[Fwd: Re: Probleme avec ModSecurity]

Le
Jean-Paul Lacharme
Finalement, j'ai trouvé une procédure pas trop ancienne dédiée à
Squeeze. Ca marche.
Ma question devient : les règles sont ici limitées aux *.conf. Il n'y a
plus les fichiers *.data qui posaient problème.
As-tu les *.data dans ta configuration ?

JP



Ce que j'ai fait :
--
FAQ Apache mod-security installation on Debian 6.0 (squeeze)
http://www.faqforge.com/linux/apache-mod-security-installation-on-debian-6-0-squeeze/
Bien on repart du apt-get install mod-security
et on suit la FAQ

mkdir /etc/apache2/mod-security
chmod 600 /etc/apache2/mod-security
dans /tmp
cd /tmp
wget
http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz
tar fvx modsecurity-core-rules_2.5-1.6.1.tar.gz
mv *.conf /etc/apache2/mod-security/
ln -s /var/log/apache2 /etc/apache2/logs
vi /etc/apache2/conf.d/mod-security.conf
Include /etc/apache2/mod-security/*.conf
vi /etc/apache2/mod-security/modsecurity_crs_10_config.conf
decommente
SecDefaultAction
“phase:2,log,deny,status:403,t:lowercase,t:replaceNulls,t:compressWhitespace”
/etc/init.d/apache2 reload
surveiller ensuite
tail -f /var/log/apache2/modsec_audit.log

il n'y a pas d'erreur mais on ne fait plus appel à des fichiers *.data
--







-- Message transféré --
De: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
À: debian-user-french@lists.debian.org
Sujet: Re: Probleme avec ModSecurity
Date: Fri, 3 Feb 2012 23:34:11 +0100

Bonjour,


Le jeudi 02 février 2012, Jean-Paul Lacharme a écrit


> pose problème et je ne vois pas la différence avec les autres fois.
> Ce libapache-mod-security est la version 2.5.12-1 de squeeze. Autrefois
> il fallait pêcher le paquet sur le site d'origine. Là, on le charge avec
> un simple apt-get install et on fait confiance.
> J'ai fini par mettre les règles
> /usr/share/doc/mod-security-common/examples/rules/*
> sous /etc/apache2 (et non sous /etc/apache2/conf.d) avec l'include qui
> va bien dans apache2.conf
> a2enmod mod-security
> OK
> il y a un /etc/apache2/mods-available/mod-security.load
> dont la première instruction pointe sur
> /usr/lib/apache2/modules/mod_security2.so ..
> pourquoi mod-security2.so et non mod-security.so : est-ce le problème ?

Perso, j'ai mod-security2.so

> ln -s des {activated-rules} sur les {base-rules}
> mais quand on teste la syntaxe d'apache avec un apache2ctl configtest,
> rien ne va plus :

> Quelqu'un ail une idée ?

J'ai mis les règles dans /etc/apache2/conf.d/modsecurity pour les règles
*config.conf, et dans le sous dossier rules/ pour les autres.

J'ai du modifier le apache2.conf pour inclure les fichiers
conf.d/*.conf, pour ne pas être embêté avec modsecurity dedans.

Je ne réponds pas vraiment à ta question, mais ma conf fonctionne !
Si tu veux t'y essayer ?

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120203223411.GM923@espinasse



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1328514563.3621.7.camel@p0064.vcharite.univ-mrs.fr
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Michel OLTRA
Le #24223791
Bonjour,


Le lundi 06 février 2012, Jean-Paul Lacharme a écrit...


Finalement, j'ai trouvé une procédure pas trop ancienne dédiée à
Squeeze. Ca marche.
Ma question devient : les règles sont ici limitées aux *.conf. Il n'y a
plus les fichiers *.data qui posaient problème.
As-tu les *.data dans ta configuration ?



Les .data sont inclus (en fait les règles y font référence), via une
directive @pmFromFile dans les fichiers .conf
Si tu fais un grep de FromFile, tu verras quels sont les fichiers .conf
qui incluent quels fichiers en .data

Ces fichiers sont donc nécessaires, mais pas directement inclus dans la
conf d'apache (enfin, chez moi).

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Paul Lacharme
Le #24223901
Merci. Je pense avoir résolu le problème :

(1) les règles de la FAQ (9 fichiers conf) extraites par le wget
http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz
datent du 23/04/2008. Pas vraiment la dernière mouture !
elle ne contiennent aucun lien à un fichier data

(2) les règles du package debian squeeze récupérées via la procédure
canonique sont stockées dans
/usr/share/doc/mod-security-common/examples/rules/*
et doivent être copiées quelque part sous /etc/apache2
les base-rules comportent 19 fichiers .conf et 9 fichier .data qui
datent de février 2010
effectivement, il y a bien un appel aux .data dans les .conf par une
directive @pmFromFile qui n'existe pas dans la version ancienne.

j'ai remplace les règles (1) par les règles (2) sans rien changer au
reste et ça marche. Méthode directe sans passer par des liens
d'activated_rules vers les base_rules ..


Bonne journée


JPL




Le lundi 06 février 2012 à 09:07 +0100, Jean-Michel OLTRA a écrit :
Bonjour,


Le lundi 06 février 2012, Jean-Paul Lacharme a écrit...


> Finalement, j'ai trouvé une procédure pas trop ancienne dédiée à
> Squeeze. Ca marche.
> Ma question devient : les règles sont ici limitées aux *.conf. Il n'y a
> plus les fichiers *.data qui posaient problème.
> As-tu les *.data dans ta configuration ?

Les .data sont inclus (en fait les règles y font référence), via une
directive @pmFromFile dans les fichiers .conf
Si tu fais un grep de FromFile, tu verras quels sont les fichiers .conf
qui incluent quels fichiers en .data

Ces fichiers sont donc nécessaires, mais pas directement inclus dans la
conf d'apache (enfin, chez moi).

--
jm





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme