Блокирует ли выполнение mod_security / правила или ошибки в целом пользователей от посещения моего веб-сайта? У меня много ошибок правил и выполнения, я просто внес эти правила в белый список, но, возможно, я мог бы просто их игнорировать.
Веб-сайт работает с посетителями, поэтому я не хочу пытаться проверить, действительно ли меня заблокируют, если я включу modsec в «резком» режиме.
Заранее спасибо.
Зависит от того, как написаны правила, но в целом да, правила написаны для блокировки.
Кроме этого, я не могу ответить, если вы не укажете более подробно, какие правила вы используете. Наиболее распространены основные правила OWASP, большинство из которых предназначены для блокировки в зависимости от того, в каком режиме обнаружения вы их используете.
Лучше всего сначала запустить ModSecurity в режиме DetectionOnly и точно настроить правила с переопределениями, чтобы удалить неизбежные ложные срабатывания, прежде чем переключаться в режим блокировки «Вкл.».
Режим DetectionOnly не должен допускать никаких «разрушительных действий», таких как блокировка, при этом следует помнить о нескольких важных вещах:
1) Правила могут отменять это с помощью действия Ctl для переключения с DetectionOnly на On. Не известно ни о каких правилах CRS, которые это делают.
2) «Разрешить» считается подрывным действием. Это действие используется для внесения определенных действий или вызовов в белый список - например, для уменьшения ненужного вызова правил ModSecurity для статических ресурсов. В режиме DetectionOnly это действие игнорируется, и выполняются все последующие правила. В режиме On это действие сработает, и ModSecurity пропустит остальную часть запроса. Я думаю, что это противоречит интуиции, и разрешение не следует рассматривать как "разрушительное действие", поэтому DetectionOnly более близко напоминает режим On без блокировки. Поэтому, когда я добавляю какие-либо правила с действием «разрешить», я также добавляю «ctl: ruleEngine = On», чтобы разрешить даже в режиме DetectionOnly.
Добавление соответствующих разрешающих белых списков может быть очень важным для производительности серверов с высокой нагрузкой, и я бы рекомендовал их использовать. В CRS есть пара таких правил как необязательных, но, на мой взгляд, они не идут достаточно далеко.