És ez jó Nginx-hez is?
Ez, amit írtam (mármint az előre lefordított modul), nem :).
A mod_security eredetileg Apache-hoz készült, ezt a modult pár évvel ezelőtt megpróbálták Nginx-re is portolni, nem túl sok sikerrel. Úgy tudom, most a Microsoft vette "támogatása alá" a projektet. Pár éve kipróbáltam, az egész Nginx-et újra kell fordítani (sajnos ez Nginx "feature"), a modul fordítása meglehetősen körülményes, az eredmény pedig messze elmarad az Apache-nál definiált funkcióktól.
Közben pár éve elkezdték a libmodsecurity3 fejlesztését, ami - ahogy a neve is mutatja - egy WAF library, ami mod_security kompatibilis próbál lenni. Ehhez a libhez konnektorokon keresztül kapcsolódhatnak az egyes alkalmazások. Teljes értékű és stabil támogatása jelenleg csak az Nginx-nek van, ami elérhető (van HAProxy-hoz is, de az fizetős, ill LiteSpeed-hez is, ennek van opensource kiadása).
Sajnos itt is él az előző állítás: ha kell a konnektor (Nginx modul), az egészet újra kell fordítanod. A Debian-nak nincs hivatalos konnektor modulja (az Nginx karbantartót képtelenség elérni). Ha nem parázól, ezt a repository-t használhatod: modsecurity.digitalwave.hu. Amúgy az Nginx egy-az-egyben a Denian-ban (vagy Ubuntuban) levő csomag újrafordítva, csak a konnektor van hozzáadva. Minden más az aktuális master branch a Github-ról. A többi Debian/Ubuntu csomagot is részben én csinálom (mármint ami a Debianban/Ubuntuban van) :).
Szerk: a libmodsecurity3-at én nem használnám, ha nem muszáj, vagy nagyon megnézném, hová teszem. Elég sok a bug benne, nagyrészt tervezési hibák. A régi, Apache-hoz írt mod_security2-vel nem teljesen kompatibilis: sok funkció hiányzik, de van, ami ebben benne van, és nincs benne a régiben. Viszont a régi (az Apache-hoz írt) elég stabil, ez a CRS referencia rendszere.