Apache2 - mod_security

[Jarosław Szmańda 42]

Cześć,

 

Czy warto instalować ten moduł: mod_security?

 

Pzdr!

[Gość patrick]

A warto instalować apache ?

[Jarosław Szmańda 42]

No wiesz ale to trochę złe porównanie Gdyż owy moduł jest jedynie zależnością apache.

Naczytałem się o tym dodatku i wiele jest napisane że powoduje znaczne obciążenie maszyny przez to filtrowanie. Czy to prawda?

[Gość patrick]

No wiesz ale to trochę złe porównanie

czemu ? Pytanie czy warto ? Skąd mamy wiedzieć czy dla Ciebie warto ?

Gdyż owy moduł jest jedynie zależnością apache.

zależny?

Naczytałem się o tym dodatku i wiele jest napisane że powoduje znaczne obciążenie maszyny przez to filtrowanie

Jeżeli zapytania przychodzące do www są filtrowane, to analogicznie podnosi się obciążenie.

Jeszcze jest opcja z ilu filtrów chcesz korzystać, wiele może Ci "po krzaczyć" istniejące aplikacje.

[lukaschemp 27]

Cześć,

 

Czy warto instalować ten moduł: mod_security?

 

Pzdr!

 

Najlepiej sprawdź to sam, wtedy poznasz jego zalety i wady.

[beliq 442]

mod_security sprawdza się jako filtr pod konkretne aplikacje,

vide: wiesz jak Twój CMS działa i co może mu zaszkodzić,

siadasz do biureczka, czytasz manual, pobierasz setkę regułek,

kasujesz, customizuejsz i wdrażasz...

 

jeśli myślisz o tym jako uniwersalnym filtrze, który rozwiąże wiele problemów

w środowiskach dzielonych, wtedy o mod_security radzę zapomnieć...

nie raz przyszło mi się spotkać z instalacjami, szczególnie CPanelowymi,

gdzie administratorzy instalowali ten dodatek "na pałę",

a w dodatku używając do tego kilkuset regułek i więcej...

w efekcie mod_security blokował b. dużo "legalnych" rządań do serwera www,

generując sporą ilość logów, a także dość duży narzut na CPU - masakra

[Jarosław Szmańda 42]

Hostingu dla ludzi to ja serwować nie będę raczej nigdy. Wszystko jest tylko pode mnie - jako jedynego użytkownika.

[mario1973 0]

Hostingu dla ludzi to ja serwować nie będę raczej nigdy. Wszystko jest tylko pode mnie - jako jedynego użytkownika.

 

jak dla siebie, to sprawa prostsza z 'customizacją'.

 

M

[is_wm 287]

SecRule REQUEST_FILENAME "(plik)\.cgi"

Czy ktoś wie, jak zrobić, żeby MS nie filtrował także nazw typu "123plik.cgi"?

 

edit

Banalne, ale może się komuś przyda - trzeba dodać na początku /

[PRE 1]

A co jeśli za pomoca mod_security chcę podmienić banner apacha, np tak żey przedstawiał się jako IIS? Daje radę ? Czytałem o tym dużo ale artykuł pochodziłz 2006 i nie wiem, czy sprawdza się to też dzisiaj. Głownie chodzi mi o wykrywalność mojego serwera przez nmap

[kafi 2425]

Nie lepiej po prostu lekko przekompilować Apache?

[Gość patrys]

Głownie chodzi mi o wykrywalność mojego serwera przez nmap

http://httpd.apache.org/docs/2.2/mod/core.html#servertokens na Prod i będzie widoczny "Apache".

Zmiana w źródle apache...

[lukaschemp 27]

Znajomy podmieniał to nawet w binarce tylko jak pamiętam rozmiar musi być taki sam.

 

A tu masz link gdzie to robić w źródle.

[Gość patrys]

No z linkiem nie trafiłeś, bo jest przestarzały w wersji 2.2 definicja wersji jest w innym pliku

[lukaschemp 27]

Ściągnąłem sobie źródła Apache 2.2.11 i mam w server/core.c:

 

/*
* This routine adds the real server base identity to the banner string,
* and then locks out changes until the next reconfig.
*/
static void set_banner(apr_pool_t *pconf)
{
if (ap_server_tokens == SrvTk_PRODUCT_ONLY) {
	ap_add_version_component(pconf, AP_SERVER_BASEPRODUCT);
}
else if (ap_server_tokens == SrvTk_MINIMAL) {
	ap_add_version_component(pconf, AP_SERVER_BASEVERSION);
}
else if (ap_server_tokens == SrvTk_MINOR) {
	ap_add_version_component(pconf, AP_SERVER_BASEPRODUCT "/" AP_SERVER_MINORREVISION);
}
else if (ap_server_tokens == SrvTk_MAJOR) {
	ap_add_version_component(pconf, AP_SERVER_BASEPRODUCT "/" AP_SERVER_MAJORVERSION);
}
else {
	ap_add_version_component(pconf, AP_SERVER_BASEVERSION " (" PLATFORM ")");
}

 

Tak samo jak w 2.0.XX

[Gość patrys]

a źle spojrzałem... pomyłka zwracam Honor

 

aczkolwiek lepiej chyba takie podmiany robić w zmiennych include/ap_release.h