Я только что установил mod_security на свой сервер, но каждая страница блокируется с запрещенной ошибкой. Я чувствую, что правила слишком строгие, не так ли? как это изменить?
это последняя строчка в моем журнале
Message: Access denied with code 403 (phase 2). Pattern match "([\\~\\!\\@\\#\\$\\%\\^\\&\\*\\(\\)\\-\\+\\=\\{\\}\\[\\]\\|\\:\\;\"\\'\\\xc2\xb4\\\xe2\x80\x99\\\xe2\x80\x98\\`\\<\\>].*?){8,}" at REQUEST_COOKIES:_iub_cs-856516. [file "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "157"] [id "981172"] [rev "2"] [msg "Restricted SQL Character Anomaly Detection Alert - Total # of special characters exceeded"] [data "Matched Data: \x22 found within REQUEST_COOKIES:_iub_cs-856516: {\x22consent\x22:true,\x22timestamp\x22:\x222016-02-25T03:39:02.641Z\x22,\x22version\x22:\x220.11.36.4\x22,\x22id\x22:856516}"] [ver "OWASP_CRS/2.2.8"] [maturity "9"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"]
Action: Intercepted (phase 2)
Stopwatch: 1456371544053489 3619 (- - -)
Stopwatch2: 1456371544053489 3619; combined=1721, p1=217, p2=1499, p3=0, p4=0, p5=5, sr=59, sw=0, l=0, gc=0
Response-Body-Transformed: Dechunked
Producer: ModSecurity for Apache/2.7.7 (http://www.modsecurity.org/); OWASP_CRS/2.2.8.
Server: Apache
Engine-Mode: "ENABLED"
Вы, вероятно, связались с каждым правилом mod_security. Уберите их всех и попробуйте использовать только основной набор правил.
Если это не сработает, выведите их всех и представьте по одному в том порядке, в котором вы действительно хотите, чтобы правила работали. Выполняйте полное тестирование вашего сайта после каждого добавления, включая регистрацию.
А учебник по mod_security должен пройти через это.
Печально известно, что файлы cookie запускают некоторые из правил OWASP CRS, поскольку они содержат случайный текст и потенциально множество специальных символов, которые блокируются правилами.
Вы хотите добавить эту конфигурацию в белый список этого файла cookie из этого правила:
SecRuleUpdateTargetById 981172! REQUEST_COOKIES: '/ ^ _ iub_cs. * /'
Это должно быть указано в конфигурации после загружается файл, определяющий исходное правило.
Я предполагаю, что действует еще несколько других правил, поэтому вам, вероятно, придется добавить несколько подобных настроек. Вам следует работать в режиме DetectionOnly, пока вы не настроите правила в соответствии с требованиями вашего сайта. Oни ВОЛЯ нужна настройка.
Вот еще несколько сообщений, которые могут помочь вам быстрее освоить ModSecurity:
Надеюсь, это поможет, Барри