)
我目前正在尝试为我的应用程序在modsecurity中创建白名单列表。
为了减少误报,我想到了这样的事情:如果用户引起了10条以上的错误消息(mod安全消息),它将被阻止。
这样可能吗?
答案 0 :(得分:0)
差不多。例如,您既没有指定哪种错误消息,也没有指定在单个请求中发送10条错误消息,还是在给定的时间内未发送10条错误消息。
您可以在CRS设置中为mod_security设置一些阈值,这些阈值将基于总得分触发拒绝;升高/降低该阈值将设置拒绝单个请求的级别。
如果您正在查看一段时间内的403或拒绝,则您可能想通过Google“ fail2ban mod_security”查找设置f2b以读取mod_security日志文件的方式,并在出现足够的不当行为后将有问题的IP放入“ jail”