Rôle Ansible : apache-modsecurity

Rôle Ansible pour installer et configurer Apache mod_security2 sur des distributions basées sur Ubuntu, Debian ou Red Hat.

Exigences

Aucune.

Variables du Rôle

Les variables les plus courantes sont listées ci-dessous, celles (principalement) immuables se trouvent dans defaults/main.yml et les paramètres recommandés dans var/main.yml. Ce dernier fichier est celui à modifier. Il existe également quelques modèles pour le fichier modsecurity.conf, un modèle minimal et un modèle recommandé par mod_security lui-même.

Le dossier de configuration d'Apache pour chaque distribution dans default/main.yml :

apache_conf_dir_debian: "/etc/apache2/conf-available"
apache_conf_dir_redhat: "/etc/httpd/conf.d"

Les paramètres dans var/main.yml :

Activer mod_security en mode de détection uniquement, vous devriez changer cela à "On" une fois que vous êtes sûr que tout fonctionne comme prévu :

SecRuleEngine: DetectionOnly

Règles de requête :

SecRequestBodyAccess: On
SecRequestBodyLimit: 13107200
SecRequestBodyNoFilesLimit: 131072
SecRequestBodyInMemoryLimit: 131072
SecRequestBodyLimitAction: Reject
SecResponseBodyAccess: On
SecResponseBodyMimeType: "text/plain text/html text/xml"
SecResponseBodyLimit: 524288
SecResponseBodyLimitAction: ProcessPartial

Dossiers de stockage de données temporaires et permanentes :

SecTmpDir: /tmp/
SecDataDir: /tmp/

Paramètres de journal :

SecAuditEngine: RelevantOnly
SecAuditLogParts: ABIJDEFHZ
SecAuditLogType: Serial
SecAuditLog: /var/log/modsec_audit.log

Partager l'état avec les développeurs de mod_security :

SecStatusEngine: On

Dépendances

Apache doit être installé. Rôle suggéré :

geerlingguy.apache

Pour Red Hat et CentOS, le dépôt EPEL est nécessaire :

geerlingguy.epel

Exemple de Playbook

- hosts: all
  roles:
    - leogallego.apache-modsecurity

Licence

GPLv3

Informations sur l'Auteur

Par Leonardo Gallego pour Debian et Red Hat, basé sur le travail d'Apollo Clark.