Finalement, j'ai trouvé une procédure pas trop ancienne dédiée à
Squeeze. Ca marche.
Ma question devient : les règles sont ici limitées aux *.conf. Il n'y a
plus les fichiers *.data qui posaient problème.
As-tu les *.data dans ta configuration ?
JP
Ce que j'ai fait :
--------------------------------------------------------
FAQ Apache mod-security installation on Debian 6.0 (squeeze)
http://www.faqforge.com/linux/apache-mod-security-installation-on-debian-6-0-squeeze/
Bien ... on repart du apt-get install mod-security
et on suit la FAQ
mkdir /etc/apache2/mod-security
chmod 600 /etc/apache2/mod-security
dans /tmp
cd /tmp
wget
http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz
tar fvx modsecurity-core-rules_2.5-1.6.1.tar.gz
mv *.conf /etc/apache2/mod-security/
ln -s /var/log/apache2 /etc/apache2/logs
vi /etc/apache2/conf.d/mod-security.conf
Include /etc/apache2/mod-security/*.conf
vi /etc/apache2/mod-security/modsecurity_crs_10_config.conf
decommente
SecDefaultAction
“phase:2,log,deny,status:403,t:lowercase,t:replaceNulls,t:compressWhitespace”
/etc/init.d/apache2 reload
surveiller ensuite
tail -f /var/log/apache2/modsec_audit.log
...
il n'y a pas d'erreur mais on ne fait plus appel à des fichiers *.data
--------------------------------------------------------------
-------- Message transféré --------
De: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
À: debian-user-french@lists.debian.org
Sujet: Re: Probleme avec ModSecurity
Date: Fri, 3 Feb 2012 23:34:11 +0100
Bonjour,
Le jeudi 02 février 2012, Jean-Paul Lacharme a écrit...
> pose problème et je ne vois pas la différence avec les autres fois.
> Ce libapache-mod-security est la version 2.5.12-1 de squeeze. Autrefois
> il fallait pêcher le paquet sur le site d'origine. Là, on le charge avec
> un simple apt-get install et on fait confiance.
> J'ai fini par mettre les règles
> /usr/share/doc/mod-security-common/examples/rules/*
> sous /etc/apache2 (et non sous /etc/apache2/conf.d) avec l'include qui
> va bien dans apache2.conf
> a2enmod mod-security
> OK
> il y a un /etc/apache2/mods-available/mod-security.load
> dont la première instruction pointe sur
> /usr/lib/apache2/modules/mod_security2.so ..
> pourquoi mod-security2.so et non mod-security.so : est-ce le problème ?
Perso, j'ai mod-security2.so
> ln -s des {activated-rules} sur les {base-rules}
> mais quand on teste la syntaxe d'apache avec un apache2ctl configtest,
> rien ne va plus :
> Quelqu'un a---il une idée ?
J'ai mis les règles dans /etc/apache2/conf.d/modsecurity pour les règles
*config.conf, et dans le sous dossier rules/ pour les autres.
J'ai du modifier le apache2.conf pour inclure les fichiers
conf.d/*.conf, pour ne pas être embêté avec modsecurity dedans.
Je ne réponds pas vraiment à ta question, mais ma conf fonctionne !
Si tu veux t'y essayer ?
--
jm
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120203223411.GM923@espinasse
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1328514563.3621.7.camel@p0064.vcharite.univ-mrs.fr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Michel OLTRA
Bonjour,
Le lundi 06 février 2012, Jean-Paul Lacharme a écrit...
Finalement, j'ai trouvé une procédure pas trop ancienne dédiée à Squeeze. Ca marche. Ma question devient : les règles sont ici limitées aux *.conf. Il n'y a plus les fichiers *.data qui posaient problème. As-tu les *.data dans ta configuration ?
Les .data sont inclus (en fait les règles y font référence), via une directive @pmFromFile dans les fichiers .conf Si tu fais un grep de FromFile, tu verras quels sont les fichiers .conf qui incluent quels fichiers en .data
Ces fichiers sont donc nécessaires, mais pas directement inclus dans la conf d'apache (enfin, chez moi).
-- jm
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Bonjour,
Le lundi 06 février 2012, Jean-Paul Lacharme a écrit...
Finalement, j'ai trouvé une procédure pas trop ancienne dédiée à
Squeeze. Ca marche.
Ma question devient : les règles sont ici limitées aux *.conf. Il n'y a
plus les fichiers *.data qui posaient problème.
As-tu les *.data dans ta configuration ?
Les .data sont inclus (en fait les règles y font référence), via une
directive @pmFromFile dans les fichiers .conf
Si tu fais un grep de FromFile, tu verras quels sont les fichiers .conf
qui incluent quels fichiers en .data
Ces fichiers sont donc nécessaires, mais pas directement inclus dans la
conf d'apache (enfin, chez moi).
--
jm
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120206080745.GA16654@espinasse
Le lundi 06 février 2012, Jean-Paul Lacharme a écrit...
Finalement, j'ai trouvé une procédure pas trop ancienne dédiée à Squeeze. Ca marche. Ma question devient : les règles sont ici limitées aux *.conf. Il n'y a plus les fichiers *.data qui posaient problème. As-tu les *.data dans ta configuration ?
Les .data sont inclus (en fait les règles y font référence), via une directive @pmFromFile dans les fichiers .conf Si tu fais un grep de FromFile, tu verras quels sont les fichiers .conf qui incluent quels fichiers en .data
Ces fichiers sont donc nécessaires, mais pas directement inclus dans la conf d'apache (enfin, chez moi).
-- jm
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Jean-Paul Lacharme
Merci. Je pense avoir résolu le problème :
(1) les règles de la FAQ (9 fichiers conf) extraites par le wget http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz datent du 23/04/2008. Pas vraiment la dernière mouture ! elle ne contiennent aucun lien à un fichier data
(2) les règles du package debian squeeze récupérées via la procédure canonique sont stockées dans /usr/share/doc/mod-security-common/examples/rules/* et doivent être copiées quelque part sous /etc/apache2 les base-rules comportent 19 fichiers .conf et 9 fichier .data qui datent de février 2010 effectivement, il y a bien un appel aux .data dans les .conf par une directive @pmFromFile qui n'existe pas dans la version ancienne.
j'ai remplace les règles (1) par les règles (2) sans rien changer au reste et ça marche. Méthode directe sans passer par des liens d'activated_rules vers les base_rules ..
Bonne journée
JPL
Le lundi 06 février 2012 à 09:07 +0100, Jean-Michel OLTRA a écrit :
Bonjour,
Le lundi 06 février 2012, Jean-Paul Lacharme a écrit...
> Finalement, j'ai trouvé une procédure pas trop ancienne dédiée à > Squeeze. Ca marche. > Ma question devient : les règles sont ici limitées aux *.conf. Il n'y a > plus les fichiers *.data qui posaient problème. > As-tu les *.data dans ta configuration ?
Les .data sont inclus (en fait les règles y font référence), via une directive @pmFromFile dans les fichiers .conf Si tu fais un grep de FromFile, tu verras quels sont les fichiers .conf qui incluent quels fichiers en .data
Ces fichiers sont donc nécessaires, mais pas directement inclus dans la conf d'apache (enfin, chez moi).
-- jm
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Merci. Je pense avoir résolu le problème :
(1) les règles de la FAQ (9 fichiers conf) extraites par le wget
http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz
datent du 23/04/2008. Pas vraiment la dernière mouture !
elle ne contiennent aucun lien à un fichier data
(2) les règles du package debian squeeze récupérées via la procédure
canonique sont stockées dans
/usr/share/doc/mod-security-common/examples/rules/*
et doivent être copiées quelque part sous /etc/apache2
les base-rules comportent 19 fichiers .conf et 9 fichier .data qui
datent de février 2010
effectivement, il y a bien un appel aux .data dans les .conf par une
directive @pmFromFile qui n'existe pas dans la version ancienne.
j'ai remplace les règles (1) par les règles (2) sans rien changer au
reste et ça marche. Méthode directe sans passer par des liens
d'activated_rules vers les base_rules ..
Bonne journée
JPL
Le lundi 06 février 2012 à 09:07 +0100, Jean-Michel OLTRA a écrit :
Bonjour,
Le lundi 06 février 2012, Jean-Paul Lacharme a écrit...
> Finalement, j'ai trouvé une procédure pas trop ancienne dédiée à
> Squeeze. Ca marche.
> Ma question devient : les règles sont ici limitées aux *.conf. Il n'y a
> plus les fichiers *.data qui posaient problème.
> As-tu les *.data dans ta configuration ?
Les .data sont inclus (en fait les règles y font référence), via une
directive @pmFromFile dans les fichiers .conf
Si tu fais un grep de FromFile, tu verras quels sont les fichiers .conf
qui incluent quels fichiers en .data
Ces fichiers sont donc nécessaires, mais pas directement inclus dans la
conf d'apache (enfin, chez moi).
--
jm
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1328518909.3621.40.camel@p0064.vcharite.univ-mrs.fr
(1) les règles de la FAQ (9 fichiers conf) extraites par le wget http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz datent du 23/04/2008. Pas vraiment la dernière mouture ! elle ne contiennent aucun lien à un fichier data
(2) les règles du package debian squeeze récupérées via la procédure canonique sont stockées dans /usr/share/doc/mod-security-common/examples/rules/* et doivent être copiées quelque part sous /etc/apache2 les base-rules comportent 19 fichiers .conf et 9 fichier .data qui datent de février 2010 effectivement, il y a bien un appel aux .data dans les .conf par une directive @pmFromFile qui n'existe pas dans la version ancienne.
j'ai remplace les règles (1) par les règles (2) sans rien changer au reste et ça marche. Méthode directe sans passer par des liens d'activated_rules vers les base_rules ..
Bonne journée
JPL
Le lundi 06 février 2012 à 09:07 +0100, Jean-Michel OLTRA a écrit :
Bonjour,
Le lundi 06 février 2012, Jean-Paul Lacharme a écrit...
> Finalement, j'ai trouvé une procédure pas trop ancienne dédiée à > Squeeze. Ca marche. > Ma question devient : les règles sont ici limitées aux *.conf. Il n'y a > plus les fichiers *.data qui posaient problème. > As-tu les *.data dans ta configuration ?
Les .data sont inclus (en fait les règles y font référence), via une directive @pmFromFile dans les fichiers .conf Si tu fais un grep de FromFile, tu verras quels sont les fichiers .conf qui incluent quels fichiers en .data
Ces fichiers sont donc nécessaires, mais pas directement inclus dans la conf d'apache (enfin, chez moi).
-- jm
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
