ModSec Head Scratcher – Исключения правил игнорируются

Вопрос или проблема

Извините, если это “нубский” ошибка, о чем я уверен, но я не могу понять, почему ModSec игнорирует мое исключение правила.

Ситуация (Debian 10): У меня есть ssl защищенный URL для программного обеспечения мониторинга Monit, который работает на www.example.com:3286, и как показали мои журналы ошибок Apache2, это вызывает правило modsec с идентификатором 920350, тем самым блокируя мой доступ к веб-интерфейсу Monit.

Я использовал echo "SecRuleRemoveById 920350" >> /etc/modsecurity/modsecurity.conf, чтобы добавить исключение правила в modsecurity.conf (я вернулся и проверил его наличие). Затем перезапустил apache. Правило проигнорировано.

Тогда я попытался добавить исключение непосредственно в виртуальный хост www.example.com, используя:

<ifModule mod_security2.c>
         SecRuleRemoveById 920350
   </ifModule>

Затем перезапустил apache, и исключение снова было проигнорировано.

Что я упускаю?

Правило 920350 срабатывает, когда заголовок Host запроса является IP-адресом, а не именем хоста, например example.com. Вам удобно игнорировать, когда клиенты подключаются по IP-адресу?

Ваше исключение SecRuleRemoveById, где оно расположено относительно директивы Include для Core Rule Set? Это, вероятно, ключ к проблеме.

Ответ или решение

К сожалению, проблема, с которой вы столкнулись, распространена среди пользователей ModSecurity, и правильная настройка исключений может быть непростой задачей. Давайте рассмотрим, что может быть причиной игнорирования вашего исключения для правила 920350 и каковы возможные пути решения данной проблемы.

1. Порядок включения правил

Одной из наиболее вероятных причин, по которой ваше исключение не срабатывает, является порядок включения конфигурационных файлов. Убедитесь, что директива SecRuleRemoveById 920350 находится до директивы Include, которая добавляет базовый набор правил (Core Rule Set). Если ваше исключение находится после этой директивы, то оно будет проигнорировано, поскольку правило уже было применено.

Пример правильной настройки:

# Включаем исключения перед загрузкой набора правил
<IfModule mod_security2.c>
    SecRuleRemoveById 920350
</IfModule>

# Включаем набор правил
Include /etc/modsecurity/crs-setup.conf
Include /etc/modsecurity/rules/*.conf

2. Проверка конфигурации Apache

После внесения изменений убедитесь, что конфигурация Apache корректна, запустив команду:

apachectl configtest

Если возникают ошибки, вам следует их устранить перед перезапуском сервера.

3. Перезапуск Apache

После внесения изменений в конфигурационные файлы не забудьте полностью перезапустить Apache с помощью следующей команды:

systemctl restart apache2

4. Логирование ModSecurity

Ваши логи могут дать больше информации о том, почему правило игнорируется. Убедитесь, что у вас включено логирование для ModSecurity. Проверьте следующие параметры в конфигурационном файле:

SecDebugLog /var/log/modsec_debug.log
SecDebugLogLevel 9

Это позволит вам получить более детальную информацию о работе ModSecurity и может показать, почему правило не срабатывает.

5. Альтернативные статусы установки

Если после всех ваших усилий исключение всё ещё игнорируется, рассмотрите альтернативные варианты:

  1. Другие исключения: Убедитесь, что нет других правил, которые могут перекрывать ваше исключение.
  2. Настройка на уровне хоста: Так как вы также пробовали установить правило непосредственно в виртуальном хосте, проверьте, что ваш vhost правильно настроен и соответствует обращению к URL, вызывающему блокировку.

6. Обратная связь от сообщества

Иногда проблема может быть специфичной для вашей конфигурации или версии ModSecurity. Рекомендуется обратиться к сообществу пользователей и разработчиков ModSecurity, например, на форумах или GitHub, где опытные пользователи могут предложить дополнительные идеи или исправления.

Заключение

Надеюсь, что эти рекомендации помогут вам обнаружить и устранить проблему с игнорированием исключения правила ModSecurity. Убедитесь, что порядок директив, логирование и конфигурация корректны, и, при необходимости, не стесняйтесь обращаться за помощью к сообществу. Если у вас есть дополнительные вопросы, пожалуйста, задавайте!

Оцените материал
Добавить комментарий

Капча загружается...