Panduan Install ModSecurity pakai Rules GotRoot Atomicorp

Kali ini kami akan memberikan panduan cara melakukan install ModSecuritypada Apache menggunakan Rules dari GotRoot atau Atomicorp. Rules GotRoot atau Atomicorps adalah solusi dan alternatif cukup baik untuk mengamankan server dari berbagai serangan.

ModSecurity sendiri adalah salah satu aplikasi firewall dalam server untuk mendeteksi dan mengamankan aplikasi yang berbasisweb dimana beroperasi pada webserver Apache yang dengan tujuan meningkatkan keamanan pada web based application dari serangan yang sudah diprediksi dan serangan yang belum diprediksi. ModSecurity ini beroperasi sebagai modul pada apache webserver, yang saat ini cukup ideal sebagai pendeteksi dalam menghadapi serangan pada web services yang sering berisi POST data yang mengandung isian SOAP cukup berbahaya. Berikut ini panduan instalasinya.

Default Path instalasi untuk ModSecurity GotRoot adalah /usr/local/apache/conf/ dimana file dari rules tersebut akan ditempatkan disini.

Sebelum memproses ini, pastikan terlebih dahulu bahwa server Apache Anda sudah terinstal ModSecurity terbaru. Untuk informasi dan download terbaru bisa langsung ke websitenya di www.modsecurity.org

Ketik: cd /usr/local/apache/conf/

Download file update terbaru dari GotRoot/Atomicorp di http://updates.atomicorp.com/channels/rules/delayed/

Ketik: wget http://updates.atomicorp.com/channels/rules/delayed/modsec-2.5-free-latest.tar.gz

Ekstrak file tersebut, ketik: tar -zxvf modsec-2.5-free-latest.tar.gz
Sehingga menghasilkan folder baru yakni modsec, /usr/local/apache/conf/modsec/

Buat beberapa direktory baru dengan mengubah owner serta melakukan chmod sbb:

mkdir /var/asl
mkdir /var/asl/data/
mkdir /var/asl/data/msa
mkdir /var/asl/data/audit
mkdir /var/asl/data/suspicious
chown nobody.nobody /var/asl/data/msa
chown nobody.nobody /var/asl/data/audit
chown nobody.nobody /var/asl/data/suspicious
chmod o-rx -R /var/asl/data/*
chmod ug+rwx -R /var/asl/data/*

Untuk 2 file dari hasil download diatas yakni 00_asl_whitelist.conf dan 00_asl_rbl.conf menyebabkan konflik pada ModSec Apache, sehingga harus diubah isian rulesnya sebagai berikut:

Ketik: nano /usr/local/apache/conf/modsec/00_asl_whitelist.conf

Cari:
SecRule REMOTE_ADDR “@pmFromFile /etc/asl/whitelist” “phase:1,t:none,nolog,allow,ctl:ruleEngine=Off,ctl:auditEngine=Off”
Ubah menjadi:
SecRule REMOTE_ADDR “@pmFromFile whitelist.txt” “phase:1,t:none,nolog,allow,ctl:ruleEngine=Off,ctl:auditEngine=Off”

Ketik: nano /usr/local/apache/conf/modsec/00_asl_rbl.conf

Cari:
SecRule REMOTE_ADDR “@pmFromFile /etc/asl/whitelist” phase:1,pass,t:none,nolog,skipAfter:END_RBL
Ubah menjadi:
SecRule REMOTE_ADDR “@pmFromFile whitelist.txt” phase:1,pass,t:none,nolog,skipAfter:END_RBL

Selanjutnya Buka Mod Security melalui WHM atau edit melalui file di:
nano usr/local/apache/conf/modsec2.user.conf

Isikan kode baris berikut ini seluruhnya:

SecPcreMatchLimit 50000
SecPcreMatchLimitRecursion 50000
SecRequestBodyAccess On
SecResponseBodyAccess On
SecResponseBodyMimeType (null) text/html text/plain text/xml
SecResponseBodyLimit 20621440
SecServerSignature Apache
SecUploadDir /var/asl/data/suspicious
SecUploadKeepFiles Off
SecAuditLogParts ABIFHZ
SecArgumentSeparator “&”
SecCookieFormat 0
SecRequestBodyLimit 20621440
SecRequestBodyInMemoryLimit 2062144
SecDataDir /var/asl/data/msa
SecTmpDir /tmp
SecAuditLogStorageDir /var/asl/data/audit
SecResponseBodyLimitAction ProcessPartial
# ASL/GOTROOT Rules
Include /usr/local/apache/conf/modsec/*asl*.conf

Sebelum proses akhir yakni restart apache, kita lakukan pengecekan konfigurasi dengan perintah:

service httpd configtest

Jika normal “Syntax OK” maka lakukan restart Apache dengan perintah:

service httpd restart

Sekian! Server anda sudah berhasil diamankan menggunakan rules Mod Security dari GotRoot/Atomicorp

Apabila ada error dalam proses instalasi mod security ini, silahkan berikan komentar, maka kami akan memberikan solusi perbaikan untuk Anda.

Leave a Reply

Your email address will not be published. Required fields are marked *