Auf der http://www.modsecurity.org website findet man den Link zu den mod_security Debian Paketen. (Community-Produced Binary packages)

Bemerkung: Man sollte auf der Webseite nach den neusten Versionen schauen und die Beispiel “wget” Befehle in dieser Anleitung anpassen.

1. Herrunterladen der Pakete und Installation mit dpkg:

wget http://etc.inittab.org/~agi/debian/libapache-mod-security2/2.5.x/etch/libapache2-mod-security2_2.5.5-1~etch1_amd64.deb
wget http://etc.inittab.org/~agi/debian/libapache-mod-security2/2.5.x/etch/mod-security2-common_2.5.5-1~etch1_all.deb

dpkg -i mod-security2-common_2.5.5-1~etch1_all.deb libapache2-mod-security2_2.5.5-1~etch1_amd64.deb

Bemerkung: Man benötigt ggf. ein anderes Paket als amd64 !!!

2. Unterverzeichnis für die mod_security Regeln im Apache Konfigurationsverzeichnis anlegen:

mkdir /etc/apache2/modsecurity2
chmod 600 /etc/apache2/modsecurity2

3. Herrunterladen der Regeln von http://www.modsecurity.org/download/direct.html

wget http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz

anschließend entpacken und die conf-Dateien in das angelegte Verzeichnis verschieben:

tar vfx modsecurity-core-rules_2.5-1.6.1.tar.gz
mv *.conf /etc/apache2/modsecurity2/

4. Außerdem muss man einen Symlink anlegen um das Apache Log-Verzeichnis an das von Debian anzupassen.

(Oder man passt alle Regeln an )

ln -s /var/log/apache2 /etc/apache2/logs

5. Modsecurity aktivieren

a2enmod mod-security

6. Konfiguration

Bearbeiten de Datei “/etc/apache2/conf.d/mod_security”:

        # mod_security configuration directives
        # ...
        # Turn the filtering engine On or Off
        SecFilterEngine On

        # Some sane defaults
        #Check if URL characters where encoded
        SecFilterCheckURLEncoding On
        #Check UTF-8 encoding
        SecFilterCheckUnicodeEncoding Off

        #Allow 1 byte characters
        # Accept almost all byte values
        SecFilterForceByteRange 0 255

        # Server masking is optional
        # SecServerSignature "Microsoft-IIS/0.0"

        SecAuditEngine RelevantOnly
        # The name of the audit log file
        SecAuditLog /var/log/apache2/audit_log

        # You normally won't need debug logging
        # Debug level set to a minimum
        SecFilterDebugLog /var/log/apache2/modsec_debug_log
        SecFilterDebugLevel 0

        # Should mod_security inspect POST payloads
        SecFilterScanPOST On

        # By default log and deny suspicious requests
        # with HTTP status 500
        SecFilterDefaultAction "deny,log,status:500"

7. Nun nur noch den Apache Webserver neu starten:

/etc/init.d/apache2 restart

8. Links:

http://www.modsecurity.org
http://www.howtoforge.com/apache_mod_security
http://www.debuntu.org/2006/08/13/86-secure-your-apache2-with-mod-security

Man benötigt einen installierten und konfigurierten Apache2 Webserver sowie MySQL Datenbankserver.

Installation:

Auf dem Webserver:

aptitude install libapache2-mod-log-sql-mysql
a2enmod unique_id

Auf dem Datenbankserver:

Erstelle eine Datenbank “apachelogs” und einen entsprechenden Benutzer für diese Datenbank.

Konfiguration des virtuellen Hosts:

Ersetze “PASSWORD” und “DATABASE_SERVER” mit deinen eigenen Daten.

LogSQLLoginInfo mysql://apachelogs:PASSWORD@DATABASE_SERVER/apachelogs
LogSQLCreateTables on
LogSQLDBParam socketfile /var/run/mysqld/mysqld.sock
LogSQLTransferLogFormat IAbPcMfRhluTrmHtUapzqQsSV

<virtualhost www.testsrv.local:80>
ServerName www.testsrv.local
ServerAdmin servermaster@testsrv.local
DocumentRoot /var/www/vhost1/htdocs
ErrorLog /var/www/vhost1/logs/error.log
CustomLog /var/www/vhost1/logs/access.log common

LogSQLTransferLogTable vhost1_access_log

</virtualhost>

/etc/init.d/apache2 reload

mod-log-sql-mysql wird nun eine Tabelle “vhost1_access_log” erstellen und die Access Log Einträge dort speichern.

Probleme:

Es können verschiedene Probleme im Apache Error log auftauchen nach der Installation des Moduls:

1. “No such file or directory: attempted append of local preserve file ‘/etc/apache2/logs/mod_log_sql-preserve’ but failed.”

Man muss das Verzeichnis “/etc/apache2/logs” manuell anlegen oder einen entsprechenden Symlink auf “/var/log/apache2″.

2. “failed to create table: score_board”

Es gibt ein Problem bei der automatischen Erstellung der “scoreboard” Tabelle, sie muss per Hand angelegt werden:

CREATE TABLE IF NOT EXISTS `scoreboard` (
`id` int(14) NOT NULL auto_increment,
`vhost` varchar(50) NOT NULL default '',
`bytes_sent` int(14) NOT NULL default '0',
`count_hosts` int(12) NOT NULL default '0',
`count_visits` int(12) NOT NULL default '0',
`count_status_200` int(12) NOT NULL default '0',
`count_status_404` int(12) NOT NULL default '0',
`count_impressions` int(18) NOT NULL default '0',
`last_run` int(14) NOT NULL default '0',
`month` int(4) NOT NULL default '0',
`year` int(4) NOT NULL default '0',
`domain` varchar(50) NOT NULL default '',
`bytes_receive` int(14) NOT NULL default '0',
PRIMARY KEY  (`id`),
UNIQUE KEY `vhost` (`vhost`,`month`,`year`,`domain`)
) TYPE=MyISAM;

Danke an Alexandre Bulté für die Lösung !

Links:

http://blog.bulte.net/2008/04/apache-modlogsql-problem-with.html
http://www.outoforder.cc/projects/apache/mod_log_sql/
http://www.howtoforge.com/apache2-logging-to-a-mysql-database-with-mod_log_sql-on-debian-etch