Neste artigo estarei abordando a instalação e configuração do Modsecurity no Slackware.
Sugiro uma boa leitura sobre este módulo no site oficial:
Com apache instalado faça o Download dos Slackbuilds direto no site:
http://slackbuilds.org/repository/13.37/network/modsecurity-apache
Efetue o procedimento normal de instalação dos builds.
Após a configuração, edite o conf do apache em /etc/httpd/httpd.conf adicionando as seguintes linhas:
ServerTokens Prod
Include /etc/httpd/extra/httpd-modsecurity-minimal.conf
Include /etc/httpd/extra/mod_security.conf
Obs Renomiei os confs apenas por questão organização**
Feito isso reinicie o apache com o comando apachectl restart
Agora vamos testar com um simples comando:
lynx -dump -head http://localhost/
root@firewall6:/srv/www/htdocs# lynx -dump -head http://localhost/ HTTP/1.1 403 Forbidden
Date: Fri, 09 Sep 2011 06:21:11 GMT
Server: Apache
Connection: close
Content-Type: text/html; charset=iso-8859-1
Conforme o resultado acima, veja que a saída do comando lynx já recebe um uretorno do tipo "403"
[Fri Sep 09 03:24:10 2011] [error] [client 127.0.0.1] ModSecurity: Access denied with code 403 (phase 2). Pattern match "^[\\\\d.:]+$" at REQUEST_HEADERS:Host. [file "/usr/modsecurity.d/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "97"] [id "960017"] [rev "2.0.10"] [msg "Host header is a numeric IP address"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/IP_HOST"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [tag "http://technet.microsoft.com/en-us/magazine/2005.01.hackerbasher.aspx"] [hostname "127.0.0.1"] [uri "/"] [unique_id "TmmxCn8AAAEAADAeDkAAAAAA"]
Através do Log já podemos ver o trabalho conjunto entre ModSecurity e Apache.
