我正在做一个干净的安装我的服务器,我正在寻找一些关于我是否真的需要 Apache mod_security模块的build议。
对于我的服务器,我认为自己有点偏执,但是安装和debuggingmod_security的新configuration是否值得通过所有的麻烦?
如果你想对客户端和你的服务器之间的交互进行细致的操作,mod_security就是要走的路。 如果你想实现一个“Web应用程序防火墙”,这是一个很好的开源解决scheme。 (WAF)
如果你不想花时间正确地configuration它,并编写适合你的特定应用程序的规则,那么它的好处将会受到更多的限制。
与其他安全解决scheme(如基于networking和主机的IDS)一样,WAF也越来越普遍。 看起来WAF有可能成为行业的标准。 尽pipe如此,与IDS一样,mod_security也只有它所愿意做的那样好。
如果你有一个你没有开发和特别关注的应用程序,你可以通过mod_security限制潜在的风险,而不需要修改应用程序。