Administrators, autoreview, Vérificateurs d’utilisateurs, checkuser-log, editor, reviewer, usersnoop
3 321
modifications
« Libapache2-mod-evasive » : différence entre les versions
Aller à la navigation
Aller à la recherche
→Configuration basique de Mod_evasive
| (3 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 37 : | Ligne 37 : | ||
Le fichier /usr/share/doc/libapache2-mod-evasive/README.gz contient un exemple de configuration basique: | Le fichier /usr/share/doc/libapache2-mod-evasive/README.gz contient un exemple de configuration basique: | ||
<pre> | |||
APACHE v2.0 | APACHE v2.0 | ||
----------- | ----------- | ||
| Ligne 47 : | Ligne 48 : | ||
DOSBlockingPeriod 10 | DOSBlockingPeriod 10 | ||
</IfModule> | </IfModule> | ||
</pre> | |||
Vous pouvez ajouter les directives suivantes (à adapter...) | Vous pouvez ajouter les directives suivantes (à adapter...) | ||
DOSEmailNotify you@yourdomain.com | |||
DOSSystemCommand "su - someuser -c '/sbin/... %s ...'" | |||
DOSLogDir "/var/lock/mod_evasive" | |||
Quelques explications: | Quelques explications: | ||
| Ligne 61 : | Ligne 63 : | ||
#''DOSPageInterval'' détermine un intervalle en secondes qui autorise l’affichage de la même page avant un blocage. | #''DOSPageInterval'' détermine un intervalle en secondes qui autorise l’affichage de la même page avant un blocage. | ||
#''DOSSiteInterval'' détermine un intervalle en secondes qui autorise l’affichage d’un même site avant un blocage. | #''DOSSiteInterval'' détermine un intervalle en secondes qui autorise l’affichage d’un même site avant un blocage. | ||
#''DOSBlockingPeriod'' détermine la durée de blocage. | #''DOSBlockingPeriod'' détermine la durée de blocage (en secondes). | ||
#''DOSEmailNotify'' permet qu’un email soit envoyé à chaque blocage d’adresses IP. | #''DOSEmailNotify'' permet qu’un email soit envoyé à chaque blocage d’adresses IP. | ||
#''DOSSystemCommand'' permet de définir une commande bien précise en cas d’attaque (bannissement de l’adresse IP dans IPTables par exemple).<code>DOSSystemCommand "/sbin/iptables -I INPUT -s %s -j DROP"</code>Ou encore<code>DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"</code> | #''DOSSystemCommand'' permet de définir une commande bien précise en cas d’attaque (bannissement de l’adresse IP dans IPTables par exemple).<code>DOSSystemCommand "/sbin/iptables -I INPUT -s %s -j DROP"</code>Ou encore<code>DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"</code> '''Vous pouvez passer n'importe quelle commande du moment que www-data est autorisé à le faire. A ce sujet, plutôt que d'autoriser www-data à manipuler Iptables, utilisez fail2ban...''' Voir ci-dessous le lien. | ||
#''DOSLogDir'' détermine le chemin ou seront stockés les logs d’attaques. | #''DOSLogDir'' détermine le chemin ou seront stockés les logs d’attaques. | ||
#''DOSWhiteLt'' définie une liste blanche d’adresse IP. | #''DOSWhiteLt'' définie une liste blanche d’adresse IP. | ||
| Ligne 76 : | Ligne 78 : | ||
/etc/init.d/apache2 restart | /etc/init.d/apache2 restart | ||
=== Remarque sur DOSEmailNotify === | |||
Pour que la commande fonctionne, il faut créer un lien symbolique de /usr/sbin/mail vers /bin/mail | |||
En effet, le module cherche l'exécutable /bin/mail; Or celui-ci n'est pas à cet endroit... | |||
ln -s /usr/bin/mail /bin/mail | |||
=== Remarque sur Iptables === | |||
Pour que le ban par mod-evasive fonctionne, il faut que www-data ait le droit de modifier iptables. Or, cela peut s'avérer TRèS DANGEREUX... | |||
Il est donc conseillé de se servir à la place de fail2ban qui prendra le relais... | |||
[[Fail2ban#Fail2ban_avec_mod-evasive| Fail2ban avec mod-evasive]] | |||
== test == | == test == | ||