Linux | ModSecurity

ModSecurity (mod_security) - Open Source Web Application Firewall

サーバサイドのアプリケーションでエラーになった時のPOSTリクエスト内容をアプリケーションやAPサーバではなく、Webサーバでログに残したいという要件があり、調べていたらApacheモジュールのModSecurityで対応できることが分かった。

まだModSecurityが何をしてくれるものなのかちゃんと理解してないけど、とりあえず以下の設定でステータス500番代のレスポンスになる場合のPOSTデータがリクエスト毎にファイルに保存される。

SecRuleEngine DectionOnly
SecRequestBodyAccess On
SecAuditEngine RelevantOnly
SecAuditLogParts ABCFHZ
SecAuditLog /path/to/audit.log
SecAuditLogStorageDir /path/to/log_dir
SecAuditLogType Concurrent
SecAuditLogRelevantStatus ^5

以前に「Apacheセキュリティ」という本を買って、ざっと読んで所々に付箋を貼って放置状態になっていたが、この本の著者がModSecurityの開発者らしい。ModSecurityをちゃんと使えるようになれば、いろいろ悪いことを防いでくれるような気がするので、きちんと読み返してみようと思います。