Leí sobre el hackeo en los foros de Ubuntu ayer . Como tenemos datos de clientes, cosas como esta siempre me preocupan, y busco minimizar nuestro riesgo de ataque.
Hay una opción para habilitar ModSecurity en mi CPanel. Supongo que esto se hace sin romper nada en el sitio? Pero, ¿qué seguridad adicional trae esto contra los piratas informáticos y permite la notificación de hackeos?
¿Qué seguridad adicional trae esto?
¿Fuera de la caja? Ninguna. Debe agregar reglas al sistema para comenzar a restringir el acceso. El problema es que algunos de estos pueden romper su aplicación.
No sabemos qué hace tu botón mágico en cPanel. Te recomendaría que eches un vistazo a las reglas de OWASP. Si no tienen ningún sentido para usted, entonces necesita trabajar en su conocimiento de HTTP, métodos de ataque y mod_security antes de presionar ese botón. Y debería preguntar a las personas que proporcionaron el botón que le informen qué hace.
No dijiste si se trataba de una VM, un contenedor o un host compartido.
Busco minimizar nuestro riesgo de ataque
¿Es esa tu pregunta o solo preguntas sobre mod_security? Su mayor riesgo es probablemente las aplicaciones que está ejecutando en su servidor. Mantenerlos actualizados y actualizados le brindará sus mayores ganancias de seguridad. Similar para el sistema operativo subyacente y la distribución.
El ataque al que hiciste referencia en tu publicación fue posible porque los administradores no habían instalado un parche disponible del proveedor de software.
modSecurity es un cortafuegos de aplicaciones de software que forma parte de Apache.
asumiendo Apache v2 +; modSecurity proporciona una gran variedad de análisis a través de expresiones regulares. la idea es analizar el contenido que llega a su aplicación y modSecurity hace una mejor estimación del contenido; Si modSecurity considera que el contenido es malicioso, se bloquea.
modSecurity tiene muchos subcomponentes que incluyen inyección de SQL, XSS, etc. por experiencia. No supondría que su sitio será perfecto después de que lo habilite.
si su aplicación web está muy basada en cadenas / texto, modSecurity puede arrojar muchos falsos positivos.
es un buen módulo y algunas expresiones regulares muy impresionantes. es posible ejecutar en modo de análisis y solo informar sobre los resultados sin bloquear el contenido. puede ejecutar en este modo durante un período de tiempo y luego decidir si esto funciona para su aplicación web. el mejor modo que encontré fue el modo de anomalía; aquí es donde modSecurity decide el umbral, por ejemplo, si hay suficientes reglas marcadas, bloquee el contenido.
Lea otras preguntas en las etiquetas apache ubuntu mod-security