【IT168 服务器学院】现在我们安装mod-security，debian下同样很简单，并且自动把模块加到httpd.conf里

　　[root@debian /]apt-get install libapache-mod-security

　　默认这个模块是没激活的，编辑一下httpd.conf文件并去掉下面这行的注释

　　LoadModule security_module /usr/lib/apache/1.3/mod_security.so

　　接着在httpd.conf的末尾加上

　　    # 打开或者关闭过滤引擎

　　    SecFilterEngine On

　　    # 设置缺省的动作    

　　    SecFilterDefaultAction "deny,log,status:404"

　　    # 把设置传递给字目录

　　    SecFilterInheritance Off

　　    # 检测URL编码是否正确

　　    SecFilterCheckURLEncoding On

　　    # 检测内容长度以避免堆溢出攻击

　　    SecFilterForceByteRange 32 126

　　    # 日志文件的位置和名字

　　    SecAuditLog logs/audit_log

　　    # debug设置

　　    SecFilterDebugLog logs/modsec_debug_log

　　    SecFilterDebugLevel 0

　　    # 检测POST数据

　　    SecFilterScanPOST On

　　    # 当匹配sh的时候,重新定向到一个特殊的页面,让攻击者知难而退

　　    SecFilter sh redirect:http://secu.zzu.edu.cn/hack/fu.htm

　　    # Only check the body of the POST request

　　    #过滤一些敏感的东西，我们使用*是为了攻击者使用/etc/./passwd来绕开检测

　　    SecFilter /etc/*passwd

　　    SecFilter /bin/*sh

　　    # 防止double dot攻击,也就是类似http://www.test.com/openfile.php?path=/../../..,虽然这个漏洞看似弱智，但是很多网站都有的，比如CERNET某大学某图片站:)

　　    SecFilter "../"

　　    # 防止跨站脚本(CSS)攻击

　　    SecFilter "<( | )*script"

　　    SecFilter "<(.| )+>"

　　    # 防止SQL插入(SQL Injection)攻击

　　    SecFilter "delete(空格| )+from"

　　    SecFilter "insert(空格| )+into"

　　    SecFilter "select(空格| )+from"

　　    SecFilter "union(空格| )+from"

　　    # 下面是限制了upload.php文件只能用来上传jpeg.bmp和gif的图片

　　         SecFilterInheritance Off

　　        SecFilterSelective POST_PAYLOAD "!image/(jpeg|bmp|gif)"

　　 用好了mod-security,可以使你的网站的安全性大大的提高的，在他带的manual里你可以找到更多的设置的,在光盘中附带了更加详细的规则

　　(mod-security.rule.txt)