mod_selinux

Wer mod_security (Installanleitung bei mir) für den Apache nicht mag kann zu mod_selinux greifen. Auch wenn die Installation, aus den sourcen, ob der Dependencies, ungleich aufwendiger ist. Das letztendliche Ergebniss ist nahezu das selbe. 😉
Beides sind sehr mächtige <buzzword> WebApplicationFirewalls (WAF) </buzzword>.

 

HP: https://code.google.com/archive/p/sepgsql/wikis/Apache_SELinux_plus.wiki

 

Dependencies:
– Linux kernel >= 2.6.28, with SELinux enabled
– httpd >= 2.2.0
– libsepol >= 2.0.34
– libselinux
– policycoreutils

Dependencies die nur fürs compilieren benötigt werden:
– httpd-devel >= 2.2.0
– checkpolicy >= 2.0.17
– libselinux-devel

 

Die Installation des Modules an sich ist denkbar einfach:
/usr/local/src # wget https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/sepgsql/mod_selinux-2.2.2015.tgz
/usr/local/src # tar xzf mod_selinux-2.2.2015.tgz
/usr/local/src # cd mod_selinux-2.2.2015
/usr/local/src/mod_selinux-2.2.2015 # make && make -f /usr/share/selinux/devel/Makefile && make install && semodule -i mod_selinux.pp && echo OK

 

Eventuel ist die Installation per Paketmanager vorzuziehen. 😉

Konfiguriert wird das Modul dann innerhalb der httpd.conf des Apachen. Auf die weitere Konfiguration gehe ich jedoch hier, ob der vielen Möglichkeiten, nicht mehr ein.

Der „kleine“ Nachteil von mod_selinux ist, es funktioniert nur unter Linux, mit aktiviertem SELinux (kernel recompile). Das mod_security hingegen funktioniert, da es nur den Apache benötigt, so ziemlich überall.