定義ファイルの更新方法
定義ファイルの更新方法を記載する。定義ファイル込みのdockerイメージから再構築する方法と、定義ファイルをまとめたルールセットのみを更新する方法があり、本紙では後者を記述する
定義ファイルのルールセットをダウンロードする
OWASP公式の右側のリンク「Defender Version 3.3.X」からgithubへアクセスして対象のファイルを確認できる
https://owasp.org/www-project-modsecurity-core-rule-set/
wgetでルールセットをローカルにダウンロードする
ダウンロードするフォルダはdocker-compose.ymlと同じ階層
$ pwd
~/work/traefik-modsecurity-plugin/
$ wget https://github.com/coreruleset/coreruleset/archive/refs/tags/v3.3.4.tar.gz
$ ls -ltr
total 384
-rw-rw-r-- 1 admin admin 301112 Nov 24 01:50 v3.3.4.tar.gz
解凍する
$ tar zxvf v3.3.4.tar.gz
$ ls -ltr
total 392
drwxrwxr-x 7 admin admin 4096 Sep 20 2022 coreruleset-3.3.4
docker-compose.ymlにrulesのマウントポイントを記載する
マウントポイントはrulesフォルダ
ホスト側
admin@newmaster:~/work/traefik-modsecurity-plugin/coreruleset-3.3.4$ ls -ltr
total 192
drwxrwxr-x 11 admin admin 4096 Sep 20 2022 util
drwxrwxr-x 4 admin admin 4096 Sep 20 2022 tests
-rw-rw-r-- 1 admin admin 132 Sep 20 2022 SPONSORS.md
-rw-rw-r-- 1 admin admin 2164 Sep 20 2022 SECURITY.md
drwxrwxr-x 2 admin admin 4096 Sep 20 2022 rules★
-rw-rw-r-- 1 admin admin 2530 Sep 20 2022 README.md
-rw-rw-r-- 1 admin admin 11366 Sep 20 2022 LICENSE
-rw-rw-r-- 1 admin admin 2834 Sep 20 2022 KNOWN_BUGS
-rw-rw-r-- 1 admin admin 16834 Sep 20 2022 INSTALL
drwxrwxr-x 3 admin admin 4096 Sep 20 2022 docs
-rw-rw-r-- 1 admin admin 35016 Sep 20 2022 crs-setup.conf.example
-rw-rw-r-- 1 admin admin 4691 Sep 20 2022 CONTRIBUTORS.md
-rw-rw-r-- 1 admin admin 7854 Sep 20 2022 CONTRIBUTING.md
-rw-rw-r-- 1 admin admin 76757 Sep 20 2022 CHANGES
コンテナ側
root@7274cc5e07ca:/etc/modsecurity.d/owasp-crs# ls -ltr
total 192
drwxrwxr-x 11 root root 4096 Jul 21 09:01 util
drwxrwxr-x 4 root root 4096 Jul 21 09:01 tests
drwxrwxr-x 2 root root 4096 Jul 21 09:01 rules★
drwxrwxr-x 3 root root 4096 Jul 21 09:01 docs
-rw-rw-r-- 1 root root 152 Jul 21 09:01 SPONSORS.md
-rw-rw-r-- 1 root root 106 Jul 21 09:01 SECURITY.md
-rw-rw-r-- 1 root root 2530 Jul 21 09:01 README.md
-rw-rw-r-- 1 root root 11366 Jul 21 09:01 LICENSE
-rw-rw-r-- 1 root root 2834 Jul 21 09:01 KNOWN_BUGS
-rw-rw-r-- 1 root root 16834 Jul 21 09:01 INSTALL
-rw-rw-r-- 1 root root 4691 Jul 21 09:01 CONTRIBUTORS.md
-rw-rw-r-- 1 root root 7854 Jul 21 09:01 CONTRIBUTING.md
-rw-rw-r-- 1 root root 76811 Jul 21 09:01 CHANGES.md
-rw-rw-r-- 1 root root 35039 Nov 22 07:43 crs-setup.conf
docker-compose.yml
$ cat docker-compose.yml
略
waf:
image: owasp/modsecurity-crs:apache
environment:
- PARANOIA=4
- ANOMALY_INBOUND=10
- ANOMALY_OUTBOUND=5
- BACKEND=http://nginx
networks:
- traefik-modsecurity-plugin_default
volumes:
- ./coreruleset-3.3.4/rules:/etc/modsecurity.d/owasp-crs/rules:rw★
networks:
traefik-modsecurity-plugin_default:
external: true
docker-composeを起動する
$ docker-compose up -d
rulesがマウントされていること
root@60d379fdb7ad:/etc/modsecurity.d/owasp-crs/rules# ls -la
total 704
drwxrwxr-x 2 1000 1000 4096 Sep 20
正常性確認
実際に攻撃を行い、正常に攻撃検知できることを確認する
正常性確認
実際に攻撃を行い、正常に攻撃検知できることを確認する。