Letzte Aktivitäten

(Quelltext, 79 Zeilen)

Ich hab mir grad einen Alma Linux 10 Server gebaut und wollte pd-admin installieren. Hab mir ja schon ganz gut notiert, welche Pakete ich so brauche vorher und dabei ist mir aufgefallen dass die .i686 Pakete fehlschlagen (zum Beispiel glibc.i686, ncurses-libs.i686 etc). Und tatsächlich, Alma Linux Website sagt […] Nun hab ich mal testweise probiert glibc-2.28-251.el8_10.25.i686.rpm händisch runterzuladen und zu installieren, aber hier wird gleich gemeckert dass andere Pakete fehlen, sieht für…

(Quelltext, 80 Zeilen)

Nach Update auf PD-Admin v4.137 mit der Verbesserung "mod_security vor VirtualHosts-Konfiguration laden" funktionieren nun individuelle Einstellungen bezüglich ModSecurity im vhost-Container, hier beispielsweise Secrule-Ausnahmen: #httpd_vhost_module: incremental <IfModule security2_module> SecRuleRemoveById <RuleID> </IfModule> VIelen Dank für das schnelle Update!

(Quelltext, 25 Zeilen)

(Quelltext, 80 Zeilen)

Mache es genauso, schreibe jedoch alles in das Shell-Skript: if [ "$1" = "DOMAIN" ]; then echo "#httpd_vhost_module: incremental" VALUE_XXX fi Deine Variante find ich da aber etwas übersichtlicher! Baue das mal so um! Mit ModSecurity funktioniert das leider nicht (zumindest nach meinen Tests), da die vhost-Sektionen vorher geladen werden.

Ich habe es noch nicht ausprobiert, aber sollte das nicht wie folgt gehen: 1. Ergänzen der /opt/pdadmin/etc/pdadmin.conf Datei um folgenden Eintrag: $httpd_vhost_module = '/opt/pdadmin/bin/add_vhost_customizations.sh'; 2. In der add_vhost_customizations.sh folgendes eintragen: #!/bin/sh if [ -f /opt/pdadmin/vhost_customizations/$1 ]; then cat /opt/pdadmin/vhost_customizations/$1 else exit fi 3. Im Verzeichnis /opt/pdadmin/vhost_customizations/ jeweils für jede Domain eine Datei anlegen,…

Beschäftige mich nun seit einigen Tagen intensiver mit ModSecurity auf mehreren PD-Admin-Servern mit unterschiedlich installierten Anwendungen. Wie @tbc233 bereits geschrieben wäre es klasse, Einstellungen auf vhost oder Kundenbasis setzen zu können. Musste hier viele Regelausnahmen setzen, da Applikationen nicht mehr vernünftig liefen! Leider geschieht dieses nur global für den gesamten Server, obwohl nur ein Kunde bzw. vhost betroffen ist. Auch individuelle Einstellungen von ModSecurity,…

Was du hier theoretisch machen könntest ist die WAF global auszuschalten und das Modul inkrementell im jeweiligen vhost via "httpd_vhost_module" einzeln nachzuladen... Wäre aber eher aus meiner Sicht gebastelt, komplex bezüglich der ganzen Konfiguration und wird schnell unübersichtlich! Einzelne vhosts (beispielsweise durch Anpassung via "httpd_vhost_module) lassen sich hier ja leider nicht modifizieren (wenn WAF global aktiviert), da mod_security zum Schluss in der httpd.conf geladen wird.…

[…] Ich komm gar nicht so weit zu solchen Überlegungen, weil wie gesagt, mein Hauptproblem ist dass mod_security eine Serverweite Einstellung ist. Kommt auch nur ein Projekt auf dem Server, warum auch immer, nicht mit mod_security zurecht, ist es für den ganzen Server gestorben, weil ich es dann abdrehen muss. Das ist mir bisher relativ oft passiert. Daher würde ich mir eine Schaltung je Account wünschen.

In meinen Fall wären es aktuell das Hinzufügen von individuellen Regeln, welche auch "updateresistent" sind (z.B. ein include von conf/rules.d/additional_rules.conf), so mache ich es aktuell (siehe vorherigen Post). Modifizieren von globalen Optionen, z.B. Logging-Optionen (SecDebugLogLevel, Log-Speicherort) Bezüglich mod-security wird fast alles automatisch (was auch generell OK ist) generiert, jedoch mit kaum individuellen Anpassungsmöglichkeiten bzw. individuellen Einstellungen. Wie seht…

Welche konkreten Einstellungsmoeglichkeiten sind denn gewuenscht?

Habs jetzt anders gelöst: Normalerweise lädt PD-Admin das security2-Apache-Modul, je nachdem, ob die WAF aktiviert oder deaktiviert ist! Lade dieses nun permanent via der httpd24.conf-template und setze direkt im Anschluss dort meine individuellen Einstellungen. Somit werden diese nun durch mod_security berücksichtigt. Die PD-Admin eigenen Regeln werden weiterhin am Ende eingefügt, je nach Einstellung der WAF. Wäre schön, wenn es in Zukunft hier mehr individuelle Einstellungsmöglichkeiten…

Entschuldige, ich hatte in Deinem Eingangspost leider überlesen dass Dir das schon bekannt war mit der Template Datei. Leider hab ich hier dann auch keine weitere Idee derzeit. Vielleicht als Wunsch einmelden. Bei der Gelegenheit fände ich es auch fein, wenn man mod_security je Account aktivieren könnte und nicht nur je gesamten Server.

Allgemein funktioniert ja das "Anfügen" via httpd24-template! PD-Admin fügt seine WAF-Konfiguration am Ende der httpd.conf ein. Meine Modifikation via httpd24.conf-template wird jedoch weit vor dieser Konfiguration erstellt, welche somit nicht von mod_security beachtet wird!

Ich weiß jetzt nicht ob es hilft, weil ich von mod_security noch nicht so viel Ahnung habe. Aber ganz allgemein gesprochen, wird zur Generierung der httpd.conf die /usr/local/pd-admin2/httpd-2.4/conf/httpd24.conf-template herangezogen. Dort kannst Du durchaus eigene Konfigurationen einfügen. Schwierig wird es halt immer nur dann, wenn Du eigene Konfigurationen hinzufügen willst zu den automatischen generierten Einträgen.