ModSecurity und xtcmodified

ModSecurity ist ja eine Anwendung welche auf Basis von Regeln den Zugriff auf den Apache Server einschränkt. Manchmal kommt es dann natürlich dazu das eine Regel anschlägt ohne das was passiert ist. Innerhalb von xtcModified kann das zum Beispiel auch passieren wenn man eine Produktbeschreibung erstellt.

Auf Basis dieses Beitrages bin ich auf folgende Kombination gekommen.

1. Den Admin Bereich zusätzlich einschränken und einen weiteren Adminacccout festlegen

2. Den dort definierten Namen in die ModSecurity Regeln aufnehmen.

Step 1: Password Authentifizierung auf den administrativen Bereich

cd /var/www/web1x/html/admin

vi .htaccess

     AuthUserFile /var/www/web1x/.htpasswd
     AuthGroupFile /dev/null
     AuthName shopadmin
     AuthType Basic
     require user shopadmin

cd /var/www/web1x
htpasswd2 –c htpasswd shopadmin

Jetzt muss man sich nicht nur mit dem normalen Shop Administrator anmelden sondern auch noch den obigen Namen. Wenn man paranoid ist dann nimmt man einen anderen als den User der in der Shopdatenbank steht.

Step 2: ModSecurity  anpassen

Jetzt brauchen wir wir noch den Freifahrtschein für modsecurity

vi modsecurity_crs_15_customrules.conf 

# shopadmin user darf alles
SecRule REMOTE_USER "shopadmin" allow