mod_security 执行/规则错误或一般错误是否会阻止用户访问我的网站?我遇到了许多规则和执行错误,我刚刚将这些规则列入白名单,但也许我可以忽略它们。
该网站正在开发中,有访客,所以我不想尝试看看如果我在“锐利”模式下启用 modsec,我是否会被阻止。
提前致谢。
答案1
取决于规则是如何写的,但一般来说,规则是为了阻止而写的。
除此之外,除非您详细说明您正在运行的规则,否则无法真正回答。最常见的是 OWASP 核心规则集,其中大多数旨在根据您在哪种检测模式下运行来阻止。
最佳做法是首先在 DetectionOnly 模式下运行 ModSecurity,并使用覆盖微调规则以消除不可避免的误报,然后再切换到阻止“开启”模式。
DetectionOnly 模式不应允许任何“破坏性行为”,例如阻止,但需要注意以下几点重要事项:
1) 规则可以通过 Ctl 操作覆盖此操作,从 DetectionOnly 切换到 On。不知道有任何 CRS 规则可以这样做。
2) “允许”算作一种破坏性操作。此操作用于将某些操作或调用列入白名单 - 例如,减少对静态资源的 ModSecurity 规则的不必要调用。在 DetectionOnly 模式下,此操作将被忽略,并且所有后续规则都将运行。在 On 模式下,此操作将启动,ModSecurity 将跳过其余请求。我认为这是违反直觉的,不应将允许视为“破坏性操作”,因此 DetectionOnly 更接近于没有阻止的 On 模式。因此,当我添加任何带有“允许”操作的规则时,我还会添加“ctl:ruleEngine=On”以强制允许,即使在 DetectionOnly 模式下也是如此。
添加适当的“允许”白名单对于高负载服务器的性能非常重要,我鼓励使用它。CRS 有几个这样的可选规则,但在我看来,它们还不够。