Вопрос: SecAuditLogParts не работает: mod_security сохраняет тело ответа журнала


Я установил SecAuditLogParts в modsecurity.conf, чтобы просто записывать ABFH, но журнал аудита modsecurity продолжает регистрировать -E-часть (тело ответа), что делает журнал аудита слишком большим.

Что я могу сделать, чтобы отключить ведение журнала ответа?


5
2017-12-13 19:04


Источник




Ответы:


Я предполагаю, что это установлено в ваших правилах. Например, в OWASP CRS это во многих из них позволяет явным образом регистрировать тело независимо от того, что вы определили с помощью SecAuditLogParts:

ctl:auditLogParts=+E

Вы можете полностью отключить ответы тела следующим образом, и тогда это не будет регистрироваться там:

SecResponseBodyAccess Off

С одной стороны, это следует рекомендовать по нескольким причинам:

  1. Представление. Сканирующие тела ответа требуют времени, и когда большинство тел будет статическим HTML, это не имеет большого смысла.
  2. Есть проблемы с ответами ModSecurity и GZIP (хотя может быть некоторый прогресс в этом, по-видимому, в соответствии с недавним потоком на Группа пользователей ModSecurity, Это отслеживается здесь: https://github.com/SpiderLabs/ModSecurity/issues/944)
  3. Заполняет файлы журналов, как вы обнаружили.
  4. Может привести к множеству ложных предупреждений.

С другой стороны, однако, сканирование исходящих тел может быть полезно для выявления утечек информации (утечки исходного кода и / или нарушения доступа к базам данных), и, очевидно, это прекращает работу.

Лучше всего отключить SecResponseBodyAccess по умолчанию для статических файлов, но затем включить его для динамических файлов, созданных приложением, и уничтожить ваши правила, чтобы уменьшить ложные предупреждения для них.

Я также предполагаю, что у вас есть следующий набор для входа в журнал аудита только при блокировке правил?

SecAuditEngine RelevantOnly

3
2017-10-20 13:43