我需要帮助,我的操作系统(Centos 7),我安装了 Modsecurity 和 CSF。
如何在 Modsecurity 中自动阻止任何在我的国家/地区以外发出严重严重性警报的 IP。
谢谢你
问问题
49 次
1 回答
1
这并不像看起来那么容易。首先,默认情况下,CRS 会阻止所有具有关键分数的请求。
您将需要创建一些新规则来做您想做的事。它应该看起来像这样:
# Do GeoIP lookup
SecRule REMOTE_ADDR "@geoLookup" \
"phase:2,\
id:9990001,\
nolog,\
pass"
SecRule TX:ANOMALY_SCORE "@ge %{tx.critical_anomaly_score}" \
"id:9990002,\
phase:2,\
block,\
t:none,\
chain"
SecRule GEO:COUNTRY_CODE "!@streq <ISO_CODE>"
几点注意事项:
- 将 <ISO_CODE> 替换为您所在国家/地区的 ISO 代码
- 规则必须在 CRS 之后运行,因此将它们放入文件 RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
- 您需要在 ModSecurity 中设置 SecGeoLookupDb 才能使 GeoIP 正常工作
于 2021-10-22T06:48:25.237 回答