生的進(jìn)程發(fā)生的錯(cuò)誤的代碼

"!@eq 0“：當(dāng)不等于0時(shí)，即有錯(cuò)誤發(fā)生時(shí)

處理動(dòng)作 "phase:2,log,deny,msg:'Failed to parse request body.',severity:2“

phase:2：由于對(duì)象為request body，因此指定在phase:2進(jìn)行

log：當(dāng)情況符合（發(fā)生錯(cuò)誤），將錯(cuò)誤記錄

deny：將這個(gè)處理拒絕

msg:'Failed to parse request body'：網(wǎng)頁(yè)上并顯示出這樣的錯(cuò)誤訊息

severity:2：將此狀況列為嚴(yán)重程度為2

6 （ModSecurity Core Rules）  核心規(guī)則內(nèi)容

ModSecurity是一個(gè)WEB應(yīng)用防火墻引擎，自身所提供的保護(hù)非常少。為了變得更有用些，ModSecurity必須啟用規(guī)則配置。為了讓用戶能夠充分利用ModSecurity離開(kāi)方塊，Breach Security, Inc.為ModSecurity 2.x提供了一套免費(fèi)的認(rèn)證規(guī)則集。和入侵檢測(cè)及防御系統(tǒng)不一樣，它們依賴于具體的簽名過(guò)的已知漏洞，而這一核心規(guī)則卻是為從網(wǎng)絡(luò)應(yīng)用中發(fā)現(xiàn)的不知名的漏洞提供一般的保護(hù)，通常這些漏洞大多數(shù)情況下都是自定義編碼的。這一核心規(guī)則有了大量的評(píng)論，從而使得這些能夠被用來(lái)做ModSecurity的部署向?qū)АＷ钚碌暮诵囊?guī)則可能通過(guò)ModeSecurity的站點(diǎn)找到-http://www.modsecurity.org/projects/rules。

核心規(guī)則內(nèi)容

為了提供一般WEB應(yīng)用保護(hù)，核心規(guī)則使用以下技術(shù)：

l  HTTP保護(hù) - HTTP協(xié)議正規(guī)劃?rùn)z測(cè)，并啟用本地有效策略

l  一般WEB攻擊保護(hù) - 檢測(cè)一般WEB應(yīng)用的安全攻擊

l  自動(dòng)檢測(cè) - 檢測(cè)機(jī)器人、爬蟲(chóng)、掃描器和其它的表面惡意行動(dòng)

l  木馬檢測(cè) - 檢測(cè)木馬程序進(jìn)入

l  過(guò)失隱藏 - 偽裝服務(wù)器發(fā)出錯(cuò)誤消息

7 使用remo管理規(guī)則

Remo是一個(gè)ModSecurity  規(guī)則編輯器。使用Remo 可以更加方便管理規(guī)則。

安裝remo ：

#yum install ruby irb libsqlite3-ruby1.8

#wget http://remo.netnea.com/files/remo-0.2.0.tar.gz
#tar xvzf remo-0.2.0.tar.gz
#cd remo-0.2.0
#ruby script/server

使用瀏覽器訪問(wèn)http://localhost:3000/main/index 即可使用remo管理規(guī)則如圖-5。

圖-5

如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]