Administration système, Debian, Linux
Apache Mod Security
Pré-requis: un serveur Apache2 Activation du mode unique > MAP les requêtes HTTP avec un ID unique a2enmod unique_id On redémarre Apache service apache2 reload INSTALLATION apt-get install libapache-mod-security Copie du fichier de configuration cp /etc/modsecurity/modsecurity.conf-recommended /etc/apache2/conf.d/modsecurity.conf On change le servertoken (le nom publique du serveur) pour ça on positionne à full le fichier apache de sécurité nano /etc/apache2/conf.d/security ServerTokens Full On change la signature du serveur nano /etc/apache2/conf.d/modsecurity.conf #SecRuleEngine DetectionOnly SecRuleEngine On SecServerSignature « ;Microsoft-IIS/6.0 »; On positionne les traces et le fichier qui les prendras #SecDebugLog /opt/modsecurity/var/log/debug.log SecDebugLog /var/log/apache2/modsec_debug.log SecDebugLogLevel 3 On augmente la taille des fichiers d’upload SecRequestBodyLimit 10000000 SecRequestBodyInMemoryLimit 10000000 vérification de la version pour télécharger les bonnes règles dpkg -s libapache-mod-security | grep Version Installation des règles cd /tmp On télécharge les règles pour modsecurity < 2.7 wget –no-cookies –no-check-certificate wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/v2.2.5 -O /tmp/owasp.tar.gz On decompresse l’archive tar -zxvf owasp.tar.gz #Règles pour la Prochaine version modsecurity > 2.7 #wget –no-cookies –no-check-certificate https://github.com/SpiderLabs/owasp-modsecurity-crs/archive/master.zip #apt-get unzip #unzip master.zip #Règles pour la Prochaine version modsecurity > 2.7 On prépare le dossier qui contiendra les règles mkdir /etc/apache2/modsecurity_rules/ Copie du fichier de configuration des règles cp /tmp/SpiderLabs-owasp-modsecurity-crs-5c28b52/modsecurity_crs_10_setup.conf.example /etc/apache2/modsecurity_rules/modsecurity_crs_10_config.conf Copie des règles cp -r /tmp/SpiderLabs-owasp-modsecurity-crs-5c28b52/optional_rules/ /etc/apache2/modsecurity_rules/ cp -r /tmp/SpiderLabs-owasp-modsecurity-crs-5c28b52/activated_rules/ /etc/apache2/modsecurity_rules/ cp -r…
Read MoreAdministration système, Debian, Linux
Apache Mod GEOIP
Téléchargement de la base de donnée des IP>Villes et installation dans : /usr/local/share/GeoIP/ wget -N http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz gunzip GeoIP.dat.gz mkdir /usr/local/share/GeoIP/ mv GeoIP.dat /usr/local/share/GeoIP/ Ajout du module apache apt-get install libapache2-mod-geoip Indiquer l’emplacement de la base de données dans le module apache; on édite le fichier suivant: nano /etc/apache2/mods-available/geoip.conf Et on y ajoute: GeoIPEnable On GeoIPScanProxyHeaders On GeoIPEnableUTF8 On GeoIPDBFile /usr/local/share/GeoIP/GeoIP.dat GeoIPDBFile /usr/local/share/GeoIP/GeoLiteCity.dat #Pour « apache_note » request #GeoIPOutput Notes #Pour « getenv » resquest #GeoIPOutput Env #Pour les deux.. (à préférer car précédence du dernier positionné) GeoIPOutput All On redémarre Apache service apache2 reload Voilà !!
Read More