mod_security problema de configuração: Erro ao analisar ações: ação desconhecida: ver

1

Estou tentando instalar / configurar o mod-sec usando este tutorial , que usa o Conjunto de Regras Principais do ModSecurity do OWASP. No entanto, quando vou reiniciar o apache, recebo o seguinte erro:

Syntax error on line 53 of /etc/modsecurity/base_rules/modsecurity_crs_20_protocol_violations.conf:
Error parsing actions: Unknown action: ver
Action 'configtest' failed.
The Apache error log may have more information.
...fail!

Este é o bloco de código com o qual está tendo problemas: (especificamente ver:'OWASP_CRS/2.2.9',\ )

SecRule REQUEST_LINE "!^(?i:(?:[a-z]{3,10}\s+(?:\w{3,7}?://[\w\-\./]*(?::\d+)?)?/[^?#]*(?:\?[^#\s]*)?(?:#[\S]*)?|connect (?:\d{1,3}\.){3}\d{1,3}\.?(?::\d+)?|options \*)\s+[\w\./]+|get /[^?#]*(?:\?[^#\s]*)?(?:#[\S]*)?)$"\
  "msg:'Invalid HTTP Request Line',\
  severity:'4',\
  id:'960911',\
  ver:'OWASP_CRS/2.2.9',\
  rev:'2',\
  maturity:'9',\
  accuracy:'9',\
  logdata:'%{request_line}',\
  phase:1,\
  block,\
  t:none,\
  tag:'OWASP_CRS/PROTOCOL_VIOLATION/INVALID_REQ',\
  tag:'CAPEC-272',\
  setvar:'tx.msg=%{rule.msg}',\
  setvar:tx.anomaly_score=+%{tx.notice_anomaly_score},\
  setvar:'tx.%{rule.id}-OWASP_CRS/PROTOCOL_VIOLATION/INVALID_REQ-%{matched_var_name}=%{matched_var}'"

Eu instalei modsec Version: 2.6.3-1ubuntu0.2 , então acredito que deva funcionar com o OWASP ModSecurity Core Rule Set

Alguma idéia de como fazê-lo funcionar? Obrigado antecipadamente!

    
por Bob Flemming 07.01.2014 / 13:50

2 respostas

3

Pesquisando a sua mensagem de erro, encontrei este

...

Now apache fails to start: Sep 30 15:30:14 mydomain httpd[2377]: Syntax error on line 52 of /etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_20_protocol_violations.conf: Sep 30 15:30:14 mydomain httpd[2377]: Error parsing actions: Unknown action: ver

e a resposta é

This is my bad... CRS v2.2.6 uses some new actions from ModSecurity v2.7.0 -

  • ver
  • maturity
  • accuracy

Parece que o CRS que você está usando é muito novo para a versão do mod_security que você instalou. Você precisará atualizar para uma versão posterior do mod_security ou encontrar uma versão mais antiga do CRS.

    
por 07.01.2014 / 14:55
3

O conjunto de regras OWASP foi atualizado para exigir modsecurity > = 2.7.

Existe um script de downgrade no util / rule-management pasta que pode fazer o downgrade automático dos conjuntos de regras para ser compatível com 2.6.

Para fazer o downgrade de suas regras ativadas, basta executar este comando no diretório de regras (requer perl):

perl <PATH_TO_OWASP_RULESET_TGZ>/SpiderLabs-owasp-modsecurity-crs-ebe8790/util/rule-management/remove-2.7-actions.pl -t 2.6 -f .
    
por 06.10.2014 / 10:04