Mod Security 2.2.7 problem OpenSUSE 13.1

Hinweis: In dem Thema Mod Security 2.2.7 problem OpenSUSE 13.1 gibt es 8 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.

    hallo ;)


    ich hab hier ein problem mit dem neusten mod security 2.2.7


    es laeuft hier auf opensuse 13.1 mit apache 2.4.6


    und zwar will ich das modsecurity_crs_11_slow_dos_protection.conf zum laufen bringen, aus den experimental rule set von OWASP ModSecurity Core Rule Set (CRS)


    mod security laeuft soweit echt ohne probleme ich bringe nur die slow_dos_protection nicht zum laufen.


    aktiviere ich diese rule dann werde ich einfach von mod security geblocked!


    Code
    [Fri Mar 21 17:23:04.018323 2014] [:warn] [pid 29457] ModSecurity: Access denied with code 400. Too many threads [150] of 100 allowed in READ state from 91.22.223.123 - Possible DoS C
onsumption Attack [Rejected]


    und ich bin mir zu 1000% sicher dass ich da keine 150 threads im read state habe.


    der apache server-status zeigt mir gerade mal 5 thread an ... also irgendwas stimmt da einfach nicht.


    in der slow dos rule von mod security steht SecReadStateLimit 100


    mod security will ja auch seine collections, also daten speichern, was man via SecDataDir angibt


    SecDataDir /tmp


    in der modsecurity.conf


    hab ich alles gemacht, nur will apache / mod security die dateien ip/global einfach nicht in ordner /tmp erstellen nach einen rcapache2 restart


    und jetzt denke ich mit halt, dass mod security halt keine daten erstellen kann und ich deshalb einfach geblocked werde??


    ich verstehe das echt nicht?


    ich hab noch 2 andere suse kisten am laufen und dort funktioniert des einfach ohne probleme ...


    wenn mir jemand bei suse 13.1 helfen koennte dann waere des echt cool ;)


    ich sag jetzt schon mal danke und freue mich ueber jeder hilfe!


    greetings
    becki


    p.s. https://forums.opensuse.org/sh…2-7-problem-OpenSUSE-13-1
    p.s.s. https://forums.opensuse.org/sh…ty-2-2-7-on-opensuse-13-1

    Konsolenasugaben bitte in Code-Tags, siehe meine Signatur

    2 Mal editiert, zuletzt von becki ()

    Für den Inhalt des Beitrages 66044 haftet ausdrücklich der jeweilige Autor: becki

    naja ... es muss ja nicht folder /tmp sein. ich hab des auch schon mit nen anderen folder, z.b. /var/log/apache2/modsec probiert. auf diesen folder hat dann nur der wwwrun zugriff ...


    aber du meinst ich sollte besser iptables dafuer nehmen?


    dennoch wuerde mich interessieren warum mod security die collections ip.dir / global.dir bei nen apache restart nicht erstellen kann?


    hast du ne ahnung?


    danke :)

    Für den Inhalt des Beitrages 66050 haftet ausdrücklich der jeweilige Autor: becki

    So nebenbei: Die mindeste Nettigkeit wäre es, dass Thema in den unterschiedlichen Foren gegenseitig zu verknüpfen, darauf hinzuweisen wo das Thema überall erstellt wurde. Hole das also nach.

    Für den Inhalt des Beitrages 66051 haftet ausdrücklich der jeweilige Autor: tomfa-ng

    Der Indianer ist sehr heikel mit Dateirechten.
    Zu recht.


    Mit "systemd", was unter 13.1 jetzt alles regelt, und mit dem schon länger andauernden Bestreben von openSUSE voll der LSB zu entsprechen, und damit auch dem FHS, ändert sich halt sowohl an der Rechten diverser Verzeichnisse etwas, sowie an den Rechten.


    Da würde ich anfangen.
    Und hoffe, dass du sowas nie in Produktivsystemen machst.

    @tomfa-ng -> was meinst du mit die themen in den nterschiedlichen foren zu verknuefen? meinst du damit meinen eintrag auf forums.opensuse.org?


    @root-tut-nicht-gut -> ich denke systemd scheint da wirklich die richtige richtung zu sein! werde mir das mal genauer angucken. und ... nein! ist kein produktivsystem ...


    viele dank!

    Für den Inhalt des Beitrages 66064 haftet ausdrücklich der jeweilige Autor: becki

    Zitat von becki

    @tomfa-ng -> was meinst du mit die themen in den nterschiedlichen foren zu verknuefen? meinst du damit meinen eintrag auf forums.opensuse.org?


    Ja.
    http://forums.opensuse.org/sho…2-7-problem-OpenSUSE-13-1
    Bitte lesen:
    http://www.opensuse-forum.de/w…allgemeines-f17/t732-f19/


    In anderen Foren werden solche Beiträge gnadenlos geschlossen, wenn nicht verlinkt und moderiert wird.

    Für den Inhalt des Beitrages 66065 haftet ausdrücklich der jeweilige Autor: Sauerland

    hallo @root-tut-nicht-gut :)


    ich hab jetzt noch a bissl geguckt auf der suse 13.1 box.


    SELinux ist dort garnicht aktiviert! getenforce meldet disabled.
    daran kann's also wahrlich nicht liegen ...


    ich denke auch an den folder permissions von /var/log/apache2 kann's wohl auch nicht liegen, denn die mod security log files werden ja auch ohne probleme erstellt.


    SecDebugLog /var/log/apache2/modsec_debug.log
    SecAuditLog /var/log/apache2/modsec_audit.log


    und die beiden dateien finde ich nach nen apache start / restart ...


    er will mir nur einfach nicht die ip.dir und global.dir erstellen ...


    also wenn hier jemand noch nen tip haette waere ich wirklich sehr dankbar ;)


    danke & greetings
    becki


    p.s. hab auf mod security github auch ein issue erstellt, kam leider auch noch keine antwort dort ;(
    https://github.com/SpiderLabs/ModSecurity/issues/688

    Für den Inhalt des Beitrages 66505 haftet ausdrücklich der jeweilige Autor: becki