Linux Log Analizi — ModSecurity Kurulumu

kaleileriteknoloji
1 min readSep 3, 2021

--

Bu yazımızda ModSecurity kurulumunu ele alacağız.

ModSecurity’i yüklemek için aşağıdaki komutları terminalde sıra ile çalıştırıyoruz:

#apt install libapache2-mod-security2

Modsecurity konfigürasyon dosyasını kopyalayalım:

#cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf

Git kuralım:

#apt install git

ModSecurity kurallarını indirelim:

#git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

#cd ~/owasp-modsecurity-crs

Konfigürasyon dosyası ve kuralları ModSecurity ayar dizinine kopyalayalım:

#mv crs-setup.conf.example /etc/modsecurity/crs-setup.conf

#mv rules/ /etc/modsecurity/

/etc/apache2/mods-available/security2.conf dosyasının içeriğini aşağıdaki şekilde düzenliyoruz:

<IfModule security2_module>

# Default Debian dir for modsecurity’s persistent data

SecDataDir /var/cache/modsecurity

# Include all the *.conf files in /etc/modsecurity.

# Keeping your local configuration in that directory

# will allow for an easy upgrade of THIS file and

# make your life easier

IncludeOptional /etc/modsecurity/*.conf

Include /etc/modsecurity/rules/*.conf

</IfModule>

Daha sonra Apache servisini yeniden başlatıyoruz.

#systemctl restart apache2

SQL Injection’I aşağıdaki görseldeki gibi test edelim:

Logu aşağıdaki şekilde inceleyelim:

#tail –f /var/log/apache2/error.log

SQL injection denemesinde ‘ or ‘1=1 payloadu kullanıldığı ve isteğin 10.10.10.1 IP adresinden yapıldığı tespit edilmiştir.

--

--