ModeSecurity
ModeSecurity规则基本格式
SecRule VARIABLES OPERATOR ACTIONS
SecRule 用于创建安全规则
VARIABLES 代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等
OPERATOR 代表操作符,一般用来定义安全规则的匹配条件。@rx(正则表达式)、@streq(字符串相同)、@ipmatch(IP相同)
ACTIONS 代表响应动作,一般用来定义数据包被规则命中后的响应动作。deny(数据包被拒绝)、pass(允许数据包通过)、id(定义规则的编号)、severity(定义事件严重程度)等。
严重程度分为8级:EMERGENCY(0)、ALERT(1)、CRITICAL(2)、ERROR(3)、WARNING(4)、 NOTICE(5)、INFO(6) 、DEBUG(7)
ModeSecurity规则示例1
防XSS攻击
SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:001,msg: 'XSS
Attack',severity:ERROR,deny,status:404"
ARGS 所有请求参数
REQUEST_HEADERS 请求头
如果正则匹配字符串"<script>"成功,则规则执行
规定该条规则编号为001
记录信息为:'XSS Attack'
严重程度为ERROR
拒绝所有请求包
服务器响应状态编号为404
ModeSecurity规则示例1
设置白名单
SecRule REMOTE_ADDR "@ipmatch 192.168.1.9" "id:002,phase:1,t:none,
nolog,pass,ctl:ruleEngine=off"
远程主机IP
如果请求主机IP地址为192.168.1.9,则规则执行
规定该条规则编号为002
phase:1表示规则执行的范围为请求头部
t:none表示VARIABLES的值不需要转换
不记录日志
pass代表继续下一条规则
ctl:ruleEngine=off代表关闭拦截模式,所有规则失效
phase编号规定如下:Request Headers(1), Request Body(2), Response Headers(3), Response Body(4) and Logging(5).
ModeSecurity规则示例3
SecRule ARGS:username "@streq admin" chain,deny,id:003
SecRule REMOTE_ADDR "!streq 192.168.1.9"
username所有表示请求参数中的用户名信息
用户名等于字符串"admin",则执行ACTIONS
规定该条规则编号为003
chain表示用户名等于admin的情况下,必须完成第二行规则的匹配
远程主机IP不是192.168.1.9
开源规则集https://blog.csdn.net/qq_36374896/article/details/83316537
ufw
iptables操作起来比较复杂,因此ufw底层封装了iptables,可以简化操作
开机启动
sudo ufw enable
sudo ufw default deny
关闭
sudo ufw disable
查看状态
sudo ufw status
关闭
sudo ufw disable
sudo ufw allow port_number // 开放 port_number 端口
sudo ufw delete allow port_number // 删除 port_number 端口
sudo ufw allow from 192.168.1.1 // 允许来自 192.168.1.1 的主机的访问
sudo ufw deny smtp // 禁止外部访问smtp服务
sudo ufw delete deny smtp // 删除上面建立的某条规则
sudo ufw reset 重置所有的规则
iptables
见netfilter-iptables文章
