一、Modsecurity规则语法示例

SecRule是ModSecurity主要的指令，用于创建安全规则。其基本语法如下：

SecRule VARIABLES OPERATOR [ACTIONS]

• VARIABLES

  代表HTTP包中的标识项，规定了安全规则针对的对象。常见的变量包括：ARGS（所有请求参数）、FILES（所有文件名称）等。

• OPERATOR

  代表操作符，一般用来定义安全规则的匹配条件。常见的操作符包括：@rx(正则表达式）、@streq(字符串相同）、@ipmatch(IP相同）等。

• ACTIONS

  代表响应动作，一般用来定义数据包被规则命中后的响应动作。常见的动作包括：deny（数据包被拒绝）、pass(允许数据包通过）、id（定义规则的编号）、severity(定义事件严重程度）等。

值得注意的是，如需获取更加深入的语法，请参考官方手册。由于本实验中涉及到了自定义安全规则，故将其中涉及到的三条规则做详细说明，如下：

规则1：防XSS攻击

SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:001,msg: 'XSS Attack',severity:ERROR,deny,status:404"

• VARIABLES

  ARGS：所有请求参数；REQUEST_HEADERS：请求数据头部。

• OPERATOR

  @rx <script>：如果正则匹配字符串"<script>"成功，则规则执行。

• ACTIONS

  id:001规定该条规则编号为001；msg: 'XSS Attack'代表记录信息为：XSS Attack；severity:ERROR表示严重程度为ERROR；deny表示拒绝所有请求包；status:404表示服务器响应状态编号为404。

  说明：严重程度分为8级： EMERGENCY (0)、ALERT (1)、CRITICAL (2)、ERROR (3)、WARNING (4)、NOTICE (5)、INFO (6) 、DEBUG (7)

该规则表明：所有请求参数中包含字符串"<script>"的HTTP包均会被服务器拦截并记录。

规则2：设置白名单

SecRule REMOTE_ADDR "@ipmatch 192.168.1.9" "id:002,phase:1,t:none,

nolog,pass,ctl:ruleEngine=off"

• VARIABLES

  REMOTE_ADDR：远程主机IP

• OPERATOR

  @ipmatch 192.168.1.9：如果请求主机IP地址为192.168.1.9，则规则执行。

• ACTIONS

  id:002规定该条规则编号为002；phase:1表示规则执行的范围为请求头部；t:none表示VARIABLES的值不需要转换（t代表transform）；nolog代表不记录日志；pass代表继续下一条规则；ctl:ruleEngine=off代表关闭拦截模式，所有规则失效。

  说明：phase编号规定如下：Request Headers (1), Request Body (2), Response Headers (3), Response Body (4) and Logging (5).

该规则表明：对于主机192.168.1.9发送的HTTP包，服务器关闭拦截模式，允许所有包通过。

规则3：chain规则

SecRule ARGS:username "@streq admin" chain,deny，id:003

SecRule REMOTE_ADDR "!streq 192.168.1.9"

• VARIABLES

  ARGS:username所有表示请求参数中的用户名信息。

• OPERATOR

  @streq admin表示用户名等于字符串"admin"，则执行ACTIONS。

• ACTIONS

  id:003规定该条规则编号为003；chain表示用户名等于admin的情况下，必须完成第二行规则的匹配（远程主机IP不是192.168.1.9），才能执行下一个动作；deny表示所有请求包被拒绝。

该规则表明：所有主机名为admin，但对应主机IP地址不是192.168.1.9的请求包均会被服务器拒绝。也就意味着只有某一台主机可以用admin用户登录（一般情况是系统管理员的主机），大大提高了系统安全性。

二、一键安装LAMP环境

1. 执行命令apt-get update。
2. 执行命令apt-get install lamp-server^。
   1. 在安装过程中会跳出Mysql数据库root用户密码设置窗口，按要求输入密码：123，按Tab键选择"Ok"，按回车进入下一步，如下图所示：

   

3. 重复输入密码：123，按Tab键选中"Ok",按回车继续安装，如下图所示：

   

4. 打开浏览器，在地址栏输入：http://localhost，可以验证apache2安装成功，如下图所：

5.输入命令mysql -u root -p ,成功进入mysql窗口，mysql安装成功。

三、安装modsecurity

1. 安装libapache2-modsecurity模块及其依赖包，输入：

   $ apt-get install libxml2 libxml2-dev libxml2-utils libapache2-modsecurity

2. 查询ModSecurity版本号，验证安装是否成功，输入：

   $ dpkg -s libapache2-modsecurity | grep Version

   注意：看清Version的大小写。

3. 重启Apache服务，输入：

   $ service apache2 reload

4. 配置modsecurity，启用拦截模式，输入：

   $ cd /etc/modsecurity

   $ mv modsecurity.conf-recommended modsecurity.conf

   $ vim modsecurity.conf

   上述操作将安装包中的推荐配置文件改名为标准的配置文件名，并启用Vim编辑器编辑该配置文件。

5. 编辑modsecurity.conf，将"SecRuleEngine DetectionOnly"改为"SecRuleEngine On"，保存并退出。如下图所示：

   

   上述操作将开启安全规则引擎，即启用拦截模式，过滤HTTP流量。

四、配置自定义规则

1. 进入文件夹activated_rules，将启动文件关联到此文件夹中，采用软链接的方式，输入：

   $ cd /usr/share/modsecurity-crs/activated_rules

   $ ln -s ../modsecurity_crs_10_setup.conf ./modsecurity_crs_10_setup.conf

   $ tree

   

2. 执行命令vim MY.conf，创建自己的规则文件MY.conf。写入防XSS规则（编号001）如下：

   SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:003,msg: 'XSS Attack',severity:ERROR,deny,status:404"

   

3. 设置配置文件security2.conf，输入：

   $ vim /etc/apache2/mods-available/security2.conf

4. 在该文件中添加：IncludeOptional /usr/share/modsecurity-crs/activated_rules/*.conf，如下图所示：

   

5. 重启apache服务，输入：

   $ service apache2 reload

五、验证防护效果

1. 登录主机"hacker"，进入攻击者模式。在浏览器地址栏输入：http://localhost/ ?q=<script> alert(1)</script>。实验结果如下图所示：

   

2. 执行命令vim /var/log/apache2/modsec_audit.log，查看WAF拦截日志，如下图所示：

   

   由上图可知，从本地主机发出的GET请求被规则文件MY.conf中的001号规则准确命中，消息中包含的恶意代码被拦截。