Hallo,
ich ziehe gerade meinen alten vServer von Debian Squeeze nach Wheezy um. Hat alles soweit geklappt und läuft ordentlich.
Den Webserver wollte ich genauso mit modsecurity absichern. In Squeeze habe ich die Regeln manuell runter geladen, integriert, ein paar Tage beobachtet, ein paar Regeln angepasst oder raus geschmissen und dann lief die Kiste.
Diesmal in Wheezy habe ich die Regeln aus der Distribution genommen, habe aber nun seltsame Fehlermeldungen, die ich (trotz Google) nicht in den Griff bekomme. Bin nach dieser Anleitung vorgegangen:
http://www.linuxquestions.org/questi...ebian-7-35569/
Es läuft eigentlich nur Wordpress und mybb auf dem Webserver und einige html Sachen.
Probleme:
1. runAV ist wohl nicht verfügbar:
2. DBM File hat Probleme:
3. Limits werden erreicht
Habe hierzu Hinweise im Netz, dass man modsecurity und apache neu kompilieren müsste. Sowas kommt für mich auf keinen Fall in Frage!
4. Ich habe extrem viele False-Positivs! Ich bin seit Tagen damit beschäftigt Rules heraus zu nehmen. Bei meiner älteren Konfiguration waren das eine Hand voll Regeln. Jetzt habe ich eine extrem umfangreiche whitelist und trau mich trotzdem nicht das Ding scharf zu schalten, da ich befürchte, dass es dann zu Problemen kommt.
Provisorisch habe ich jetzt meine uralte Konfiguration aus Squeeze hergenommen und testweise laufenlassen. ==> Keine der oben genannten Probleme tritt auf. Würde aber doch gerne auf die neuen Rules umsteigen der Distribution umsteigen.
Hat da jemand Ideen zu den einzelnen Problemen, die auftauchen?
Gruß
hafgan
ich ziehe gerade meinen alten vServer von Debian Squeeze nach Wheezy um. Hat alles soweit geklappt und läuft ordentlich.
Den Webserver wollte ich genauso mit modsecurity absichern. In Squeeze habe ich die Regeln manuell runter geladen, integriert, ein paar Tage beobachtet, ein paar Regeln angepasst oder raus geschmissen und dann lief die Kiste.
Diesmal in Wheezy habe ich die Regeln aus der Distribution genommen, habe aber nun seltsame Fehlermeldungen, die ich (trotz Google) nicht in den Griff bekomme. Bin nach dieser Anleitung vorgegangen:
http://www.linuxquestions.org/questi...ebian-7-35569/
Es läuft eigentlich nur Wordpress und mybb auf dem Webserver und einige html Sachen.
Probleme:
1. runAV ist wohl nicht verfügbar:
Zitat:
|
[Mon Nov 25 22:08:10 2013] [error] [client 1.2.3.4] ModSecurity: Exec: Execution failed while reading output: /bin/runAV (End of file found) [hostname "domain.de"] [uri "/newreply.php"] [unique_id "UpO8OlfmDQ4AAG7Dq-wAAABA"] [Mon Nov 25 22:08:10 2013] [error] [client 1.2.3.4] ModSecurity: Rule processing failed. [hostname "domain.de"] [uri "/newreply.php"] [unique_id "UpO8OlfmDQ4AAG7Dq-wAAABA"] /bin/sh: 1: /bin/runAV: not found |
Zitat:
|
[Mon Nov 25 21:59:35 2013] [error] [client 1.2.3.4] ModSecurity: Failed to write to DBM file "/tmp/global": Invalid argument [hostname "abc.de"] [uri "/wp-comments-post.php"] [unique_id "UpO6NlfmDQ4AAG7DqpkAAABE"] |
Zitat:
|
/tmp# ls -alF total 2316 drwxrwxrwt 6 root root 4096 Nov 26 10:22 ./ drwxr-xr-x 23 root root 4096 Nov 26 01:09 ../ -rw-r----- 1 www-data www-data 0 Nov 23 10:18 default_USER.dir -rw-r----- 1 www-data www-data 0 Nov 23 10:18 default_USER.pag -rw-rw-rw- 1 www-data www-data 0 Nov 23 10:15 global.dir -rw-rw-rw- 1 www-data www-data 1024 Nov 25 23:17 global.pag -rw-rw-rw- 1 www-data www-data 4096 Nov 25 22:00 ip.dir |
Zitat:
|
[Mon Nov 25 21:59:34 2013] [error] [client 178.77.73.150] ModSecurity: Rule 7ffc69783428 [id "950018"][file "/etc/modsecurity/modsecurity_crs_40_generic_attacks.conf"][line "81"] - Execution error - PCRE limits exceeded (-8): (null). [hostname "domain.de"] [uri "/wp-comments-post.php"] [unique_id "UpO6NlfmDQ4AAG7DqpkAAABE"] |
4. Ich habe extrem viele False-Positivs! Ich bin seit Tagen damit beschäftigt Rules heraus zu nehmen. Bei meiner älteren Konfiguration waren das eine Hand voll Regeln. Jetzt habe ich eine extrem umfangreiche whitelist und trau mich trotzdem nicht das Ding scharf zu schalten, da ich befürchte, dass es dann zu Problemen kommt.
Provisorisch habe ich jetzt meine uralte Konfiguration aus Squeeze hergenommen und testweise laufenlassen. ==> Keine der oben genannten Probleme tritt auf. Würde aber doch gerne auf die neuen Rules umsteigen der Distribution umsteigen.
Hat da jemand Ideen zu den einzelnen Problemen, die auftauchen?
Gruß
hafgan