3 votes

Hex avatar

Mod_security Logging

Demandé el 29 de Août, 2012
Quand la question a-t-elle été
935 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie d'exécuter mod_security en tant que service autonome avec nginx comme proxy inverse. Tout fonctionne bien, sauf la journalisation. Mod_security enregistre les adresses IP des mandataires inversés au lieu de l'adresse IP des clients.

J'apprécierais que quelqu'un puisse m'aider.

Voici un exemple de fichier journal dans lequel mod_security enregistre 127.0.0.1 au lieu de l'adresse IP du client.

2012/08/29 14:18:13 [info] 206862#0 : [client 127.0.0.1] ModSecurity : Accès refusé avec le code 403 (phase 2). Correspondance de motif ...

Demandé el 29 de Août, 2012 par Hex

Réponses

Trop de publicités?

0voto

Juan Pablo Santos avatar
Juan Pablo Santos Points 113

Au moins avec Apache, des problèmes peuvent se produire avec des redirections/réécritures vers un serveur virtuel servi par le même serveur, de sorte que les journaux signalent qu'une requête étrangère est arrivée depuis le serveur local. Peut-être y a-t-il quelque chose de similaire dans cette situation. Dans le cas où ce mauvais comportement de journalisation a été observé, une modification de la configuration du serveur a permis de corriger le problème. Cela impliquait une certaine restructuration de la configuration du serveur. Il est possible que cela soit lié à un site défini dans httpd.conf qui a ensuite été déplacé vers le bas dans un vhost .conf, mais malheureusement, cette situation s'est produite et a été résolue sans que l'essence des changements soit capturée. Est-ce que cela, ou quelque chose de similaire, pourrait être un facteur dans votre situation ?

Répondu el 29 de Août, 2012 par Juan Pablo Santos (113 Points )

0voto

Hex avatar
Hex Points 1919

@kbulgrien : Pas vraiment, car NGINX capture correctement ses propres journaux.

J'ai dû trouver une solution de contournement pour ce problème. J'ai créé un bloc RequestDeny dans lequel j'ai transféré les demandes qui ont été refusées par le mod_security. Dans ce bloc, j'ai formaté les journaux comme je le souhaitais, de sorte qu'il m'a été facile de capturer l'adresse IP de la requête rejetée.

Je sais qu'il est préférable que mod_security écrive ses logs correctement, mais quand vous ne connaissez pas une meilleure façon de faire, cela peut aider et c'est ce qui s'est passé pour moi :)

Répondu el 29 de Août, 2012 par Hex (1919 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X