apt-get install libapache2-mod-security funktioniert nicht

[memoman]

bekomme Konnte Paket libapache2-mod-security nicht finden


Distri Etch
sources.list auf stable

weiss jemand warum?

PS:
Wer denkt das hier wär ne dumme Frage...auf 500 Anleitungsseiten steht es würde mit "apt-get install libapache2-mod-security" funktionieren...sind auch keine weitern sources oder so angegeben

[kumpel2]

Hi,

poste einmal bitte deine sources.list, gibt ja einige einstellungen, die nich immer dabei sind.

LG

[der kleine tux]

Hallo

mod-security ist bei Etch nicht.
Glaube wegen Lizenz gründen "bin mir da aber nicht ganz sicher aber irgendwas war da ......" :?:

http://www.modsecurity.org/download/index.html

als ich upgrade auf Etch gemacht habe habe ich direkt mod_security2
von http://etc.inittab.org/~agi/debian/ genommen

Gruß

[gierig]

da stehts warum nicht:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=313615

[memoman]

Habe es jetzt dank http://etc.inittab.org/~agi/debian/ installiert und aktiviert bekommen, aber irgenwie scheint es nicht zu laufen...

habe unter
/etc/apache2/mods-enabled eine mod-security2.conf mit folgendem inhalt angelegt

<IfModule mod_security.c>

SecFilterEngine On

# URL-Validierung aktivieren
SecFilterCheckURLEncoding On

# Unicode-Validierung aktivieren
SecFilterCheckUnicodeEncoding On

# HTTP-POST-Daten verarbeiten
SecFilterScanPOST On

# Standard-Aktion f�r zutreffende Filterregeln
SecFilterDefaultAction "deny,log,status:403"

ServerTokens Full
ServerSignature On
SecServerSignature " fgfgfg "

# Einfacher Demo-Filter
IncludeSecFilter /bin/sh
IncludeSecFilter test

</IfModule>

aber es hat sich nichts geändert :(
die signatur hat sich nicht geändert und gefildert wird auch nichts wenn ich test.php?test=/bin/sh oder test eingebe

[sledge0303]

Code: Select all

<IfModule mod_security.c>

# Only inspect dynamic requests
# (YOU MUST TEST TO MAKE SURE IT WORKS AS EXPECTED)
#SecFilterEngine DynamicOnly

SecFilterEngine On

# Reject requests with status 500
SecFilterDefaultAction "deny,log,status:500"

# Some sane defaults
SecFilterScanPOST On
SecFilterCheckURLEncoding On
SecFilterCheckCookieFormat On
SecFilterCheckUnicodeEncoding Off
SecFilterNormalizeCookies On
# enable version 1 (RFC 2965) cookies
SecFilterCookieFormat 1

SecServerResponseToken Off

#If you want to scan the output, uncomment these
#SecFilterScanOutput On
#SecFilterOutputMimeTypes "(null) text/html text/plain"

# Accept almost all byte values
SecFilterForceByteRange 1 255

# Server masking is optional
#fake server banner - NOYB used - no one needs to know what we are using
SecServerSignature "NOYB"

#SecUploadDir /tmp
#SecUploadKeepFiles Off

# Only record the interesting stuff
SecAuditEngine RelevantOnly
SecAuditLog /var/log/audit_log

# You normally won't need debug logging
SecFilterDebugLevel 0
SecFilterDebugLog /var/log/modsec_debug_log

Include /etc/apache2/modsecurity/filter.conf
</IfModule>

in /etc/apache2/modesecurity/filter.conf kommen Rules wie etwa diese:

Code: Select all

# Enforce proper HTTP requests
SecFilterSelective SERVER_PROTOCOL "!^HTTP/(0.9|1.0|1.1)$"

# Only accept request encodings we know how to handle we exclude GET requests
# from this because some (automated) clients supply "text/html" as Content-Type
SecFilterSelective REQUEST_METHOD "!^(GET|HEAD|POST|PUT|PROPFIND|OPTIONS)$"
SecFilterSelective HTTP_Content-Type "!(^$|^application/x-www-form-urlencoded$|^multipart/form-data)"

# Require Content-Length to be provided with every POST request
SecFilterSelective REQUEST_METHOD "^POST$" chain
SecFilterSelective HTTP_Content-Length "^$"

# Don't accept transfer encodings we know we don't handle
SecFilterSelective HTTP_Transfer-Encoding "!^$"

# HTTP response spilting generic sigs
SecFilter "Content-Length:.*Content-Type:.*Content-Type:"

# deny TRACE method
SecFilterSelective REQUEST_METHOD "TRACE"

# XSS insertion into Content-Type
SecFilterSelective THE_REQUEST "Content-Type:.*(<[[:space:]]*(script|about|applet|activex|chrome)*>.*(script|about|applet|activex|chrome)[[:space:]]*>|onmouseover=|javascript:)"
blablubblablabla...
....
....
....

So wird das dann auch was mit dem mod_sec...

Gegenfrage, was soll mod_sec damit deiner Meinung nach anfangen?

Code: Select all

# Einfacher Demo-Filter
IncludeSecFilter /bin/sh
IncludeSecFilter test 

[memoman]

http://www.heise.de/security/artikel/69070/1
naja hatte mir das angesehn und wollte mal testen ob/wie das funktioniert

wundere mich eben, warum z.B. die ServerSignatur nicht ausgetauscht wird
weisst du warum?

darum zweifel ich, ob der mod bei mir überhaupt richtig geht

gibts nicht ne möglichkeit das zu testen anhand einer einfachen regel?

[sledge0303]

Nimm doch diese kleine Regel vor dem blablabla... Danach Apache2-restart und danach erzeugst einen 404 Fehler wo du unten die Sig abgleichen kannst.

[der kleine tux]

Hallo

wenn du Mod_Security 2 verwendest
minimal config aus
/usr/share/doc/mod-security2-common/examples/modsecurity.conf-minimal

Code: Select all

# Basic configuration options
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess Off

# Handling of file uploads
# TODO Choose a folder private to Apache.
# SecUploadDir /opt/apache-frontend/tmp/
SecUploadKeepFiles Off

# Debug log
SecDebugLog logs/modsec_debug.log
SecDebugLogLevel 0

# Serial audit log
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus ^5
SecAuditLogParts ABIFHZ
SecAuditLogType Serial
SecAuditLog logs/modsec_audit.log

# Maximum request body size we will
# accept for buffering
SecRequestBodyLimit 131072

# Store up to 128 KB in memory
SecRequestBodyInMemoryLimit 131072

# Buffer response bodies of up to
# 512 KB in length
SecResponseBodyLimit 524288

Gruß

[memoman]

Ich glaub ich hab den ersten Fehler gefunden

Bei modsec 2 muss es wohl auch <IfModule mod_security2.c>
lauten!

leider startet nun der apache nicht mehr

Syntax error on line 7 of /etc/apache2/mods-enabled/mod-security2.conf:
Invalid command 'SecFilterEngine', perhaps misspelled or defined by a module not included in the server configuration

Aktiviert müsste es aber sein, denn

# a2enmod mod-security2
This module is already enabled!

[sledge0303]

Aktiviert ist die eine, ob es funtioniert die andere. Schau mal in den Logs nach ob folgend Datei vorhanden ist:

/var/log/audit_log


Wenn nein, wird sich Apache2 in seinen Logs über dieses Modul beschweren, da findet man auch Anhaltspunkte wenn wo was klemmt ;)

Achja, hast mal den Cache deines Browsers geleert? Mir hätte es mal fast 2 Stunden arbeit gespart wenn ich es gleich gemacht hätte statt nach einem Fehler zu suchen den es gar nicht gab... :roll:

[memoman]

Aktiviert ist die eine, ob es funtioniert die andere. Schau mal in den Logs nach ob folgend Datei vorhanden ist:

/var/log/audit_log


Wenn nein, wird sich Apache2 in seinen Logs über dieses Modul beschweren, da findet man auch Anhaltspunkte wenn wo was klemmt ;)

Die Datei ist nicht vorhanden
In der error.log steht auch nur der fehler von eben mit Syntax error ...

[sledge0303]

OK, welche Version von mod_sec ist es denn eigentlich?

[memoman]

OK, welche Version von mod_sec ist es denn eigentlich?

http://etc.inittab.org/~agi/debian/liba ... 1_i386.deb

also 2.1.0

[der kleine tux]

dann bist du schon mal auf dem richtigen weg

und natürlich muss es dann auch <IfModule mod_security2.c>

an sonsten hat sich auch einiges geändert zb konfiguration etc

SecFilterEngine On = mod_security 1
SecFilter

SecRuleEngine On = mod_security 2
SecRule

am besten du baust dir mal
/usr/share/doc/mod-security2-common/doc
ein

Gruß

[sledge0303]

dann bist du schon mal auf dem richtigen weg

und natürlich muss es dann auch <IfModule mod_security2.c>

...
...
Gruß

Ich benutze keinen Apache mehr, mein Hinweis stammt noch aus einem Ruleset für Version 1.9.4., welcher noch auf meinen Hostsystem läuft.

@memoman

Ich weiss ja was für einen Server du gemietet hast. Mod_sec frisst eine Menge an Performance und bei deinem Vorhaben könnte da der RAM schnell knapp werden.

[memoman]

Ich weiss ja was für einen Server du gemietet hast. Mod_sec frisst eine Menge an Performance und bei deinem Vorhaben könnte da der RAM schnell knapp werden.

Hm...OK du hast recht..vielleicht sollt ichs bei 256MB RAM vorerst weg lassen...
Aber ganzschön dreist von denen die halben configvariablen einfach mal zu ändern...

Haben ja nicht alle Admins ewig Zeit um docs alle paar monate neu zu lesen oder? :lol:

[sledge0303]

Hm...OK du hast recht..vielleicht sollt ichs bei 256MB RAM vorerst weg lassen...
Aber ganzschön dreist von denen die halben configvariablen einfach mal zu ändern...

Haben ja nicht alle Admins ewig Zeit um docs alle paar monate neu zu lesen oder? :lol:

Dreist kann man nicht sagen, es wird halt hier und da verbessert und neue Schemen erstellt.
Was den Speicher angeht, würde ich statt Apache2 den Lighttpd installieren und dessen Docroot chrooten. Die Howtos befinden sich gerade in der 'Generalüberholung', anschließend erneut auf einer VMware Umgebung getestet und danach veröffentlicht.
Es werden keine reinen Anfänger-Howtos sein, aber das meiste ist eigentlich selbsterklärend.

[memoman]

Ist jetzt OT, aber warum verbessern die Jungs von Apache nichtmal die Performance ihres Servers? Da scheint ja irgendwas am Konzept mächtig faul zu sein!

[Roger Wilco]

Ist jetzt OT, aber warum verbessern die Jungs von Apache nichtmal die Performance ihres Servers? Da scheint ja irgendwas am Konzept mächtig faul zu sein!

Das kannst du so pauschal nicht sagen. Der Apache httpd hat von Haus aus einfach eine Menge Funktionen, die sehr viel Performance fressen, wie etwa die .htaccess Dateien. Wenn man einen Apache httpd entsprechend abspeckt und ein passendes MPM wählt, ist der Apache httpd auch nicht langsamer, als lighttpd oder ein anderer Webserver. Außer vielleicht Zeus. ;)

[cirox]

Also soviel Performance hauen Dir die gotroot Rules nun auch nicht wieder weg. Du musst halt den ein paar confs deaktivieren und die wichtigen übrig lassen. Ausserdem ist die 1.9.4 Version , oder so auch ganz ok.