ModSecurity: Rule -- Basic

1. RULE引擎开关

SecRuleEngine

  • Description:SecRule引擎开关
  • Scope: Any
  • Syntax: SecRuleEngine On|Off|DetectionOnly
    • On|Off|DetectionOnly
      • On
      • Off: 默认关闭
      • DetectionOnly:只检测,不防护
SecRuleEngine DetectionOnly

2. 添加RULE

SecRule

  • Description: 添加一个rule
  • Scope: Any
  • Syntax: SecRule VARIABLES OPERATOR [ACTIONS]
    • VARIABLES:Where to look, 检查位置;
    • OPERATOR:How to look, 对VARIABLES所取的内容进行匹配
    • ACTIONS:What should Mod_Security do, 当匹配成功后,应该做什么,比如 记log、阻断等等。没有指定action则用default action。
SecRule ARGS "@rx attack" "phase:1,log,deny,id:1"

SecRuleScript

  • Description: 调用Lua脚本进行匹配
  • Scope: Any
  • Syntax:SecRuleScript DIR ACTIONS
    • DIR: lua脚本
    • ACTIONS
SecRuleScript "/path/to/file.lua" "block"

SecAction

  • Description:配置强制action
  • Scope: Any
  • Syntax: SecAction "action1,action2,action3,..." 
SecAction nolog,phase:1,initcol:RESOURCE=%{REQUEST_FILENAME}

SecDefaultAction

  • Description: 配置default action
  • Scope: Any
  • Syntax: SecDefaultAction "action1,action2,action3"
    • Action list: 默认配置为"phase:2,log,auditlog,pass"
SecDefaultAction "phase:1,log,auditlog,pass"

3. Disable RULE

SecRuleRemoveById

  • Description:Disable指定ID的RULE,该命令必须在指定ID的RULE后面
  • Scope: Any
  • Syntax: SecRuleRemoveById ID ID RANGE ... 
SecRuleRemoveByID 1 2 "9000-9010"

SecRuleRemoveByMsg

  • Description:Disable匹配message的RULE,该命令必须在匹配message的RULE后面
  • Scope: Any
  • Syntax: SecRuleRemoveByMsg REGEX 
SecRuleRemoveByMsg "FAIL"

SecRuleRemoveByTag

  • Description:Disable匹配tag的RULE,该命令必须在匹配tag的RULE后面
  • Scope: Any
  • Syntax: SecRuleRemoveByTag REGEX 
 SecRuleRemoveByTag "WEB_ATTACK/XSS"

4. Update RULE

SecRuleUpdateActionById

  • Description:Update匹配ID的RULE的ACTIONS
    • 不能改写rule ID和phase
    • 一条rule中只允许配置一个的action:改写
    • 一条rule中允许配置多个的action:添加
  • Scope: Any
  • Syntax: SecRuleUpdateActionById RULEID[:offset] ACTIONLIST
    • RULEID[:offset]
    • Action list
SecRuleUpdateActionById 12345 "deny,status:403"

SecRuleUpdateTargetById

  • Description:更新VARIABLE
  • Scope:Any
  • Syntax: SecRuleUpdateTargetById RULEID TARGET1[,TARGET2,TARGET3] REPLACED_TARGET
    • RULEID
    • 新添加的target list
    • 被替换的target
#添加target
SecRuleUpdateTargetById 12345 "!ARGS:foo"

#替换指定target
SecRuleUpdateTargetById 958895 REQUEST_URI REQUEST_FILENAME

SecRuleUpdateTargetByMsg

  • Description:更新VARIABLE
  • Scope: Any
  • Syntax: SecRuleUpdateTargetByMsg TEXT TARGET1[,TARGET2,TARGET3] REPLACED_TARGET
    • TEXT: message
    • 新添加的target list
    • 被替换的target

SecRuleUpdateTargetByTag

  • Description:更新VARIABLE
  • Scope: Any
  • Syntax: SecRuleUpdateTargetByTag TEXT TARGET1[,TARGET2,TARGET3] REPLACED_TARGET
    • TEXT: tag
    • 新添加的target list
    • 被替换的target

5. 远程RULE

SecRemoteRules

  • Description:加载远程RULE
  • Scope: Any
  • Syntax: SecRemoteRules [crypto] key https://url
    • [crypto] :只支持TLS
    • key:Remote server 根据key发送RULE
    • https://url: 远程服务器上的RULE文件
SecRemoteRules some-key https://www.yourserver.com/plain-text-rules.txt

SecRemoteRulesFailAction

  • Description:远程RULE加载失败后的action,改名了也影响@ipMatchFromFile从远程服务器检索远程文件。
  • Scope:Any
  • Syntax: SecRemoteRulesFailAction Abort|Warn
    • Abort|Warn:默认配置为Abord

6. RULE继承

SecRuleInheritance

  • Description:是否开启从父RULE继承
  • Scope:Any
  • Syntax: SecRuleInheritance On|Off
    • On|Off:默认开启

7. RULE跳转

SecMarker

  • Description:创建一个marker,与skipAfter联合使用
  • Scope: Any
  • Syntax: SecMarker ID|TEXT
SecMarker BEGIN_HOST_CHECK

        SecRule &REQUEST_HEADERS:Host "@eq 0" \
                "skipAfter:END_HOST_CHECK,phase:2,rev:'2.1.1',t:none,block,msg:'Request Missing a Host Header',id:'960008',tag:'PROTOCOL_VIOLATION/MISSING_HEADER_HOST',tag:'WASCTC/WASC-21',tag:'OWASP_TOP_10/A7',tag:'PCI/6.5.10',severity:'5',setvar:'tx.msg=%{rule.msg}',setvar:tx.anomaly_score=+%{tx.notice_anomaly_score},setvar:tx.protocol_violation_score=+%{tx.notice_anomaly_score},setvar:tx.%{rule.id}-PROTOCOL_VIOLATION/MISSING_HEADER-%{matched_var_name}=%{matched_var}"
        SecRule REQUEST_HEADERS:Host "^$" \
                "phase:2,rev:'2.1.1',t:none,block,msg:'Request Missing a Host Header',id:'960008',tag:'PROTOCOL_VIOLATION/MISSING_HEADER_HOST',tag:'WASCTC/WASC-21',tag:'OWASP_TOP_10/A7',tag:'PCI/6.5.10',severity:'5',setvar:'tx.msg=%{rule.msg}',setvar:tx.anomaly_score=+%{tx.notice_anomaly_score},setvar:tx.protocol_violation_score=+%{tx.notice_anomaly_score},setvar:tx.%{rule.id}-PROTOCOL_VIOLATION/MISSING_HEADER-%{matched_var_name}=%{matched_var}"

SecMarker END_HOST_CHECK

8. 规则集签名

SecComponentSignature

  • Description:规则集签名,该签名将被记录在audit log中
  • Scope: Main
  • Syntax: SecComponentSignature "COMPONENT_NAME/X.Y.Z (COMMENT)"

9. 性能调试

SecRulePerfTime

  • Description:设置一条RULE执行做需要的时间阈值,超过该阈值的RULE将被记录在audit log Part H;用于性能调优。
  • Scope: Any
  • Syntax: SecRulePerfTime USECS

10. 正则表达式相关配置

SecPcreMatchLimit

  • Description: 设置 PCRE 库中的匹配限制。
  • Scope: Main, not allowed inside VirtualHosts.
  • Syntax: SecPcreMatchLimit value
    • Default: 1500

SecPcreMatchLimitRecursion

  • Description: 设置 PCRE 库中的递归匹配限制。
  • Scope: Main,not allowed inside VirtualHosts.
  • Syntax: SecPcreMatchLimitRecursion value
    • Default: 1500

11. 多web应用分离

SecWebAppId

  • Description: 创建application namespace, 允许单独的持久会话和用户存储。当在同一台服务器上部署多个应用程序时, 应用程序命名空间用于避免会话 id 和用户 id 之间的冲突。如果未使用, 则可能会发生会话 id 之间的冲突。application namespace也被记录在审核日志中 (使用WebApp-Info header的log H 部分)。

  • Scope: Any, 与VirtualHost配合使用

  • Syntax: SecWebAppId "NAME"

<VirtualHost *:80> 
ServerName app1.example.com 
SecWebAppId "App1" ...
</virtualhost>

<VirtualHost *:80> 
ServerName app2.example.com 
SecWebAppId "App2" ...
</virtualhost>

12. Others

SecChrootDir

  • Description: 配置web server process的工作目录。
  • Scope: Main,不支持VirtualHost
  • Syntax: SecChrootDir /path/to/chroot/dir

SecCollectionTimeout seconds

  • Description: Specifies the collections timeout. Default is 3600 seconds.
  • Scope: Any
  • Syntax: SecCollectionTimeout seconds

SecInterceptOnError

  • Description: 配置在rule处理失败时如何响应。
  • Scope: Main
  • Syntax: SecInterceptOnError On|Off
    • On: 不再执行同一phase中的其他rule,不执行拦截
    • Off: 跳过当前执行失败的rule,继续向下执行

SecCacheTransformations

  • Description: 控制转换的缓存, 这可能加快复杂规则集的处理速度。Version: < v2.5.6
  • Scope: Any
  • Syntax: SecCacheTransformations On|Off [options]
    • On: 缓存变换, (per transaction, per phase) 允许相同的变换只执行一次。
    • Off: 不缓存
    • incremental:on|off: Enabling this option will cache every transformation instead of just the final transformation. The default is off.
    • maxitems:N: Do not allow more than N transformations to be cached. Cache will be disabled once this number is reached. A zero value is interpreted as unlimited. This option may be useful to limit caching for a form with a large number of variables. The default value is 512.
    • minlen:N: Do not cache the transformation if the variable’s length is less than N bytes. The default setting is 32.
    • maxlen:N: Do not cache the transformation if the variable’s length is more than N bytes. A zero value is interpreted as unlimited. The default setting is 1024.
Example Usage: SecCacheTransformations On "minlen:64,maxlen:0"

SecStatusEngine

  • Description: 将软件版本信息发送给ModSecurity Project团队
  • Scope: Any
  • Syntax: SecStatusEngine On|Off
    • Default off

Reference:
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 158,736评论 4 362
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 67,167评论 1 291
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 108,442评论 0 243
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,902评论 0 204
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 52,302评论 3 287
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,573评论 1 216
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,847评论 2 312
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,562评论 0 197
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 34,260评论 1 241
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,531评论 2 245
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 32,021评论 1 258
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,367评论 2 253
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 33,016评论 3 235
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 26,068评论 0 8
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,827评论 0 194
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,610评论 2 274
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,514评论 2 269

推荐阅读更多精彩内容

  • 附录:application.properties属性大全
    =========================================================...
    lavor阅读 3,452评论 0 5
  • Spring Cloud
    Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,099评论 18 139
  • 爱情
    爱情 20岁时的爱情 疯狂到只有今天,没有明天 30岁时的爱情 世故到只有明天,没有今天 一个词,内涵太过真挚 最...
    卢雅芳阅读 345评论 0 1
  • D2:玩疯了
    白天和大哥哥大姐姐玩,头发都是乱的,湿的,以至于大人考虑:这样疯下去不行了。约束了一下悦悦:有点女孩子样,安安静静...
    悦悦和书的那些事阅读 239评论 0 0
  • (一)程序员应该选择cli还是gui?
    这一节主要讲cli和gui的的优劣和我本人的观点。如果说,你对git的基本命令还不太熟悉的话,可以略过这一节,学过...
    Mooner_guo阅读 3,100评论 0 1