Я пытаюсь настроить modsecurity, чтобы не регистрировать какие-либо проблемы, происходящие из 127.0.0.1, но мне не повезло со следующими правилами.
SecRule REMOTE_ADDR "@ipMatch 127.0.0.1" "id:26091975,phase:2,pass,nolog,allow,ctl:ruleEngine=Off"
SecRule REMOTE_ADDR "^127.0.0.1" "id:26091975,phase:2,pass,nolog,allow,ctl:ruleEngine=Off"
SecRule REMOTE_ADDR "^127.0.0.1" phase:1,nolog,allow,ctl:ruleEngine=off
Однако мои журналы все еще заполняются записями из 127.0.0.1.
Мои правила для других IP-адресов и конкретных правил работают нормально, только кажется, что они исходят от localhost.
#Versions
ModSecurity for Apache/2.6.3 (http://www.modsecurity.org/)
ModSecurity: APR compiled version="1.4.6"; loaded version="1.4.6"
ModSecurity: PCRE compiled version="8.12"; loaded version="8.12 2011-01-15"
ModSecurity: LUA compiled version="Lua 5.1"
ModSecurity: LIBXML compiled version="2.7.8"
Несколько указателей:
Вам следует allow (который завершает обработку текущего правила для этого запроса), а не pass (который проходит мимо этого правила и продолжает обработку следующих правил). В настоящее время вы используете оба этих правила и не знаете, какие проблемы это вызывает.
Теоретически после обработки ctl: ruleEngine = off он не должен переходить к следующим правилам, поэтому приведенное выше может не иметь значения, но это не повредит правильному выполнению.
Вы должны убедиться, что ваши правила пропуска относятся к фазе 1. В настоящее время у вас есть смесь фазы 1 и фазы 2.
Вы должны убедиться, что эти правила пропуска первый правила обработаны. Таким образом, другие правила не будут обрабатываться раньше. Хотя, честно говоря, не уверен, войдут ли ранее обработанные правила в журнал после выключения механизма аудита.
Я бы также изменил nolog на временный журнал, чтобы увидеть, обрабатываются ли эти правила.
Вы также можете включить ведение журнала отладки, чтобы увидеть, что происходит, когда ваши правила обрабатываются (REMOTE_ADDR не совпадает по какой-либо причине?). Они создают подробный журнал, особенно на высоком уровне отладки.
Надеюсь, это даст вам некоторые подсказки, но если это не поможет, измените свой вопрос, указав более подробную информацию о том, что было сделано выше и, возможно, больше поможет. Я бы также сказал, что ModSecurity 2.6.3 сейчас очень старый и, возможно, его нужно обновить.
Можете рассказать какие правила увольнения? И где они расположены по сравнению с этими правилами пропуска? Можете ли вы поделиться своей другой конфигурацией ModSecurity?