Rola Ansible: apache-modsecurity

Rola Ansible do instalacji i konfiguracji Apache mod_security2 na systemach Ubuntu, Debian lub opartych na Red Hat.

Wymagania

Brak.

Zmienne roli

Najczęściej używane zmienne są wymienione poniżej. Te, które (głównie) są niezmienne, znajdują się w defaults/main.yml, a zalecane ustawienia w var/main.yml. Ten ostatni plik powinien być edytowany. Istnieją również szablony dla pliku modsecurity.conf, jeden minimalny i jeden zalecany przez mod_security.

Folder z konfiguracją Apache dla każdej dystrybucji według default/main.yml:

apache_conf_dir_debian: "/etc/apache2/conf-available"
apache_conf_dir_redhat: "/etc/httpd/conf.d"

Ustawienia w var/main.yml:

Włącz mod_security w trybie tylko do wykrywania. Powinieneś zmienić to na Włączone, gdy upewnisz się, że wszystko działa zgodnie z zamierzeniem:

SecRuleEngine: DetectionOnly

Reguły żądań:

SecRequestBodyAccess: On
SecRequestBodyLimit: 13107200
SecRequestBodyNoFilesLimit: 131072
SecRequestBodyInMemoryLimit: 131072
SecRequestBodyLimitAction: Reject
SecResponseBodyAccess: On
SecResponseBodyMimeType: "text/plain text/html text/xml"
SecResponseBodyLimit: 524288
SecResponseBodyLimitAction: ProcessPartial

Tymczasowe i stałe magazyny danych:

SecTmpDir: /tmp/
SecDataDir: /tmp/

Ustawienia logów:

SecAuditEngine: RelevantOnly
SecAuditLogParts: ABIJDEFHZ
SecAuditLogType: Serial
SecAuditLog: /var/log/modsec_audit.log

Udostępnij status deweloperom mod_security:

SecStatusEngine: On

Zależności

Musisz mieć zainstalowany Apache. Zalecana rola:

geerlingguy.apache

Dla Red Hat i CentOS niezbędne jest repozytorium EPEL:

geerlingguy.epel

Przykład Playbooka

- hosts: all
  roles:
    - leogallego.apache-modsecurity

Licencja

GPLv3

Informacje o autorze

Autor: Leonardo Gallego dla Debiana i Red Hat, na podstawie pracy Apollo Clark.