Mod Security 将 IP 列入白名单并在多个服务器上使用单个文件位置?

Mod Security 将 IP 列入白名单并在多个服务器上使用单个文件位置?

只需要指出正确的方向。

我需要管理多台服务器上的 ModSecurity IP 白名单。随着白名单的增长,我宁愿维护一个 .txt 文件,每个 modsec 实例都会检查它并执行白名单。我现在需要在 30 台服务器上添加 100 个 IP,但我看不到对每台服务器进行更新。希望这是合理的。

目前下面的内容在每台服务器上都有效,但是有没有办法将我们将要调用的文件的引用/file/location/whitelist.txt(我可以从一个位置进行维护)放在这里,而不是在每台服务器上单独列出所有 IP?

SecRule REMOTE_ADDR "@ipMatch xx.xx.xx.xx,xx.xx.xx.xx,xx.xx.xx.xx,xx.xx.xx.xx,xx.xx.xx.xx.xx,xx.xx.xx.xx,xx.xx.xx.xx,xx.xx.xx.xx,xx.xx.xx.xx" \
 "id:10001,\
 phase:1,\
 pass,\
 nolog,\
 ctl:ruleEngine=Off" 

答案1

如何使用网络共享来存储所述文件。

像这样:

sudo mount -t cifs -o username=<win_share_user> //WIN_SHARE_IP/<share_name> /file/location

然后,您将在另一台服务器 WIN_SHARE_IP 上拥有一个单独的文件,尽管它不一定是 Windows。所有 30 台机器都引用此文件。

出于安全原因,这 30 台机器都应将此文件视为只读。

您可以在主服务器上为自己创建另一个具有读写权限的用户名。

相关内容