apache_modsecurity
Ansible Роль: apache-modsecurity
Ansible роль для установки и настройки Apache mod_security2 на дистрибутивах Ubuntu, Debian или Red Hat.
Требования
Без требований.
Переменные роли
Наиболее распространенные переменные перечислены ниже, (в основном) неизменяемые находятся в defaults/main.yml, а рекомендованные настройки - в var/main.yml. Этот последний файл нужно редактировать. Также есть несколько шаблонов для файла modsecurity.conf, минимальный и рекомендованный самим mod_security.
Папка конфигурации Apache для каждого дистрибутива указана в default/main.yml:
apache_conf_dir_debian: "/etc/apache2/conf-available"
apache_conf_dir_redhat: "/etc/httpd/conf.d"
Настройки в var/main.yml:
Включите mod_security в режиме только для обнаружения, вы должны изменить это на On, когда убедитесь, что все работает как задумано:
SecRuleEngine: DetectionOnly
Правила запросов:
SecRequestBodyAccess: On
SecRequestBodyLimit: 13107200
SecRequestBodyNoFilesLimit: 131072
SecRequestBodyInMemoryLimit: 131072
SecRequestBodyLimitAction: Reject
SecResponseBodyAccess: On
SecResponseBodyMimeType: "text/plain text/html text/xml"
SecResponseBodyLimit: 524288
SecResponseBodyLimitAction: ProcessPartial
Временные и постоянные хранилища данных:
SecTmpDir: /tmp/
SecDataDir: /tmp/
Настройки логирования:
SecAuditEngine: RelevantOnly
SecAuditLogParts: ABIJDEFHZ
SecAuditLogType: Serial
SecAuditLog: /var/log/modsec_audit.log
Делиться статусом с разработчиками mod_security:
SecStatusEngine: On
Зависимости
Необходимо установить Apache. Рекомендуемая роль:
geerlingguy.apache
Для Red Hat и CentOS необходим репозиторий EPEL:
geerlingguy.epel
Пример плейбука
- hosts: all
roles:
- leogallego.apache-modsecurity
Лицензия
GPLv3
Информация об авторе
Автор: Леонардо Гальего для Debian и Red Hat, на основе работы Аполло Кларка.
Install and configure Apache mod_security2 module
ansible-galaxy install leogallego/ansible-role-apache-modsecurity