mod_security Archives - 내일은 치킨집 CEO

mod_ruid2 는 suphp 와 같은 각 계정의 권한으로 실행되게 해주는 DSO 모듈이다.

suphp 는 DSO 가 아니고 apache 1.x 에서 동작하는데 이건 apache2 용이라고 보면 되겠다.

http://sourceforge.net/projects/mod-ruid

소스는 소스포지에서 & 설치는 매우 간단하다. ‘ㅅ’a

~]# yum install libcap-devel

~]# cd ./package

~]# tar xfp mod_ruid2-0.9.8.tar

~]# cd mod_ruid2-0.9.8

~]# /usr/local/apache/bin/apxs -a -i -l cap -c mod_ruid2.c

음 그냥 무난하고 설치도 빠르다. 그리고 설정도 간단하다.

DocumentRoot /var/www/계정아이디/html

ServerName www.도메인.주소

ServerAlias 도메인.주소

RUidGid 계정아이디 그룹

</VirtualHost>

엔드유져는 웹에서 생성한 파일을 ftp로 직접 수정을 할수 있고

퍼미션 변경등의 행위가 불필요 하기 때문에 매우 편리하다.

심지어 쉬운설치 를 지원하는 XE 혹은 wordpress 의 경우 Ftp 정보 입력없이 플러그인 이나

위젯 설치가 가능한 장점이 있다.

이보다 설정이 간단할수는 없지만 함정이 있다.

mod_security2 와 권한 문제로 충돌한다. 물론 apache 를 MPM_ITK 로 했을경우에도 충돌한다.

여기서 수 많은 삽질을 해보았다. 모드시큐리티는 해야하기 때문에 ‘ㅅ’a

아파치 8080포트 nginx 80 포트 로 리버스 프로시를 구성해서 nginx 에서 mod_security2 를 돌리고

프록시를 해서 아파치에서 웹서비스를 가동하는 방법 으로 구성은 했었지만 서비스 운용이

불가능하였다 (많은 문제가 있음 : nginx – mod_security2 가 안정적이지 않다.)

apache – apache(프록시) 를 구성해서 해결을 해볼수도 있겠다. 이건 시도하지 않았다.

다만 구성상 가능할것으로 판단 된다.

프록시를 한경우 mod_remoteip (아파치2.4 내장) 모듈로 프록시 되어온 실제 IP를 log로 남기는

작업을 별도로 할수 있다.

현재 어찌어찌 하여 하나의 아파치2.4 서버에 mod_ruid2 및 mod_security2 를 운영하고 있다.

현재 error_log에 문제가 발생하고 있지는 않지만 좀더 지켜본 뒤 정리해서 업데이트를 하도록 하겠다.

(안정화 테스트중…)

20150216_PicPick_163016

2015-11-10 추가 내용: ruid2 사용시 php.ini 의 session.gc_maxlifetime 에 의해 세션이 자동삭제가되지 않는 증상이 확인 되었고 이를 해결하기 위해 명령어를 주기적(cron등록)으로 실행하여 삭제를 합니다.
*- 세션처리를 file 형태가 아닌 memcached 등을 이용한경우 필요가 없음. -*

1 2	## RUID2 에 의한 session.gc_maxlifetime 자동처리 불가에 따른 세션 삭제 로직. find /tmp -type f -name 'sess_*' -cmin +24 -exec rm -f {} \;

/tmp <—— 세션 디렉토리 선언에 따라 변경할것.
-cmin +24 <—— 세션이 만들어진지 24분이 초과 한경우(필요시 변경)

사유: 폴더 안에 약 32000여개 이상의 파일이 만들어질 경우 해당 폴더에 접근하는 시간이 늦어질수 있음
(파티션종류에 따라 틀림) 즉 웹서버 성능저하가 올수 있음. 때문에 필히 필요한 부분 ‘ㅅ’a

이건 매우 상급 이니까. 아 해봐야지 하고 덤볐다가는 멘탈 붕괴가 무엇인지 느끼게 해준다 =ㅅ=a

apache web server 에 mod_security를 도입하고 OWASP 룰셋를 적용한다음에 관리하는 방법까지 이다.

먼저 mod_security 를 설치 를 위한 의존성 프로그램 을 설치한다.

1	~]# yum install gcc make httpd-devel libxml2 pcre-devel libxml2-devel curl-devel git

그후 다운 로드 및 설치.

~]# cd /opt/

~]# wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

~]# tar xzfv modsecurity-2.8.0.tar.gz

~]# cd modsecurity-2.8.0

~]# ./configure

~]# make

~]# make install

그다음 httpd.conf 에 불러오는 설정을 해야 겠지요 ‘ㅅ’a

물론 Include 경로를 자신이 운영하는 웹서버 경로에 바꿔야 하는걸 잊지 말자.

LoadModule security2_module modules/mod_security2.so

Include conf/mod_security-crs/activated_rules/*.conf

</IfModule>

음 mod_security 설치는 되었다.

이제 룰셋 적용부분.. http://www.modsecurity.org/rules.html

공식 사이트에서는 아래와 같이 두가지 를 추천하고 있다.

무료 – OWASP ModSecurity Core Rule Set (CRS)
유료 – Commercial Rules from Trustwave SpiderLabs

물론 다른 방화벽 업체에서도 룰셋 제공을 하고 있다.

무료 – Comodo Web Application Firewall (CWAF)

여시서는 OWASP 룰셋을 적용할 예정이다.

OWASP 는 (The Open Web Application Security Project) 오픈소스 웹 애플리케이션 보안 프로젝트 이다 자세한 설명은 http://ko.wikipedia.org/wiki/OWASP 요기서 참조 ‘ㅅ’a

## 이부분은 자신의 웹서버 경로에 맞게 수정이 필요하겠다.

~]# cd /usr/local/apache/conf

~]# git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

~]# cd owasp-modsecurity-crs

~]# cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf

여기까지가 설치 완료는 아니고 사용할 룰셋을 익티베이트 룰셋 폴더에 심볼링 링크를 건다.

~]# cd ./activated_rules

~]# ln -s ../modsecurity_crs_10_setup.conf modsecurity_crs_10_setup.conf

~]# for f in `ls ../base_rules/`;do ln -s ../base_rules/$f $f;done

~]# for f in `ls ../optional_rules|grep comment_spam`;do sudo ln -s ../optional_rules/$f $f;done

이후 owasp-modsecurity-crs 요 폴더를 자신의 httpd.conf 에서 불러 오도록 하면 되겠다.

호환성에 염두하지 않고 보안 적인 취약점을 막기 위해 제작된 룰셋이기 때문에

바로 돌리면 사이트가 안뜬다 -_-;;

먼저 php.ini 수정이 필요하다.

[Pcre]

;PCRE library backtracking limit.

; http://php.net/pcre.backtrack-limit

pcre.backtrack_limit=10000000

;PCRE library recursion limit.

;Please note that if you set this value to a high number you may consume all

;the available process stack and eventually crash PHP (due to reaching the

;stack size limit imposed by the Operating System).

; http://php.net/pcre.recursion-limit

pcre.recursion_limit=10000000

modsecurity_crs_10_setup.conf 파일에 아래부분을 추가 한다.

SecPcreMatchLimit 5000

SecPcreMatchLimitRecursion 5000

SecRuleEngine On

SecRequestBodyAccess On

SecResponseBodyAccess On

SecResponseBodyMimeType (null) text/html text/plain text/xml

SecResponseBodyLimit 5242880

SecRequestBodyNoFilesLimit 5242880

SecDataDir /tmp

SecTmpDir /tmp

SecRuleEngine On -> DetectionOnly 로 설정하면 감시만 하고 실제 차단은 하지 않는다.

다만 이 디텍트모드에서 기존 사이트 운영중인것에서 걸리는 룰셋을 수정 하거나 해제 해야 한다.

httpd.conf 를 수정한다.

Include conf/owasp-modsecurity-crs/activated_rules/*.conf

SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904

</Location>

SecRuleRemoveById 950907 950005 950006 960008 960011 960904

</Location>

</IfModule>

위와 같이 SecRuleRemoveById 으로 제거를 할수 있으며 디렉토리 혹은 파일명까지 지정하여 사용할 수 있다.

혹은 아래와 같이 가상호스트에서 특정 호스트만 룰셋(SecRuleEngine Off)적용을 끄거나 특정룰만 제거(SecRuleRemoveById)할 수도 있다.

Ajax 를 사용하는 경우 SecRequestBodyAccess On, SecResponseBodyAccess On 두개의 옵션 때문에

Ajax 가 비정상 동작을 할수 있는데 이것역시 Location 혹은 VirtualHost 에서 각기 Off 가 가능하다.

SecRuleEngine Off

SecRequestBodyAccess Off

SecResponseBodyAccess Off

SecRuleRemoveById 970903

DocumentRoot /home/abc/www

ServerName domain.com

CustomLog logs/access_log vcommon

</VirtualHost>

정리 하자면 사용할수 있는것은 아래 4가지 이며.

SecRuleEngine Off
SecRequestBodyAccess Off
SecResponseBodyAccess Off
SecRuleRemoveById 룰셋ID

이 일부 혹은 전체 끄는 옵션을을 VirtualHost 혹은 LocationMatch 안에 넣어 일부 허용만 할 수 있다.

아래는 이러한 룰셋을 분석하기 위해 아파치의 error_log 를 분석하기 위한 명령어 이다.

1	~]# grep ModSecurity /usr/local/apache/logs/error_log\|sed -e 's#^.\[id "$[0-9]$.hostname "$[a-z0-9A-Z.-_]$"\].*uri "#\1\t\2#'\|cut -d\" -f1\|grep -v 'ModSecurity'\|sort\|uniq -c\|sort -n

모드 시큐리티는 apache / nginx 에 도입이 가능하다.

다만 nginx 는 테스트 결과 룰셋에 걸리는 웹접근이 이루어 질때 메모리 및 CPU 가 과다 사용이 되고

kernel – oom – killer 에 의해 프로세스가 강제 종료되는 사례가 발생하였다.

nginx 에서의 모드시큐리티 사용은 좀더 두고 봐야 할것이라고 생각된다.

태그 Archives: mod_security

mod_ruid2 의 사용.

apache 에 mod_security2 를 OWASP 룰셋으로 적용