Modsecurity - mówiąc w dużym uproszczeniu jest rodzajem firewalla, który analizuje i filtruje w czasie rzeczywistym ruch na serwerze www. Dzięki temu zagrożenia, które mogą zaszkodzić naszej stronie są natychmiast blokowane.
Reguły modsecurity są skonfigurowane na tyle optymalnie, by nie powodowały blokady podczas normalnej pracy i przeglądania strony. Czasem jednak może się zdarzyć taka sytuacja, że zablokowana zostanie jakaś podstrona np. w panelu zarządzania CMS lub sklepu. Objawia się to nagłym wystąpieniem błędu 403.
W takiej sytuacji możemy sprawdzić powód występowania takiego błędu analizując logi błędów swojej strony. Jeżeli przyczyną jest blokada modsecurity powinniśmy w nich odnaleźć wpis podobny do poniższego:
[Fri Jan 29 11:09:53.633644 2021] [:error] [pid 17219:tid 139703357511424] [client 1.2.3.4:49198] [client 1.2.3.4] ModSecurity: Access denied with code 403 (phase 2). Match of "contains cpanel" against "REQUEST_URI" required. [file "/usr/local/cwaf/rules/02_Global_Generic.conf"] [line "55"] [id "211190"] [rev "9"] [msg "COMODO WAF: Remote File Access Attempt||janek.linux.pl|F|2"] [data "Matched Data: /etc/ found within REQUEST_URI: /test.php?id=/etc/passwd"] [severity "CRITICAL"] [tag "CWAF"] [tag "Generic"] [hostname "janek.linux.pl"] [uri "/test.php"] [unique_id "YBPe8SZapoZWQVKzqVFUxAAAAGE"]
Przez pogrubienie zaznaczony został identyfikator reguły, która spowodowała blokadę. W konfiguracji modsecurity w panelu będziemy mogli wyłączyć tę regułę, dzięki czemu wyeliminujemy powstawanie błędu - oczywiście jeżeli jesteśmy pewni, że występuje on w wyniku błędnego działania tej reguły.
Aby przejść do ustawień aplikacji, należy zalogować się do panelu DirectAdmin i wybrać opcję „ModSecurity” w zakładce „Funkcje zaawansowane”.
W efekcie otworzy się okno ustawień firewalla.
Domyślnie aplikacja jest włączona, o czym możemy przekonać się w sekcji „ModSecurity status”. W każdej chwili można dezaktywować Modsecurity, jednak ze względów bezpieczeństwa nie jest to zalecane. Robi się to przełączając parametr „SecRuleEngine” na „Wyłączone” i zatwierdzając zmianę przyciskiem „Zapisz”. W analogiczny sposób można włączyć zabezpieczenie.
Sekcja „Wyłączone Reguły” pozwala wykluczyć z opcji firewalla reguły, które uważamy za niepożądane. Zwykle, gdy administrator nie ma dostępu do jakiejś części strony bezpośrednio przez przeglądarkę, w logach błędów zapisywane są informacje o przyczynie takiego stanu. Jeśli blokady dokonał Modsecurity, informacja o tym będzie zawarta w logu, wraz z numerem ID reguły - o czym pisaliśmy na wstępie. W tym miejscu można tę regułę zablokować, wprowadzając jej identyfikator (ID) w odpowiednie pole na tej stronie. Kliknięcie przycisku „Wyłącz regułę” zatwierdza wybór, zaś po zaznaczeniu reguły na liście wyświetla się przycisk „Usuń” można skasować zaznaczone wykluczenie.
Nad sekcją statusu znajduje się zakładka „Logi”, gdzie dostępny jest podgląd logów Modsecurity (tylko i wyłącznie generowanych przez tę aplikację), a także rozwijana lista oferująca możliwość zastosowania osobnych reguł firewalla względem istniejącej na serwerze subdomeny.