WAF-FLE(ModSecurity Console)のインストールとセットアップ

提供：maruko2 Note.

移動：案内, 検索

動作環境

Apache 2.x (mod_rerwrite)
PHP 5.3 以上 (apc, pdo_mysql, geoip)
MySQL 5.1 以上
GeoIP

CentOS 6 でのインストール例。

GeoIP のインストール

PHP GeoIP エクステンションのインストール

yum install php-pecl-geoip

GeoIP データベースのインストール

mkdir /usr/share/GeoIP/
cd /usr/share/GeoIP/
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
wget http://geolite.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz
gzip -fd GeoIP.dat.gz
gzip -fd GeoLiteCity.dat.gz
gzip -fd GeoIPASNum.dat.gz
mv GeoLiteCity.dat GeoIPCity.dat
cp GeoIPASNum.dat GeoIPISP.dat

WAF-FLE のインストール

ソースコードをダウンロードし、/usr/local/ に展開する。

wget http://waf-fle.org/downloads/waf-fle_0.6.4.tar.gz
tar -xzf waf-fle_0.6.4.tar.gz -C /usr/local/
ln -s /usr/local/waf-fle_0.6.4 /usr/local/waf-fle

Apache 用の設定 extra/waf-fle.conf をコピーする。

cp /usr/local/waf-fle/extra/waf-fle.conf /etc/httpd/conf.d/

WAF-FLE の設定ファイル 'config.php' をコピーし、データベース接続設定を編集する。

cp config.php.example config.php

データベース接続設定を編集する。

$DB_HOST  = "localhost";
$DB_USER  = "waffle_user";
$DB_PASS  = "password";
$DATABASE = "waffle";

MySQL にユーザーのみ追加しておく。

http://サーバーアドレス/waf-fle/ にアクセスし、Go! Create the database and user... をクリックする。

http://サーバーアドレス/waf-fle/setup.php が実行される。

WAF-FLEが使用するデータベースを作成する。

Username と Password を入力し、Create Database をクリックする。

config.php の $SETUP = true; を $SETUP = false; に書き換えた後、the login page をクリックする。

congif.phpの最後の方にある$SETUP = true;を$SETUP = false;に書き換える。

Username:admin, Password:admin でログインする。

Username:admin, Password:admin でログイン。

パスワードを変更する。

パスワードを変更する。

WAF-FLE のインストール完了。

WAF-FLE のセットアップ(Sensorを追加する)

Sensor とは、mod_security の AuditLog を読み込む設定。

MANAGEMENT - Sensor に移動し、[+] Add New Sensor をクリックし Sensor を追加する。

Sensor と Password は、後で設定する mlogc.conf の SensorUsername と SensorPassword と同じにする。

Sensor名と、Passwordを設定する。

Event Feeder Wizard をクリックする。

Event Feeder Wizard をクリックする。

mod_security の AuditLog を mlogc でパイプして、リアルタイムに WAF-FLE に記録する。

Choice your event feeder: mlogc
Choice usage: Piped with Apache/Modsecurity logs
WAF-FLE controller URL: http://サーバアドレス/controller/
Path of ModSecurity events directory, on sensor machine: /var/log/mlogc/data

mlogc, Piped with Apache/ModSecurity logs を選ぶ。

mlog2waffle は /usr/local/waf-fle/extra/mlog2waffle/ にある。

mod_security.conf mlogc.conf の設定例が表示される。

/etc/httpd/conf.d/mod_security.con の設定例。

#SecAuditLogParts ABIJDEFHZ
#SecAuditLogType Serial
#SecAuditLog /var/log/httpd/modsec_audit.log
SecAuditLogParts ABIDEFGHZ
SecAuditLogType Concurrent
SecAuditLogStorageDir /var/log/mlogc/data
SecAuditLog "|/usr/bin/mlogc /etc/mlogc.conf"

mod_security.conf, mlogc.conf の設定例が表示される。

あとは、mlogc のインストールとセットアップをすれば、AuditLog をリアルタイムで集計できる。

mlogc のインストールとセットアップ

mlogc は mlogc パッケージに含まれる。

yum install mlogc

/etc/mlogc.conf を編集する。

SensorUsername  "WAF-FLEのSensor名"
SensorPassword  "WAF-FLEのSensor名のパスワード"

Apache を再起動すると、mod_security の AuditLog が mlogc 経由で WAF-FLE データベースに記録されるようになる。

WAF-FLE のスクリーンショット