FAQ по ModSecurity

О технологии

Журнал ModSecurity ‒ это самый полезный источник информации в системе. В нем ModSecurity фиксирует все происходящие события.

После включения ModSecurity некоторые сайты могут начать работать с ошибками. В этом случае проверьте журнал ModSecurity, чтобы выяснить точную причину проблемы. Вы можете отключить слишком строгие правила безопасности или изменить параметры соответствующего сайта.

Чтобы понять, почему не был выполнен HTTP-запрос к тому или иному сайту:

  1. Откройте журнал ModSecurity, щелкнув по приведенной ниже ссылке.
  2. В открывшемся журнале выполните поиск (Ctrl+F в большинстве браузеров) по доменному имени сайта, испытывающего проблемы. Например, ваш-домен.ru. Браузер выделит строку вида HOST: ваш-домен.ru.
  3. Чуть выше выделенной строки вы увидите запись вида —eece5138-B—. Восемь символов между дефисами (в нашем примере это eece5138) ‒ это идентификатор события, вызванного HTTP-запросом.
  4. Найдите другие записи с таким же идентификатором события. Вам нужна запись, у которой после идентификатора события стоит буква H (в нашем примере это eece5138-H—). Эта запись содержит идентификатор и описание правила безопасности, проверявшего данный HTTP-запрос. Идентификатор правила безопасности ‒ это целое число, начинающееся с цифры 3 и заключенное в кавычки и ‒ вместе с префиксом id ‒ в квадратные скобки. Например, [id «340003»].
  5. Найдите идентификатор правила безопасности по фрагменту [id «3.
  6. Отключите правило безопасности с этим идентификатором в расположенной ниже области: введите найденный идентификатор (только цифры) в поле Идентификаторы правил безопасности и нажмите ОК.

Принцип работы

Каждый входящий HTTP-запрос и соответствующий ответ проходит через набор проверочных правил. Если проверка пройдена, запрос передается веб-сайту. Если проверка не пройдена, брандмауэр сохраняет ее результат в журнал событий, отправляет уведомление и выдает HTTP-ответ с кодом ошибки.