O arquivo de configuração do mod_security é bem tranquilo de se entender, graças ao bom trabalho feito pela equipe de desenvolvimento, que deixou comentários explicando cada parte importante do arquivo.
Já vimos algumas das principais diretivas de configurações e suas funções/descrição, vamos continuar falando de alguns paramentos dentro do modsecurity.conf.
Abaixo temos uma tabela com as permissões necessárias para cada diretório, caso queira utilizar o padrão /opt, que é utilizado dentro do modsecurity.conf ou criar em um local de sua preferencia.
/opt/modsecurity root apache rwxr-x---
/opt/modsecurity/bin root apache rwxr-x---
/opt/modsecurity/etc root root rwx------
/opt/modsecurity/var root apache rwxr-x---
/opt/modsecurity/var/audit apache root rwx------
/opt/modsecurity/var/data apache root rwx------
/opt/modsecurity/var/log root root rwx------
/opt/modsecurity/var/tmp apache apache rwxr-x---
/opt/modsecurity/var/upload apache root rwx------
Podemos centralizar nossas configurações no modsecurity.conf ou organizar em arquivos separados, de acordo com o as nossas regras.
Se a escolha for o padrão, que é somente o modsecurity.conf, podemos inserir as linhas abaixo dentro do httpd.conf
<IfModule security2_module>
Include conf.d/modsecurity.conf
</IfModule>
E se a escolha for separar os arquivos por nomes sugestivos ou que lembrem as regras, o exemplo abaixo deve ser seguido.
**IMPORTANTE LEMBRAR QUE OS ARQUIVOS SÃO LIDOS NA ORDEM DE CIMA PARA BAIXO.**
<IfModule mod_security2.c>
Include /opt/modsecurity/etc/modsecurity.conf
Include /opt/modsecurity/etc/owasp_top10.conf
Include /opt/modsecurity/etc/geoip.conf
Include /opt/modsecurity/etc/myrules.conf
</IfModule>
**IMPORTANTE DIZER QUE É APENAS UM EXEMPLO, VOCÊ DEVE USAR O CAMINHO ONDE SUAS REGRAS SE ENCONTRAM**
Nesse primeiro momento vamos fazer uso da configuração default do mod_security, que é usando apenas um arquivo de configuração.
O arquivo modsecurity.conf é separado em oito partes.
Rule engine initialization
Request body handling
Response body handling
Filesystem configuration
File uploads handling configuration
Debug log configuration
Audit log configuration
Miscellaneous
Rule engine initialization
Nessa parte é onde encontramos o SecRuleEngine, é onde vamos dizer ao mod_security o que ele deve fazer, se vai bloquear ou apenas registrar.
Essa diretiva é sensitiva, e com isso podemos dizer ao mod_security, por exemplo, para ele monitorar um VirtualHost especifico, podendo definir também, diferentes
regras, para cada um.
A diretiva SecRuleEngine aceita como parâmetro:
On|Off|DetectionOnly
On - Processa as regras
Off - Não processa as regras
DetectionOnly - Processa as regras, mas não executa as ações
Request body handling
Nessa parte encontramos algumas diretivas como, SecRequestBodyAccess, SecRequestBodyLimit, SecRequestBodyNoFilesLimit, SecRequestBodyInMemoryLimit e SecRequestBodyLimitAction.
A diretiva SecRequestBodyAccess, que diz ao mod_security se ele pode fazer a checagem das requisições do corpo da pagina.
Quando habilitamos essa diretiva, ela faz um buffer completo do conteúdo das requisições, esse buffer é usado para que as regras do mod_security possam fazer a leitura desses dados
e decidir se liberar ou não. Aqui encontramos um problema, pois, o mod_security costuma usar a memória RAM, para fazer esse buffer, o que pode degradar o desempenho do servidor, principalmente se estivermos compartilhando o mod_security e o web server em um mesmo servidor.
A diretiva SecRequestBodyAccess, aceita como parâmetro:
On|Off
On - Faz o buffer das requisições
Off - Não faz buffer das requisições
Podemos usar as diretivas SecRequestBodyLimit, SecRequestBodyNoFilesLimit, SecRequestBodyInMemoryLimit para configurarmos a maneira como esse buffer é feito.
A diretiva SecRequestBodyLimit, define um tamanho máximo para o buffer e aceita como parâmetro:
**Essa diretiva funciona somente no arquivo de configuração principal, ou para um VirtualHost
LIMITES_EM_BYTES
Toda vez que esse limite for excedido, o servidor usara o código HTTP 413*
A diretiva SecRequestBodyNoFilesLimit, também define um tamanho para o buffer, porém ela exclui o tamanho dos arquivos que foram transportados nas requisições.
Essa diretiva é muito útil para a prevenção de ataques de negação de serviço (DoS), pois ela impede que um atacante possa fazer o envio de requisições com um tamanho muito grande. Caso o servidor vá aceitar upload de arquivos, essa diretiva deve ser configurada com um alto valor, de modo a não prejudicar essa funcionalidade.
Essa diretiva aceita como parâmetro:
NUMBERO_EM_BYTES
Toda vez que esse limite for excedido, o servidor usara o código HTTP 413*
A diretiva SecRequestBodyInMemoryLimit, configura o tamanho máximo, que a requisição vai poder armazenar na memoria RAM, mas quando uma requisição multipart/form-data, ultrapassa esse limite, o mod_security cria um arquivo temporário no disco e ele passa a ser usado.
A diretiva SecRequestBodyInMemoryLimit aceita o parâmetro:
LIMITES_EM_BYTES
A SecRequestBodyLimitAction, que diz ao mod_security o que fazer quando alguma requisição ultrapassa as configurações definidas na diretiva SecRequestBodyLimit. Por padrão o mod_security rejeita as requisições maiores do que a configurada. Essa diretiva se torna um problema quando desejamos usar o mod_security em modo DetectionOnly, porque, ela rejeita ou faz um processamento parcial, que seria seria apenas a primeira parte da requisição.
A diretiva SecRequestBodyLimitAction, aceita como parâmetros:
Reject|ProcessPartial
Reject - É o padrão e rejeita tudo que ultrapassar o limite definido.
ProcessPartial - Processa apenas a primeira parte das requisições
Response body handling
Aqui encontramos diretivas como, SecResponseBodyAccess, SecResponseBodyMimeType, SecResponseBodyLimit, SecResponseBodyLimitAction e elas são muito similares as que vimos acima.
A diretiva SecResponseBodyAccess, permite ao mod_security ter acesso as respostas das requisições feitas. Essa diretiva ajuda a termos controle sobre os dados que saem nessas requisições, evitando assim que algum dado sensível, saia do nosso ambiente.
**importante dizer que habilitando essa diretiva, estamos aumento muito o consumo de memoria de nosso servidor, então, é bom avaliarmos bem a real necessidade de a usarmos.
Essa diretiva aceita como parâmetro:
On|Off
On - Faz buffer das respostas
Off - Não faz buffer das respostas
A diretiva SecResponseBodyMimeType, nos permite escolher o tipo de arquivo MIME**, que vão inspecionar.
A diretiva aceita como parâmetro:
**Podemos passar mais de um tipo.
MIMETYPE MIMETYPE
A diretiva SecResponseBodyLimit, permite configurar o tamanho máximo do buffer de resposta. Qualquer coisa acima desse limite, obterá como resposta o código HTTP 500*.
**Essa configuração só tem impacto nos arquivos MIME que forem citados na diretiva anterior
LIMITES_EM_BYTES
A diretiva SecResponseBodyLimitAction, nos permite configurar uma ação, caso tenhamos vários web sites, atras do mod_security e algum desses sites venha a ter um tamanho maior do que o configurado na diretiva anterior. Essa diretiva nos permite configurar o mod_security para ler apenas a primeira parte da resposta, a parte que pode se encaixar no limite que configuramos na diretiva anterior.
A diretiva aceita como parâmetro:
Reject|ProcessPartial
Reject - Rejeita tudo que ultrapassar o valor
ProcessPartial - Processa somente a primeira parte
Filesystem configuration
Nesse bloco temos as diretivas SecTmpDir e SecDataDir, que é onde vamos definir os diretórios para arquivos temporários e arquivos persistentes.
A diretiva SecTmpDir, é o local onde o mod_security vai guardar os arquivos temporários, por padrão a pasta /tmp , vem configurada, caso queira trocar a pasta, é importante dizer que a pasta a ser definida precisa ser configurada com permissão de escrita para o usuário apache. Esse também é o local que o mod_security vai utilizar para o buffer, caso a memoria se esgote.
A diretiva aceita como parâmetro:
CAMINHO_DO_DIRETORIO
A diretiva SecDataDir, é o local onde o mod_security, vai registrar os dados persistentes, como IPs de acesso ou sessões.
A diretiva aceita como parâmetro:
CAMINHO_DO_DIRETORIO
File uploads handling configuration
Nesse bloco vamos encontrar as diretivas, SecUploadDir, SecUploadKeepFiles e SecUploadFileMode. E é onde é feita a configuração do local onde o mod_security vai guardar os arquivos que são interceptados durante o upload.
A diretiva SecUploadDir, vai definir o local onde o mod_security vai armazenar os arquivos interceptados. E interessante que esse diretório possua permissão de acesso somente para o mod_security.
A diretiva aceita como parâmetro:
CAMINHO_DO_DIRETORIO
A diretiva SecUploadKeepFiles, nos permite definir, se vamos manter o arquivo que foi processado ou não. Para que essa diretiva funcione, precisamos que a diretiva SecUploadDir, esteja configurada.
A diretiva aceita como parâmetro:
On|Off|RelevantOnly
On - Mantem todos os arquivos
Off - Não mantem os arquivos
RelevantOnly - Ira manter apenas os arquivos considerados relevantes
A diretiva SecUploadFileMode, nos permite trocar as permissões dos arquivos que são enviados ao nosso servidor, pois, esses arquivos são possuem a permissão octal 0600, como padrão. Caso a gente queira que um terceiro, tenha acesso a esses arquivos, como por exemplo um antivírus, vamos precisar alterar essa diretiva.
A diretiva aceita como parâmetro:
MODO_OCTAL
Debug log configuration
Nesse bloco temos as configurar de Debug Log, que são muito uteis na hora de resolver ou entender algum problema. Aqui temos as diretivas SecDebugLog e SecDebugLogLevel.
A diretiva SecDebugLog, é onde vamos definir o caminho que vamos armazenar esses log de depuração.
A diretiva aceita como parâmetro:
CAMINHO_DO_DIRETORIO
A diretiva SecDebugLogLevel, é o local onde vamos configurar o nível de informação que vamos ter em nosso log de debug. Para um servidor em produção, a recomendação é deixarmos em 3, para evitar a queda de performance e aumento do consumo de disco.
A diretiva aceita como parâmetro:
0|1|2|3|4|5|6|7|8|9
0 - Não registra o log
1 - Apenas os erros(somente das requisições)
2 - Atenção
3 - Informação
Do 1 ao 3, o mod_security gera apenas uma copia dos logs de erro do apache.
4 - Detalhes das transações
5 - Como o 4, porem com informações de cada parte das transações
9 - Vai gerar log de tudo e de forma bem detalhada.
É interessante usarmos o 9, quando nosso servidor esta em modo de homologação, para que possamos fazer alguns ajustes finos.
Audit log configuration
Nessa parte vamos encontrar as diretivas que são responsáveis por fazerem a analise dos nossos logs. O mod_security usa o termo "audit logging", para se referir aos logs de transações que são armazenados em nosso servidor. Esse são os logs que são marcados por alguma regra ou por uma requisição que tenha como resposta um código HTTP 500.
Aqui vamos ter as seguintes diretivas, SecAuditEngine, SecAuditLogRelevantStatus, SecAuditLogParts, SecAuditLogType, SecAuditLog e SecAuditLogStorageDir.
A diretiva SecAuditEngine, é a responsável pelo audit engine, que registra as transações que são completadas. O mod_security não consegue registrar todas as transações de erros, por exemplo os erros 400 e 404, que usam caminhos diferentes e que o mod_security não suporta.
A diretiva aceita como paramentos:
On | Off | RelevantOnly
On - Log de todas as transações
Off - Não vai registrar nada
RelevantOnly - Vai registrar apenas as transações que forem registradas com warning, erro ou com o código HTTP considerado relevante, que podemos configurar na diretiva SecAuditLogRelevantStatus.
- SecAuditEngine RelevantOnly
A diretiva SecAuditLogRelevantStatus, é onde podemos configurar os código HTTP de resposta, que considerarmos relevante, para um proposito de auditoria. Essa diretiva so é usada se a diretiva anterior,SecAuditEngine, for configurada como RelevantOnly.
A diretiva aceita como parâmetro:
REGEX
- SecAuditLogRelevantStatus "^(?:5|4(?!04))"
A diretiva SecAuditLogParts, é a diretiva responsável por definir qual parte da transação, sera registrada para a auditoria. Cada parte da transação, tem uma letra atribuída, que são: A B C D E F G H I J K Z.
A diretiva aceita como parâmetro:
**A TRADUÇÃO DESSES PARÂMETROS, FICOU MEIO ESTRANHA, POR ISSO DEIXEI EM INGLÊS MESMO E TEREMOS UM OU DOIS ARTIGOS, QUE SERÃO ESPECÍFICOS SOBRE LOGGING E NELES VEREMOS ISSO COM MAIS DETALHES.
LETRAS_CITADAS
A - Audit log header (Mandatário).
B - Request headers.
C - Request body (present only if the request body exists and ModSecurity is configured to intercept it).
D - Reserved for intermediary response headers; not implemented yet.
E - Intermediary response body (present only if ModSecurity is configured to intercept response bodies, and if the audit log engine is configured to record it).
F - Final response headers (excluding the Date and Server headers, which are always added by Apache in the late stage of content delivery).
G - Reserved for the actual response body; not implemented yet.
H - Audit log trailer.
I - This part is a replacement for part C. It will log the same data as C in all cases except when multipart/form-data encoding in used. In this case, it will log a fake application/x-www-form-urlencoded body that contains the information about parameters but not about the files. This is handy if you don’t want to have (often large) files stored in your audit logs.
J - This part contains information about the files uploaded using multipart/form-data encoding.
K - This part contains a full list of every rule that matched (one per line) in the order they were matched. The rules are fully qualified and will thus show inherited actions and default operators.
Z - Final boundary, signifies the end of the entry (Mandatário).
- SecAuditLogParts ABCFHZ
A diretiva SecAuditLogType, nessa diretiva definimos o tipo de mecanismo audit logging, que sera usado.
A diretiva aceita como paramentos:
Serial|Concurrent
Serial - Os registros são feitos em um único arquivo, o que foi especificado em SecAuditLog.Para um uso casual, esse é o mais indicado, porem, pode deixar o servidor um pouco lento, já que pode escrever no arquivo a qualquer momento.
Concurrent - É feito o registro de um arquivo para cada transação. É indicado para casos onde se tem várias transações ao mesmo tempo, por que essas transações vão sendo gravadas em paralelo.
- SecAuditLogType Serial
A diretiva SecAuditLog, essa diretiva define o caminho onde o arquivo de audit logging sera armazenado.
A diretiva aceita como parâmetro:
CAMINHO_DO_DIRETORIO
ex. /var/log/mod_security/audit.log
A diretiva SecAuditLogStorageDir, essa diretiva sera usada somente se na configuração do SecAuditLogType, for configurado como Concurrent, pois, aqui vamos definir o caminho para o armazenamento das entradas geradas por essa configuração.
A diretiva aceita como parâmetro:
CAMINHO_DO_DIRETORIO
- /var/log/mod_security/audit/
Miscellaneous
Essa parte do arquivo de configuração, dificilmente terá impacto sobre as configurações acima, mas vamos aborda-las, já que fazem parte das configurações.
Aqui vamos encontrar as diretivas SecArgumentSeparator, SecCookieFormat, SecUnicodeMapFile e SecStatusEngine, mas vamos falar somente de duas.
A diretiva SecCookieFormat, essa diretiva define o formato de cookie que sera usado em um contexto de configuração.
A diretiva aceita como paramentos:
0|1
0(Netscape) - Versão padrão e mais usada. É o valor padrão
1 - Versão 1 dos cookies
A diretiva SecStatusEngine, essa diretiva, se habilitada, vai permitir que o mod_security envie algumas informações para a equipe de desenvolvimento da SpiderLabs.
As informações enviadas são as versões dos seguintes itens:
- Mod_Sec
- Web Server
- APR
- LibXML2
- Lua
- PCRE
*Para maiores informações a respeito desse código, recomendo a leitura da RFC 2616 // http://tools.ietf.org/html/rfc2616
*Recomendo a leitura do livro HTTP: The Definitive Guide // http://www.amazon.com/HTTP-The-Definitive-Guide-Guides/dp/1565925092
**Nesse link podemos encontrar diversos tipos MIMETYPE, http://www.iana.org/assignments/media-types/media-types.xhtml
Nenhum comentário:
Postar um comentário