Originalbeitrag von http://www.huschi.net

Wichtiger Hinweis:
Diese beiden Mods hier sollten nicht blind einfach installiert werden, sondern man sollte danach genau darauf achten ob tatsächlich alles läuft, denn es kann auch vorkommen, dass der Mod-Security einen aussperrt, obwohl der User kein Angreifer ist und nur z.B. ein PHP-Script des öfteren aufgerufen hat.

Problem
Regelmäßig kommen auf gut besuchten Webseiten DoS (Denial of Service) Attacken vor. Entweder sind es spielende Script-Kiddies, schlecht programmierte Spider/Crawler oder echte Angriffe.

Ein (hier Web-)Server wird mit so vielen Anfragen bombardiert, daß er entweder ganz Langsam wird, oder auf Grund ausgehendem Speicher gar nicht mehr Antwortet.
Konsequenz ist häufig der Absturz des Serverdienstes oder manchmal sogar ein vollkommener Ausfall des Rechners selbst.

Abhilfe:
Um Apache selbst zu schützen, gibt es zwei Apache-Module:
1. mod_security
2. mod_evasive (Download)

Während mod_security mehr für den Schutz vor seltsamen/verdächtigen Query-Strings zuständig ist, ist mod_evasive konkret gegen DoS-Angriffe.

mod_evasive erstellt eine interne Liste von IP-Adresse und angeforderten URLs. Sollten hier gewisse (frei definierbare) Schwellwerte überschritten werden, antwortet es automatisch mit einem 403, sperrt diese IP für 10 Sekunden und kann noch weitere Funktionen ausführen. (Z.B. Logging oder Warnungs-Mail versenden.)
Installation mod_security

Das Apache-Modul mod_security erhält man in den aktuellen Distributionen direkt als Software-Paket. So ist es z.B. unter Debian ganz schnell installiert:

Code:
apt-get install libapache2-mod-security
a2enmod mod-security
Es fehlen nur noch die richtigen Einstellungen in der apache2.conf:

Code:
<IfModule mod_security.c>
  SecFilterEngine On
  # URL-Validierung aktivieren
  SecFilterCheckURLEncoding On
  # Unicode-Validierung aktivieren
  SecFilterCheckUnicodeEncoding On
  # HTTP-POST-Daten verarbeiten
  SecFilterScanPOST On
  # Standard-Aktion für zutreffende Filterregeln
  SecFilterDefaultAction "deny,log,status:403"
  # Filterregeln aus mod-security.d einbinden
  Include /etc/apache2/mod-security.d/[^.#]*
</IfModule>
Mit dem letzten Befehl wird ein Verzeichnis für die weiteren, selbst zu erstellenden Config-Files angegenben. Dort platzieren wir die eigentlichen Filter.
Beispiele finden wir bereits auf der Platte:
Code:
/usr/share/doc/libapache2-mod-security/examples/.
Installation mod_evasive

Das Modul mod_evasive gibt es noch nicht als Distributions-Pakete. Also müssen wir es selber kompilieren.
Voraussetzung für jede Kompilation mit Apache ist natürlich das Apache-Devel-Paket!

Code:
#Prüfe auf Apache-Devel
whereis apxs
whereis apxs2
#Download und entpacken:
cd /usr/local/src/
wget http://www.huschi.net/download/mod_e..._1.10.1.tar.gz
tar xzf mod_evasive_*
cd mod_evansive
Code:
#Prüfen ob es den angegebenen Mailer gibt:
whereis mail
#Wenn nicht "/bin/mail" muß es werden:
edit mod_evasive.c
#suche nach "#define MAILER" und korrigiere den Pfad.
Code:
#Einfaches Compilieren mit Apache-Tool apxs:
apxs2 -cia mod_evasive20.c
#suchen wo das fertige Modul ist:
ls -l /usr/lib/apache2/mod_evansive*
ls -l /usr/lib/apache2/modules/mod_evansive*
Code:
#dementsprechend wird ein load-file angelegt:
echo "LoadModule evasive20_module  /usr/lib/apache2/mod_evasive20.so" > /etc/apache2/mods-available/mod_evasive.load
ln -s /etc/apache2/mods-available/mod_evasive.load /etc/apache2/mods-enabled/.
Nun fehlt nur noch die Datei /etc/apache2/mods-available/mod_evasive.conf die ebenfalls ins Verzeichnis mods-enabled gelinkt werden muß:

Code:
<IfModule mod_evasive20.c>
    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10
    DOSEmailNotify      webmaster@meine-domain.tld
</IfModule>
Achtung: im beiliegenden Readme steht auch noch die Directive DOSLogDir. Die ist recht ungünstig benannt, da sie nichts mit Logfiles zu tun hat, sondern eher mit Lock-Files. Am besten läßt man sie per Default auf /tmp/.