当在 centos 机器上使用 mod_security(从 EPEL 安装)和 apache 2 时,有时用户无法发送消息 - 我无法追溯规则,我唯一能找到的地方是“入站异常分数太高”
有人知道我应该寻找什么,如何追踪 mod_security 的东西,或者更好的是,具体了解 2003 年的 OWA 做了什么它不喜欢的事情?
答案1
你看过 Apache 错误日志了吗?如果你看过,你会看到产生该消息的规则,如下所示:
[2010 年 12 月 13 日星期一 10:44:16] [错误] [客户端 127.0.0.1] ModSecurity:警告。操作员 GE 在 TX:inbound_anomaly_score 处匹配 20。[文件“/etc/httpd/modsecurity.d/base_rules/modsecurity_crs_60_correlation.conf”] [行“35”] [消息“入站异常分数超出(总入站分数:20,SQLi=,XSS=):请求缺少接受标头”] [主机名“xx”] [uri“/index.html”] [unique_id“hKt1A38AAAEAADzVdd4AAAAH”]
答案2
我从一位同事那里听说使用 mod_security 来保护 OWA 非常困难。
但您可以启用 mod_security 的调试日志记录:
SecDebugLog /usr/local/apache/logs/modsec-debug.log
SecDebugLogLevel 4