OSS版のWAFを導入してみます。
事前にapacheをインストールしてください。
インストール
以下のパッケージをインストールします。
すべてbaseリポジトリでインストールできます。
- mod_security
- mod_security_crs
- mod_security-mlogc
# yum install -y mod_security mod_security_crs mod_security-mlogc
初期設定
初期設定を行います。
デフォルトの設定だと、誤遮断が多く発生するため、いったん攻撃を検知しても遮断せずに、ログ出力するように変更します。
# cp -p /etc/httpd/conf.d/mod_security.conf /etc/httpd/conf.d/mod_security.conf.org # vi /etc/httpd/conf.d/mod_security.conf # Default recommended configuration # SecRuleEngine On ←コメントアウト SecRuleEngine DetectionOnly ←追記(攻撃を検知した場合、遮断せず、検知内容をログに出力する設定)
ModSecurityのデフォルトのログの出力先は mod_security.confで定義されています。
デフォルトの定義は、以下の通りです。
# less /etc/httpd/conf.d/mod_security.conf SecAuditLog /var/log/httpd/modsec_audit.log
modsec_audit.logを見る事で、どのようなアクセスが検知されたかを確認する事ができます。
# less /var/log/httpd/modsec_audit.log
ログは非常に見づらいので、AuditConsoleなどのビューアーを導入することをお勧めします