Modsecurity comodo

[Jorge Marcelino]

Olá Pessoal, Alguém utiliza as regras da COMODO em produção? Funciona bem com o Engintron?

[Fernando Rafs]

Utilizamos o plugin da Comodo desde o seu lançamento com Nginx (cpgninx e agora engintron), sem problemas em todos os servidores em produção.

Melhorando, utilizamos Comodo + Pyxsoft + Regras Personalizadas + Nginx (cpgninx ou engintron).

Claro que como toda regra Modsecurity, dependendo do uso e das aplicações que utiliza em seus servidores, regras devem ser adicionadas na Whitelist e ou regras devem ser personalizadas para o seu uso.

O bom da Comodo (Plugin cPanel) é que dá para adicionar regras personalizadas pelo próprio plugin, ou mesmo habilitar e ou desabilitar regras.

[Jorge Marcelino]

@Guto Que plugin seria esse? estou usando as "rules" conforme: https://help.comodo.com/topic-212-1-670-8350-.html

Além disso, também utilizo o pyxsoft nos servidores.

[Fernando Rafs]

Em 04/02/2017 em 10:15, Jorge Marcelino disse:

Que plugin seria esse? estou usando as "rules" conforme: https://help.comodo.com/topic-212-1-670-8350-.html

Utiliza o plugin:

- https://help.comodo.com/topic-212-1-514-5938-.html

Método de instalação que utilizo:

INSTALAÇÃO:

# cd ~
# cd /usr/src
# wget https://waf.comodo.com/cpanel/cwaf_client_install.sh
# chmod 755 cwaf_client_install.sh
# sh ./cwaf_client_install.sh

DESINSTALAÇÃO:

# cd ~
# sh ./var/cpanel/cwaf/scripts/uninstall_cwaf.sh

Antes faça o cadastro no link abaixo, porque no momento da instalação será solicitado o usuário e senha.

- https://waf.comodo.com/

E dá uma acompanhada no fórum:

- https://forums.comodo.com/free-modsecurity-rules-comodo-web-application-firewall-b223.0/

Quando as regras são atualizadas:

- https://forums.comodo.com/free-modsecurity-rules-comodo-web-application-firewall/rules-updates-changelog-t101377.0.html

Quando o plugin é atualizado:

- https://forums.comodo.com/free-modsecurity-rules-comodo-web-application-firewall/client-agent-updates-t101235.0.html

Atualizações constantes...

[Jorge Marcelino]

Obrigado @Guto, mas acho que por vendor seria o mesmo, ou será que as regras mudam?

[Marks]

Eu instalei o Pyxsoft no meu servidor e a maioria dos sites deu problema ao acessar, principalmente os WordPress.

[Jorge Marcelino]

Instalei o plugin aqui, vou dar uma olhada nele!

[Fernando Rafs]

6 minutos atrás, Jorge Marcelino disse:

Instalei o plugin aqui, vou dar uma olhada nele!

Nunca utilizei instalando diretamente pelo WHM.

Porém pelo plugin, creio que as possibilidades de personalização são maiores.

Mas de qualquer forma, se não necessita do plugin e as regras instaladas diretamente pelo cPanel estão Ok, então deixe desta forma, só não sei como funciona o processo de atualização desta regras, da forma que está utilizando. Mas dá um grito lá no fórum que o pessoal pode fornecer maiores detalhes para você, se é melhor para você regras instaladas diretamente pelo cPanel ou Plugin.

Necessitamos do plugin, para facilitar o manejamento das regras personalizadas, que estamos sempre criando e ou alterando, e inserimos diretamente no plugin, e temos a flexibilidade de ver as atualizações disponíveis e de instalar no dia mais apropriado.

7 minutos atrás, MarksEliel disse:

Eu instalei o Pyxsoft no meu servidor e a maioria dos sites deu problema ao acessar, principalmente os WordPress.

Conversa com o desenvolvedor (Pablo Andres Lagos Maraboli), todos os nossos servidores possuem o Pyxsoft instalado a anos e nunca tivemos problemas com acesso, e nos servidores tem todo e qualquer tipo de script, incluindo Wordpress e Joomla.

Mas o plugin possui configurações, que realizadas de forma incorreta, podem realmente dar problemas, principalmente em uploads, além disto existem as regras modsecurity próprias do plugin que podem ser personalizadas para o seu uso, por exemplo aqui desabilitamos as regras de BruteForce, porque temos nossas próprias regras configuradas pelo plugin da Comodo.

[Jorge Marcelino]

@Guto Deixei padrão por enquanto, nível de proteção é recomendado deixar: 1 (Critical) ?

Pois já veio como padrão do plugin, não alterei nada.

[Fernando Rafs]

Em 04/02/2017 em 10:33, Jorge Marcelino disse:

Deixei padrão por enquanto, nível de proteção é recomendado deixar: 1 (Critical) ?

Pois já veio como padrão do plugin, não alterei nada.

Eu não configuro pelo "Protection Wizard", instalo normalmente o plugin como você fez, depois vou ao local abaixo e insiro as regras que não quero, ou seja a Whitelist, o restante é padrão mesmo.

/var/cpanel/cwaf/etc/httpd/global/zzz_exclude_global.conf

Ele também insere no arquivo acima, entradas que desabilitam algumas regras que podem ocasionar problemas.

Quando você instala ou quando você atualiza as regras, o arquivo acima é atualizado, removendo as suas entradas personalizadas, então fique de olho caso opte por alterar diretamente o arquivo, como fazemos.

Abaixo deixo as configuração deste arquivo, ou seja, as regras que desabilitamos e que podem ocasionar problemas (em nosso caso).

SecRuleRemoveById 214450
SecRuleRemoveById 214440
SecRuleRemoveById 214930
SecRuleRemoveById 214500
SecRuleRemoveById 214400
SecRuleRemoveById 214560
SecRuleRemoveById 214630
SecRuleRemoveById 214620
SecRuleRemoveById 214470
SecRuleRemoveById 240331
SecRuleRemoveById 240335
SecRuleRemoveById 240330
SecRuleRemoveById 240336
SecRuleRemoveById 240334
SecRuleRemoveById 240333
SecRuleRemoveById 240332
SecRuleRemoveById 214800
SecRuleRemoveById 214530
SecRuleRemoveById 214650
SecRuleRemoveById 214590
SecRuleRemoveById 214680
SecRuleRemoveById 214900
SecRuleRemoveById 214430
SecRuleRemoveById 214940
SecRuleRemoveById 214600
SecRuleRemoveById 214610
SecRuleRemoveById 214920
SecRuleRemoveById 214580
SecRuleRemoveById 214490
SecRuleRemoveById 214410
SecRuleRemoveById 214640
SecRuleRemoveById 214910
SecRuleRemoveById 214550
SecRuleRemoveById 214570
SecRuleRemoveById 214460
SecRuleRemoveById 214660
SecRuleRemoveById 214540
SecRuleRemoveById 214420
SecRuleRemoveById 214510
SecRuleRemoveById 214520
SecRuleRemoveById 214670
SecRuleRemoveById 230010
SecRuleRemoveById 230011
SecRuleRemoveById 214310
SecRuleRemoveById 214300
SecRuleRemoveById 220020
SecRuleRemoveById 211085
SecRuleRemoveById 211181
SecRuleRemoveById 211192
SecRuleRemoveById 211000
SecRuleRemoveById 220042
SecRuleRemoveById 220041
SecRuleRemoveById 211586
SecRuleRemoveById 212015
SecRuleRemoveById 212321
SecRuleRemoveById 212014
SecRuleRemoveById 220111
SecRuleRemoveById 211071
SecRuleRemoveById 211028
SecRuleRemoveById 212339
SecRuleRemoveById 220121
SecRuleRemoveById 220120
SecRuleRemoveById 211022
SecRuleRemoveById 211026
SecRuleRemoveById 212000
SecRuleRemoveById 211014
SecRuleRemoveById 211182
SecRuleRemoveById 211222
SecRuleRemoveById 220500
SecRuleRemoveById 220501
SecRuleRemoveById 220502
SecRuleRemoveById 211171
SecRuleRemoveById 212100
SecRuleRemoveById 216355
SecRuleRemoveById 211184
SecRuleRemoveById 211194
SecRuleRemoveById 211074
SecRuleRemoveById 211587
SecRuleRemoveById 211039
SecRuleRemoveById 216009
SecRuleRemoveById 212221
SecRuleRemoveById 220110
SecRuleRemoveById 220620
SecRuleRemoveById 212008
SecRuleRemoveById 2273
SecRuleRemoveById 220030
SecRuleRemoveById 211100
SecRuleRemoveById 212322
SecRuleRemoveById 212013
SecRuleRemoveById 211097
SecRuleRemoveById 211535
SecRuleRemoveById 211536
SecRuleRemoveById 212009
SecRuleRemoveById 400009
SecRuleRemoveById 214412
SecRuleRemoveById 211223
SecRuleRemoveById 211780
SecRuleRemoveById 213020
SecRuleRemoveById 213070
SecRuleRemoveById 213100
SecRuleRemoveById 210620
SecRuleRemoveById 212010
SecRuleRemoveById 220830
SecRuleRemoveById 212770
SecRuleRemoveById 210730
SecRuleRemoveById 211540
SecRuleRemoveById 212740
SecRuleRemoveById 210380
SecRuleRemoveById 210410
SecRuleRemoveById 211220
SecRuleRemoveById 211030
SecRuleRemoveById 211650
SecRuleRemoveById 211090
SecRuleRemoveById 210830
SecRuleRemoveById 212800
SecRuleRemoveById 211210
SecRuleRemoveById 211580
SecRuleRemoveById 212810
SecRuleRemoveById 990012
SecRuleRemoveById 230000
SecRuleRemoveById 230007
SecRuleRemoveById 230031
SecRuleRemoveById 230021
SecRuleRemoveById 230002
SecRuleRemoveById 230006
SecRuleRemoveById 230003
SecRuleRemoveById 230004
SecRuleRemoveById 230020
SecRuleRemoveById 230001
SecRuleRemoveById 230040
SecRuleRemoveById 230041
SecRuleRemoveById 210220
SecRuleRemoveById 210800
SecRuleRemoveById 212620
SecRuleRemoveById 212870
SecRuleRemoveById 217501
SecRuleRemoveById 212890
SecRuleRemoveById 212280
SecRuleRemoveById 221310
SecRuleRemoveById 221300
SecRuleRemoveById 221110
SecRuleRemoveById 220220
SecRuleRemoveById 211020
SecRuleRemoveById 220050
SecRuleRemoveById 220040
SecRuleRemoveById 230030
SecRuleRemoveById 212700
SecRuleRemoveById 230005
SecRuleRemoveById 217101
SecRuleRemoveById 217100
SecRuleRemoveById 210210
SecRuleRemoveById 240031
SecRuleRemoveById 400021
SecRuleRemoveById 213010
SecRuleRemoveById 212880
SecRuleRemoveById 217500
SecRuleRemoveById 218500
SecRuleRemoveById 211190
SecRuleRemoveById 226472
SecRuleRemoveById 218612
SecRuleRemoveById 218600
SecRuleRemoveById 218610
SecRuleRemoveById 218602
SecRuleRemoveById 218611
SecRuleRemoveById 218601
SecRuleRemoveById 240950
SecRuleRemoveById 210740
SecRuleRemoveById 212900
SecRuleRemoveById 212650
SecRuleRemoveById 218400

Lembrando que as regras que estiverem neste arquivo, é bom adicionar também no plugin "ConfigServer ModSecurity Control" (caso utilize).