Home > Allgemein, Linux, Networking, Security > ModSecurity Console HowTo

ModSecurity Console HowTo

ModSecurity Community Console

Wer ModSecurity für Apache einsetzt kennt es vielleicht, man möchte wissen was ModSecurity eigentlich alles so blockt oder vor wie vielen angriffen uns ModSecurity geschützt hat. Man kann sich jetzt dran machen und die Apache und ModSecurity Logfiles per Hand zu Durchsuchen aber sind wir mal ehrlich das ist eine Mühselige Arbeit. Eine Andere Möglichkeit ist man besorgt sich von Breach die ModSecurity Community Console die Community Edition erlaubt das Einbinden von 3 Sensoren sprich 3 Apache Installationen. Wir möchtenhier mal kurz erklären wie die ModSecurity Community Console eingerichtet wird. Ich geh mal davon aus ihr habt eine Laufende ModSecurity Installation.

Wenn ihr noch die Quellen von ModSecurity habt wechselt in das ModSecurity Verzeichnis und dort in das apache2 Verzeichnis, falls ihr nicht mehr im Besitz der Quellen seid ladet euch einfach die neueste Version von der ModSecurity Homepage vielleicht ist es auch an der Zeit die Komplette Installation zu aktualisieren ;)

zeus:~ # cd modsecurity-apache_2.5.12/apache2/
zeus:~/modsecurity-apache_2.5.12/apache2 #
Wenn eure Installation aktuell genug ist dann kompiliert nur mlogc, dazu einfach
zeus:~/modsecurity-apache_2.5.12/apache2 # make mlogc
Ihr solltet dann in etwa so einen Output bekommen
make[1]: Entering directory `/root/modsecurity-apache_2.5.12/apache2/mlogc-src’
Building dynamically linked mlogc…
Build finished.  Please follow the INSTALL instructions to complete the install.
make[1]: Leaving directory `/root/modsecurity-apache_2.5.12/apache2/mlogc-src’
Successfully built “mlogc” in ../tools.
Kopiert nun das mlogc Binary so wie die Config Datei an einen Ort eurer Wahl z.B.
zeus:~/modsecurity-apache_2.5.12/apache2 # cp ../tools/mlogc /usr/local/bin/

zeus:~/modsecurity-apache_2.5.12/apache2 #

cp mlogc-src/mlogc-default.conf /etc/mlogc.conf
Ladet euch die ModSecurity Community Console herunter und Installiert sie auf dem Server, muss nicht der Selbe sein wie der auf dem eure Apache Installation ist. Breach bietet rpm Packete an aber auch tar Archive. Ich hab das rpm Paket benutzt, nach erfolgreicher Installation findet ihr unter /opt/modsecurity-console alles was ihr braucht.
rpm -ihv modsecurity-console_1_0_5_linux.rpm
Nach erfolgreicher Installation könnt ihr die Console starten
/opt/modsecurity-console/modsecurity-console start
Nun könnt ihr mit https://localhost:8888 auf die Console zugreifen Default ist admin/admin
Klickt auf Sensors und fügt einen Neuen Sensor hinzu, gebt die IP Adresse eurer Apache Installation ein die ihr später über die Console monitoren wollt. Merkt euch die eingetragenen Daten.
Passt nun eure ModSecurity Konfiguration so an das die Logs an die Console geschickt werden, dazu einfach die Folgenden Parameter in modsecurity_crs_10_config.conf einfügen/anpassen
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus “^(?:5|4\d[^4])”
SecAuditLogType Concurrent
SecAuditLogParts ABCDEFGHZ
SecAuditLogStorageDir /modsec/data/
SecAuditLog “|/usr/local/bin/mlogc /etc/mlogc.conf “
Passt nun die mlogc.conf Datei an, hier gilt es nur ein paar Parameter anzupassen
CollectorRoot       “/modsec/”
ConsoleURI          ”https://localhost:8888/rpc/auditLogReceiver”
SensorUsername      ”Username”
SensorPassword      ”Password”
LogStorageDir       “data”
Macht nun einen Neustart des Webserver damit die ModSecurity neu eingelesen wird. Jetzt könnt ihr zum ersten mal Testen ob die Installation geklappt hat, setzt einen Request ab der modsecurity dazu bringt anzuschlagen z.b.
http://localhost/search.php?_get=/etc/
Wechselt nun zu eurer ModSecurity Console, ihr solltet nun einen Eintrag sehen das ein Request geblockt wurde mit den dazugehörigen Infos.
  1. Dieter
    17. Januar 2012, 13:10 | #1

    Hallo
    Nette Anleitung. Leider bekomme ich die Console nicht zum laufen. Kann mich zwar auf Localhost einloggen, sehe aber keine Daten.
    Hier gibt mir der Apache beim Neustart Fehler aus
    SecAuditLog “|/usr/sbin/mlogc /etc/mlogc.conf “ (hier liegt mein mlogc9

    MFG
    Dieter

  1. Bisher keine Trackbacks