Как использовать mod_security как автономный? - программирование
Подтвердить что ты не робот

Как использовать mod_security как автономный?

Я видел, что модуль называется автономным в пакете Mod_Security; но я не уверен, как его использовать после создания и установки! Есть ли хорошие ресурсы для запуска?

4b9b3361

ОТВЕТЫ

Ответ 1

Это не представляется возможным; основанный на том, что говорит сайт ModSecurity для своих режимов работы:

Обратные прокси-серверы - это фактически HTTP-маршрутизаторы, разработанные стоять между веб-серверами и их клиентами. Когда вы установите выделенный Apache обратный прокси и добавить ModSecurity к нему, вы получаете "правильный" сетевой брандмауэр веб-приложений, который вы можете использовать для защищать любое количество веб-серверов в одной сети. Много безопасности практикующие предпочитают иметь отдельный уровень безопасности. С этим вы получаете полная изоляция от систем, которые вы защищаете. На фронт производительности, автономный ModSecurity будет иметь ресурсы посвященный этому, что означает, что вы сможете делать больше (т.е. имеют более сложные правила). Основным недостатком этого подхода является новый пункт отказа, который необходимо будет решить с помощью установка с высокой готовностью двух или более обратных прокси.

Они рассматривают его отдельно, создав выделенный хост, который используется для проксирования на внутренние узлы.

Это работает; но это технически не standalone.

Я также подал ошибку, и это подтвердил Фелипе Циммерле:

Автономный - это оболочка для внутренних компонентов Apache, которая позволяет выполнять ModSecurity. Эта оболочка все еще требует от Apache. Это правда, что вы можете продлить свое приложение с помощью автономной версии, хотя вам понадобятся некоторые части Apache

Ответ 2

Как вы отметили, ModSecurity - это добавление к существующему веб-серверу - первоначально как модуль Apache (отсюда и название), но теперь также доступный для Nginx и IIS.

Вы можете запустить его во встроенном режиме (т.е. как часть вашего основного веб-сервера) или запустить его в режиме обратного прокси (который в основном такой же, но вы настроили отдельный веб-сервер и запустили его на этом, а затем направили весь трафик через это).

Чтобы быть абсолютно честным, я не нашел много смысла в обратном прокси-методе. Я предполагаю, что это означает, что вы можете использовать его на не поддерживаемых веб-серверах (т.е. Если вы не используете Apache, Nginx или IIS), и это уменьшит нагрузку на ваш основной веб-сервер, но, кроме того, это кажется дополнительным шаг и инфраструктуру без реальных выигрышей. Некоторые люди также могут предпочесть провести проверки ModSecurity перед несколькими веб-серверами, но я буду спорить о том, есть ли у вас несколько веб-серверов, то это, скорее всего, связано с производительностью и отказоустойчивостью, поэтому почему бы не распространить ModSecurity на этот уровень, а не создавать единственной точкой отказа, которая может быть узким местом перед ней. Только другая причина заключалась бы в применении правил уровня сеанса (например, если люди меняют идентификаторы сеанса), которые могут быть в конечном счете распространены между различными веб-серверами, но я никогда не был уверен, что эти правила в любом случае велики.

Когда я создаю ModSecurity, я получаю библиотеку mod_security2.so, но не отдельный отдельный файл (ы), поэтому я предполагаю, что вы просто видите это от охоты через источник (я вижу автономный)? Я бы сказал, что только потому, что в источнике есть "автономная" папка, это не гарантия того, что она может работать как полностью отдельная отдельная часть.

Я бы спросил, почему вы хотите запустить это как автономное приложение, даже если бы могли? Веб-серверы имеют много функциональности в них и в зависимости от ModSecurity, которая была написана для обеспечения безопасности в Интернете, а не для веб-безопасности и всех других вещей, которые делает веб-сервер (например, быстро, понимать HTTP-протокол, gzip и ungzip... и т.д.), излишне растягивает то, что нужно обработать ModSecurity. Так почему бы не использовать веб-сервер, чтобы позаботиться об этом и позволить ModSecurity делать то, на что он хорош?

Если вы используете ModSecurity, то я предполагаю, что у вас есть веб-приложения (предположительно, с веб-сервером), так почему бы не использовать его через это?

Наконец, есть ли проблема с установкой этого через Apache (или Nginx или IIS)? Это бесплатное программное обеспечение, которое хорошо поддерживается и легко настраивается.

Я думаю, в конечном счете, я не понимаю причину вашего вопроса. Есть ли какая-то конкретная проблема, которую вы пытаетесь решить, или это больше просто любопытство?