Installera ModSecurity & ModEvasive?

Hej,
Jag har letat och letat men hittar ingen bra guide hur man installerar ModSecurity & ModEvasive på Ubuntu 13.10 server, någon som vet någon?

Hittade en för 12.04 men filerna var inte dom samma som i den guiden så det fungerade inte riktigt som jag hade tänkt mig.

Håller på att sätta mig in i säkerheten på min server innan man går "online" till 100%.

libapache2-modsecurity och libapache2-mod-evasive finns i repo.

http://www.installion.co.uk/ubuntu/s...y/install.html
http://www.thefanclub.co.za/how-to/h...204-lts-server

Personligen gillar jag inte mod_s då det är relativt enkelt att komma förbi "core rules" men om du trixar lite så kan du få en relativt bra applikationsbrandvägg.

Hej,
Jag har följande aktiverat just nu:
* Fail2Ban
* Denyhost
* PSAD
* RKhunter
* Tiger
* CHKrootkit
* Logwatch
* ufw

Vet inte riktigt vad mer man skall tänka på, vill verkligen inte att någon använder min server som extra datorkraft.



Har självklart ändrat i SSH, sysctl, php, apache DNS config så att det blir svårare för någon att lista ut div saker.

Okej, men hur mycket av ovanstående har du konfat? Fail2ban kan ju skydda rätt många tjänster, t.ex FTP, SSH och Apache så kolla in jail.conf och sätt maxretries till ett lågt antal.

Fixa Lynis, bättre än Tiger imo.
Logga in med nycklar. Kan du trixa med AppArmor eller SELinux så gör det. AppArmor är rätt mycket enklare än SEL.

Sen kolla in min tråd om grundläggande Linuxsäkerhet, det finns rätt bra tips: (FB) Grundläggande Linuxsäkerhet

Mod_Security och Mod_Evasive ser jag som att det är lösningar när man har installerat programvara på www-servern som innehåller/kan innehålla säkerhetshål och liknande.

Tycker personligen att Mod_Security falsklarmar lite väl mycket - speciellt eftersom Mod_Security inte kan veta om det är förväntat att exempelvis användaren skall kunna mata in SQL på en viss sida till exempel (säg en adminpanel).

Mao istället för att installera Mod_Security och Mod_Evasive - välj den programvara som ska köras på hemsidan med rejäl urskiljning. Kolla CVE's, kolla säkerhetshål, kolla versioner, kolla omdömen m.m. och gör ett informerat val om vilken programvara du vill använda.


När det gäller alla de saker du installerat för att förhindra att servern används för oärliga ändamål, tycker jag är riktigt riktigt onödigt.

Skulle föreslå istället:
1: Ta en liten enhet - säg ett ALIX board, installera m0n0wall, och konfigurera BÅDE egress och ingress så som du vill att det ska vara (beroende på vad som körs för applikationer på servern så kan du behöva kontakta ett API och då kanske du måste ha 443 öppet utåt)

2: Installera din server som en liveCD. Remastra live-CDn så att var/www-mappen ligger "utanför" det skrivskyddade filsystemet.
Därefter installerar du hela klabbet på ett SD-kort. Ett SD-kort har en sådan liten switch så du kan hårdvaruskrivskydda kortet. Använd ihop med en USB-kortläsare som faktiskt stödjer skrivskyddsflaggan. Alternativt ett USB-minne med skrivskyddsknapp men dessa är rätt ovanliga.

Observera att /var/www blir inte oskyddad bara för att du lägger den utanför det skrivskyddade filsystemet. Som sagt, hela klabbet läggs på ett skrivskyddat kort. Skillnaden blir att utanför /var/www-mappen, så kommer ändringar tillåtas temporärt (som skrivs till en RAMDisk) men rensas varje reboot.
I mappen som ligger utanför det skrivskyddade filsystemet (men som ligger på samma skrivskyddade kort) så kommer inte ändringar tillåtas över huvud taget - inte ens temporära.

Genom att lägga /var/www utanför, så blir det lätt för dig att uppdatera hemsidan utan att du för den skull behöver remastra hela live-CDn för det.

3: (Överkurs) Lägg till ett relä som kan styras över USB - tex detta:
http://sigma-shop.com/product/7/usb-...annel-box.html
Skriv sedan ett script till din m0n0wall, som sluter resetpinnen på din serverburk i 1 sek så fort m0n0wallen detekterar ett obehörigt anropsförsök på någon utgående port.

4: Konfigurera m0n0wallen vettigt - se till att webinterface och sådant är spärrat - kör istället att du öppnar/stänger interfacet från ett lokalt tangentbord/skärm.


Då har du i stort sett ett vattentätt system. Minsta försök att installera trojaner, RFI's, LFI's eller liknande som försöker "ringa hem", så kommer reläet att starta om din server vilket kommer rensa bort eventuella skadliga script då lagringsutrymmet är skrivskyddat.

Hej,
Har confat fail2ban och satt re-try på 3, vilket borde stoppa det mesta via apache, postfix, ssh.
Man kanske är tillräckligt säkert nu som det är.

Ska ta mig en titt på Lynis.


Edit:
Vet du hur man gör så att man får ett NIC som default?
Jag hade fixat det förut, men mitt sätt fungera inte längre efter senaste updaten vilket gör att default för mig blir p1p2 istället för p1p1 som jag vill skall vara default.

Tänkte passa på att fråga.
Har samlat på mig olika tips från olika sidor, bland annat denna tråd osv. Så gjorde en lista.


Vad av dessa funkar tillsammans? Antar att det finns några saker där som bråkar med varann.

Om man skulle sätta upp det här, I vilken ordning tror ni det är bäst o göra det på?
Om ni skulle sätta upp olika av dessa lösningar på flera servrar samtidigt, hur skulle ni göra då?
Lär ju va ett helvete att installera och konfigurera allt på flera maskiner om och om igen.

Och sist, är detta bra? (Från Webhostingtalk om panalen CPanel)
Eller är det onödigt? Hela inlägget: http://www.webhostingtalk.com/showpo...30&postcount=5

Så tycker jag. Det fanns liknande program och det finns ingen anledningen att ha 2 brandväggar eller IDS:er. GrSecurity är enklare än SELinux.

Japp, man ska alltid ta bort compilers så som g++ och gcc om man inte behöver dem. Detta är för om en attacker lyckas få ett användarshell så kan han kompilera. Ska du inte använda Ruby/Perl/Python så kan du ta bort dessa bibliotek med men det är inte direkt rekommenderat då det kan bli problem när du ska installera nya saker.