Ansible ロール: apache-modsecurity

Ubuntu、Debian、またはRed HatベースのディストリビューションにApache mod_security2をインストールして設定するためのAnsibleロールです。

要件

特になし。

ロール変数

最も一般的な変数は以下に示されています。変更しない方が良い変数は defaults/main.yml にあり、推奨設定は var/main.yml にあります。この最後のファイルを編集することになります。また、modsecurity.confファイルのためのテンプレートがいくつかあり、ミニマルなものとmod_security自体が推奨するものがあります。

各ディストリビューションのApache設定フォルダーは default/main.yml にあります：

apache_conf_dir_debian: "/etc/apache2/conf-available"
apache_conf_dir_redhat: "/etc/httpd/conf.d"

var/main.ymlの設定：

検出モードのみでmod_securityを有効にします。すべてが意図した通りに動作していることが確認できるまで、これをOnに変更しないでください：

SecRuleEngine: DetectionOnly

リクエストルール：

SecRequestBodyAccess: On
SecRequestBodyLimit: 13107200
SecRequestBodyNoFilesLimit: 131072
SecRequestBodyInMemoryLimit: 131072
SecRequestBodyLimitAction: Reject
SecResponseBodyAccess: On
SecResponseBodyMimeType: "text/plain text/html text/xml"
SecResponseBodyLimit: 524288
SecResponseBodyLimitAction: ProcessPartial

一時的および永続的なデータストア：

SecTmpDir: /tmp/
SecDataDir: /tmp/

ログ設定：

SecAuditEngine: RelevantOnly
SecAuditLogParts: ABIJDEFHZ
SecAuditLogType: Serial
SecAuditLog: /var/log/modsec_audit.log

mod_securityの開発者にステータスを共有：

SecStatusEngine: On

依存関係

Apacheがインストールされている必要があります。推奨されるロール：

geerlingguy.apache

Red HatおよびCentOSの場合、EPELリポジトリが必要です：

geerlingguy.epel

例プレイブック

- hosts: all
  roles:
    - leogallego.apache-modsecurity

ライセンス

GPLv3

著者情報

Leonardo GallegoによるDebianおよびRed Hat向け、Apollo Clarkの作業を基にしています。