WIKI

Modul mod_security pro webový server Apache poskytuje pokročilé bezpečnostní funkce, které pomáhají chránit webové aplikace před různými útoky, jako jsou SQL injection, Cross-site Scripting (XSS), a mnohé další. Funkcí tohoto modulu je zpracovávání požadavků přicházejících na server a jejich filtraci na základě definovaných pravidel. V tomto článku si popíšeme, jak mod_security nainstalovat a základně konfigurovat na webovém serveru Apache.

Instalace mod_security

1. Předpoklady

   • Nainstalovaný a běžící webový server Apache.
   • Přístup k serveru s oprávněními superuživatele (root).

2. Instalace pomocí správce balíčků (pro Debian/Ubuntu)

   • Spusťte příkaz sudo apt-get update pro aktualizaci indexu balíčků.
   • Nainstalujte modul spuštěním sudo apt-get install libapache2-mod-security2.

3. Instalace na CentOS/RHEL

   • Nejprve aktualizujte systém pomocí sudo yum update.
   • Poté nainstalujte mod_security pomocí sudo yum install mod_security.

Aktivace modulu Po instalaci je potřeba modul v Apache aktivovat. To se obvykle provádí automaticky, ale v případě potřeby můžete modul aktivovat ručně pomocí příkazu sudo a2enmod security2 na Debianu/Ubuntu nebo ověřit, že je v konfiguračním souboru Apache zařazení LoadModule security2_module modules/mod_security2.so.

Základní konfigurace mod_security

1. Konfigurační soubory

   • Hlavní konfigurační soubor pro mod_security se obvykle nachází v /etc/apache2/mods-available/security2.conf na Debian/Ubuntu nebo /etc/httpd/conf.d/mod_security.conf na CentOS/RHEL.
   • Pro aktivaci základní ochrany přejděte do adresáře s pravidly mod_security, který se obvykle nachází v /etc/modsecurity a zkopírujte vzorový konfigurační soubor cp modsecurity.conf-recommended modsecurity.conf.

2. Zápis pravidel

   • Mod_security funguje na základě pravidel, která definují, jaké typy požadavků jsou považovány za podezřelé nebo škodlivé. Tato pravidla lze upravit nebo přidat v souboru modsecurity.conf.
   • Pro začátek je možné využít sady pravidel OWASP ModSecurity Core Rule Set (CRS), která poskytuje dobrou základní úroveň ochrany. Sada pravidel se dá stáhnout z GitHubu a následně rozbalit do adresáře s pravidly.

3. Testování konfigurace

   • Po nastavení pravidel je vhodné provést test konfigurace Apache pomocí příkazu sudo apache2ctl configtest (nebo sudo httpd -t na CentOS/RHEL).
   • Pokud test prošel bez chyb, restartujte Apache pomocí sudo systemctl restart apache2 nebo sudo systemctl restart httpd pro změny, aby se projevily.

Instalace a základní konfigurace mod_security je klíčovým krokem pro zvýšení bezpečnosti webového serveru Apache. Díky flexibilnímu systému pravidel může být mod_security přizpůsoben specifickým potřebám každého webu. Vždy je však důležité pravidla pravidelně aktualizovat a přizpůsobovat nově objeveným hrozbám.