一、Modsecurity规则语法示例
SecRule是ModSecurity主要的指令,用于创建安全规则。其基本语法如下:
SecRule VARIABLES OPERATOR [ACTIONS]
-
VARIABLES
代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等。
-
OPERATOR
代表操作符,一般用来定义安全规则的匹配条件。常见的操作符包括:@rx(正则表达式)、@streq(字符串相同)、@ipmatch(IP相同)等。
-
ACTIONS
代表响应动作,一般用来定义数据包被规则命中后的响应动作。常见的动作包括:deny(数据包被拒绝)、pass(允许数据包通过)、id(定义规则的编号)、severity(定义事件严重程度)等。
值得注意的是,如需获取更加深入的语法,请参考官方手册。由于本实验中涉及到了自定义安全规则,故将其中涉及到的三条规则做详细说明,如下:
规则1:防XSS攻击
SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:001,msg: 'XSS Attack',severity:ERROR,deny,status:404"
-
VARIABLES
ARGS:所有请求参数;REQUEST_HEADERS:请求数据头部。
-
OPERATOR
@rx <script>:如果正则匹配字符串"<script>"成功,则规则执行。
-
ACTIONS
id:001规定该条规则编号为001;msg: 'XSS Attack'代表记录信息为:XSS Attack;severity:ERROR表示严重程度为ERROR;deny表示拒绝所有请求包;status:404表示服务器响应状态编号为404。
说明:严重程度分为8级: EMERGENCY (0)、ALERT (1)、CRITICAL (2)、ERROR (3)、WARNING (4)、NOTICE (5)、INFO (6) 、DEBUG (7)
该规则表明:所有请求参数中包含字符串"<script>"的HTTP包均会被服务器拦截并记录。
规则2:设置白名单
SecRule REMOTE_ADDR "@ipmatch 192.168.1.9" "id:002,phase:1,t:none,
nolog,pass,ctl:ruleEngine=off"
-
VARIABLES
REMOTE_ADDR:远程主机IP
-
OPERATOR
@ipmatch 192.168.1.9:如果请求主机IP地址为192.168.1.9,则规则执行。
-
ACTIONS
id:002规定该条规则编号为002;phase:1表示规则执行的范围为请求头部;t:none表示VARIABLES的值不需要转换(t代表transform);nolog代表不记录日志;pass代表继续下一条规则;ctl:ruleEngine=off代表关闭拦截模式,所有规则失效。
说明:phase编号规定如下:Request Headers (1), Request Body (2), Response Headers (3), Response Body (4) and Logging (5).
该规则表明:对于主机192.168.1.9发送的HTTP包,服务器关闭拦截模式,允许所有包通过。
规则3:chain规则
SecRule ARGS:username "@streq admin" chain,deny,id:003
SecRule REMOTE_ADDR "!streq 192.168.1.9"
-
VARIABLES
ARGS:username所有表示请求参数中的用户名信息。
-
OPERATOR
@streq admin表示用户名等于字符串"admin",则执行ACTIONS。
-
ACTIONS
id:003规定该条规则编号为003;chain表示用户名等于admin的情况下,必须完成第二行规则的匹配(远程主机IP不是192.168.1.9),才能执行下一个动作;deny表示所有请求包被拒绝。
该规则表明:所有主机名为admin,但对应主机IP地址不是192.168.1.9的请求包均会被服务器拒绝。也就意味着只有某一台主机可以用admin用户登录(一般情况是系统管理员的主机),大大提高了系统安全性。
二、一键安装LAMP环境
- 执行命令apt-get update。
-
执行命令apt-get install lamp-server^。
- 在安装过程中会跳出Mysql数据库root用户密码设置窗口,按要求输入密码:123,按Tab键选择"Ok",按回车进入下一步,如下图所示:
-
重复输入密码:123,按Tab键选中"Ok",按回车继续安装,如下图所示:
- 打开浏览器,在地址栏输入:http://localhost,可以验证apache2安装成功,如下图所:
5.输入命令mysql -u root -p ,成功进入mysql窗口,mysql安装成功。
三、安装modsecurity
-
安装libapache2-modsecurity模块及其依赖包,输入:
$ apt-get install libxml2 libxml2-dev libxml2-utils libapache2-modsecurity
-
查询ModSecurity版本号,验证安装是否成功,输入:
$ dpkg -s libapache2-modsecurity | grep Version
注意:看清Version的大小写。
-
重启Apache服务,输入:
$ service apache2 reload
-
配置modsecurity,启用拦截模式,输入:
$ cd /etc/modsecurity
$ mv modsecurity.conf-recommended modsecurity.conf
$ vim modsecurity.conf
上述操作将安装包中的推荐配置文件改名为标准的配置文件名,并启用Vim编辑器编辑该配置文件。
-
编辑modsecurity.conf,将"SecRuleEngine DetectionOnly"改为"SecRuleEngine On",保存并退出。如下图所示:
上述操作将开启安全规则引擎,即启用拦截模式,过滤HTTP流量。
四、配置自定义规则
-
进入文件夹activated_rules,将启动文件关联到此文件夹中,采用软链接的方式,输入:
$ cd /usr/share/modsecurity-crs/activated_rules
$ ln -s ../modsecurity_crs_10_setup.conf ./modsecurity_crs_10_setup.conf
$ tree
-
执行命令vim MY.conf,创建自己的规则文件MY.conf。写入防XSS规则(编号001)如下:
SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:003,msg: 'XSS Attack',severity:ERROR,deny,status:404"
-
设置配置文件security2.conf,输入:
$ vim /etc/apache2/mods-available/security2.conf
-
在该文件中添加:IncludeOptional /usr/share/modsecurity-crs/activated_rules/*.conf,如下图所示:
-
重启apache服务,输入:
$ service apache2 reload
五、验证防护效果
-
登录主机"hacker",进入攻击者模式。在浏览器地址栏输入:http://localhost/ ?q=<script> alert(1)</script>。实验结果如下图所示:
-
执行命令vim /var/log/apache2/modsec_audit.log,查看WAF拦截日志,如下图所示:
由上图可知,从本地主机发出的GET请求被规则文件MY.conf中的001号规则准确命中,消息中包含的恶意代码被拦截。