From UnderLinux Wiki

---

Instalação do mod_security

O mod security e uma boa opção para ajudar na segurança do seu servidor em relação ao apache.

Instalação do mod_security

O mod_security é um ids e filtro que bloqueia requisições mal tencionadas.

Download do mod_security

Baixe o mod_security mais recente em http://www.modsecurity.org

Compilação

Para compilar e instalar siga os passos seguintes:

 <--( antrax@darkstar:/usr/src )--$ tar -zxvf mod_security-1.8.3.versao.tar.gz
 <--(antrax@darkstar:/usr/src)--$ cd
  mod_security-versao/apache1/
 <--( antrax@darkstar:/usr/src )--$ apxs -cia mod_security.c
 <--( antrax@darkstar:/usr/src )--$ mkdir /usr/logs
 <--(antrax@darkstar:/usr/src )--$ touch /usr/logs/audit_log

O que você fez foi instalar o mod_security no apache, criar o diretório onde serão guardados os logs suspeitos e criar um arquivo de log vazio para ser preenchido pelo engine do mod_security.

Adicionando regras no mod_security

Você deve adicionar as seguintes linhas no final do arquivo httpd.conf.

 #Configurações adicionais do mod_security
 
     # Ativa o filtro de URLs
     SecFilterEngine On
     
     # Checar se a requisição é válida
     SecFilterCheckURLEncoding On
     
     # Checar Unicode
     SecFilterCheckUnicodeEncoding Off
     
     # Somente aceita requisições no intervalo de 0 a 255
     SecFilterForceByteRange 0 255
     
     # Loga os suspeitos
     SecAuditEngine RelevantOnly
     
     # The name of the audit log file
     SecAuditLog logs/audit_log
     # Debug level set to a minimum
     SecFilterDebugLog logs/modsec_debug_log    
     SecFilterDebugLevel 0
     
     # mod_security checa os POSTs 
     SecFilterScanPOST On
     
     # loga e nega requisições suspeitas
     # com HTTP 500
     SecFilterDefaultAction "deny,log,status:500"

Digite apachectl configtest para checar se a configuração está ok. E reinicialize o apache