Bug 8583 - [FR] initial configuration template
Summary: [FR] initial configuration template
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: mod_security (show other bugs)
Version: unstable
Hardware: all Linux
: P2 enhancement
Assignee: Vladimir V. Kamarzin
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2005-12-02 14:54 MSK by Michael Shigorin
Modified: 2005-12-25 14:11 MSK (History)
4 users (show)

See Also:


Attachments
sample mod_security configuration (1.94 KB, text/plain)
2005-12-02 14:55 MSK, Michael Shigorin
no flags Details

Note You need to log in before you can comment on or make changes to this bug.
Description Michael Shigorin 2005-12-02 14:54:54 MSK
Предлагается работающий на одной из систем файл конфигурации; он местами
дурацкий (например, по части ловли cmd=wget -- перед wget обычно всунуто cd
/tmp), к каждой строчке лучше относиться критично.  С другой стороны, вреда пока
не замечено.  Но лучше подавать заремаренным по большей части. :)

PS: тем, кто пересматривает баги на mod_security, может также быть полезна
добавленная в 1.3.33rusPL30.20-alt2.M24.1+ фича в виде SourceIfExists
/etc/sysconfig/apache в инитскрипте -- при этом в /etc/sysconfig/apache можно
поменять PATH на такой, где сперва идёт "подброшенный" каталог с подставными
wget/fetch/..., которые вместо действия расскажут сказку на ночь да уведомят
администратора про ай-яй-яй.  Собственно, набросок пакета apache-honeypot,
который это и делает, сейчас отправлю в Sisyphus и backports/2.4.
Comment 1 Michael Shigorin 2005-12-02 14:55:32 MSK
Created attachment 1271 [details]
sample mod_security configuration
Comment 2 Michael Shigorin 2005-12-03 01:43:08 MSK
См. тж.:
http://www.gotroot.com/tiki-index.php?page=mod_security+rules (non-free!)
http://www.onlamp.com/pub/a/apache/2005/12/01/modsecurity.html

2 rider: если доберёшься, то _кусок_ blacklist.conf с gotroot должен спасти
форум LRN от позорной спамерти.  Опять же берусь помочь с этим делом. 
Митрофанова жалко :-(
Comment 3 Vladimir V. Kamarzin 2005-12-12 11:45:25 MSK
В общем, я делаю вот такую схему:
в /etc/httpd/conf/addon-modules.d/mod_security.conf помещается самая минимальная
конфигурация, а дефолтные и дополнительные рулесы подключаются вот таким образом:
        # ALTLinux defaults
        Include /etc/mod_security/altdefaults.conf

        # Application protection rules,
        # http://www.gotroot.com/downloads/ftp/mod_security/rules.conf
        #Include /etc/mod_security/rules.conf

Rules from gotroot.com в пакет не включены.
Comment 4 Michael Shigorin 2005-12-25 14:11:43 MSK
Угу, спасибо.