CentOS7(RHEL7)から標準になっていた模様(CentOS6はEPELからインストール可能)
昔のコンパイルしてインストールしないといけないイメージがあったので、やめてたのですが標準にはいってるのならいれてみようかなというところでメモ。
◆CentOS7へインストール
yum install mod_security mod_security_crs
◆CentOS6へインストール
yum install epel-release yum --enablerepo=epel install mod_security mod_security_crs
◆設定
とりえあず、検知だけにしたい場合は「DetectionOnly」にする
/etc/httpd/conf.d/mod_security.conf
< #SecRuleEngine On > SecRuleEngine DetectionOnly
◆確認
http://ホスト名/?union+select
◆その他
とはいいつつmod_security_crsをインストールするとそれなりのシグネチャファイルとなりそうですが、検知ログがいっぱい出てきて結局止めていいのかどうが悩ましいところ。しかもログが見にくい。
◆その他2
ログ確認に関しては、AuditConsoleを使うとGUI的に見やすくなりそうなんですが、Javaのアプリかよー面倒だなー