我想configurationmodsecurity不logging任何来自127.0.0.1的问题,但我没有运气与下面的规则。
SecRule REMOTE_ADDR "@ipMatch 127.0.0.1" "id:26091975,phase:2,pass,nolog,allow,ctl:ruleEngine=Off" SecRule REMOTE_ADDR "^127.0.0.1" "id:26091975,phase:2,pass,nolog,allow,ctl:ruleEngine=Off" SecRule REMOTE_ADDR "^127.0.0.1" phase:1,nolog,allow,ctl:ruleEngine=off 但是我的日志仍然填满了来自127.0.0.1的条目。
我对其他IP和特定规则的规则工作正常,似乎只是当他们从本地主机发起。
#Versions ModSecurity for Apache/2.6.3 (http://www.modsecurity.org/) ModSecurity: APR compiled version="1.4.6"; loaded version="1.4.6" ModSecurity: PCRE compiled version="8.12"; loaded version="8.12 2011-01-15" ModSecurity: LUA compiled version="Lua 5.1" ModSecurity: LIBXML compiled version="2.7.8"
几点提示:
你应该allow (这个结束当前的规则处理这个请求),而不是pass (这将超过这个规则,并继续处理下一个规则)。 目前,您在这些规则中都有,并且不确定导致哪些问题。
从理论上讲,一旦ctl:ruleEngine = off被处理,它不应该传递到下一个规则,所以上面的规则可能无关紧要,但是没有什么坏处。
你应该确保你的跳过规则是第一阶段。目前你有第一阶段和第二阶段的混合。
您应该确保这些跳过规则是处理的第一个规则。 那样的话,其他规则将不会被处理。 虽然诚实地不确定在closures审计引擎后,以前处理的规则是否会被logging。
我也会改变logging暂时来看看这些规则是否正在处理。
您也可以打开debugging日志logging来查看处理规则时发生了什么(REMOTE_ADDR由于某种原因而不匹配?)。 他们产生一个详细的日志,特别是在高debugging级别。
希望能给你一些指点,但是如果这样做没有帮助,那就用上面所做的更多的细节来修正你的问题,这样可能会有更多的帮助。 也会说现在ModSecurity 2.6.3已经很老了,可能还想升级。
你能分享一些射击的规则吗? 和他们在哪里比较这些跳过规则? 你能分享你的其他ModSecurityconfiguration吗?