SuSE 9.3 mod_security - finde Fehler nicht :-(

[thahool]

Hallo zusammen!

Ich hab bei mir auf meinem Rootserver mal mod_security installiert.
Dazu hab ich die mod_security Sourcen kompiliert und habe nun in /usr/lib/apache2 das Modul mod_security.so.

Nun hab ich in meiner httpd.conf folgendes ergänzt:

Include /etc/apache2/mod_security/mod_security.conf
LoadModule security_module /usr/lib/apache2/mod_security.so

In der /etc/apache2/mod_security/mod_security.conf steht:

<IfModule mod_security.c>

SecFilterEngine On

# URL-Validierung aktivieren
SecFilterCheckURLEncoding On

# Unicode-Validierung aktivieren
SecFilterCheckUnicodeEncoding On

# HTTP-POST-Daten verarbeiten
SecFilterScanPOST On

# Standard-Aktion f�¼reffende Filterregeln
SecFilterDefaultAction "deny,log,status:403"

# Filterregeln aus einbinden
Include /etc/apache2/mod_security/rules/*.conf

</IfModule>

So, nun hab ich eine Regel zum testen angelegt in /etc/apache2/mod_security/rules/test.conf

IncludeSecFilter test123

Eigentlich müsste dann doch jede Anfrage an

http://www.meine-domain.de/index.php?exec=test123

ins leere laufen. Aber es funktioniert trotzdem....
Irgendwo hab ich da offensichtlich einen Wurm drin.

im apache error Log erschein wenn ich Apache neu starte folgendes:
[Mon Feb 27 11:14:55 2006] [notice] mod_security/1.9.2 configured

Kann mir jemand weiterhelfen?
Danke!!

:)

[lord_pinhead]

Ne, du musst ja noch angeben was es ist, also die URI zb.

Code: Select all

SecFilterSelective REQUEST_URI "/index.php" chain
SecFilter "exec=(123)"

Bin mir zwar überhaupt nicht sicher ob die Regel passt weil ich ewige Zeiten das nicht mehr gemacht habe, aber aut http://gotroot.com/ gibt es nen riesen Satz von Regelwerken :) Ausserdem weiß ich gerade nicht ob der wirklich Wildcards frisst, deswegen den Include auf die Datei legen und nicht auf *.conf.

[danu]

Vom Moment an, da ich mich mit mod_security auseinandersetzte, kam mir schmerzlich zu Bewusstsein, dass ich noch fast nichts über "Reguläre Ausdrücke" (regex) wusste. Ohne dieses Grundwissen ist es einigermassen aussichtslos, die genauen Auswirkungen der Rules wirklich zu verstehen und zweckmässig einzusetzen. Deshalb habe ich mich jetzt entschlossen, das nachzuholen.

Das hier finde ich nicht schlecht:
http://www.regenechsen.de/phpwcms/index.php?regex

nun raucht mir der Schädel 8O

[lord_pinhead]

Gefahr zu laufen jetzt wegen Werbung anderer Seiten eine auf den Deckel zu bekommen: Wegen regexp hab ich mir mal aus einer Bibliothek ein Buch ausgeliehen von O´Reilly: Reguläre Ausdrücke kurz & gut, mittlerweile überlege ich ob ich mir das nicht sogar für die paar Cent ins Regal stelle weil ich es gut fand. Regex kann aber schnell relativ ausarten, aber wenn man es mal wirklich kann (geht einfach nicht von heute auf morgen) ist es klasse um sich viel Arbeit zu sparen.

[flo]

<OT>
RegExps schön und gut, aber erstens das ist jedesmal für mich Trial und Error und dann noch die Maskierung für andere Sprachen *graus*
</OT>
Das Buch habe ich, kann man nur empfehlen!

flo.

[lord_pinhead]

In den seltensten Fällen erstellt man aber seine Regeln selbst, können sollte man es aber eigentlich. Jedenfalls die Grundlagen wäre nicht schlecht, die Fehler kann man mit fertigen Prüfprogrammen beseitigen. txt2regex ist nur eines der vielen Tools die ich dafür recht genial finde.

[danu]

Ausserdem weiss ich gerade nicht ob der wirklich Wildcards frisst, deswegen den Include auf die Datei legen und nicht auf *.conf.

Doch er frisst Wildcards. Habe das mal so hingekriegt. Wäre wohl schlimm gewesen, für jede einzelne Datei ein Rule zu schreiben und aktuell zu halten

Code: Select all

<Location /101casts/*>
    SecFilterInheritance Off
    # other filters here ...
     SecFilterSelective "ARGS|!ARG_body" "(libwhisker|paros|wget|libwww|perl|curl|java)" "allow"
    # SecFilterSelective ARG_authorised "(libwhisker|paros|wget|libwww|perl|curl|java)" 
</Location>

[adjustman]

Code: Select all

<Location /101casts/*>
    SecFilterInheritance Off
    # other filters here ...
     SecFilterSelective "ARGS|!ARG_body" "(libwhisker|paros|wget|libwww|perl|curl|java)" "allow"
    # SecFilterSelective ARG_authorised "(libwhisker|paros|wget|libwww|perl|curl|java)" 
</Location>

das funktioniert aber alles nicht mehr mit V 2.*
Ist alles völlig anders. Hat jemand schon nen "sicheren"
Regelsatz für die 2er Version?

[danu]

Ist alles völlig anders. Hat jemand schon nen "sicheren"

Gegenfrage: Ist es hier schon jemals jemandem gelungen, mod_security-2.xx zu installieren ? habe gerade auf einem neuen Server mod_security-1.9 installiert - mit einem gentoo Regelsatz.
Da sieht ein Exlude so aus:

Code: Select all

#Horde Webmail
<LocationMatch "/imp/compose.php">
SecFilterRemove 300018
</LocationMatch>

Und der Regelsatz von V.2.x läuft mit mod_security-1.9 tatsächlich nicht.

[adjustman]

Gegenfrage: Ist es hier schon jemals jemandem gelungen, mod_security-2.xx zu installieren ?

ja, das ging ganz easy. :)

http://stimpyrama.org/content/view/100/9/

[danu]

ja, das ging ganz easy

Ist wohl wieder einer der Unterschiede zwischen SuSE und Debian. :roll: