Mod-Securityの検出ルールをカスタマイズ

CRSを使用してMod-Securityをインストールしましたが、OWASPルールによってクライアントがブロックされました。
デフォルト設定では、正規表現が "select"のようなSQL文を含む文字列と一致する場合、リクエストをブロックします。

■■ 以下の2つの方法は作成できません
ModSecurityの検出ルールをカスタマイズする
特定の検出ルールを無効化する

よろしくお願い申し上げます;

2019/03/27 22:02

タイトルと質問内容が矛盾しているのですが、もう少し具体的になにがしたいかを記載していただけないでしょうか？

退会済みユーザー

2019/03/28 09:45

Mod-Securityでカスタムルールを作成する方法教えてください.

2019/03/28 09:48

> ■■ 以下の2つの方法は作成できません > ModSecurityの検出ルールをカスタマイズする > 特定の検出ルールを無効化するというのは、どのような意味ですか？

退会済みユーザー

2019/03/28 10:03

"Default ModSecurityの検出ルールでまだ不十分ですので, 望ましいセキュリティモデルを達成するために適切な規則を実装する " という意味です

行動規範の内容に同意します

回答1件

ルールのカスタマイズ方法を簡単に書くと　ブロックされると /var/log/httpd/modsec_audit.log にログが記録されるので、ログから除外したいルール ID を見つけて、設定ファイルに追加します。

パッケージからインストールしたのであれば、設定ファイルが /etc/httpd/modsecurity.d/activated_rules/ や /etc/httpd/modsecurity.d/local_rules/ にあると思うので、

適当な名前 ( 例えば、local-001.conf ) でルールファイル作成して、下記のような除外ルール

SecRuleRemoveById  ルールのID

を追加して、除外設定をします。(反映させるには apache の再起動が必要です。)

いろいろ細かく指定できるので、詳しくは、マニュアル Reference Manual (v2.x)
を参照してください。

投稿2019/03/28 10:19

総合スコア25171

退会済みユーザー

2019/03/28 21:49

どうもありがとうございました. 具体的にどんなファイルのどこに追加するんでしょうか？

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

まだベストアンサーが選ばれていません

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問