Manualmaton's Laboratory

タグ: apache

Apache + redmine環境にMod Security導入。

By

オン 2022年6月24日

カテゴリー: Linux, PC, redmine, ガジェット

インターネット環境に構築したredmineに不正アクセスが飛んでくるというエントリーを投稿したところ、

ApacheによるredmineサイトのIPブロック。

「Mod Security導入も一つの手」

というコメントをいただき、早速導入することにしました。

環境

  • Ubuntu 20.04 (Linux Mintでも動作確認済み)
  • Apache 2.4

参考

インストール方法

全て管理者権限で実施しました。

システム全体のアップグレード

aptitude update
aptitude upgrade

Ubuntu 20.04にMod Securityをインストールします。

aptitude install libapache2-mod-security2
systemctl restart apache2

ModSecurity 設定ファイル/ディレクトリをコピーしていきます。

cp -pi /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
cd /tmp
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd /owasp-modsecurity-crs
cp -pi crs-setup.conf.example /etc/modsecurity/crs-setup.conf
cp -pir rules/ /etc/modsecurity/

ModSecurityの設定を行います。

vi /etc/apache2/mods-available/security2.conf
設定ファイル内容
<IfModule security2_module>
   # Default Debian dir for modsecurity's persistent data
   SecDataDir /var/cache/modsecurity

   # Include all the *.conf files in /etc/modsecurity.
   # Keeping your local configuration in that directory
   # will allow for an easy upgrade of THIS file and
   # make your life easier
   IncludeOptional /etc/modsecurity/*.conf
   Include /etc/modsecurity/rules/*.conf
</IfModule>

設定反映

systemctl restart apache2

redmine設定ファイル修正

vi /etc/apache2/sites-available/VIRTUALHOST.conf
# 各自のバーチャルホストファイルに読み替えます
追記内容
# Mod Security
SecRuleEngine On
## ModSecurity有効化
SecRequestBodyInMemoryLimit 524288000
SecRequestBodyLimit 524288000
## ファイルのアップロードをできるようにします。
SecRuleRemoveById 949110
SecRuleRemoveById 941310
SecRuleRemoveById 980130
SecRuleRemoveById 911100
SecRuleRemoveById 200002
SecRuleRemoveById 200003
## 上記を無効化しないとチケット更新時にエラーとなりました(偽陽性)ため、上記ルールを除外します。
    SecRule ARGS:modsecparam "@contains test" "id:4321,deny,status:403,msg:'ModSecurity test rule has triggered'"
## テスト用の検知パラメータを付け加えます。

設定反映

systemctl restart apache2

設定確認

ブラウザから

http://your-site-domain/redmine/?modsecparam=test

にアクセスし、「Forbidden」が表示されることを確認します。

また、

  • チケットの更新ができること
  • ファイルのアップロードができること

をそれぞれ確認しました。

ApacheによるredmineサイトのIPブロック。

By

オン 2022年5月25日

カテゴリー: Linux, redmine

事の発端

AWS Lightsailを利用して外部公開しているredmine。(Apache2.4/redmine 4.2)
アクセスログを確認すると以下の不審なIPからログインを試みている痕跡がありました。

これは無差別攻撃を仕掛けられているのでは? と思い、対処を行いました。

以下、その時のメモとなります。

IP アドレスチェック

https://www.abuseipdb.com/

こちらのサイトを利用して、アクセス元のIPアドレスが攻撃を意図しているものかを確認します。

ものの見事に「Confidence of Abuse is 100%」と出ました。

対処方針

ドメイン等を公称していなくても、この手の不正アクセスはついて回ります。
(自分が当初ローカルでredmineを構築したのは、これを避けるためだという明確な理由がありました)

本来なら「指定したIPのみ許可する」ポジティブリストにすべきですが、出先からでもアクセスしたいのでこの方法は使えません。

そこで、今回は対処療法と承知していても「不審なアクセスがあった元をブロックする」ネガティブリスト型で実施します。

参考:
https://notepad-blog.com/content/196/

手順

今回、以下の環境で動作確認をしました。

  • Linux Mint 20.3
  • Apache 2.4
  • redmine 4.2

全て管理者権限で実施しました。

confファイルのバックアップを取ります。

/etc/apache2/sites-available
mkdir ../old
cp -pi redmine.conf ../old/redmine.conf.yyyymmdd
# バーチャルファイルは適宜読み替えてください

confファイルを以下のように修正します。

修正前の箇所
<Location /redmine>
PassengerBaseURI /redmine
PassengerAppRoot /var/lib/redmine
Require all granted
</Location>
修正後の箇所
<Location /redmine>
PassengerBaseURI /redmine
PassengerAppRoot /var/lib/redmine
<RequireAll>
Require all granted
# 2022/05/23 from hoge
Require not ip xxx.xxx.xxx.xxx
</RequireAll>
</Location>
差分
 PassengerBaseURI /redmine
 PassengerAppRoot /var/lib/redmine
+<RequireAll>
 Require all granted
+# 2022/05/23 from hoge
+Require not ip xxx.xxx.xxx.xxx/xx
# ブロックしたいIPを指定
# 後のメンテナンスを考えて、NWアドレス単位で指定します
+</RequireAll>
 </Location>

構文確認後、apacheサービスを再起動します。

apache2ctl configtest
# syntaxOK を確認します
systemctl restart apache2

サービス再起動後、正常に表示されることを確認します。
(最初は自分がアクセスしているIPを指定して「redmineにアクセスできないこと」を確認した方が確実です)

まとめと今後の展望

AWSのACLならGUIでの設定は用意ですが、上述したように、今回の処置は対処療法にすぎません。また、ネガティブリスト型のブロックには限界があります。
他の効率的な方法や、アクセスされても被害の拡大を防ぐ手段を考えていくのが目下の課題です。

redmineのアクセスログを統合。

By

オン 2022年4月14日

カテゴリー: Linux, PC, redmine, ガジェット

Redmineのログ表示プラグインを導入しているのだから、ここにapacheのアクセスログを一緒にしました。

環境

  • Linux Mint 20.03(Ubuntu 20.04)
  • Redmine 4.2
  • Apache/2.4.41

前提

redmineのログ閲覧プラグイン導入とローテーションの設定。

こちらの記事にある

  • redmineのログ管理プラグイン導入
  • redmineのログローテート設定

設定は行っているものとします。

また、redmineのproduction.logは/var/log/redmine配下に移動。(本来のログのところにシンボリックリンクを張っています)

手順

全てアクセス権限で行っています。

ログ設定

cd /etc/apache2/sites-available/
vi redmine.conf
追記内容
CustomLog /var/log/redmine/access.log combined
ErrorLog /var/log/redmine/error.log

システムへの反映

systemctl restart apache2

ログ確認(サーバ)

tail -f /var/log/redmine/access.log

を流しながら該当のredmineにアクセスし、ログが出ることを確認しました。

ログ確認(redmine)

  1. 管理者権限でログイン
  2. 管理>ログに移動
  3. /var/lib/redmine/log/access.logをクリック

しましたが、ここで404エラー。

サーバ側で

chown www-data:www-data /var/lib/redmine/log/access.log

を設定後、再度redmineのログを確認し、表示されていることを確認です。

Page 4 of 4

Powered by WordPress & Theme by Anders Norén