Ansible Rolle: apache-modsecurity

Ansible Rolle zum Installieren und Konfigurieren von Apache mod_security2 auf Ubuntu, Debian oder Red Hat basierten Distributionen.

Anforderungen

Keine.

Rollenvariablen

Die häufigsten Variablen sind unten aufgeführt. Die (meist) unveränderlichen Variablen befinden sich in defaults/main.yml und die empfohlenen Einstellungen in var/main.yml. Letztere Datei ist die, die du bearbeiten solltest. Es gibt auch ein paar Vorlagen für die Datei modsecurity.conf, eine minimale und eine, die von mod_security selbst empfohlen wird.

Der Apache-Konfigurationsordner für jede Distribution laut default/main.yml:

apache_conf_dir_debian: "/etc/apache2/conf-available"
apache_conf_dir_redhat: "/etc/httpd/conf.d"

Die Einstellungen in var/main.yml:

Aktiviere mod_security nur im Erkennungsmodus. Du solltest dies auf "On" ändern, sobald du sicher bist, dass alles wie gewünscht funktioniert:

SecRuleEngine: DetectionOnly

Anforderungsregeln:

SecRequestBodyAccess: On
SecRequestBodyLimit: 13107200
SecRequestBodyNoFilesLimit: 131072
SecRequestBodyInMemoryLimit: 131072
SecRequestBodyLimitAction: Reject
SecResponseBodyAccess: On
SecResponseBodyMimeType: "text/plain text/html text/xml"
SecResponseBodyLimit: 524288
SecResponseBodyLimitAction: ProcessPartial

Temporäre und permanente Datenspeicher:

SecTmpDir: /tmp/
SecDataDir: /tmp/

Protokollierungseinstellungen:

SecAuditEngine: RelevantOnly
SecAuditLogParts: ABIJDEFHZ
SecAuditLogType: Serial
SecAuditLog: /var/log/modsec_audit.log

Status mit den Entwicklern von mod_security teilen:

SecStatusEngine: On

Abhängigkeiten

Apache muss installiert sein. Vorgeschlagene Rolle:

geerlingguy.apache

Für Red Hat und CentOS ist das EPEL-Repository notwendig:

geerlingguy.epel

Beispiel-Playbook

- hosts: all
  roles:
    - leogallego.apache-modsecurity

Lizenz

GPLv3

Autoreninformation

Von Leonardo Gallego für Debian und Red Hat, basierend auf der Arbeit von Apollo Clark.