配置指令
以下章节列出ModSecurity指令的纲要,大部分的ModSecurity指令可以用于Apache带有范围的指令中,如VirtualHost, Location, LocationMatch, Directory等。当然也还有其他的,只能在主配置文件中使用一次。这些信息在下述范围章节中指定,下述的版本指令章节中给出第一个版本可用给定的指令。
这些规则除了核心规则文件之外 ,应当做为一个独立的于httpd.conf之外的配置文件,通过apache的include指定包含在其中。如此可以方便更新或迁移规则,如果你要创建自己的规则,作为核心规则使用,你应该创建一个文件叫modsecurity_crs_15_customrules.conf 当作核心规则放在相同的目录下。使用这个文件名,你的自定义规则会在标准的ModSecurity规则之后被加载,但会在其他规则之前,这可以使得您的规则在您需要实施具体的“允许”规则或纠正任务误报的核规则时得到优先评估,从而使其真正用到你的网站系统上。
注意:
我们鼓励您不要去修改核心规则文件,但你可以把所有的改动(就象SecRuleRemoveByID等)放到自己定义的文件中,这样可以让您很方便的从ModSecurity站点升级新的核心规则文件。
SecAction
描述:无条件执行动作列表中的第一个也是唯一的一个参数,只接受一个参数,其句法规则与SecRule的第三个参数相同
语法:SecAction action1,action2,action3
示例:SecAction nolog,initcol:RESOURCE=%{REQUEST_FILENAME}
阶段:所有
范围:所有
版本:2.0.0
备注:无
SecAction是您想无条件执行一个动作时的最好选择,这是有条件基于对请求/响应数据的检查导致明确的控制产生的一般动作,当你想运行一些特定的动作如initcol来初始化搜集时这是一个很有用的指令。
SecArgumentSeparator
描述:指定的字符做为application/x-www-form-urlencoded内容的分隔符,默认是&,非常少的情况下应用会使用分号(;)。
语法:SecArgumentSeparator character
示例:SecArgumentSeparator ;
阶段:所有
范围:Main
版本:2.0.0
备注:无
这个指令用于后台WEB应用在使用非标准的参数分隔符,如果没有在每一个WEB应用中合理设置这个指令,那么ModSecurity可能无法适当的分析所有的参数,并且规则匹配的效果可能会显著的降低。
SecAuditEngine
描述:配置审计日志引擎的开启与否
语法:SecAuditEngine On|Off|RelevantOnly
示例:SecAuditEngine On
阶段:N/A
范围:任意
版本:2.0.0
备注:在当前事务可以通过ctl操作进行设置或修改
举例:以下例子说明不同的审计指令一起使用
SecAuditEngine RelevantOnly
SecAuditLog logs/audit/audit.log
SecAuditLogParts ABCFHZ
SecAuditLogType concurrent
SecAuditLogStorageDir logs/audit
SecAuditLogRelevantStatus ^(?:5|4\d[^4])
On - 默认情况下记录所有事务的日志
Off - 默认情况下不记录所有事务的日志
RelevantOnly - 默认只记录事务中由warning或error触发的日志,或者记录一些特意考虑过的状态码
SecAuditLog
描述:定义主审计日志文件路径
语法:SecAuditLog /path/to/auditlog
示例:SecAuditLog /usr/local/apache/logs/audit.log
阶段:N/A
范围:Any
版本:2.0.0
备注:伴随服务器运行开时,这个文件会以root打开,你不能为非root权限的用户对这个文件或存储这个文件的目录有可写权限。
如果串行审计日志格式使用后,这个文件将被用作审计日志条目的存储。如果同时审计日志格式使用这个文件那将被当作索引,并包含所有的审计日志文件创建信息。如果你计划使用同时审计日志并发送审计日志数据到远程主机或商业ModSecurity管理平台,那么你需要配置和使用ModSecurity日志搜集器(mlogc)并使用下述格式去得到审计日志。
SecAuditLog "|/path/to/mlogc /path/to/mlogc.conf"
阅读(2836) | 评论(1) | 转发(0) |
