2015年08月13日

WAFを導入する(その1)・・・まずは、定番の mod_security on CentOS6.5

WAF導入の話があるため、
先走って、ホスト型WAFの定番 mod_securityを
使ってみます。

○環境
OS:CentOS6.5 on VMware Player

# rpm -qa | grep httpd
httpd-tools-2.2.15-39.el6.centos.x86_64
httpd-2.2.15-39.el6.centos.x86_64
httpd-devel-2.2.15-39.el6.centos.x86_64

#rpm -qa | grep mod_security
mod_security-2.7.3-3.el6.x86_64
mod_security_crs-2.2.6-3.el6.noarch


●インストール
yum --enablerepo=epel install mod_security mod_security_crs

●ルールのディレクトリ
/etc/httpd/modsecurity.d/activated_rules

●設定ファイル
/etc/httpd/conf.d/mod_security.conf

9行目付近
###### Include modsecurity.d/activated_rules/*.conf
Include modsecurity.d/activated_rules/modsecurity_crs_41_xss_attacks.conf
Include modsecurity.d/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf


# service httpd restart


○参考サイト
1.Webセキュリティの小部屋
 オープンソースの WAF である ModSecurity を CentOS にインストールする
http://www.websec-room.com/2013/11/17/1019


2.オープンソースWAF「ModSecurity」導入事例〜 IPA はこう考えた 〜
https://www.ipa.go.jp/files/000024357.pdf#search='WAF+%E3%82%AA%E3%83%BC%E3%83%97%E3%83%B3%E3%82%BD%E3%83%BC%E3%82%B9'


◎基本がわかる安全設計のWebシステム :2,700円
基本がわかる安全設計のWebシステム -
基本がわかる安全設計のWebシステム -


◎体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 :3,456円
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 -
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 -


◎おうちで学べるセキュリティのきほん :2,376円
おうちで学べるセキュリティのきほん -
おうちで学べるセキュリティのきほん -
posted by アンドレアス at 22:03| Comment(0) | TrackBack(0) | セキュリティを意識したコマンド | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック