mod_security kiegészítő szabályok

Web, mail, IRC, IM, hálózatok

Üdvözlet!

A múltkori phpMyAdmin-os hír miatt úgy döntöttem hogy az Apache mod_security -t kiegészítem a core rule-okon kívül másokkal is. A GotRoot-on megtaláltam a 30 nappal késleltetett szabályokat, fel is raktam, üzembe is helyeztem. Biztosan jól megy, nem próbáltam szívózni a rendszerrel.. viszont nagyon sokat naplóz, a legegyszerűbb WP cikk lekéréstől a Drupal keresőjén át mindenhez van hozzáfűzni valója...

A lényeg, hogy szerintetek fontosak-e azok a plusz szabályok amiket a GotRoot biztosít?

Köszönöm!

  • 1080 megtekintés

( Nimrud | 2009. 07. 05., v – 10:45 )

Szia!

Nagy forgalmú webszerver esetén igen kényes tud lenni több mod_security-szabály együttes használata, pontosan az általad írt okok miatt. Több éve használjuk a mod_security-t, de csak egy szabállyal: lényegében a PHP-s levélküldő űrlapok robotok általi CC-s és BCC-s SPAM-elését akadályozza meg, sikeresen. Több szabály együttes alkalmazása felejtős volt, mivel olyan szintű felesleges terhelést kapott a szerver. A mod_security persze megfog bizonyos típusú normális kódokat is, de .htaccess-el a júzer felül tudja bírálni, így ez sem gond. Nehéz ügyfél- és kódbarát szabályokat alkalmazni, s eme egyszabályos mod_security mellett tiltva vannak a PHP rendszerfüggvények, illetve pár php.ini-s funkció is a "gyáritól" eltérő beállítást kapott (például: fopen, register_globals = Off), esetleg érdekes lehet a Suhosin PHP-s biztonsági alkalmazás is.

Szóval, tapasztalatból mondom, hogy nagy forgalmú webszerver esetén csak óvatosan a mod_security-val, máskülönben - ha kevés a júzer - lehet próbálkozni. Én nem hagynám ki első körben a rendszerfüggvények tiltását, és a PHP egyéb funkcióinak szigorítását, aztán lehet próbálgatni a többszabályos mod_security-t.

Üdv,
N.