我最近切换到VPS而不是共享主机。共享托管的一个有用的东西是拥有mod_security。我注意到每当我试图阻止SQL注入时,添加它总是一件好事。无论如何,我去了this site并按照CentOS的说明进行操作。然后我更改了配置文件以使SecEngineRule为ON。我不确定这是否是我要做的全部,但我查看了一个教程,这就是它所说的一切。但是,在我重新启动服务器之后,我开始尝试在我的网站上进行SQL注入,而Mod Security并没有像通常那样做任何事情。有人可以帮忙吗?
答案 0 :(得分:1)
很可能你没有激活任何规则,你也可能忘记加载mod_sec - 这在这种情况下是好的,因为你应该只在你测试配置后切换SecEngineRule ON,否则你最终会非常快速地将您的Web服务器锁定太多,给您带来困难......
请查看本指南:https://www.rosehosting.com/blog/install-mod_security-with-the-owasp-core-rule-set-on-a-centos-vps/
该指南描述了从源代码安装mod_sec(它将为您提供最新版本,而不是您使用标准回购站使用yum的版本。
上面指南中提到的最后一步:
如果您使用的是CentOS 7,请使用systemctl start httpd并且不要忘记运行systemctl enable httpd以确保重启后加载http。
Another, more detailed, guide包括配置mod_sec和(如果需要)mod_evasive。但是,该指南忽略了mod_unique_id - 所以简单地合并所提供的两个指南,你应该很高兴。