如何加固apache 用modsecurity

wind521

支持：）

Kenbaby

从不看好该模块，硬件反应的速度比软件快多了。

我爱臭豆腐

原帖由 Kenbaby 于 2006-4-13 12:39 发表
从不看好该模块，硬件反应的速度比软件快多了。

从某种程度上来说硬件确实是速度比较快.但是大多数硬件产品都是商业产品.而且价格也非常贵.我看到的2005的一些安全产品的美金报价都是在25w$左右.我不知道多少人能够接受这个价格.
当然了即使在有很多地方安装了这些模块或者是产品后依然还是会有问题.因为很多东西都需要进行不断的维护规则和相关的东西.
不然你即使放上最好的安全设备还是没有用处.
欢迎kenbaby能够多多提供更好的建议或者是思路.谢谢.

skipjack

原帖由 我爱臭豆腐 于 2006-4-13 13:30 发表

从某种程度上来说硬件确实是速度比较快.但是大多数硬件产品都是商业产品.而且价格也非常贵.我看到的2005的一些安全产品的美金报价都是在25w$左右.我不知道多少人能够接受这个价格.
当然了即使在有很多地方安装 ...

呵呵....应该在文章中注明这个模块适应的apache版本号,我用嵌入式的apache,这个模块好像就用处不大了,但如果是apache2.0的话,我用iptables+snort_inline也可以起到类似的效果.可能我说的不对,请指正

我爱臭豆腐

原帖由 skipjack 于 2006-4-13 20:50 发表


呵呵....应该在文章中注明这个模块适应的apache版本号,我用嵌入式的apache,这个模块好像就用处不大了,但如果是apache2.0的话,我用iptables+snort_inline也可以起到类似的效果.可能我说的不对,请指正

多谢关注这个帖子. 目前这个模块可以在apache 1.x or apache 2.x中使用.我测试过的是2.x的web服务器.
由于没有环境我还从来没有测试过在嵌入系统中的apache .
我刚刚在snort_inline的网站上大概的看了一下.我感觉还是多少有一些区别的.
原因如下: 1.这个模块是基于应用的.作用在7层上.针对httpd的服务.
2.虽然是这个模块支持iptables,而且我也过去测试过.但是最终我还是放弃了这个选择.原因如下:
如果是大家使用一个地址访问一个web站点的时候(nat) .发现被这个地址攻击后拒绝掉这个地址的时候会同样禁止掉其他的用户.这样攻击者也能够做到"拒绝"服务.

有什么不对的地方还请多多指点.谢谢

skipjack

原帖由 我爱臭豆腐 于 2006-4-13 22:05 发表



多谢关注这个帖子. 目前这个模块可以在apache 1.x or apache 2.x中使用.我测试过的是2.x的web服务器.
由于没有环境我还从来没有测试过在嵌入系统中的apache .
我刚刚在snort_inline的网站上大概的看了一下 ...

apache2.0太大了,它所需要的类库比apache1.3多很多,一般嵌入式的web服务器空间大概也就二M左右吧
如果你的这个模块可以支持apache0.x,放到嵌入式环境中是个不错的选择.
我试了一下,在apache1.3下编译modsecurity.c的时候会有很多的头文件找不到,这些头文件在apache2.0下是存在的.
iptables + snort_inline 用的就是比较奢华,没有百八十兆的内存是跑不起来的.

skipjack

原帖由 我爱臭豆腐 于 2006-4-13 22:05 发表



多谢关注这个帖子. 目前这个模块可以在apache 1.x or apache 2.x中使用.我测试过的是2.x的web服务器.
由于没有环境我还从来没有测试过在嵌入系统中的apache .
我刚刚在snort_inline的网站上大概的看了一下 ...

snort_inline的检测是基于数据包的,如果重组后检测,就是基于连接的.iptables的drop规则一旦加上,如果客户在NAT后面,会有误杀的可能.

我爱臭豆腐

原帖由 skipjack 于 2006-4-13 23:05 发表


apache2.0太大了,它所需要的类库比apache1.3多很多,一般嵌入式的web服务器空间大概也就二M左右吧
如果你的这个模块可以支持apache0.x,放到嵌入式环境中是个不错的选择.
我试了一下,在apache1.3下编译mods ...

我早上测试了一下没有什么问题:
刚刚忘记写是什么系统了.现在补上:
root@testpc:[/root]uname -a
Linux testpc 2.4.21-37.ELsmp #1 SMP Wed Sep 7 13:28:55 EDT 2005 i686 i686 i386 GNU/Linux
root@testpc:[/root]cat /etc/redhat-release
Red Hat Enterprise Linux AS release 3 (Taroon Update 6)
root@testpc:[/root]




cp /root/modsecurity-apache_1.9.3/apache1/mod_security.c /root/apache_1.3.34/src/modules/extra/
cd /root/apache_1.3.34/
./configure --help|more
ls -l /home/wanghao/
./configure --prefix=/home/wanghao/test/ --activate-module=src/modules/extra/mod_security --enable-module=security
make
make install

root@testpc:[/home/wanghao/test/bin]./httpd -v
Server version: Apache/1.3.34 (Unix)
Server built:   Apr 14 2006 08:40:08
root@testpc:[/home/wanghao/test/bin]

root@testpc:[/home/wanghao/test/bin]./httpd -l
Compiled-in modules:
  http_core.c
  mod_env.c
  mod_log_config.c
  mod_mime.c
  mod_negotiation.c
  mod_status.c
  mod_include.c
  mod_autoindex.c
  mod_dir.c
  mod_cgi.c
  mod_asis.c
  mod_imap.c
  mod_actions.c
  mod_userdir.c
  mod_alias.c
  mod_access.c
  mod_auth.c
  mod_setenvif.c
  mod_security.c
suexec: disabled; invalid wrapper /home/wanghao/test/bin/suexec
root@testpc:[/home/wanghao/test/bin]



root@testpc:[/home/wanghao/test/bin]./apachectl start
./apachectl start: httpd started
root@testpc:[/home/wanghao/test/bin]ps -ef|grep http
root     18133     1  0 08:51 ?        00:00:00 /home/wanghao/test/bin/httpd
nobody   18134 18133  0 08:51 ?        00:00:00 /home/wanghao/test/bin/httpd
nobody   18135 18133  0 08:51 ?        00:00:00 /home/wanghao/test/bin/httpd
nobody   18136 18133  0 08:51 ?        00:00:00 /home/wanghao/test/bin/httpd
nobody   18137 18133  0 08:51 ?        00:00:00 /home/wanghao/test/bin/httpd
nobody   18138 18133  0 08:51 ?        00:00:00 /home/wanghao/test/bin/httpd
root     18140 18060  0 08:51 pts/1    00:00:00 grep http
root@testpc:[/home/wanghao/test/bin]./apachectl stop
./apachectl stop: httpd stopped
root@testpc:[/home/wanghao/test/bin]ps -ef|grep http
root     18144 18060  0 08:51 pts/1    00:00:00 grep http
root@testpc:[/home/wanghao/test/bin]

[ 本帖最后由 我爱臭豆腐 于 2006-4-14 09:12 编辑 ]

我爱臭豆腐

原帖由 skipjack 于 2006-4-13 23:13 发表


snort_inline的检测是基于数据包的,如果重组后检测,就是基于连接的.iptables的drop规则一旦加上,如果客户在NAT后面,会有误杀的可能.

这个就是矛和盾的关系.

mytool2002

谢谢楼主