WAF-FLE(ModSecurity Console)のインストールとセットアップ

提供:maruko2 Note.
移動: 案内, 検索

目次

HOME
http://waf-fle.org/
Deployment Guide
http://www.waf-fle.org/downloads/waf-fle_0.6.3-deployment_guide.pdf
Download
http://waf-fle.org/download/
CODE
https://github.com/klaubert/waf-fle

動作環境

CentOS 6 でのインストール例。

GeoIP のインストール

PHP GeoIP エクステンションのインストール

yum install php-pecl-geoip

GeoIP データベースのインストール

mkdir /usr/share/GeoIP/
cd /usr/share/GeoIP/
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
wget http://geolite.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz
gzip -fd GeoIP.dat.gz
gzip -fd GeoLiteCity.dat.gz
gzip -fd GeoIPASNum.dat.gz
mv GeoLiteCity.dat GeoIPCity.dat
cp GeoIPASNum.dat GeoIPISP.dat

WAF-FLE のインストール

  1. ソースコードをダウンロードし、/usr/local/ に展開する。
  2. wget http://waf-fle.org/downloads/waf-fle_0.6.4.tar.gz
    tar -xzf waf-fle_0.6.4.tar.gz -C /usr/local/
    ln -s /usr/local/waf-fle_0.6.4 /usr/local/waf-fle
    
  3. Apache 用の設定 extra/waf-fle.conf をコピーする。
  4. cp /usr/local/waf-fle/extra/waf-fle.conf /etc/httpd/conf.d/
    
  5. WAF-FLE の設定ファイル 'config.php' をコピーし、データベース接続設定を編集する。
  6. cp config.php.example config.php
    

    データベース接続設定を編集する。

    $DB_HOST  = "localhost";
    $DB_USER  = "waffle_user";
    $DB_PASS  = "password";
    $DATABASE = "waffle";

    MySQL にユーザーのみ追加しておく。

  7. http://サーバーアドレス/waf-fle/ にアクセスし、Go! Create the database and user... をクリックする。
  8. http://サーバーアドレス/waf-fle/setup.php が実行される。

  9. WAF-FLEが使用するデータベースを作成する。
  10. Username と Password を入力し、Create Database をクリックする。

  11. config.php$SETUP = true;$SETUP = false; に書き換えた後、the login page をクリックする。
  12. congif.phpの最後の方にある$SETUP = true;$SETUP = false;に書き換える。

  13. Username:admin, Password:admin でログインする。
  14. Username:admin, Password:admin でログイン。

  15. パスワードを変更する。
  16. パスワードを変更する。

WAF-FLE のインストール完了。

WAF-FLE のセットアップ(Sensorを追加する)

Sensor とは、mod_security の AuditLog を読み込む設定。

  1. MANAGEMENT - Sensor に移動し、[+] Add New Sensor をクリックし Sensor を追加する。
  2. SensorPassword は、後で設定する mlogc.confSensorUsernameSensorPassword と同じにする。

    Sensor名と、Passwordを設定する。

  3. Event Feeder Wizard をクリックする。
  4. Event Feeder Wizard をクリックする。

  5. mod_security の AuditLog を mlogc でパイプして、リアルタイムに WAF-FLE に記録する。
  6. Choice your event feeder
    mlogc
    Choice usage
    Piped with Apache/Modsecurity logs
    WAF-FLE controller URL
    http://サーバアドレス/controller/
    Path of ModSecurity events directory, on sensor machine
    /var/log/mlogc/data
    mlogc, Piped with Apache/ModSecurity logs を選ぶ。

    mlog2waffle は /usr/local/waf-fle/extra/mlog2waffle/ にある。

  7. mod_security.conf mlogc.conf の設定例が表示される。
  8. /etc/httpd/conf.d/mod_security.con の設定例。

    #SecAuditLogParts ABIJDEFHZ
    #SecAuditLogType Serial
    #SecAuditLog /var/log/httpd/modsec_audit.log
    SecAuditLogParts ABIDEFGHZ
    SecAuditLogType Concurrent
    SecAuditLogStorageDir /var/log/mlogc/data
    SecAuditLog "|/usr/bin/mlogc /etc/mlogc.conf"
    mod_security.conf, mlogc.conf の設定例が表示される。

あとは、mlogc のインストールとセットアップをすれば、AuditLog をリアルタイムで集計できる。

mlogc のインストールとセットアップ

mlogcmlogc パッケージに含まれる。

yum install mlogc

/etc/mlogc.conf を編集する。

SensorUsername  "WAF-FLEのSensor名"
SensorPassword  "WAF-FLEのSensor名のパスワード"

Apache を再起動すると、mod_security の AuditLog が mlogc 経由で WAF-FLE データベースに記録されるようになる。

WAF-FLE のスクリーンショット

LINEで送る このエントリーをはてなブックマークに追加
個人用ツール
名前空間
変種
表示
操作
案内
ツールボックス

注目のページ

このサイトのはてなブックマーク数