使用ModSecurity 保護(hù)Web服務(wù)安全(6)

5  使用例子

SecRule REQBODY_PROCESSOR_ERROR "!@eq 0“ "phase:2,log,deny,msg:'Failed to parse request body.',severity:2“

說明：

REQBODY_PROCESSOR_ERROR：指定針對request body發(fā)生的進(jìn)程發(fā)生的錯誤的代碼

"!@eq 0“：當(dāng)不等于0時，即有錯誤發(fā)生時

處理動作 "phase:2,log,deny,msg:'Failed to parse request body.',severity:2“

phase:2：由于對象為request body，因此指定在phase:2進(jìn)行

log：當(dāng)情況符合（發(fā)生錯誤），將錯誤記錄

deny：將這個處理拒絕

msg:'Failed to parse request body'：網(wǎng)頁上并顯示出這樣的錯誤訊息

severity:2：將此狀況列為嚴(yán)重程度為2

6 （ModSecurity Core Rules）  核心規(guī)則內(nèi)容

ModSecurity是一個WEB應(yīng)用防火墻引擎，自身所提供的保護(hù)非常少。為了變得更有用些，ModSecurity必須啟用規(guī)則配置。為了讓用戶能夠充分利用ModSecurity離開方塊，Breach Security, Inc.為ModSecurity 2.x提供了一套免費的認(rèn)證規(guī)則集。和入侵檢測及防御系統(tǒng)不一樣，它們依賴于具體的簽名過的已知漏洞，而這一核心規(guī)則卻是為從網(wǎng)絡(luò)應(yīng)用中發(fā)現(xiàn)的不知名的漏洞提供一般的保護(hù)，通常這些漏洞大多數(shù)情況下都是自定義編碼的。這一核心規(guī)則有了大量的評論，從而使得這些能夠被用來做ModSecurity的部署向?qū)АＷ钚碌暮诵囊?guī)則可能通過ModeSecurity的站點找到-http://www.modsecurity.org/projects/rules。

核心規(guī)則內(nèi)容

為了提供一般WEB應(yīng)用保護(hù)，核心規(guī)則使用以下技術(shù)：

l  HTTP保護(hù) - HTTP協(xié)議正規(guī)劃檢測，并啟用本地有效策略

l  一般WEB攻擊保護(hù) - 檢測一般WEB應(yīng)用的安全攻擊

l  自動檢測 - 檢測機(jī)器人、爬蟲、掃描器和其它的表面惡意行動

l  木馬檢測 - 檢測木馬程序進(jìn)入

l  過失隱藏 - 偽裝服務(wù)器發(fā)出錯誤消息

7 使用remo管理規(guī)則

Remo是一個ModSecurity  規(guī)則編輯器。使用Remo 可以更加方便管理規(guī)則。

安裝remo ：

#yum install ruby irb libsqlite3-ruby1.8

#wget http://remo.netnea.com/files/remo-0.2.0.tar.gz
#tar xvzf remo-0.2.0.tar.gz
#cd remo-0.2.0
#ruby script/server

使用瀏覽器訪問http://localhost:3000/main/index 即可使用remo管理規(guī)則如圖-5。

圖-5

如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]