Onderwerp: Modsecurity en uitbreidingsrules

Wie kent de modsecurity uitbreidingsrules van http://www.gotroot.com/tiki-index.ph...security+rules ?

Zijn ze goed? Overweeg ze te gaan gebruiken...

Origineel geplaatst door mrleejohn
Wie kent de modsecurity uitbreidingsrules van http://www.gotroot.com/tiki-index.ph...security+rules ?

Zijn ze goed? Overweeg ze te gaan gebruiken...

Ik gebruik een aantal rules van hen; ze werken prima mi. 't Is wel een kwestie van goed je logs na kijken op false positives, maar dat terzijde.

ik heb die ook een tijd gebruikt, maar zorgden voor een redelijk zware load op men server

Draai het nu een paar dagen.... het maakt mijn server zelfs rustiger.... er zijn minder instances van httpd tegelijk draaiende nu.

Prima...

Ik heb deze regels van gotroot overgenomen. Wat mij opvalt is dat ik in audit_log veel rommel tegenkom die nu wel wordt tegengehouden (proxy's, bots, hack pogingen).

Wel valt me op dat de load iets hoger is geworden door deze beveiligingen.

Is er nog iets om Apache weer wat sneller te laten draaien?
Op deze server draait namelijk een simpele reclame include/iframe die op een andere site wordt toegevoegd. Deze simpele pagina wordt dus vele keren per dag aangevraagd.
Met error 304 kan je alleen een hoge php load met dit soort dingen voorkomen.

Tja... apache moet wat meer rekenen he. Een beetje snort-achtig. Je kunt bepaalde stukken van die rules uitschakelen die minder van toepassing zijn bij jou.

Ik denk eraan gewoon het reclame ding te verplaatsen naar een andere server die minder voldoende beveiligd dient te zijn.
Maar aangezien het een Dual Xeon is met aardig wat werkgeheugen is deze verhoging aan processor en geheugengebruik nog niet echt merkbaar.

Ik zit al een tijdje te denken om een site te maken waar je community-gebaseerd mod_security regels kan delen.

Stel je geeft op wat voor web-applicaties je draait, of je kiest gewoon 'alles', dan zou je met een scriptje automatisch je rules kunnen updaten met de laatste definities. Members kunnen zelf ook nieuwe signatures uploaden. Zoals het bij ClamAV ongeveer gaat.

Slechte regels met false positives zouden eruit gefilterd kunnen worden door de members, als bijvoorbeeld een paar leden een 'minnetje' stemmen op een regel dan gaat de rating omlaag of gaat ie er uiteindelijk uit.

Weet iemand of er al zoiets is voor mod_security? Geautomatiseerd dan he.

Ik dacht dat dat bij gotroot al kon. Maar het is nog niet erg uitgebreid.

Origineel geplaatst door lifeforms

Weet iemand of er al zoiets is voor mod_security? Geautomatiseerd dan he.

Ik gebruik dit script:
http://www.skyhorse.org/files/modsec.sh
misschien iets om als startpunt te nemen? (alhoewel de rules meteen van gotroot worden gehaald, dus al een dergelijk community process hebben ondergaan)

Zoiets bedoelde ik ja. Stond ook ergens bij gotroot.

Ik ken geen andere plek waar ook zo'n rules staan.