Skocz do zawartości
Zaloguj się, aby obserwować  
Jarosław Szmańda

Apache2 - mod_security

Polecane posty

No wiesz ale to trochę złe porównanie ;) Gdyż owy moduł jest jedynie zależnością apache.

Naczytałem się o tym dodatku i wiele jest napisane że powoduje znaczne obciążenie maszyny przez to filtrowanie. Czy to prawda?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrick
No wiesz ale to trochę złe porównanie

czemu ? Pytanie czy warto ? Skąd mamy wiedzieć czy dla Ciebie warto ?

Gdyż owy moduł jest jedynie zależnością apache.

zależny?

Naczytałem się o tym dodatku i wiele jest napisane że powoduje znaczne obciążenie maszyny przez to filtrowanie

Jeżeli zapytania przychodzące do www są filtrowane, to analogicznie podnosi się obciążenie.

Jeszcze jest opcja z ilu filtrów chcesz korzystać, wiele może Ci "po krzaczyć" istniejące aplikacje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Cześć,

 

Czy warto instalować ten moduł: mod_security?

 

Pzdr!

 

Najlepiej sprawdź to sam, wtedy poznasz jego zalety i wady.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

mod_security sprawdza się jako filtr pod konkretne aplikacje,

vide: wiesz jak Twój CMS działa i co może mu zaszkodzić,

siadasz do biureczka, czytasz manual, pobierasz setkę regułek,

kasujesz, customizuejsz i wdrażasz...

 

jeśli myślisz o tym jako uniwersalnym filtrze, który rozwiąże wiele problemów

w środowiskach dzielonych, wtedy o mod_security radzę zapomnieć...

nie raz przyszło mi się spotkać z instalacjami, szczególnie CPanelowymi,

gdzie administratorzy instalowali ten dodatek "na pałę",

a w dodatku używając do tego kilkuset regułek i więcej...

w efekcie mod_security blokował b. dużo "legalnych" rządań do serwera www,

generując sporą ilość logów, a także dość duży narzut na CPU - masakra ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Hostingu dla ludzi to ja serwować nie będę raczej nigdy. Wszystko jest tylko pode mnie - jako jedynego użytkownika.

 

jak dla siebie, to sprawa prostsza z 'customizacją'.

 

M

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
SecRule REQUEST_FILENAME "(plik)\.cgi"

Czy ktoś wie, jak zrobić, żeby MS nie filtrował także nazw typu "123plik.cgi"?

 

edit

Banalne, ale może się komuś przyda - trzeba dodać na początku / :P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A co jeśli za pomoca mod_security chcę podmienić banner apacha, np tak żey przedstawiał się jako IIS? Daje radę ? Czytałem o tym dużo ale artykuł pochodziłz 2006 i nie wiem, czy sprawdza się to też dzisiaj. Głownie chodzi mi o wykrywalność mojego serwera przez nmap

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Znajomy podmieniał to nawet w binarce tylko jak pamiętam rozmiar musi być taki sam.

 

A tu masz link gdzie to robić w źródle.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

No z linkiem nie trafiłeś, bo jest przestarzały w wersji 2.2 definicja wersji jest w innym pliku :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ściągnąłem sobie źródła Apache 2.2.11 i mam w server/core.c:

 

/*
* This routine adds the real server base identity to the banner string,
* and then locks out changes until the next reconfig.
*/
static void set_banner(apr_pool_t *pconf)
{
if (ap_server_tokens == SrvTk_PRODUCT_ONLY) {
	ap_add_version_component(pconf, AP_SERVER_BASEPRODUCT);
}
else if (ap_server_tokens == SrvTk_MINIMAL) {
	ap_add_version_component(pconf, AP_SERVER_BASEVERSION);
}
else if (ap_server_tokens == SrvTk_MINOR) {
	ap_add_version_component(pconf, AP_SERVER_BASEPRODUCT "/" AP_SERVER_MINORREVISION);
}
else if (ap_server_tokens == SrvTk_MAJOR) {
	ap_add_version_component(pconf, AP_SERVER_BASEPRODUCT "/" AP_SERVER_MAJORVERSION);
}
else {
	ap_add_version_component(pconf, AP_SERVER_BASEVERSION " (" PLATFORM ")");
}

 

Tak samo jak w 2.0.XX

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

a źle spojrzałem... pomyłka zwracam Honor :)

 

aczkolwiek lepiej chyba takie podmiany robić w zmiennych include/ap_release.h

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×