NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver > Security

Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein

Antwort
 
Themen-Optionen Ansicht
Alt 30.06.2010, 07:02   #1
Apache2 mit ModSecurity (Debian Lenny)
D@rk-€vil™ D@rk-€vil™ ist offline 30.06.2010, 07:02

ModSecurity – Webapplication Firewall

Features
  • HTTP Traffic Logging
  • Realtime Monitoring und Attack Detection
  • Attack Prevention und Just-in-Time Patching
  • Negatives Security Model
  • Bekannte Attacken blocken
  • Positives Security Model


ModSecurity herunterladen

Für die Installation benötigt!
  • libapache2-modsecurity2-amd64 oder
  • libapache2-modsecurity2-i386
  • modsecurity-common-all

Eventuell musst du die Pfade und die Version an deine Bedürfnisse anpassen.


Code:
 CD  /usr/local/src
mkdir  /usr/local/src/mod-security
wget http://etc.inittab.org/~agi/debian/libapache-mod-security2/mod-security-common_2.5.9-1_all.deb
wget http://etc.inittab.org/~agi/debian/libapache-mod-security2/libapache-mod-security_2.5.9-1_amd64.deb

Dann beides installieren

Code:
 CD  /usr/local/src/mod-security/
dpkg -i *.deb
ModSecurity Verzeichnis anlegen

Code:
 mkdir  /etc/apache2/modsecurity2
chmod 600 -R /etc/apache2/modsecurity2
Herunterladen und entpacken der Regeln für ModSecurity

Erst herunterladen:


Code:
 wget http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz

und dann entpacken und in das eben erstellte Verzeichnis verschieben:

Code:
 tar fvx modsecurity-core-rules_2.5-1.6.1.tar.gz
mv  *.conf /etc/apache2/modsecurity2/
Dem Apache beibringen wo die Regeln liegen

Code:
vi /etc/apache2/mods-available/mod-security.conf
Dorts fügst du folgendes ein:

Code:
Include /etc/apache2/modsecurity2/*.conf
Symlink erstellen

Damit werden die Logfiles dann unter
Code:
/var/log/apache2/modsec_<Regel>.log
abgelegt.


Code:
ln  -s /var/log/apache2 /etc/apache2/logs

Den Apache neu starten

Code:
/etc/init.d/apache2 restart
Installation testen

Rufe in deinem Browser auf:


Code:
http://beispiel.com/index.php?path=/etc/passwd
Im Logfile /var/log/apache2/modsec_debug.log sollte jetzt stehen

Code:
www.beispiel.com 192.168.0.1 - - [09/Oct/2008:13:11:20 +0200]
"GET /index.php?path=/etc/passwd HTTP/1.1" 200 121280 "-" "-" F4jxvNWFZ@0AADs1A58AAAAD "-"
/20081009/20081009-1311/20081009-131120-F4jxvNWFZ@0AADs1A58AAAAD 0 123509
md5:dde55f154673b8f977d2af2277efdf2e
Das wars

Lg D@rk-€vil™
__________________

Chaosqueen: Gegen unseren DDos Schutz hat keiner ne Chance.
Ich: Träum mal schön weiter du Naive Person.

 
Benutzerbild von D@rk-€vil™
D@rk-€vil™
König
Punkte: 91.858, Level: 100 Punkte: 91.858, Level: 100 Punkte: 91.858, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
Registriert seit: 06.09.2008
Ort: Da wo der Himmel neun schlägt...
Beitr?ge: 1.630
Abgegebene Danke: 253
Erhielt 1.103 Danke für 139 Beiträge
Downloads: 89
Uploads: 3
Nachrichten: 3824
Hits: 26673
Mit Zitat antworten
Folgende 13 Benutzer sagen Danke zu D@rk-€vil™ für den nützlichen Beitrag:
$iMpLy (01.07.2010), .:.Uranus.:. (30.06.2010), bolzen (30.06.2010), Cerberus (30.06.2010), DefCon3 (30.06.2010), Dj O.P.I.O.™ (30.06.2010), gotthummer (30.06.2010), HaBe (30.06.2010), Mitnick (23.05.2011), mobby (30.06.2010), phenom (30.06.2010), rodi (03.07.2010), Thunder™ (18.09.2010)
Alt 22.05.2011, 19:06   #2
Mitnick
Erfahrener Benutzer
Punkte: 7.600, Level: 58 Punkte: 7.600, Level: 58 Punkte: 7.600, Level: 58
Levelaufstieg: 25% Levelaufstieg: 25% Levelaufstieg: 25%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Anfänger Benutzer besitzt 1x Grundwissen
 
Benutzerbild von Mitnick
 
Registriert seit: 18.02.2009
Ort: Internet
Alter: 39
Beitr?ge: 193
Abgegebene Danke: 23
Erhielt 37 Danke für 9 Beiträge
Downloads: 37
Uploads: 0
Nachrichten: 208
Renommee-Modifikator:
297 Mitnick ist ein wunderbarer AnblickMitnick ist ein wunderbarer AnblickMitnick ist ein wunderbarer AnblickMitnick ist ein wunderbarer AnblickMitnick ist ein wunderbarer AnblickMitnick ist ein wunderbarer AnblickMitnick ist ein wunderbarer Anblick
Standard

Die Anleitung ist an sich okay. Jedoch würde ich noch einiges beachten!
Wer das teil auf einen Tracker einsetzt bekommt einiges an fehlern geschmissen 400 bis hin zu 501.
Daher empfiehlt es sich erstmal mod:security im debug laufen zu lassen.

Zuerst soll mal nichts blockiert, sondern nur geloggt werden:
vi /etc/apache2/modsecurity2/modsecurity_crs_10_config.conf
Diese Zeile folgendermaßen anpassen:
SecRuleEngine DetectionOnly
So werden alle potenziellen Gefahren und Warnungen zwar geloggt, aber noch nichts geblockt. Man sollte also das Modul erstmal eine Weile so laufen lassen, damit nicht zuviel geblockt wird, was evtl. garnicht erwünscht ist.
Jetzt muss natürlich der Apache neu geladen werden: /etc/init.d/apache2 reload
In der Datei /var/log/apache2/modsec_debug.log kann man nun nachsehen, was alles geblockt werden würde. Hier ein Beispiel:
[31/Jan/2010:12:15:23 +0100] [404-Fehler 404[rid#1125ac1][/test/index.php][1] Access denied with code 501 (phase 2). Pattern match “(?:b(?:.(?:ht(?:access|passwd|group)|www_?acl)|global.asa|httpd.conf|boot.ini)b|/etc/)” at ARGS:text. [file "/etc/apache2/modsecurity2/modsecurity_crs_40_generic_attacks.conf"] [line "114"] [id "950005"] [msg "Remote File Access Attempt"] [data "/etc/"] [severity "CRITICAL"] [tag "WEB_ATTACK/FILE_INJECTION"]
Jede dieser Regeln hat eine ID, in diesem Fall ist das z.B. die “950005″. So ist es möglich, später Ausnahmen für mod_security festzulegen.
Ausnahmen hinzufügen

Mit der oben ausgelesenen ID ist es nun möglich, Ausnahmen für bestimmte Seiten festzulegen. Am einfachsten ist es, ein neues Config-File mit einer Whitelist anzulegen:
vi /etc/apache2/modsecurity2/modsecurity_crs_99_whitelist.conf
<LocationMatch /test/index.php>
SecRuleRemoveById 950005
SecRuleRemoveById 950006
SecRuleRemoveById 950907
</LocationMatch>
Man kann die Ausnahmen alternativ auch in den <VirtualHost…>-Bereich der entsprechenden Apache Konfigurations-Datei eintragen. (/etc/apache2/sites-available/…). Die Syntax ist dann die gleiche wie im obigen Beispiel.
mod_security “scharf” schalten

Um unser Modul nun einzuschalten, und auch potenzielle Angriffe zu blockieren, muss die Konfiguration entsprechend angepasst werden:
vi /etc/apache2/modsecurity2/modsecurity_crs_10_config.conf
Ändern der Einstellung auf:
SecRuleEngine On

Quelle:
ITWelt.org - KnowHow zu Linux, Windows und Mac
__________________
Disk Error Drive A: - Wasser im Laufwerk
(Bitte abpumpen)

Wenn am Anfang alles schief geht, nenne es Version 1.0!



Ge?ndert von Bluesteel (24.05.2011 um 09:43 Uhr)
Mitnick ist offline   Mit Zitat antworten Nach oben
Alt 23.05.2011, 11:30   #3
D@rk-€vil™
König
Punkte: 91.858, Level: 100 Punkte: 91.858, Level: 100 Punkte: 91.858, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
 
Benutzerbild von D@rk-€vil™
 
Registriert seit: 06.09.2008
Ort: Da wo der Himmel neun schlägt...
Beitr?ge: 1.630
Abgegebene Danke: 253
Erhielt 1.103 Danke für 139 Beiträge
Themenstarter Themenstarter
Downloads: 89
Uploads: 3
Nachrichten: 3824
Renommee-Modifikator:
3461 D@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes Ansehen
Standard

Würde bitte ein Mod...den Thread von der Kindergarten scheisse beseitigen?

Wehr sehr nett...

best regards

EDIT: THX @ Bluesteel für die säuberung

dark
__________________

Chaosqueen: Gegen unseren DDos Schutz hat keiner ne Chance.
Ich: Träum mal schön weiter du Naive Person.

Ge?ndert von D@rk-€vil™ (15.06.2011 um 03:40 Uhr)
D@rk-€vil™ ist offline   Mit Zitat antworten Nach oben
Alt 29.07.2011, 18:05   #4
.:.Uranus.:.
Profi
Punkte: 18.234, Level: 85 Punkte: 18.234, Level: 85 Punkte: 18.234, Level: 85
Levelaufstieg: 77% Levelaufstieg: 77% Levelaufstieg: 77%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von .:.Uranus.:.
 
Registriert seit: 21.05.2008
Beitr?ge: 757
Abgegebene Danke: 244
Erhielt 23 Danke für 4 Beiträge
Downloads: 63
Uploads: 0
Nachrichten: 290
Renommee-Modifikator:
814 .:.Uranus.:. ist einfach richtig nett.:.Uranus.:. ist einfach richtig nett.:.Uranus.:. ist einfach richtig nett.:.Uranus.:. ist einfach richtig nett.:.Uranus.:. ist einfach richtig nett
Standard

Hallo Nv,
habe mir mal gedacht die apache etwas mehr abzusichern
nur leider kommt hier ein error 404 denke mal das der link nicht geht oder so
gibbet hierzu eine alternative ?

wget http://etc.inittab.org/%7Eagi/debian/libapache-mod-security2/mod-security-common_2.5.9-1_all.deb

Ge?ndert von Cerberus (30.07.2011 um 21:23 Uhr)
.:.Uranus.:. ist offline   Mit Zitat antworten Nach oben
Alt 29.07.2011, 18:52   #5
Lex
Böser Mod / NvT Terrorist
Punkte: 58.497, Level: 100 Punkte: 58.497, Level: 100 Punkte: 58.497, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 33,3% Aktivität: 33,3% Aktivität: 33,3%
Letzte Erfolge
Auszeichnungen
Artikel Benutzer besitzt 1x Hilfe Level 3 Benutzer besitzt 1x Hilfe Level 2 Benutzer besitzt 1x Badboy Benutzer besitzt 1x Anfänger Benutzer besitzt 1x Hilfe Level 1 Benutzer besitzt 1x Helfer Benutzer besitzt 1x Ideen-Spender
 
Benutzerbild von Lex
 
Registriert seit: 16.09.2009
Ort: Cyberspace
Beitr?ge: 2.470
Abgegebene Danke: 188
Erhielt 562 Danke für 126 Beiträge
Downloads: 11
Uploads: 0
Nachrichten: 10609
Renommee-Modifikator:
4016 Lex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes Ansehen
Standard

Liegt daran das die Datei die du beziehen willst, nicht mehr vorhanden ist, bezw der Pfad sich evtl. geändert hat.
Such die über den Browser den richtigen Pfad und versuchs dann nochmal mit wget

Lg Lex
__________________
Lex the NetVision Terrorist
june: Feinfühlig? Ich bin Typus Axt im Walde
Lex: Axt? Was bin dann ich? Sägewerk?
Cerberus
: nee --du bist Waldbrand ...
Lex ist offline   Mit Zitat antworten Nach oben
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:09 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS