Por que o ModSecurity não consegue acessar o diretório de dados?

2

Atualização Acho que resolvemos isso; o problema parece ter sido o resultado do diretório / modsec_storage ter um valor incorreto para o tipo de contexto do SELinux.

No entanto, ainda não temos certeza, porque, apesar de eu ter alterado o valor do tipo de contexto do SELinux, o Apache conseguiu criar arquivos nesse diretório para as coleções global e ip (global.dir / global.pag e ip.dir /ip.pag), os novos arquivos ainda têm zero bytes.

Sou novo no ModSecurity e não tenho certeza se os arquivos estão vazios porque algo está errado com a configuração ou se o ModSecurity simplesmente determinou que não precisa armazenar os endereços IP persistentemente após o término de cada transação.

Alguém capaz de oferecer orientação aqui?

Instalei recentemente o ModSecurity (v2.5.12 / CRS v2.0.8) em nosso servidor de produção e tudo funciona muito bem, exceto por esses erros que ele continua gravando no log de erros do Apache:

Failed to access DBM file "/modsec_storage/global": Permission denied [hostname "www.internationalstudent.com"] [uri "/includes/soc_bookmarks/images/delicious.png"] [unique_id "LZ6jc38AAAEAAFO6408AAABO"]
Failed to access DBM file "/modsec_storage/ip": Permission denied [hostname "www.internationalstudent.com"] [uri "/includes/soc_bookmarks/images/delicious.png"] [unique_id "LZ6jc38AAAEAAFO6408AAABO"]

Após seguir as instruções para configurações de permissão de arquivo no manual do ModSecurity por Ivan Ristic, sem sucesso, criei um diretório / modsec_storage, defina o proprietário & grupo para o apache e defina as permissões para o diretório recursivamente para 777.

No entanto, o ModSecurity ainda está relatando os mesmos erros de permissão, então estou perplexo. Alguém pode me dizer como consertar isso?

    
por tommytwoeyes 13.10.2010 / 18:59

1 resposta

1

Experimente setenforce 0

É bem possível que seja um problema do SELinux, caso em que acredito que você precise atribuir um contexto httpd à pasta. Se o acima corrigir você pode tentar:

chcon -R system_u:object_r:httpd_sys_content_t /modsec_storage

A pasta modesec_storage está na sua pasta raiz?

    
por 13.10.2010 / 23:16