Page 2 of 2
Re: mod_security spinnt rum
Posted: 2006-11-01 23:36
by danu
Deine ganze "exclude" Datei zu posten
IMHO glaube nicht dass das viel Sinn macht. Das kann doch von Server zu Server unterschiedlich sein, und je nach CMS oder sonstigen Scripten.
Die Hauptsache hier ist die:
Im modsec_audit.log siehst du, welches Script hängen geblieben ist. Dann schreibst du den Pfad genau so bei <Location ... rein. Bei "ARGS|!ARG_body" ODER bei "ARG_authorised" schreibst du das auch genau so rein, wie es im Logfile steht.
...und hier noch die Einstellung für mein Logfile:
Code: Select all
# Only record the interesting stuff
SecAuditEngine RelevantOnly
SecAuditLog /var/log/apache2/modsec_audit.log
Re: mod_security spinnt rum
Posted: 2006-11-01 23:42
by cirox
ja stimmt schon, so mach ich dass ja auch, habe hier schon neben mir nur ein Monitor aufgebaut für audit.log in Echtzeit ;)
Trotzdem schonmal Danke für die Anregungen. Mir ist aufgefallen, dass der User-Agent .... irgendwie stört, die Regel hab ich komplett abgeschalten.
Was ich auch noch nicht kapiert habe ist pro vhost genau eine Regel auszuschalten ...
gruß cirox
Re: mod_security spinnt rum
Posted: 2006-11-02 00:36
by danu
User-Agent .... irgendwie stört
Ja, dieses Rule läuft bei mir auch nicht
Was ich auch noch nicht kapiert habe ist pro vhost genau eine Regel auszuschalten ...
Habe ich noch gar nicht versucht. Könnte vielleicht funktionieren, wenn man den ganzen /home/...Pfad einträgt.
1. Gehört nicht die exclude vor den Rules?
Muss nicht sein -> "SecFilterInheritance Off" hebt das betreffende Rule für die betreffende "<Location ....." auf.
Re: mod_security spinnt rum
Posted: 2006-11-02 00:43
by cirox
danu wrote:
Die Hauptsache hier ist die:
Im modsec_audit.log siehst du, welches Script hängen geblieben ist. Dann schreibst du den Pfad genau so bei <Location ... rein. Bei "ARGS|!ARG_body" ODER bei "ARG_authorised" schreibst du das auch genau so rein, wie es im Logfile steht.
ok, oder:
ich marke die Regeln mit einer ID, zum Beispiel: "id "100"" und sage:
Code: Select all
#Newsblock counter Link Problem
<LocationMatch "/counter/counter.php*">
SecFilterRemove 100
</LocationMatch>
wobei matürlich bei Dir mit dem Argument:
zum Beipiel die Markerei nicht notwendig ist, weil er sich die Direktive, oder wie das heisst, selber sucht.
Stimmt das oder bin ich auf dem falschen Dampfer?
gruß cirox
Re: mod_security spinnt rum
Posted: 2006-11-02 00:56
by danu
Das mit der Markerei habe ich in der Docku auch angeschaut, aber selber probiert habe ich das noch nicht. "Meine" Methode habe ich irgendwo (weiss nicht mehr wo) abgeguckt und beim testen gefunden WOW.
Ich habe da 2 Möglichkeiten. Eine davon muss immer auskommentiert sein.
Code: Select all
SecFilterSelective ARG_authorised "<.+>"
Damit schaffe ich es meistens
Code: Select all
SecFilterSelective "ARGS|!ARG_body" "<.+>" "allow"
Damit versuchte ich es meistens mit Erfolg, wenn "ARG_authorised" keine Wirkung zeigte. Dabei wird noch
ins Logfile geschrieben