How to install Mod-Security2 on WebServer Ubuntu 11.10

ModeSecurity คือ Software Open Source ตัวหนึ่งที่ทำหน้าที่ ในการ Detection และ Prevention Engine สำหรับ เว็บไซต์ของเราที่อยู่ฝั่ง Server ที่มีประสิทธิภาพในการป้องกันการโจมตี ซึ่งเป็นส่วนหนึ่งของโมดูล Apache
1.  Packet ที่ระบบต้องการ ก่อนทำการติดตั้งนะครับ
           #apt-get install libxml2-dev liblua5.1-0 lua5.1 apache2-dev build-essential
2. ในทำการ Download โปรแกรมมาเก็บไว้ใน /tmp ก่อน
          #cd /tmp
          # wget http://www.modsecurity.org/download/modsecurity-apache_2.5.11.tar.gz



3. ให้ Extract ไฟล์ที่ Download มาในครับ
          # tar xvfz modsecurity-apache_2.5.11.tar.gz
4. เข้าไปที่ Directory mod-security
          #cd modsecurity-apache_2.5.11/apache2/
5. ให้ทำการ Build ตัว Mod-security ซะ
          #./configure && make && make install
6. ทำการสร้างไฟล์ Mod-Security.load ใน apache
          #vi /etc/apache2/mods-available/mod-security2.load
     แล้วทำการ พิมพ์หรือ Copy ข้อความข้างล่างลงไปนะครับ
             

LoadFile /usr/lib/libxml2.so
LoadFile /usr/lib/i386-linux-gnu/liblua5.1.so.0
LoadModule security2_module /usr/lib/apache2/modules/mod_security2.so

จากนั้นทำการ Save ไฟล์ โดยพิมพ์ :wq
หมายเหตุ : ตำแหน่ง (Path) ไฟล์แต่ละเครื่องอาจไม่เหมือนกัน ต้องลอง #Find / -name ตามด้วยชื่อไฟล์ที่ต้องการหา ดูนะครับ
7.  ให้ Enable โมดูล mod-security2 และ unique_id

#a2enmod mod-security2
#a2enmod unique_id


8. ทำการเรียกค่า config เข้ามาที่ไฟล์โมดูล ดังนี้

#vi /etc/apache2/conf.d/mod-security2.conf
แล้วพิมพ์เข้าไป


Include /etc/modsecurity2/*.conf

9. ทำการสร้าง Directory เพื่อเก็บไฟล์ต่างๆ ที่จำเป็น

#mkdir /etc/modsecurity2
#mkdir /etc/modsecurity2/logs
#touch /etc/modsecurity2/logs/modsec_audit.log
#touch /etc/modsecurity2/logs/modsec_debug.log

10. ทำการ Copy core rule ไปไว้ใน mod-security โฟเดอร์
#cp /tmp/modsecurity-apache_2.5.11/rules/*.conf /etc/modsecurity2

11. ทำการแก้ไขที่ Path ไฟล์ของ Log ให้ตรงตามที่เราได้สร้างเอาไว้
#vi /etc/modsecurity2/modsecurity_crs_10_config.conf

โดย :
           ค้นหา  SecDebugLog logs/modsec_debug.log
           แทนที่ด้วย SecDebugLog /etc/modsecurity2/logs/modsec_debug.log

           ค้นหา SecAuditLog logs/modsec_audit.log
           แทนที่ด้วย  SecAuditLog /etc/modsecurity2/logs/modsec_audit.log
จากนั้นก็ Save ไฟล์ แล้วออก

12. ทำการตรวจสอบค่า Config ของ apache ซึ่งถ้าไม่มีปัญหาอะไร จะคืนมาเป็น Syntax OK
       #apache2ctl configtest

13. ทำการ Restart Apache
       #/etc/init.d/apache2 restart

14. การตรวจสอบการทำงานของ mode-security2 ทำได้โดย
      #cat /var/log/apache2/error.log | grep ModSecurity