mod_security en Fedora Core HOWTO

 

	mod_security es un módulo para apache que permite por medio de algunas reglas predefinidas, basadas en expresiones regulares proteger
tu sitio web, de algunos ataques comúnes y de usuarios maliciosos, el por si solo no hace nada, las reglas que definimos para mod_security
son las que ayudarán a la protección y dependiendo de que tan buenas sean, será efectivo o no. 

	Cabe destacar, que tampoco es el único método de protección, existen varios y ninguno es mejor o peor que otro, de hecho estos se pueden
 mezclar en armonía, pero la gran mayoría se basan en una buena configuración del demonio httpd y sus componentes.

	Todo el procedimiento, se realizo en una máquina ( propiedad de tatica ) con Fedora Core versión 6 instalado, con la versión de apache:

 httpd-2.2.3-5

• Primero revisamos si tenemos mod_security de apache instalado en nuestro sistema:

 Ingresamos al directorio donde el demonio httpd ( apache ) en Fedora Core almacena los archivos de configuración extras:
 
[[email protected] ~]# cd /etc/httpd/conf.d/ 

• Listamos los archivos del directorio en busca de un archivo que se llama "mod_security.con"

 [[email protected] conf.d]# ls 

 manual.conf perl.conf php.conf proxy_ajp.conf README ssl.conf tatica.conf webalizer.conf welcome.conf


No se ve por ningún lado...
 

• Verificamos más a fondo a ver si tenemos el paquete instalado:

 [[email protected] conf.d]# rpm -qa | grep mod_security

 Y no, da respuesta, por lo que se concluye que no esta instalado y hay que instalarlo... para poder seguir.



 [[email protected] conf.d]# yum install mod_security

• Revisamos de nuevo el directorio de los archivos de configuración extras de apache:

 
[[email protected] conf.d]# ls
 manual.conf mod_security.conf perl.conf php.conf proxy_ajp.conf README ssl.conf tatica.conf webalizer.conf welcome.conf




*Notese el archivo mod_security.conf

Este archivo trae ya una configuración, básica, pero suficiente para algunos, nosotros vamos a configurarlo con mejores reglas y no
vamos a usar las que vienen por defecto

• Vamos a usar las reglas que se consiguen en este site:

 http://www.gotroot.com/tiki-index.php?page=Setup+of+mod_security


 En el sitio sitio dicen como instalar estas reglas, pero esta en ingles, nosotros nos limitaremos a usar la misma configuración de como
 la explican allí.

• Creamos el directorio /etc/modsecurity
  

[[email protected] conf.d]# mkdir /etc/modsecurity
y entramos en el:


[[email protected] conf.d]# cd /etc/modsecurity

• Volvemos a la web, que la debemos tener abierta en nuestro browser y vamos a la parte de download de las reglas:

 http://www.gotroot.com/tiki-index.php?page=mod_security+rules 

 	Y vamos a ir bajando una a una de las que estan especificadas en el archivo, con wget al directorio /etc/modsecurity ( de todos los archivos
son las que dicen que son para apache 2.x que es la versión actual de apache en Fedora Core )


Primero bajamos el exclude.conf

 
[[email protected] modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/exclude.conf

Luego el rules.conf


[[email protected] modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/rules.conf

Luego el blacklist, que es ideal para prevenir el spam en comentariosde nuestro site
 
[[email protected] modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/blacklist.conf

Luego el blacklist2, para prevenir conexiones de proxys no co9nfiables y visitantes maliciosos:


 [[email protected] modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/blacklist2.conf

Luego el useragents.conf, para evitar, malware , clientes maliciosos, bugs conocidos:

 [[email protected] modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/useragents.conf

Luego el rootkits.conf, el nombre lo dice, para evitar rootkits y algunos hackeos:

 [[email protected] modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/rootkits.conf

El proxy.conf, no lo descargamos, comentamos la linea de archivo que hace referencia a el.

Y por último el apache2-rules.conf, que contiene algunas reglas especiales para apache2


 [[email protected] modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/apache2-rules.conf

Ahora vamos y editamos el archivo de configuración del modúlo mod_security:


 [[email protected] modsecurity]# vi /etc/httpd/conf.d/mod_security.conf

El archivo debe quedar como el de acá, solo copy/paste, el texto siguiente:


# Example configuration file for the mod_security Apache module
LoadFile /usr/lib/libxml2.so.2
LoadModule security2_module modules/mod_security2.so
#LoadModule unique_id_module modules/mod_unique_id.so
#<IfModule mod_security2.c>
# This is the ModSecurity Core Rules Set.
# Basic configuration goes in here
# Include modsecurity.d/modsecurity_crs_10_config.conf
# Protocol violation and anomalies.
# These are disabled as there's a bug in REQUEST_FILENAME handling
# causing the "+" character to be incorrectly handled.
# Include modsecurity.d/modsecurity_crs_20_protocol_violations.conf
# Include modsecurity.d/modsecurity_crs_21_protocol_anomalies.conf
# HTTP policy rules
# Include modsecurity.d/modsecurity_crs_30_http_policy.conf
# Here comes the Bad Stuff...
# Include modsecurity.d/modsecurity_crs_35_bad_robots.conf
# Include modsecurity.d/modsecurity_crs_40_generic_attacks.conf
# Include modsecurity.d/modsecurity_crs_45_trojans.conf
# Include modsecurity.d/modsecurity_crs_50_outbound.conf
# Search engines and other crawlers. Only useful if you want to track
# Google / Yahoo et. al.
# Include modsecurity.d/modsecurity_crs_55_marketing.conf
# Put your local rules in here.
# The existing example is for the CVE-2007-1359 vulnerability
# Include modsecurity.d/modsecurity_localrules.conf
#</IfModule>
<IfModule mod_security.c>
# Only inspect dynamic requests
# (YOU MUST TEST TO MAKE SURE IT WORKS AS EXPECTED)
#SecFilterEngine DynamicOnly
SecFilterEngine On
# Reject requests with status 500
SecFilterDefaultAction "deny,log,status:500"
# Some sane defaults
SecFilterScanPOST On
SecFilterCheckURLEncoding On
SecFilterCheckCookieFormat On
SecFilterCheckUnicodeEncoding Off
SecFilterNormalizeCookies On
# enable version 1 (RFC 2965) cookies
SecFilterCookieFormat 1
SecServerResponseToken Off
#If you want to scan the output, uncomment these
SecFilterScanOutput On
SecFilterOutputMimeTypes "(null) text/html text/plain"
# Accept almost all byte values
SecFilterForceByteRange 1 255
# Server masking is optional
#fake server banner - NOYB used - no one needs to know what we are using
SecServerSignature "NOYB"
#SecUploadDir /tmp
#SecUploadKeepFiles Off
# Only record the interesting stuff
SecAuditEngine RelevantOnly
SecAuditLog logs/audit_log
# You normally won't need debug logging
SecFilterDebugLevel 0
SecFilterDebugLog logs/modsec_debug_log
#And now, the rules
#Remove any of these Include lines you do not use or have rules for.
#First, add in your exclusion rules:
#These MUST come first!
Include /etc/modsecurity/exclude.conf
#Application protection rules
Include /etc/modsecurity/rules.conf
#Comment spam rules
Include /etc/modsecurity/blacklist.conf
#Bad hosts, bad proxies and other bad players
Include /etc/modsecurity/blacklist2.conf
#Bad clients, known bogus useragents and other signs of malware
Include /etc/modsecurity/useragents.conf
#Known bad software, rootkits and other malware
Include /etc/modsecurity/rootkits.conf
#Signatures to prevent proxying through your server #only rule these rules if your server is NOT a proxy
#Include /etc/modsecurity/proxy.conf
#Additional rules for Apache 2.x ONLY! Do not add this line if you use Apache 1.x
Include /etc/modsecurity/apache2-rules.conf
</IfModule>




	Ya con esto esta todo prácticamente listo, solo hace falta reiniciar el apache y cruzar los dedos para que no de ningun error :D
y ya tienes tu mod_security instalado, configurado y con unas buenas reglas, solo te falta probar que todo en tu sitio funcione,
correctamente, prueba enviando comentarios y otras cosas del sitio, como los urls


	Si deseas editar las reglas por ti mismo, revisa los archivos de las reglas que estan en /etc/modsecurity, casi todas están basadas
en expresiones regulares, puedes editar algunas que se refieren a proteger CMS, como php-nuke y si no lo usas, no tienes por que
tenerlas cargadas, ya que no, hacen falta.


	Esto no garantiza que estes protegido contra todos los males del internet, pero al menos ayuda en algo, debes estar pendiente en el
el sitio de donde bajamos las reglas por los updates para actualizar nuestros archivos de reglas.


Espero te sirva de ayuda, cualquier comentario o corrección es bienvenida a nuestros correos eléctronicos.

• Direcciones útiles:

1. http://www.modsecurity.org/documentation/index.html  ( documentación en ingles de mod_security ).
2. http://www.gotroot.com/tiki-index.php?page=Setup+of+mod_security ( tutorial de referencia que se uso para este, pero en ingles ).
3. http://www.gotroot.com/tiki-index.php?page=mod_security+rules ( página de descarga de las reglas de gotroot ).

• Copyleft: