OpenGroove

ModSecurityのルール記述において、「条件Aと条件Bが一致したらxxxxという処理をさせたい（つまりAND条件）」というとき。ルールとルールをつなぐ「chain」アクションを利用すればよさそうだというのは何となくわかったが、うまくいかない。

ModSecurity Consoleは、ModSecurityの検知状況をGUIで確認するためのユーティリティだが、導入のためには、mlogcを組み込む必要がある。当初のビルド時に組み込んでいなければ、リビルドしなければいけない。

ModSecurityでブルートフォース攻撃を防御するには。日本語では情報が得られなかった・・・とりあえず、英語で見つけた以下の設定がお手本になりそうではある。

ModSecurityの実行プロセスにおいて、phaseという概念がある。Apacheのプロセスとも連動しているわけだが、ルールをどのphaseに適用させるかを指定することができる。

ModSecurityにおけるTransformation functionsについて。ModSecurityがリクエスト／レスポンスを受け取るとメモリにそのデータがコピーされ、Transformation functionsはそのメモリ上において実行される。

ログ関連やその他特殊なアクション等、ModSecurityの各種アクションについてまとめてみる。

ModSecurityのアクションを読み解いてみようと思う。アクションはDisruptive actions、Flow actions、Metadata actions等の他いくつかのパターンに分類される。それぞれのアクションの概念も理解しておきたいところ。

ModSecurityフィルタリングルールに利用するオペレータにどんなものがあるか見て行く。正規表現の他にも便利なオペレータが用意されているようだ。

ModSecurityのルール基本構造について。過去のバージョンで”SecFilter”となっていたディレクティブは、現在”SecRule”に変わっている。

AuditLogはModSecurityでコア要素となる重要なログなので、この項目だけで専用に記事をまとめておく。AuditLogにパスワードなどのセンシティブなデータを記録させない方法も。

ModSecurityのベーシックルールを、オフィシャルハンドブックやリファレンスマニュアルを読み解きながら見て行ったメモ。

ModSecurity2のインストール備忘録。1.x系と2.x系とではガラリと変わるので注意が必要である。流れは大まかにいって、依存関係のあるツールをインストール、Apacheのリコンパイル、ModSecurityのインストール。

WAFとして動作するApacheのモジュール、ModSecurityの日本語情報は少ない。しょうがないので、がんばって英語のドキュメントを読むはめになる。分からなくて調べた単語、気になった単語、覚えておいた方がよさそうな単語など、せっかくなのでここに記録しておく。