Настройка модуля ModSecurity#

После установки модуля ModSecurity из пакета его необходимо настроить.

  1. Чтобы включить установленный модуль в конфигурации, загрузите его с помощью директивы load_module:

    /etc/angie/angie.conf#
    load_module modules/ngx_http_modsecurity_module.so;
    
  2. Укажите директивы modsecurity и modsecurity_rules_file в соответствующем контексте, например server:

    /etc/angie/http.d/default.conf#
    server {
        modsecurity on;
        modsecurity_rules_file /etc/angie/modsecurity/rules.conf;
        # ...
    }
    
  3. Скопируйте в каталог /var/lib/angie/modsecurity/ базовый набор правил OWASP для ModSecurity (CRS):

    $ cd /var/lib/angie/modsecurity/
    $ sudo git clone -b v4.1.0 https://github.com/coreruleset/coreruleset
    

    Совет

    Уточните актуальный номер выпуска здесь: coreruleset/coreruleset

  4. В каталоге с базовыми правилами скопируйте минимально необходимые примеры конфигурации ModSecurity:

    $ sudo cp coreruleset/crs-setup.conf.example coreruleset/crs-setup.conf
    $ sudo cp coreruleset/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example \
          coreruleset/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
    $ sudo cp coreruleset/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example \
          coreruleset/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
    
  5. Раскомментируйте приведенные ниже директивы Include в файле /etc/angie/modsecurity/rules.conf:

    Include /var/lib/angie/modsecurity/coreruleset/crs-setup.conf
    Include /var/lib/angie/modsecurity/coreruleset/rules/*.conf
    
  6. Перезагрузите конфигурацию Angie, чтобы изменения вступили в силу:

    $ sudo angie -t && sudo service angie reload