Modsecurity és un firewall d’aplicacions web que permet protegir y detectar atacs al servidor

Funciona com a módul del servidor web Apache i la seva instal·lació no és massa complicada, en canvi la creació de regles o modificació de les que venen per defecte si que comporten una certa dificultat.

Descarregar l’última versió de modsecurity , també podem baixar-lo des de els repositoris de debian però sempre serà una versió més antiga.

Instal·lar els paquets necessaris, poden variar depenent de la distribució i versió.

apt-get install libxml2 libxml2-dev liblua5.1-0 liblua5.1-0-dev gcc g++ apache2  apache2-prefork-dev  libpcre3 apxs curl

Una vegada instal·lats tots els paquets requerits activem el mòdul unique_id

a2enmod unique_id

Anem al directori on hem descarregat modsecurity i el descomprimim

tar -xvzf modsecurity-apache_2.5.12.tar.gz

Entrem al directori apache de modsecurity i executem les següents comandes

cd modsecurity/apache2
./configure
make
comprovem amb make test
make install

Si no hi hagut cap error ens sortirà que s’ha instal·lat mod_security2.so a
/usr/lib/apache2/modules

Entrem a la part final de la instal·lació editant el fitxer de configuració d’apache

nano /etc/apache2/apache2.conf

i afegim les següents línies al final del fitxer

LoadFile /usr/lib/libxml2.so
LoadFile /usr/lib/liblua5.1.so
LoadModule security2_module  /usr/lib/apache2/modules/mod_security2.so
include /etc/apache2/modsecurity/*.conf
include /etc/apache2/modsecurity/base_rules/*.conf

Ara li hem dit que vagi a buscar arxius de configuració a /etc/apache2/modsecurity per no existeix per tant creem la carpeta i afegim les regles de modsecurity, aprofitem també per crear el directori on guardarem el logs.

Crear el directori modsecurity dins de apache2 i crear també directori modsecurity dins /var/log

mkdir -p /etc/apache2/modsecurity
mkdir -p /var/log/modsecurity

Copiar les regles a /etc/apache2/modsecurity, aquestes regles les trobarem al directori on em descomprimit el modsecurity.

cd modsecurity-apache_2.5.12
cd rules
cp * /etc/apache2/modsecurity -R

Modificar modsecurity_crs_10_config.conf

cd /etc/apache2/modsecurity
nano modsecurity_crs_10_config.conf

Afegir les següents línies per tal d’enviar els logs al directori que em creat.

SecAuditLog     /var/log/modsecurity/audit.log
SecDebugLog     /var/log/modsecurity/debug.log

Reiniciar Apache

/etc/init.d/apache restart

Ja tenim modsecurity funcionant i guardant els logs de tots els intents d’atacs. A la següent part veurem com veure aquest logs d’una manera més amigable i configurar avisos.