yzhnet 2025-03-04 10:36 采纳率: 71.4%
浏览 10
已结题

modsecurity自定义规则如何生效

操作系统:全新纯净的-Ubuntu 20.04

安装了modsecurity,访问apache2的默认页面时加参数会403拦截http://1.1.1.1/?exec=/bin/bash%E3%80%82

现在期望自己定义规则,网上的教程都是怎么配置,但是没有指导怎么生效。 想添加任意一条简单的规则如:拦截参数中存在script的URL,比如1.1.1.1?a=script 则拦截

已做工作:

cat /usr/share/modsecurity-crs/activated_rules/my_rules.conf
SecRule REQUEST_METHOD "GET" "phase:1,t:none,deny,status:403,log,msg:'Blocked GET request',id:1000000,severity:2,tag:'BLOCK_GET_REQUESTS'"

cat /etc/apache2/mods-available/security2.conf 
<IfModule security2_module>
        # Default Debian dir for modsecurity's persistent data
        SecDataDir /var/cache/modsecurity

        # Include all the *.conf files in /etc/modsecurity.
        # Keeping your local configuration in that directory
        # will allow for an easy upgrade of THIS file and
        # make your life easier
        #IncludeOptional /etc/modsecurity/*.conf

        #IncludeOptional /etc/modsecurity/*.conf include /usr/share/modsecurity-crs/activated_rules/my_rules.conf
        
        # Include OWASP ModSecurity CRS rules if installed
        IncludeOptional /usr/share/modsecurity-crs/*.load
        IncludeOptional /usr/share/modsecurity-crs/activated_rules/*.conf
</IfModule>

修改完规则每次重启systemctl restart apache2,但是配置后并未生效。如我本次的规则应该是默认拦截GET请求的,直接在URL访问apache2默认地址也不拦截

  • 写回答

3条回答 默认 最新

  • 宝码香车 优质创作者: JavaScript技术领域 2025-03-12 12:42
    关注
    让【宝码香车】来帮你解答,本回答参考DeepSeek编写,并整理提供,如果还有疑问可以点击头像关注私信或评论。
    如果答案让您满意,请采纳、关注,非常感谢!

    在 Ubuntu 20.04 上配置 ModSecurity 自定义规则并使其生效,通常需要以下几个步骤。根据你的描述,你已经完成了一部分工作,但可能有一些细节需要调整。以下是详细的步骤和可能的解决方案:

    1. 确保 ModSecurity 和 CRS 已正确安装

    首先,确保 ModSecurity 和 OWASP Core Rule Set (CRS) 已正确安装并启用。

    sudo apt update
sudo apt install libapache2-mod-security2 modsecurity-crs

    2. 启用 ModSecurity 模块

    确保 ModSecurity 模块已启用:

    sudo a2enmod security2

    3. 配置 ModSecurity

    你已经修改了 /etc/apache2/mods-available/security2.conf 文件,确保其中包含了你的自定义规则文件:

    <IfModule security2_module>
    # Default Debian dir for modsecurity's persistent data
    SecDataDir /var/cache/modsecurity

    # Include all the *.conf files in /etc/modsecurity.
    # Keeping your local configuration in that directory
    # will allow for an easy upgrade of THIS file and
    # make your life easier
    #IncludeOptional /etc/modsecurity/*.conf

    # Include your custom rules
    IncludeOptional /usr/share/modsecurity-crs/activated_rules/my_rules.conf

    # Include OWASP ModSecurity CRS rules if installed
    IncludeOptional /usr/share/modsecurity-crs/*.load
    IncludeOptional /usr/share/modsecurity-crs/activated_rules/*.conf
</IfModule>

    4. 创建自定义规则文件

    确保你的自定义规则文件 /usr/share/modsecurity-crs/activated_rules/my_rules.conf 存在,并且内容正确。例如:

    SecRule ARGS_NAMES "@contains script" "id:1000001,phase:2,deny,status:403,log,msg:'Blocked request with script parameter'"

    这个规则会拦截任何包含 script 参数的请求。

    5. 检查 Apache 配置

    确保 Apache 配置中没有语法错误:

    sudo apachectl configtest

    如果输出 Syntax OK,说明配置没有问题。

    6. 重启 Apache

    重启 Apache 以使配置生效:

    sudo systemctl restart apache2

    7. 测试规则

    访问 http://1.1.1.1/?a=script,应该会被拦截并返回 403 状态码。

    8. 检查日志

    如果规则没有生效,检查 Apache 的错误日志和 ModSecurity 的审计日志,以获取更多信息:

    sudo tail -f /var/log/apache2/error.log
sudo tail -f /var/log/apache2/modsec_audit.log

    9. 确保规则引擎已启用

    确保 ModSecurity 的规则引擎已启用。你可以在 /etc/modsecurity/modsecurity.conf 中检查以下配置:

    SecRuleEngine On

    10. 确保规则文件被正确加载

    确保你的自定义规则文件被正确加载。你可以在 Apache 的配置中添加一些调试信息,或者在规则文件中添加一些日志规则来确认规则是否被加载。

    总结

    通过以上步骤,你应该能够成功配置并启用自定义的 ModSecurity 规则。如果仍然遇到问题,建议逐步检查每个步骤,确保配置正确无误。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(2条)

报告相同问题?

  • Apache服务器上ModSecurity核心规则集的部署与配置
    2025-07-18 17:45
    李多田的博客 在信息技术不断进步和网络攻击日益复杂的今天,Web应用...ModSecurity的核心规则集(CRS)是一组已经定义好的安全规则,这些规则能够帮助ModSecurity识别潜在的恶意流量。CRS持续更新,以覆盖最新的网络安全威胁。
  • 云计算】大规模公有云组网
    2025-07-08 08:11
    flyair_China的博客 ​存储跨中心同步​: # Ceph跨中心CRUSH规则 ceph osd crush rule create-replicated dc1-dc2-rule default host datacenter ​网络互联​: ​主链路​:2x100Gbps DWDM光传输() ​备份链路​:IPSec VPN over ...
  • 云原生网关如何实现安全防护能力
    2023-07-12 16:12
    阿里云云栖号的博客 - 用户自定义的 waf 防护规则,语法规则可参考 ModSecurity 中文手册[2] 配置示例如下: 1. 启用默认配置,进行拦截 useCRS: true 2. 启用默认配置,仅观测,不拦截 useCRS: true secRules: - "SecRuleEngine ...
  • 【网络安全】病毒木马等用的常用函数和理论
    2025-12-10 15:51
    flyair_China的博客 内部威胁 DLP引擎 ContentInspect(data, policy) 数据内容, DLP策略 违规检测 正则/ML 关键字+指纹 数据防泄露 ContextAnalysis(meta, content) 元数据, 内容 风险评级 关联规则 元数据关联 智能分类 加密流量 TLS_...
  • AI系统安全加固:架构师如何防范SQL注入攻击
    2025-07-28 15:55
    AI云原生与云计算技术学院的博客 数据预处理层:对原始数据清洗时,若过滤规则不全(如只过滤单引号,没过滤双引号),恶意代码可能"幸存"; 模型训练/推理层:为了获取训练数据,代码可能拼接SQL(如"SELECT特征 FROM 表 WHERE 用户ID=‘{input}’...
  • linux 101个问答(持续更新)
    2025-08-27 19:00
    运维成长记的博客 他们可能需要了解云计算、容器化、⾃动化部署等新兴技术。 5. 团队协作 :运维⼯程师通常需要与开发团队、⽹络团队和安全团队等其他部⻔紧密合作。有效的团队协作对于解决问题和实现项⽬⾄关重要。 6. 突发事件处理 ...
  • 大型网站技术架构-《大型网站技术架构:核心原理与案例分析》读书笔记
    2019-10-21 16:26
    xiaolidan00的博客 Memcached:被大量网站使用 简单的通信协议:Memcached使用TCP协议(UDP也支持)通信,其序列号协议则是一套基于文本的自定义协议,非常简单,一个命令关键词开头,后面是一组命令操作数。 丰富的客户端程序:只要...
  • 打造一款可靠的WAF(Web应用防火墙)
    2018-07-26 12:03
    younger_z的博客   之前写了一篇《WAF防御能力评测及工具》,是站在安全运维人员选型WAF产品的角度来考虑的(优先从测试...本篇文章从WAF产品研发的角度来YY如何实现一款可靠的WAF,灵感来自ModSecurity等,感谢开源。 本片文...
  • WAF简介
    2019-04-07 14:41
    weixin_33898876的博客 随着云计算技术的快速发展,使得其于云的WAF实现成为可能。国内创新工场旗下的安全宝、360的网站宝是这类WAF的典型代表。它的优点是快速部署、零维护、成本低。对于中、小型的企业和个人站长是很有吸引力的。 2、...
  • WAF攻防实战
    2018-10-12 13:54
    weixin_30549657的博客 自定义一个阻断页面,当WAF检测到攻击时,会将该页面返回给用户,可参考如下内容: <title>Error 403 Request Denied <h2>Error 403 Request Denied For some reasons, your request has been ...
  • 没有解决我的问题, 去提问

问题事件

  • 系统已结题 3月22日
  • 已采纳回答 3月14日
  • 创建了问题 3月4日