MODSECURITY - Empfehlungen?

[Ralph]

Ich hatte bisher auf einem anderen Panel für apache modsecurity-crs (coreruleset-3.3.2) verwendet (Panel, Roundcube, PMA lief über nginx ohne mod-sec).

Ich schätze bei Keyhelp müssen vermutlich excludes (SecRuleEngine Off) fürs Panel. Roundcube, PMA, Filemanager gesetzt werden - richtig?

Welches ruleset würdet ihr empfehlen - ist das von Comodo komatibler und ist dieses Projekt und die rules noch aktuell?
https://modsecurity.comodo.com/

[Ralph]

scheint alles zu kappen, in der CRS whitelist:

Code: Select all

# Keyhelp
<Directory /home/keyhelp/www/keyhelp>
  SecRuleEngine Off
</Directory>

<Directory /home/keyhelp/www/db-administration>
  SecRuleEngine Off
</Directory>

<Directory /home/keyhelp/www/webmail>
  SecRuleEngine Off
</Directory>

### edit ###
"komatibler" ist ja mal ein geiler Tippfehler

[Juergen]

Hallo Ralph, kannst du mir bitte sagen wo ich die Befehle
für das Whitelisting von Keyhelp einfügen muss oder muss dafür
eine neue Datei erstellt werden.
Schön wäre eine Vorlage.
Im Voraus, vielen Dank - Juergen

[Ralph]

Hallo Ralph, kannst du mir bitte sagen wo ich die Befehle
für das Whitelisting von Keyhelp einfügen muss oder muss dafür
eine neue Datei erstellt werden.

Kommt darauf an welches ruleset verwendet wird und wo die rules liegen ...
Ich verwende coreruleset-3.3.5 (github) und habe den Ordner unter /etc/apache2 liegen

Code: Select all

/etc/apache2/modsecurity-crs/coreruleset-3.3.5/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf

Code: Select all

cat /etc/apache2/mods-enabled/security2.conf

Standard ist vermutlich unter /etc/modsecurity/ suche nach "*-EXCLUSION-RULES-BEFORE" .conf im rules folder.

muss aber nicht zwingend da rein ... sollte nur eine Datei sein die unter dem include path liegt ...

[Juergen]

Vielen Dank Ralph, werde das am Wochenende mal testen
und mich ggfl. noch einmal melden.
Übrigens ich nutze auch das Corerulset. VG

[Tobi7889]

Wir nutzen die kostenpflichtige ModSec von AtomiCorp und bis auf wenige Anpassungen ist das richtig gut

[Juergen]

Hallo Ralph, nochmals vielen Dank für den Tip.
Die Erkennung funktioniert gut aber kannst du mir auch noch einen Tip
geben, vielleicht anhand eines Beispiels, wie ich das ganze in Fail2ban einbinde
damit die gefunden IPs auch gesperrt werden.
Nochmals vielen Dank vorab.

Juergen

[Juergen]

Hallo Ralph, kannst du mir bitte sagen wo ich die Befehle
für das Whitelisting von Keyhelp einfügen muss oder muss dafür
eine neue Datei erstellt werden.

Kommt darauf an welches ruleset verwendet wird und wo die rules liegen ...
Ich verwende coreruleset-3.3.5 (github) und habe den Ordner unter /etc/apache2 liegen

Code: Select all

/etc/apache2/modsecurity-crs/coreruleset-3.3.5/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf

Code: Select all

cat /etc/apache2/mods-enabled/security2.conf

Standard ist vermutlich unter /etc/modsecurity/ suche nach "*-EXCLUSION-RULES-BEFORE" .conf im rules folder.

muss aber nicht zwingend da rein ... sollte nur eine Datei sein die unter dem include path liegt ...

Hallo Ralph, nochmals vielen Dank für den Tip.
Die Erkennung funktioniert gut aber kannst du mir auch noch einen Tip
geben, vielleicht anhand eines Beispiels, wie ich das ganze in Fail2ban einbinde
damit die gefunden IPs auch gesperrt werden.
Es weden absolut keine IPs von Modsecurity gesperrt.
Nochmals vielen Dank vorab.

Juergen

[Ralph]

Ich verwende modsecurity nicht mit fail2ban und kann daher keine Empfehlungen abgeben

[Juergen]

Ich verwende modsecurity nicht mit fail2ban und kann daher keine Empfehlungen abgeben

Vielen Dank.