Настройка модуля ModSecurity#
После установки модуля ModSecurity из пакета его необходимо настроить.
-
Чтобы включить установленный модуль в конфигурации, загрузите его с помощью директивы load_module:
/etc/angie/angie.conf#load_module modules/ngx_http_modsecurity_module.so;
-
Укажите директивы
modsecurityиmodsecurity_rules_fileв соответствующем контексте, напримерserver:/etc/angie/http.d/default.conf#server { modsecurity on; modsecurity_rules_file /etc/angie/modsecurity/rules.conf; # ... }
-
Скопируйте в каталог
/var/lib/angie/modsecurity/базовый набор правил OWASP для ModSecurity (CRS):$ cd /var/lib/angie/modsecurity/ $ sudo git clone -b v4.1.0 https://github.com/coreruleset/coreruleset
Совет
Уточните актуальный номер выпуска здесь: coreruleset/coreruleset
-
В каталоге с базовыми правилами скопируйте минимально необходимые примеры конфигурации ModSecurity:
$ sudo cp coreruleset/crs-setup.conf.example coreruleset/crs-setup.conf $ sudo cp coreruleset/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example \ coreruleset/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf $ sudo cp coreruleset/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example \ coreruleset/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
-
Раскомментируйте приведенные ниже директивы
Includeв файле/etc/angie/modsecurity/rules.conf:Include /var/lib/angie/modsecurity/coreruleset/crs-setup.conf Include /var/lib/angie/modsecurity/coreruleset/rules/*.conf
-
Перезагрузите конфигурацию Angie, чтобы изменения вступили в силу:
$ sudo angie -t && sudo service angie reload