Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら RSSフィードのご登録はこちらから
公開日:2013年11月19日
最終更新日:2020年8月8日

ModSecurity を無効にする方法

ModSecurity を導入後に、WordPress などの CMS(コンテンツマネジメントシステム)を利用して記事を投稿しようとした時に、ModSecurity が記事の内容を攻撃と誤検知して投稿できなくなるケースが想定されます。

そうした場合は、一時的に ModSecurity を無効にしておいて、記事の投稿後に ModSecurity を有効にします。なお、この記事執筆時点の ModSecurity のバージョンは、2.7.3.2.el6 です。

気をつけなくてはいけないのが、どうも ModSecurity はバージョンによって設定ファイルが変わっているようだということです。とある情報では、以下のファイルの設定を変更するとありました。

/etc/httpd/modsecurity.d/modsecurity_crs_10_config.conf

しかし、このファイルの中の説明をよく読むと、このファイルは、OWASP ModSecurity CRS を管理するためのものなので、重要な設定を行わないようにと注意書きがされています。

# The configuration directives/settings in this file are used to control
# the OWASP ModSecurity CRS. These settings do **NOT** configure the main
# ModSecurity settings such as:
#
# - SecRuleEngine
# - SecRequestBodyAccess
# - SecAuditEngine
# - SecDebugLog

実際には、以下の ModSecurity の設定ファイルを編集します。

# vi /etc/httpd/conf.d/mod_security.conf

そして、SecRuleEngine を On から Off に設定変更します。

#SecRuleEngine On
SecRuleEngine Off

変更を保存後、Web サーバーを再起動します。

# service httpd restart

以下のアドレスにアクセスして、ModSecurity が無効になっていることを確認します。通常通りサイトが表示されれば OK です。

http://hostname/index.php?union+select

記事の投稿が終了したら、忘れずに設定を元に戻しておきましょう。

WAF設定まとめ

WAFの設定については以下のページにまとめていますので、こちらもどうぞ。


スポンサーリンク





カテゴリー:ツール

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA