Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年11月19日
最終更新日:2013年12月26日

ModSecurity を無効にする方法

ModSecurity を導入後に、WordPress などの CMS(コンテンツマネジメントシステム)を利用して記事を投稿しようとした時に、ModSecurity が記事の内容を攻撃と誤検知して投稿できなくなるケースが想定されます。

そうした場合は、一時的に ModSecurity を無効にしておいて、記事の投稿後に ModSecurity を有効にします。なお、この記事執筆時点の ModSecurity のバージョンは、2.7.3.2.el6 です。

気をつけなくてはいけないのが、どうも ModSecurity はバージョンによって設定ファイルが変わっているようだということです。とある情報では、以下のファイルの設定を変更するとありました。

しかし、このファイルの中の説明をよく読むと、このファイルは、OWASP ModSecurity CRS を管理するためのものなので、重要な設定を行わないようにと注意書きがされています。

# The configuration directives/settings in this file are used to control
# the OWASP ModSecurity CRS. These settings do **NOT** configure the main
# ModSecurity settings such as:
#
# - SecRuleEngine
# - SecRequestBodyAccess
# - SecAuditEngine
# - SecDebugLog

実際には、以下の ModSecurity の設定ファイルを編集します。

そして、SecRuleEngine を On から Off に設定変更します。

変更を保存後、Web サーバーを再起動します。

以下のアドレスにアクセスして、ModSecurity が無効になっていることを確認します。通常通りサイトが表示されれば OK です。

記事の投稿が終了したら、忘れずに設定を元に戻しておきましょう。


スポンサーリンク




カテゴリー:ツール

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA