Một trong những hình thức tấn công mạng (cyberattack) nguy hiểm nhất hiện nay là tấn công tự động bằng bot, bắn phá các ứng dụng web bằng những request độc hại ngay sau khi trực tuyến. Sau đó, các hacker nhắm vào nhiều trang web để tìm ra các lỗ hổng cho mục đích code injection hay đánh cắp dữ liệu. cPanel & WHM sở hữu nhiều tính năng quan trọng giúp các web host và admin có thể đẩy lùi những cuộc tấn công này. Trong đó gồm cả WAF ModSecurity. Vậy Modsecurity là gì? Bài viết sau đây sẽ hướng dẫn cài đặt và cấu hình ModSecurity trong cPanel nhanh chóng, đơn giản và cụ thể nhất.
Modsecurity là gì?
ModSecurity là một bộ công cụ tường lửa ứng dụng web (Web Application Firewall – WAF) mã nguồn mở, được thiết kế để cung cấp các chức năng bảo mật và bảo vệ cho các ứng dụng web. Hoạt động bằng cách kiểm tra các yêu cầu HTTP và phản hồi giữa trình duyệt và máy chủ để phát hiện và ngăn chặn các cuộc tấn công nhằm vào các lỗ hổng bảo mật trong ứng dụng web.
Ngoài ra, bản thân ModSecurity là bộ công cụ giúp theo dõi hoạt động và truy cập website theo thời gian thực. Với ModSecurity, bạn có thể làm những gì mình muốn bằng cách chọn đúng các tính năng sẵn có thay vì tuân thủ nghiêm ngặt một khuôn khổ nhất định.
Cài đặt ModSecurity trong cPanel
Hãy cùng nói sơ qua một chút về phiên bản hiện tại của ModSecurity – phiên bản thứ 3. Trước hết, ModSecurity 3 nhanh hơn nhiều so với những phiên bản tiền nhiệm. Đồng thời nó cũng không còn phụ thuộc vào Apache, và cũng có thể được sử dụng với nhiều web server khác, trong đó bao gồm cả NGINX.
Trước khi cài đặt và cấu hình ModSecurity trong cPanel, ta cần có quyền truy cập root vào server, trên cả command line với SSH lẫn trong WHM. Sở dĩ vì ModSecurity 3 hiện chỉ là bản thử nghiệm, nên ta cần phải cài đặt kho thử nghiệm EasyApache 4 trước.
Đầu tiên, đăng nhập vào server bằng SSH rồi chạy lệnh sau:
yum install ea4-experimental
Tiếp đến, ta sẽ cài đặt trình kết nối cho phép ModSecurity hoạt động với một web server. Hiện có hai trình kết nối được hỗ trợ là Apache và NGINX, cả hai đều có thể được cài đặt trong shell hoặc WHM.
Trước tiên, hãy uninstall ModSecurity 2 nếu có:
yum remove ea-apache24-mod_security2
Ở trong shell, hãy cài đặt trình kết nối với một trong các lệnh sau:
yum remove ea-apache24-mod_security2
yum install ea-modsec30-connector-nginx
Đối với WHM:
- Đi đến trang EasyApache4, đến phần Software ở menu sidebar.
- Chọn vào Customize ở phía dưới phần Currently Installed Packages.
- Chọn tab Additional Packages.
- Click vào switch bên cạnh modsec30-connector-apache24 hoặc modsec30-connector-nginx.
- Chọn vào tab Review rồi nhấn nút Provision ở cuối trang.
Bây giờ, cPanel sẽ cài đặt trình kết nối và các dependencies của nó.
Cuối cùng là cài đặt OWASP Core Rule Set, bạn có thể thực hiện trực tiếp trong WHM tương tự như ở trên để cài đặt package modsec30-rules-owasp-crs. Hoặc bạn cũng có thể chạy lệnh sau ở trong shell để cài CRS:
yum install ea-modsec30-rules-owasp-crs
Cấu hình ModSecurity
Bây giờ hãy cũng đến với bước thứ hai của hướng dẫn cài đặt và cấu hình ModSecurity trong cPanel. Các giá trị mặc định đều có thể hoạt động tốt trong hầu hết các trường hợp liên quan đến web hosting. Tuy vậy, người dùng hoàn toàn có thể tự cấu hình ModSecurity, đồng thời các quy tắc cũng có ở trong Security Center của WHM.
Cấu hình ModSecurity
Trong phần ModSecurity Configuration có rất nhiều cài đặt liên quan đến việc kiểm soát hành vi của những thành phần trong ModSecurity. Trong đó bao gồm cả audit engine, rules engine, và connection engine. Nếu bạn muốn sử dụng một cơ sở dữ liệu vị trí địa lý từ bên ngoài hay các công cụ logging khác, bạn cũng có thể cấu hình đường dẫn và mã nhị phân có liên quan ở đây.
ModSecurity Tools
ModSecurity Tools là một interface chính để giám sát và cấu hình các quy tắc của firewall. Phần Hits List hiển thị những request đã trigger các quy tắc, và cho phép người dùng deactivate quy tắc đó nều cần.
Bên cạnh đó, ModSecurity Tools cũng cung cấp một interface để xem và chỉnh sửa các quy tắc cũng như trạng thái của chúng. Ngoài ra ta cũng có thể thêm nhiều quy tắc mới bằng cách sử dụng SecRules.
ModSecurity Vendors
ModSecurity Vendors có rất nhiều công cụ cho phép thêm và quản lý các bộ quy tắc. Nếu làm đúng theo các bước cài đặt và cấu hình ModSecurity trong cPanel ở trên, bạn sẽ thấy một bộ quy tắc OWASP CRS được cung cấp bởi cPanel. Tại đây, ta cũng có thể activate hay deactivate nó, cũng như kiểm soát việc cập nhật tự động. Bên cạnh đó, người dùng cũng có thể bật hay tắt các nhóm ở trong bộ quy tắc, chẳng hạn như nhóm IP reputation, WordPress exclusion hay scanner detection.
Các nhà cung cấp hosting có thể tạo các bộ quy tắc riêng, hay mua từ những nhà cung cấp bên thứ ba. Ngoài ra, ModSecurity Vendor cũng có nhiều tính năng để thêm và quản lý bộ quy tắc của những bên thứ ba.
Quản lý ModSecurity với tiện ích ModSecurity SDBM
ModSecurity lưu trữ nhiều thông tin chi tiết liên quan đến IP và request ở trong file /var/cpanel/secdatadir/ip.pag. Tuy nhiên, theo thời gian thì các file này có thể chiếm quá nhiều dung lượng của ổ đĩa, vì ModSecurity không tự động xóa các dữ liệu cũ. Vì vậy, ta có thể cài đặt tiện ích ModSecurity SDBM để tự đông xóa bộ nhớ cache:
yum install ea-modsec-sdbm-util
Các script bảo trì của cPanel sẽ tự động trigger tiện ích sau khi nó được cài đặt. Tuy nhiên ta cũng có thể chạy nó thủ công qua lệnh sau:
/scripts/shrink_modsec_ip_database -x
Nói chung, có một quy tắc cần lưu ý với các admin hệ thống là: nên để các file bảo trì xử lý việc dọn dẹp bộ nhớ cache. Nếu quyết định chạy SDBM theo cách thủ công, hãy nhớ restart lại Apache bằng lệnh:
/scripts/restartsrv_httpd
ModSecurity 3, cPanel, và NGINX
Khác với những phiên bản trước đây, ModSecurity 3 là một công cụ hoạt động độc lập với webserver. Cụ thể, nó không còn phụ thuộc vào Apache nữa, và cũng có thể được tích hợp với NGINX trên cPanel thông qua trình kết nối ea-modsec30-connector-nginx của EasyApache 4.
Tóm gọn lại, cPanel & WHM là một công cụ có thể dễ dàng cài đặt và quản lý ModSecurity 3 – một bức tường lửa ứng dụng web nhanh, mạnh mẽ, giúp bảo vệ hệ thống khỏi nhiều cuộc tấn công và lỗ hổng bảo mật khác nhau. Hy vọng sau bài hướng dẫn này, các bạn có thể dễ dàng cài đặt và cấu hình ModSecurity trong cPanel. Chúc các bạn thành công!