如何解决Mod_security 不会阻止其他国家/地区
我为 Apache 配置了 mod_security 和 GeoIP2。每周由 cron 触发的 geoipupdate 下载 GeoLite2-Country.mmdb。我的 /etc/modsecurity/modsecurity.conf 配置如下:
SecruleEngine On
Secrule ARGS:modsecparam "@contains test" "id:4321,deny,status:403,msg:'ModSecurity test rule has triggered'"
Secrule REMOTE_ADDR "@geoLookup" "chain,id:20000,msg:'NON PL IP addresses'"
Secrule GEO:COUNTRY_CODE "!@streq PL"
...
我的 /etc/modsecurity/crs-setup.conf 指向 GeoIP 数据库:
SecGeoLookupDB /etc/modsecurity/GeoLite2-Country.mmdb
从我的本地机器运行 curl:curl 'https://host/login/index.html?modsecparam=test'
在日志中留下痕迹:
...
Secrule "TX:EXECUTING_ParaNOIA_LEVEL" "@lt 2" "phase:1,auditlog,id:980013,nolog,skipAfter:END-RESPONSE-980-CORRELATION"
Secrule "ARGS:modsecparam" "@contains test" "phase:2,log,id:4321,msg:'ModSecurity test rule has triggered'"
Secrule "&TX:dos_burst_time_slice" "@eq 0" "phase:5,id:912110,t:none,ver:Owasp_CRS/3.2.0,chain,skipAfter:END-DOS-PROTECTION-CHECKS"
Secrule "&TX:dos_counter_threshold" "@eq 0" "chain"
Secrule "&TX:dos_block_timeout" "@eq 0"
...
但是出于某种原因,它不会阻止除 PL 以外的国家/地区。我做错了什么?
解决方法
请查看 crs-setup.conf 示例,我们将根据您使用的版本进行说明,您应为 geodb 使用的文件类型。
大概核心是:
# There are two formats for the GeoIP database. ModSecurity v2 uses GeoLite (.dat files),# and ModSecurity v3 uses GeoLite2 (.mmdb files).
...
# Therefore,if you use ModSecurity v2,you need to regenerate updated .dat files
# from CSV files first.
#
# You can achieve this using https://github.com/sherpya/geolite2legacy
# Pick the zip files from maxmind site:
# https://geolite.maxmind.com/download/geoip/database/GeoLite2-Country-CSV.zip
#
# Follow the guidelines for installing the tool and run:
# ./geolite2legacy.py -i GeoLite2-Country-CSV.zip \
# -f geoname2fips.csv -o /usr/share/GeoliteCountry.dat
正如您提到的 apache,您可能需要 .dat 文件。
费利佩。 ModSecurity 值班开发项目
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。