Здравствуйте, уважаемые читатели. Сегодня тема статьи: «Установка ModSecurity в Apache на CentOS 7». Ещё одна статья об установке уже знакомого нам WAF ModSecurity, но на этот раз в веб-сервере Apache.

ModSecurity – это Firewall, защищающий на уровне веб-приложения (защита от XSS, SQL Injection и т.д.)

  • Установку будем производить на уже работающем веб-сервере Apache.
  • ModSecurity для Apache, есть во внутренних репозиториях. Поэтому не будем заниматься сборкой и компиляцией, а воспользуемся пакетным менеджером yum.
# yum install mod_security
установка ModSecurity при помощи пакетного менеджера yum
  • После установки ModSecurity, перезапускаем Apache.
# systemctl restart httpd
  • Для того, чтобы усилить безопасность, будем использовать уже знакомые нам из предыдущих статей, правила от OWASP.
  • Переходим в рабочую директорию, в которой будем производить все манипуляции.
# cd /usr/local/src
  • Скачиваем и разархивируем подборку правил от OWASP.
# wget https://github.com/SpiderLabs/owasp-modsecurity-crs/archive/v3.0.0.tar.gz
# tar -xzvf v3.0.0.tar.gz
  • Заходим в папку со скачанными правилами, копируем и переименовываем файл crs-setup.conf.example.
# cd /usr/local/src/owasp-modsecurity-crs-3.0.0
# cp crs-setup.conf.example crs-setup.conf
  • Осталось только подключить правила OWASP, в файле /etc/httpd/conf/httpd.conf.
  • В самом конце файла httpd.conf, добавляем две строчки.
Include /usr/local/src/owasp-modsecurity-crs-3.0.0/crs-setup.conf
Include /usr/local/src/owasp-modsecurity-crs-3.0.0/rules/*.conf
подключение правил OWASP
  • Проверяем конфигурацию, и перезапускаем Apache.
# apachectl -t
# systemctl restart httpd
  • Теперь можно проверить работу нашего ModSecurity. Делаем по аналогии со статьёй об установке ModSecurity в NGINX.
  • Открываем браузер, вводим доменное имя или ip-адрес, ставим слеш, а после него вставляем зловредный запрос, и жмём «Enter».

http://Ваш_сайт.ru/?q="><script>alert(0)</script>
  • В результате получаем 403 ошибку, значит доступ запрещён. Так и должно быть.
  • В логах веб-сервера, можно увидеть подробное информативное сообщение, о блокировке ModSecurity вредоносного запроса.
  • ModSecurity отработал так, как и должен был.
блокировка ModSecurity вредоносного запроса

Как видите у ModSecurity с веб-сервером Apache, всё намного проще чем с веб-сервером NGINX. Не нужно ничего собирать и компилировать. Всё доступно из коробки, с минимальными усилиями, и с наименьшими затратами по времени.

Сегодня мы рассмотрели тему: «Установка ModSecurity в Apache на CentOS 7». Произвели установку ModSecurity в Apache, и проверили его работу. Смотрите также видео по теме.

Надеюсь статья была вам полезна. До встречи в новых статьях.

С уважением, Андрей Бондаренко.

Видео на тему «Установка ModSecurity в Apache на CentOS 7»: