Ich habe gestern auf einem neuen Server modsecurity eingerichtet, zusammen mit ufw und fail2ban. Prima Sache - und laut Logs intensiv und erfolgreich genutzt.
Ich betreibe einen rein administrativen VirtualHost mit Anwendungen wie phpmyadmin, postfixadmin, monit etc. Beim Aufruf von phpmyadmin kam es zu vielen false-positives von modsecurity. Denen bin ich dann wie folgt zu Leibe gerückt:
# /etc/phpmyadmin/apache.conf Alias /mysecretalias /usr/share/phpmyadmin <Directory /usr/share/phpmyadmin> Options SymLinksIfOwnerMatch DirectoryIndex index.php <IfModule mod_authz_core.c> <IfModule mod_authn_file.c> AuthType Basic AuthName "Restricted Content" AuthUserFile /irgendwie/irgendwo/.irgendwas </IfModule> Require valid-user </IfModule> <IfModule security2_module> SecRuleRemoveById 950109 981172 981257 981245 981246 981243 981205 970903 981173 981318 981242 </IfModule>
Nachdem ich diese 11 Rules entfernt hatte, scheint phpmyadmin zu funktionieren (nicht auszuschließen, dass noch das eine oder andere Rule zusätzlich rausfliegen muss).
Jetzt zur Frage: Gehe ich das Problem so (also per phpmyadmin apache.conf) richtig an, oder gibt es bessere Wege? Kann jemand die hohe Zahl an false-positives bei phpmyadmin bestätigen? Postfixadmin z.B. scheint dagegen keinerlei Probleme zu verursachen.
Die 2. Frage: fail2ban überwacht derzeit ssh und diverse apache-jails (u.a. modsecurity). Vor Installation von modsecurity hatte ich unzählige Einträge wie folgt im access.log:
example.com:80 149.56.102.92 - - [20/Nov/2016:14:53:29 +0100] "PROPFIND /webdav/ HTTP/1.1" 302 451 "-" "WEBDAV Client"
Die IP wechselt im Minutentakt, viele IPs kommen aber nach 1-2 Stunden erneut. Manche 6 mal in 10 Stunden. Mit derzeitige Einstellungen für fail2ban (findtime = 600, maxretry = 2 für's modsecurity Jail) wird keine IP gebannt. Macht es hier Sinn, mit wesentlich längeren Einstellungen für findtime zu arbeiten, um das Rattenpack aus den Logs fern zu halten? Dies bläht die iptables Regeln natürlich auf, entlastet aber den Server von ungewünschten Aktivitäten.