先週末から某サーバー屋さんの大量改ざん事件が話題になっているので、攻撃を可能な限り回避することも大切だなぁと言う事でWAF(Web Application Firewall)を導入してみた。導入したのはオープンソースでApacheのモジュールとして組み込める mod_security にした。サーバーのOSはCentOS6なのでyumでの導入を基本として考えて調査し導入。
残念ながら標準のリポジトリにはなかったので、リポジトリの追加を…
# wget http://ftp-srv2.kddilabs.jp/Linux/distributions/fedora/epel/6/x86_64/epel-release-6-8.noarch.rpm
# rpm -ivh epel-release-6-8.noarch.rpm
# rpm -ivh epel-release-6-8.noarch.rpm
その後、モジュール本体とCRS(ポリシーファイル)を導入。CRSはgithubからも引っ張ってこれるのだが、yumでも導入できるので、そちらを選択。
# yum install mod_security
# yum install mod_security_crs
# yum install mod_security_crs-extras
# yum install mod_security_crs
# yum install mod_security_crs-extras
基本的には、これでOK。あとはhttpdを再起動するだけ。
但し、当然のことながらウェブアプリケーションを通常利用する場合にも引っかかることがあるので、パラメータの調整は必要。それは、ケースバイケースなので、ここには書かない。今回やったのは「明確に攻撃を受けないことが判っているIPアドレス」はIPアドレスごとチェックをパスさせ、そうでない場合はヘッダでクライアント情報を見てパスさせた。
情報は翌朝にlogwatchからのメールで確認するようにした。
コメント