mod_security

[nyxus]

vor einiger Zeit kam hier mal mod_security ins Gespräch. Auf SecurityFocus ist gerade ein Einführungs-Artikel erscheinen. Ganz interessant:
http://www.securityfocus.com/infocus/1739

[captaincrunch]

Falls jemand Interesse an Debian-Backports haben sollte, bitte melden, vielleicht ringe ich mich doch noch mal dazu durch, die zu basteln. ;)

[nyxus]

Falls jemand Interesse an Debian-Backports haben sollte, bitte melden, vielleicht ringe ich mich doch noch mal dazu durch, die zu basteln. ;)

Also wenn einer da wäre würde ich den schon mal einsetzen. Dein Kernel rennt ja auch wie nix gutes ... :-D

[captaincrunch]

Hey, du hast Glück : ich habe gerade das Paket (bzw. die beiden) fertig, und spiele gerade ein bisschen auf meiner Testkiste damit rum. Wenn alles glatt läuft, kann ich dir bei Bedarf morgen gerne das ganze zur Verfügung stellen.
Alternativ kannst du natürlich auch gerne mit beta-testen. ;)

Btw. : Ist noch das "alte" mod_security 1.6

[mutombo]

kann den mod nur empfehlen,
lauft hier seit einiger zeit problemlos.

jetzt gibt es ja sogar fertige rules von snort *freu*

[captaincrunch]

Stimmt. Bisher lief das Teil ziemlich stabil. Das einzigste, das ich bisher nicht sehr tiefgehend geprüft habe ist, wie sich mod_security auf die Performance des Apachen, und besonders auf die des Gesamtsystems auswirkt.

Kannst du da vielleicht mal ein bisschen was zu erzählen ?

[mutombo]

auf dem rootserver habe ich auch noch 1.6 im einsatz mit nem relativ kleinen ruleset und bisher ohne chroot. leistungseinbrüche die ich direkt auf mod_security zurückführen könnte gab es bisher keine.
bei knapp 1000 usern ist das letztemal php zusammengenknickt, was aber auch auf ein paar nicht ganz fehlerfreie scripte zurückzuführen ist.

leider weiß ich nicht genau wie ich den ressourcenverbrauch der einzelnen apache mods messen kann. würde mich auch mal interessieren was mod_rewrite so an leistung abzwackt.

ich guck dann gerne mal die nächste tage nach wie sich das so verhält.

[captaincrunch]

deb http://linux.roothell.org/mod_security ./

apt-get update
apt-get install libapache-mod-security

Have phun. Auf meiner Testkiste läufts bisher richtig gut. Ã?ber Feedback würde ich mich sehr freuen.

[metrix]

@CaptainCrunch: updatest du das gute stück?

bzw, habe es mir gerade zum testen selber kompiliert. nun funzt natürlich kein zugriff mehr auf die logs etc vom apache wenn ich chroot auf /var/www mache.

gibts eine andere möglichkeit als alles unterhalb vom chroot zu schieben?

[oxygen]

Logverzeichnis auf /var/www/logs verschieben? Warum sollte das ein Problem sein.

[metrix]

ihm passt /etc/apache und der ganze mist auch net - wäre scheide, dadurch das paket-management zu verwüsten.

[captaincrunch]

@CaptainCrunch: updatest du das gute stück?

Wieso updaten? Welche Version hätten's denn gerne? ;)

[metrix]

nein, ich meine nur generell ob du updatest wenn es sicherheitsrelevante updates gibt und so ;-)

nur so eine allgemeine frage.

[dodolin]

Also 1.6 gibts nicht mal mehr zum Download, sieht mir also nicht mehr supported aus. In 1.7.1 gabs nen Bug mit veröffentlichtem Exploit, allerdings nur auf Apache2, anscheinend.

[captaincrunch]

Ich hatte mir das gestern noch mal angeschaut, und dabei festgestellt, dass die Version, die ich bereitgestellt hatte, die 1.6er aus Debian Sarge ist, und es dort auch seitens der Debian-Maintainer keine neue Version gibt.
In unstable ist die von dodolin genannte 1.7.1er, wobei ich mich erstmal schlau machen müsste, ob die nötigen Bugfixes dort schon eingeflossen sind (was ich mir anhand des Datums (24.10.03) nicht vorstellen kann).

Grundsätzlich schaue ich mir für alle Pakete/Backports, die ich bereitstelle die zuständigen Mailinglisten an, und sobald ein wichtiges Update herauskommt, habe ich schlimmstenfalls am nächsten Tag das neue Paket hochgeladen.

[rouven]

verstehe nicht soganz was ich ins "chroot" dann alles reinkopieren muss, wenn ich den chroot auf den pfad setzte wo lediglich die webseiten drin sind, keine binaris. was muss da alles rein, damit es funktioniert?

[rouven]

jemand ne idee, er will z.b. eifnach nicht auf mysql connecten. laut anleitung müsste es mit mod_security doch auch so gehen, ohne dass ich die mysql.sock etc. verschiebe oder?

[metrix]

@rouven

mach den connect nicht über socket sondern vielleicht über 127.0.0.1 ;-)



aber ich habe auch noch eine frage. mod_security und/oder mod_chroot laufen beide problemlos. nur bekomme ich unter beiden modulen meine cgi's net zum laufen (fehler 500). was muss ich denn da alles noch linken?

danke!

[Joe User]

Hmm, 28.02.2004 ;)

[crasline]

sorry wenn ich das hier wieder hochhol ... CC, wieso haste das .deb gelöscht? sehr schade ;)

[captaincrunch]

Ã?hm...gute Frage eigentlich. Besteht denn überhaupt noch Interesse an dem ollen Backport?

[legato]

Nunja, Sarge beinhaltet die aktuelle Version 1.8.7

libapache-mod-security

(ach gott, jetzt hab ich auch sonen uralt thread ausgekramt... sorry, die suche ist schul ;))

[xtramen]

Hat jemand eine gut funktionierendes Konfigurationsbeispiel rumliegen.
Bin noch sehr neu auf dem Gebiet und würde mich freuen.

Gruss und Danke.

[caput]

Suchfunktion verwenden? :roll:

[xtramen]

OK Danke habs gefunden.

Leider happerts bei mir schon bei der Installation.
Beim versuch das Modul zu kompilieren kommt die Meldung:

xxxxxx:/usr/local/apache2 # apxs -cia mod_security.c
-bash: apxs: command not found

Was kann ich tun ?!

Gruss