No registrar errores 401 en logs de mod Security

En una configuración por defecto de mod Security, automáticamente se registrar los errores HTTP 401 Unauthorized (No autorizado) en los logs. Esto es debido a la configuración de la directiva SecAuditLogRelevantStatus. SecAuditLogRelevantStatus especifica qué códigos de respuesta HTTP son considerados relevantes para mod Security, y por consiguiente quedarán registrados en sus logs de auditoría. Esta Seguir leyendo


ModSecurity: No action id present within the rule

Antiguamente, ModSecurity permitía establecer políticas de whitelist de forma muy sencilla con la directiva REMOTE_ADDR: SecRule REMOTE_ADDR «^127.0.0.1$» nolog,allow En las versiones actuales de ModSecurity, si establecemos esta regla y ejecutamos un configtest de Apache (o reiniciamos el servicio si somos valientes…) recibiremos el siguiente error de configuración: Syntax error on line 30 of /etc/httpd/conf.d/mod_security.conf: Seguir leyendo


Consola web centralizada para eventos de ModSecurity

Normalmente, la gestión de eventos se realiza revisando directamente los eventos que se registran en el propio log de ModSecurity. Cuando tenemos un único servidor web normalmente es suficiente pero cuando el número comienza a crecer la gestión centralizada es sin duda la mejor opción. En este punto es cuando comencé a buscar una consola Seguir leyendo


Deshabilitar mod_security por virtualhost, location, reglas, IP…

ModSecurity es un excelente módulo de Apache que actua a modo de firewall de aplicaciones Web y que provee protección contra ataques, permite monitorizar el tráfico HTTP y realizar análisis en tiempo real. Hace ya 7 años que publiqué una guía de instalación que en principio todavía es válida así que podéis echarle un vistazo. Seguir leyendo