使用ModSecurity 保护Web服务安全(6)

5  使用例子

SecRule REQBODY_PROCESSOR_ERROR "!@eq 0“ "phase:2,log,deny,msg:'Failed to parse request body.',severity:2“

说明：

REQBODY_PROCESSOR_ERROR：指定针对request body发生的进程发生的错误的代码

"!@eq 0“：当不等于0时，即有错误发生时

处理动作 "phase:2,log,deny,msg:'Failed to parse request body.',severity:2“

phase:2：由于对象为request body，因此指定在phase:2进行

log：当情况符合（发生错误），将错误记录

deny：将这个处理拒绝

msg:'Failed to parse request body'：网页上并显示出这样的错误讯息

severity:2：将此状况列为严重程度为2

6 （ModSecurity Core Rules）  核心规则内容

ModSecurity是一个WEB应用防火墙引擎，自身所提供的保护非常少。为了变得更有用些，ModSecurity必须启用规则配置。为了让用户能够充分利用ModSecurity离开方块，Breach Security, Inc.为ModSecurity 2.x提供了一套免费的认证规则集。和入侵检测及防御系统不一样，它们依赖于具体的签名过的已知漏洞，而这一核心规则却是为从网络应用中发现的不知名的漏洞提供一般的保护，通常这些漏洞大多数情况下都是自定义编码的。这一核心规则有了大量的评论，从而使得这些能够被用来做ModSecurity的部署向导。最新的核心规则可能通过ModeSecurity的站点找到-http://www.modsecurity.org/projects/rules。

核心规则内容

为了提供一般WEB应用保护，核心规则使用以下技术：

l  HTTP保护 - HTTP协议正规划检测，并启用本地有效策略

l  一般WEB攻击保护 - 检测一般WEB应用的安全攻击

l  自动检测 - 检测机器人、爬虫、扫描器和其它的表面恶意行动

l  木马检测 - 检测木马程序进入

l  过失隐藏 - 伪装服务器发出错误消息

7 使用remo管理规则

Remo是一个ModSecurity  规则编辑器。使用Remo 可以更加方便管理规则。

安装remo ：

#yum install ruby irb libsqlite3-ruby1.8

#wget http://remo.netnea.com/files/remo-0.2.0.tar.gz
#tar xvzf remo-0.2.0.tar.gz
#cd remo-0.2.0
#ruby script/server

使用浏览器访问http://localhost:3000/main/index 即可使用remo管理规则如图-5。

图-5

如果有需要服务器的租用与托管的敬请联系QQ：１５０１２８１７５８（亿恩星辰）　　　联系电话：０３７１—６３３２２２２０

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]