Instalacin de Mod_Security y Mod_evasive en Centos5 Los paquetes pueden descargarse de: http://thammuz.tchpc.tcd.ie/mirrors/www.jasonlitka.com/media/EL5/ Instalar mod_security rpm -ihv mod_security-2.1.4-1.jason.2.

!"_"4.rpm Para su configuracin se ingresa al directorio #etc#http#modsecurity.d# se edita el archi!o de nom"re modsecurity_crs_1$_con%i&.con% que es el que contiene la configuracin "#sica del modsecurity. Entre sus principales par#metros se encuentran$ Sec'ule(n&ine: %irecti!a que controla si se procesan las reglas que controlan el comportamiento de mod&securit ante peticiones. 'e de"e poner en (n si la !ersin del mod instalada no lo hiciera a por defecto Sec)ata)ir: %irect!a que esta"lece un path donde mod&securit guardar# informacin que le es necesaria. %e"e ser accesi"le por el ser!idor) de la misma manera que los logs) lo que requiere permiso de ejecucin hasta la carpeta usada como almac*n de datos capacidad de escritura en la misma. Sec)e%ault*ction: El conjunto de acciones por defecto que el mod usar# en caso de que una de las reglas de seguridad case con una peticin. 'on una serie de acciones que se toman en orden que mod&securit usar# en caso de que la regla en si no esta"lezca una concreta Includes: +lgunas distri"uciones tienen un "ug que hace que no se lean todos los archi!os .conf e,istentes en la localizacin que se dio en el archi!o que creamos anteriormente. Esto quiere decir que aunque se lea el .conf primario) no se acceder#n a los su"directorios para !er si poseen m#s archi!os .conf. Para solucionar este pro"lema) en caso de sospechar que no se est#n procesando las reglas) ha que incluir las rutas e,plicitas a los su"directorios de la localizacin de las reglas -/rules.) como se !e en la imagen. /(0+: La !ersin de las core rules actual tiene un error de sinta,is en un archi!o de la carpeta optional&rules que impide que las reglas de la misma se procesen) as1 que permanece desacti!ado en el fichero mostrado. 'e reinicia el ser!icio apache para actualizar los cam"ios$ service httpd restart 'e !erifica que el modulo del mod&securit este acti!o$ httpd -M %e"e mostrar como salida$ security2_module +shared, Listo) tienen su modulo de seguridad acti!ado corriendo) si desean conocer todos los par#metros reglas del modulo recuerden !isitar el sitio we" oficial. El modulo del mod_evasive permite denegar ataques de tipo %%(') para instalarse se ejecuta la siguiente sinta,is$ rpm -ihv mod_evasive-1.1$.1-".jason.2. !"_"4.rpm Para configurar las reglas se edita el archi!o #etc#httpd#con%.d#mod_evasive.con% - el cual a !iene por defecto con los par#metros recomendados entre los cuales se encuentran$

 ).S/ash0a1leSi2e 2uanto m#s grande sea el tama3o de la ta"la de 4ash) m#s memoria requerir#) pero el rastreo de 5ps ser# m#s r#pido. Es 6til aumentar su tama3o si nuestro ser!idor reci"e una gran cantidad de peticiones) pero as1 mismo la memoria del ser!idor de"er# ser tam"i*n ma or. ).S3a&eCount /6mero de peticiones a una misma p#gina para que una 5P sea a3adida a la lista de "loqueo) dentro del inter!alo de "loqueo en segundos especificado en el par#metro %('Page5nter!al ).SSiteCount 5gual que 7%('Page2ount8) pero corresponde al n6mero de peticiones al sitio en general) usa el inter!alo de segundos especificado en 7%(''ite5nter!al8. ).S3a&eInterval 5nter!alo en segundos para el par#metro um"ral de %('Page2ount. ).SSiteInterval 5nter!alo en segundos para el par#metro um"ral %(''ite2ount. ).S4loc5in&3eriod Periodo de "loqueo para una 5P si se supera alguno de los um"rales anteriores.El usuario reci"ir# un error9:; -<or"idden. cuando sea "loqueado) si el atacante lo sigue intentando) este contador se resetear# autom#ticamente) haciendo que siga m#s tiempo "loqueada la 5P. ).S(mail6oti%y %ireccin de correo electrnico que reci"ir# informacin so"re los ataques. )os7hitelist Podemos especificar una 5P o rango que ser# e,cluido del rastreo por mod&e!asi!e. Para terminar finalizar se comprue"a si cargo el modulo correctamente con el comando httpd -M ) que en!iara como salida$ evasive2$_module +shared,

Enlaces relacionados: http://centosnicaragua.wordpress.com/=:>>/:;/:>/mod&securit ? ?mod&e!asi!e?en?gnulinu,?centos/ http://www.jasonlitka.com/ um?repositor / http://wiki.centos.org/+dditional@esources/@epositories/@PA<orgeBhead? 5aa"f:=C>Cd5"D">=d9Ced"c5E>>9:9FFEF=Da>" http://thammuz.tchpc.tcd.ie/mirrors/www.jasonlitka.com/media/EL5/,ED&D9/