Pomoc - Hosting

Ustawienia Modsecurity w panelu DirectAdmin

 Poradnik zawiera materiały wideo: Przewiń do filmu »

Modsecurity - mówiąc w dużym uproszczeniu jest rodzajem firewalla, który analizuje i filtruje w czasie rzeczywistym ruch na serwerze www. Dzięki temu zagrożenia, które mogą zaszkodzić naszej stronie są natychmiast blokowane.

Reguły modsecurity są skonfigurowane na tyle optymalnie, by nie powodowały blokady podczas normalnej pracy i przeglądania strony. Czasem jednak może się zdarzyć taka sytuacja, że zablokowana zostanie jakaś podstrona np. w panelu zarządzania CMS lub sklepu. Objawia się to nagłym wystąpieniem błędu 403.

W takiej sytuacji możemy sprawdzić powód występowania takiego błędu analizując logi błędów swojej strony. Jeżeli przyczyną jest blokada modsecurity powinniśmy w nich odnaleźć wpis podobny do poniższego:

[Fri Jan 29 11:09:53.633644 2021] [:error] [pid 17219:tid 139703357511424] [client 1.2.3.4:49198] [client 1.2.3.4] ModSecurity: Access denied with code 403 (phase 2). Match of "contains cpanel" against "REQUEST_URI" required. [file "/usr/local/cwaf/rules/02_Global_Generic.conf"] [line "55"] [id "211190"] [rev "9"] [msg "COMODO WAF: Remote File Access Attempt||janek.linux.pl|F|2"] [data "Matched Data: /etc/ found within REQUEST_URI: /test.php?id=/etc/passwd"] [severity "CRITICAL"] [tag "CWAF"] [tag "Generic"] [hostname "janek.linux.pl"] [uri "/test.php"] [unique_id "YBPe8SZapoZWQVKzqVFUxAAAAGE"]

Na czerwono zaznaczony został identyfikator reguły, która spowodowała blokadę. W konfiguracji modsecurity w panelu będziemy mogli wyłączyć tę regułę, dzięki czemu wyeliminujemy powstawanie błędu - oczywiście jeżeli jesteśmy pewni, że występuje on w wyniku błędnego działania tej reguły.

Aby przejść do ustawień aplikacji, należy zalogować się do panelu DirectAdmin i wybrać opcję „Ustawienia Modsecurity” w sekcji „Bezpieczeństwo”.

W efekcie otworzy się okno ustawień firewalla.

Domyślnie aplikacja jest włączona, o czym możemy przekonać się w górnej części ekranu. W każdej chwili można dezaktywować Modsecurity, jednak ze względów bezpieczeństwa nie jest to zalecane. Robi się to przełączając parametr „SecRuleEngine” na „Off” i zatwierdzając zmianę przyciskiem „Save”. W analogiczny sposób można włączyć zabezpieczenie.

W tej samej części okna znajduje się także przycisk „Reset”, pozwalający zresetować firewalla. Zrobienie tego przy wyłączonym Modsecurity, automatycznie włącza zabezpieczenie.

Sekcja „ModSecurity Skipped Rules” pozwala wykluczyć z opcji firewalla reguły, które uważamy za niepożądane. Zwykle, gdy administrator nie ma dostępu do jakiejś części strony bezpośrednio przez przeglądarkę, w logach błędów zapisywane są informacje o przyczynie takiego stanu. Jeśli blokady dokonał Modsecurity, informacja o tym będzie zawarta w logu, wraz z numerem ID reguły - o czym pisaliśmy na wstępie. W tym miejscu można tę regułę zablokować, wprowadzając jej identyfikator (ID) w odpowiednie pole na tej stronie. Kliknięcie przycisku „Add SecRuleRemoveById” zatwierdza wybór, zaś przyciskiem „Delete” można skasować zaznaczone wykluczenie.

W dolnej części strony dostępny jest podgląd logów Modsecurity (tylko i wyłącznie generowanych przez tę aplikację) oraz możliwość zastosowania osobnych reguł firewalla względem istniejącej na serwerze subdomeny.

 Ustawienia Modsecurity w panelu DirectAdmin