security - 如何独立使用 mod_security？

Question

我在 Mod_Security 的包中看到了名为standalone 的模块；但是我不知道制作和安装后如何使用它！有什么好的创业资源吗？

Answer 1

这似乎是不可能的；根据 ModSecurity 网站对其操作模式的描述：

反向代理实际上是 HTTP 路由器，旨在站在 Web 服务器及其客户端之间。当您安装专用的 Apache 反向代理并向其添加 ModSecurity 时，您将获得一个“适当的”网络 Web 应用程序防火墙，您可以使用它来保护同一网络上的任意数量的 Web 服务器。许多安全从业者更喜欢有一个单独的安全层。有了它，您就可以与所保护的系统完全隔离。在性能方面，独立的 ModSecurity 将拥有专用于它的资源，这意味着您将能够做更多事情（即拥有更复杂的规则）。这种方法的主要缺点是新的故障点，这需要通过两个或多个反向代理的高可用性设置来解决。

他们正在考虑通过创建一个用于代理内部主机的专用主机将其分开。

这样可行; 但从技术上讲不是standalone。

我还提交了一个错误，Felipe Zimmerle 证实了这一点：

Standalone 是 Apache 内部的包装器，允许执行 ModSecurity。该包装器仍然需要 Apache 组件。的确，您可以使用独立版本扩展您的应用程序，但您将需要一些 Apache 组件

Answer 2

正如您所指出的，ModSecurity 是现有 Web 服务器的附加组件 - 最初作为 Apache 模块（因此得名），但现在也可用于 Nginx 和 IIS。

您可以在嵌入式模式下运行它（即作为主 Web 服务器的一部分）或在反向代理模式下运行它（这基本上是相同的，但是您设置了一个单独的 Web 服务器并在其上运行它，然后引导所有流量通过那）。

老实说，我从来没有在反向代理方法中找到太多意义。我想这确实意味着您可以在不受支持的 Web 服务器上使用它（即，如果您不使用 Apache、Nginx 或 IIS），它会减少主 Web 服务器上的负载，但除此之外，它似乎是额外的步骤和基础设施没有真正的收益。有些人可能还喜欢在多个 Web 服务器前进行 ModSecurity 检查，但我会争辩说，如果您有多个 Web 服务器，那么很可能是出于性能和弹性的原因，所以为什么不将 ModSecurity 也扩展到这个级别而不是创建一个单点故障，这可能是它前面的瓶颈。唯一的其他原因是应用会话级别规则（例如，如果人们正在更改会话 ID），最终可能会在不同的 Web 服务器之间传播，但我

当我构建 ModSecurity 时，我得到了一个 mod_security2.so 库，但没有单独的独立文件，所以我认为你只是从源代码中看到这个（我确实看到了一个独立的）？我想说仅仅因为源中有一个“独立”文件夹并不能保证它可以作为一个完全独立的独立部分运行。

我会质疑即使可以，您为什么还要将其作为独立应用程序运行？Web 服务器中有很多功能，并且取决于 ModSecurity，它是为 Web 安全编写的，而不是 Web 安全和Web 服务器所做的所有其他事情（例如，快速、了解 HTTP 协议、gzip 和 ungzip ......等)，不必要地扩展了 ModSecurity 需要处理的内容。那么为什么不使用网络服务器来处理这个问题并让 ModSecurity 做它擅长的事情呢？

如果您使用的是 ModSecurity，那么我猜您有 Web 应用程序（可能带有 Web 服务器），那么为什么不通过它来使用它呢？

最后，通过 Apache（或 Nginx 或 IIS）安装它有什么问题吗？它是免费软件，得到很好的支持且易于设置。

我想最终我不明白你的问题的原因。您是否正在尝试解决某个特定问题，或者这只是出于好奇？