ModSecurity 2를 이용해 Apache 로그 관리 및 방화벽 설정하기

  ModSecurity 2를 이용하면 Apache 웹 서버의 기본적인 웹 방화벽 설정을 할 수 있습니다. 또한 특정한 요청(Request)에 대한 로그를 진행하는 데에 도움을 얻을 수 있기 때문에 자주 사용됩니다. 대표적으로, 서버 오류를 발생시키는 요청에 대해서는 자동으로 로깅을 진행합니다. (POST 방식의 API의 파라미터를 이상하게 요청하여 500번 응답 코드를 받는 등)

 

  설치는 다음과 같이 할 수 있습니다.

 

sudo apt install libapache2-mod-security2

 

 

  이후에 추천 환경설정 파일을 /etc/modsecurity/modsecurity.conf의 위치로 옮기면, 기본적인 설정 그대로 ModSecurity를 이용할 수 있습니다. 그리고 아파치(Apache) 서버를 재시작합니다.

 

sudo mv /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
sudo apachectl restart

 

  이후에 /var/log/apache2/modsec_audit.log 파일에 로그 데이터가 기록됩니다. 이를 출력하도록 만들면 다음과 같이 로그가 출력되는 것을 확인할 수 있습니다.

 

tail -f /var/log/apache2/modsec_audit.log

 

 

  물론 자신이 운영하고 있는 서비스에 따라서, 서로 다르게 방화벽 설정을 할 필요가 있기 때문에 실제로 로그가 찍히는 것을 보면서 환경 설정을 바꾸어가면서 쓰면 좋습니다.