可选值如下:
0 - 使用version 0 (Netscape) cookies,这是大部分应用使用的,也是默认值 1 - 使用version 1 cookies
八、配置指令(五)
SecDataDir
描述:指定连续数据(如ip地址数据,session数据等)存储的路径 语法:SecDataDir /path/to/dir
示例:SecDataDir /usr/local/apache/logs/data 阶段:N/A 范围:Main
备注:initcol、setsid和setuid需要用到这个指令,必须让服务器用户对这个目录可写
SecDebugLog
描述:指定ModSecurity调试日志文件的路径 语法:SecDebugLog /path/to/modsec-debug.log
示例:SecDebugLog /usr/local/apache/logs/modsec-debug.log 阶段:N/A 范围:Any 版本:2.0.0 备注:None
SecDebugLogLevel
描述:配置冗长的调试日志数据
语法:SecDebugLogLevel 0|1|2|3|4|5|6|7|8|9 示例:SecDebugLogLevel 4 阶段:N/A 范围:Any 版本:2.0.0
备注:1~3级别一直用于产生apache的错误日志,因为你可以在产品中一直使用0级别做为默认的日志级别,级别5用于调试,不建议在产品中使用这么高级别的日志,过度的日志记录会显著服务器的性能。
可用的值如下: 0 - 不记录.
1 - 仅仅错误日志(拦截请求) 2 - 警告
3 - 注意
4 - 事务控制的细节
5 - 同上,但包含每一个信息控制的信息 9 - 记录所有,包括每一个调试细节信息
九、配置指令(六)
SecDefaultAction
描述:定义匹配规则后的默认动作
语法:SecDefaultAction action1,action2,action3
示例:SecDefaultAction log,auditlog,deny,status:403,phase:2 阶段:Any 范围:Any 版本:2.0.0
备注:SecDefaultAction指令后的规则都继承这一设置,除非为某条规则指定了一个特定的动作,或者指定了新的SecDefaultAction。特别注意到,未经处理的disruptive动作是不允许的,但是在SecDefautlAction中一不小心就会继承了使用disruptive动作。
默认值勤是minimal(和以前的版本不同) SecDefaultAction phase:2,log,auditlog,pass 注意:
SecDefaultAction必须指定一个disruptive动作和处理阶段,而且不能包含元数据动作。 警告:
SecDefaultAction不继承交叉配置的内容。(举个例子,这或许让你感到疑惑,请阅读ModSecurity Blog条目:http://blog.modsecurity.org/2008/07/modsecurity-tri.html)。
SecGeoLookupDb
描述:定义地理数据文件路径
语法:SecGeoLookupDb /path/to/db
示例:SecGeoLookupDb /usr/local/geo/data/GeoLiteCity.dat 阶段:N/A 范围:Any 版本:2.5.0
备注:从maxmind.com提取的免费数据文件
SecGuardianLog
描述:配置使用httpd-guardian脚本来监视拒绝服务攻击(DoS)的指令 语法:SecGuardianLog |/path/to/httpd-guardian
示例:SecGuardianLog |/usr/local/apache/bin/httpd-guardian 阶段:N/A 范围:Main 版本:2.0.0
备注:使用默认的httpd-guardian可以防止客户端在1分钟内请求120次或5分钟内请求360次。
从1.9版本后,ModSecurity支持一个新的指令,SecGuardianLog,设计此指令用于把所有允许数据通过管理日志功能发送到另一个程序。自从apache部署成典型的多进程方式,信息共享变得困难了,这一想法就是部署一个独立的外部进程使用状态机的方式去观察所有的请求,提供额外的保护。
随着ModSecurity发布,开发一个先进的外部保护工具将是一个重点。然而一个完整功能的工具已经可以做为apache httpd工具项目的一部分,工具名为httpd-guardian,它能用于防御DoS,使用黑名单列表(同一个项目中)和基于iptables(linux)或者基于pf(*BSD)的防火墙协同工作,动态的过滤黑名单中的恶意IP地址。也可以和SnortSam协同工作(http://www.snortsam.net)。如果已经配置过httpd-guardian(具体介绍请查看源代码)你只需要在apache配置中添加一行就可以部署它: SecGuardianLog |/path/to/httpd-guardian
SecMarker
描述:在规则集中增加一个固定规则marker,可用于skipAfter动作。SecMarker指令本质上是创建了一条规则,这条规则什么也不做,其目的只是占用一个ID号 语法:SecMarker ID 示例:SecMarker 9999 阶段:Any 范围:Any 版本:2.5.0 备注:None
SecRule REQUEST_URI \
\SecRule REMOTE_ADDR \SecRule REQUEST_HEADERS:User-Agent \\
\ SecRule &REQUEST_HEADERS:Host \
\SecRule &REQUEST_HEADERS:Accept \
\
SecMarker 99
十、配置指令(七)
SecPdfProtect
描述:启用PDF XSS保护功能,一量启用访问PDF文件的跟踪,直接访问尝试被转到包含一次性令牌的链接,只有提供有效令牌的请被无条件允许,无效令牌的请求也被允许,但被强制下载PDF文件。本实现用响应头去检测PDF文件,因此可以对一些URI请求中不含有.pdf扩展名却能动态生成PDF文件。 语法:SecPdfProtect On|Off 示例:SecPdfProtect On 阶段:N/A 范围:Any 版本:2.5.0 备注:None
SecPdfProtectMethod
描述:配置理想的保护方法用于请求的PDF文件进行保护。可有的选项有TokenRedirection和ForcedDownload。令牌重定向方式会尝试转到可有的令牌上,这允许PDF文件仍旧能使用内联方式打开,但仅用于GET请求方式。强制下载总是导致PDF文件使用二进制或附件方式传递,后者常用于非GET请求,强制下载方式被认为更安全,但对用户来说可能会导致可用性问题(\这个PDF无法再打开了\)。 语法:SecPdfProtectMethod method
示例:SecPdfProtectMethod TokenRedirection 阶段:N/A 范围:Any 版本:2.5.0 备注:None
默认:TokenRedirection
SecPdfProtectSecret
描述:定义用于产生一次性令牌的密钥,你应该设置一个足够长的串作为密钥(16个字符较好),一旦定下密钥,最好不要修改可能会破坏修改前发出的令牌。但即使你修改了也不是大问题,导致过去的几秒钟变成使用令牌强制下载PDF文件。 语法:SecPdfProtectSecret secret
示例:SecPdfProtectSecret MyRandomSecretString 阶段:N/A 范围:Any 版本:2.5.0 备注:None
SecPdfProtectTimeout
描述:定义令牌超时,令牌过期后,不能再用于允许访问PDF文件,请求仍旧被允许,但PDF文件会以附件方式传送。
语法:SecPdfProtectTimeout timeout 示例:SecPdfProtectTimeout 10 阶段:N/A 范围:Any 版本:2.5.0 备注:None 默认:10
SecPdfProtectTokenName
描述:定义令牌名,你想改变令牌的名字的唯一原因应是你想隐藏你正使用ModSecurity这一事实,这是一个好的理由,但这并不能提供帮助,因为敌人能找到保护PDF的算法并能计算出来,这树立了新的标志,所以如果你想就去试吧。
语法:SecPdfProtectTokenName name 示例:SecPdfProtectTokenName PDFTOKEN 阶段:N/A 范围:Any 版本:2.5.0 备注:None 默认:PDFTOKEN
十一、配置指令(八)
SecRequestBodyAccess
描述:配置是否让ModSecurity默认处理或缓冲请求体 语法:SecRequestBodyAccess On|Off 示例:SecRequestBodyAccess On 阶段:N/A 范围:Any 版本:2.0.0
备注:如果你计划检查POST_PAYLOAD就使用这个指令,这个指令必须和\处理阶段动作和REQUEST_BODY变量/位置一起使用,这三部分任一一个没有配置,你就无法检查请求体。
可选值有: On - 访问请求体 Off - 不尝试访问请求体
SecRequestBodyLimit