mod_segurity en cPanel / WHM, funciona ?

Hola amigos, estudiando un poco el tema de la seguridad en servidores, en encontrado que se utiliza mucho el mod_segurity, el cual se puede instalar en WHM desde EasyApache (Apache Update), y una vez instalado aparece en la seccion de plugins del WHM, ahora mi pregunta es:

¿Realmente trabaja bien en WHM?

¿La configuracion por defecto que trae funciona?

¿Donde se pueden encontrar reglas actualizadas para cargarle?

¿Si quiero que inicialmente este trabajando solo en modo de deteccion en mi WHM como lo hago?

Disculpen tantas preguntas pero realmente despues de leer tanta documentacion al respecto hay cosas que no me quedaron muy claras, desde ahora ya le doy las gracias por su ayuda. Saludos.

 

Hola,

1. Si

2. Si

3. atomicorp.com (no recuerdo la otra)

4. Cargas las reglas por defecto, esta detecta y banea temporalmente con CSF

Saludos.

 

Hola Oscar gracias por tu respuesta, en varios lugares vi que recomendaban atomicorp.com para las reglas, pero he revisado el sitio y no acabo de encontrar una buen documentacion al respecto disculpa mi ignorancia, entonces de momento si le cargo las reglas que trae por defecto en WHM me garantiza un poquito de seguridad, junto al CSF, por casualidad no conoces donde puedo contrar un detalle de las reglas mas utilizadas ? y desde WHM como le puedo poner al mod_segurity el modo detect only para irme familiarizando con el antes de activarlo por completo. Gracias.

 

Utilizó este script para instalar y las reglas mod_security en cPanel

Solo debes asegurarte de compilar apache con mod_security

CODE, HTML o PHP Insertado:

########################
# Instalar Mod_security + cpanel plugin
########################
rm -fv /usr/local/cpanel/whostmgr/docroot/cgi/addon_cmc.cgi
rm -fv /usr/local/cpanel/whostmgr/docroot/cgi/cmcversion.txt
rm -Rfv /usr/local/cpanel/whostmgr/docroot/cgi/cmc/cd /usr/local/src
rm -fv cmc.tgz
wget http://www.configserver.com/free/cmc.tgz
tar -xzf cmc.tgz
cd cmc
sh install.sh
cd ..
rm -Rfv cmc/ cmc.tgz
rm -Rf /usr/local/apache/conf/modsec_rules
mkdir /usr/local/apache/conf/modsec_rules
mkdir /var/asl
mkdir /var/asl/tmp
mkdir /var/asl/data
mkdir /var/asl/data/msa
mkdir /var/asl/data/audit
mkdir /var/asl/data/suspicious
chown nobody.nobody /var/asl/data/msa
chown nobody.nobody /var/asl/data/audit
chown nobody.nobody /var/asl/data/suspicious
chmod o-rx -R /var/asl/data/*
chmod ug+rwx -R /var/asl/data/*
mkdir /var/asl/updates
mkdir /var/asl/rules/
mkdir /var/asl/rules/clamav
mkdir /etc/asl/
touch /etc/asl/whitelist
cd /usr/local/src/
wget https://www6.atomicorp.com/channels/rules/delayed/modsec-2.7-free-latest.tar.gz
tar zxvf modsec-2.7-free-latest.tar.gz
mkdir /usr/local/apache/conf/modsec_rules/
/bin/cp -f modsec/*  /usr/local/apache/conf/modsec_rules/

cat >/usr/local/apache/conf/modsec2.user.conf <<EOF
SecPcreMatchLimit 50000
SecPcreMatchLimitRecursion 50000
SecRequestBodyAccess On
SecAuditLogType Concurrent
SecResponseBodyAccess On
SecResponseBodyMimeType (null) text/html text/plain text/xml
SecResponseBodyLimit 2621440
SecAuditLogRelevantStatus "^(?:5|4(?!04))"
SecServerSignature Apache
SecUploadDir /var/asl/data/suspicious
SecUploadKeepFiles Off
SecAuditLogParts ABIFHZ
SecArgumentSeparator "&"
SecCookieFormat 0
SecRequestBodyInMemoryLimit 131072
SecDataDir /var/asl/data/msa
SecTmpDir /tmp
SecAuditLogStorageDir /var/asl/data/audit
SecResponseBodyLimitAction ProcessPartial
Include /usr/local/apache/conf/modsec2.whitelist.conf
Include /usr/local/apache/conf/modsec_rules/10_asl_antimalware.conf
Include /usr/local/apache/conf/modsec_rules/10_asl_rules.conf
Include /usr/local/apache/conf/modsec_rules/20_asl_useragents.conf
Include /usr/local/apache/conf/modsec_rules/30_asl_antispam.conf
Include /usr/local/apache/conf/modsec_rules/50_asl_rootkits.conf
Include /usr/local/apache/conf/modsec_rules/60_asl_recons.conf
Include /usr/local/apache/conf/modsec_rules/99_asl_jitp.conf
EOF
touch /usr/local/apache/conf/modsec2.whitelist.conf
service httpd restart

Estos comandos instalaran el plugin configserver mod sec, los cambios en cpanel necesarios y la ultimas reglas mod_security gratis versión 2.7

De ahí puedes tomar ideas para tu instalación o simplemente copiar y pegar (no ofrezco soporte o garantias de ningún tipo)

 

Hola Datacenter1, gracias por tu aporte, una pregunta, para ver si entendi lo que debo hacer, primero instalo el mod_segurity con el easyapache en WHM y despues instalo el plugins con los comandos de consola que me pones ahi para que se integre con el csf y lo pueda administrar desde el firewall, es asi ?

 

Correcto, primero con easyapache instala mod_security y luego los comandos que he colocado

 

ok, entonces tras la instalacion del mod_segurity en easyapache, y seguir tu tutorial en el CSF aparece la opcion de poder manejar el mod_segurity sin problemas, ahora si en la seccion de pluguins se activa que tenga la configuracion por defecto, esto no crea conflictos con las reglas que se instalan segun el tuto desde CSF ?

 

estas reglas sustituyen las por defecto de cPanel son las de atomic corp, las por defecto de cpanel ofrecen una protección bastante limitada, estas son mucho más completas pero pueden causar falsos negativos, el plugin te permite administrar las reglas y desactivar aquellas que generen problemas

 

OK, entonces seguire tu tuto que esta muy bien detallado, ahora otra pregunta, el suhosin cuando se instala con el easyapache ya trae configuracion por defecto cierto, ahora si quiero modificar algo a donde voy ya que en el WHM no aparece que haya visto. Me explican por favor ?