蜷缩的蜗牛
蜷缩的蜗牛
Home avatar

蜷缩的蜗牛

专注云原生运维

ModSecurity规则管理与维护指南.md

kbsonlong 发布于  收录于 云原生 安全 Kubernetes

ModSecurity规则管理与维护指南

1. 规则分类与管理

1.1 规则分类标准

规则类型规则ID范围主要防护目标
基础防护1000-1999基本请求验证、协议合规性检查
SQL注入2000-2999SQL命令特征检测与阻断
XSS攻击3000-3999跨站脚本攻击特征检测
文件包含4000-4999本地/远程文件包含攻击检测
命令执行5000-5999系统命令执行攻击检测
会话安全6000-6999会话固定、CSRF等攻击检测
性能优化7000-7999规则执行性能优化配置
自定义规则8000-8999业务特定安全规则
异常处理9000-9999全局异常评分与处理

2. 规则更新流程

2.1 OWASP CRS更新步骤 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

# 进入规则目录
cd /usr/share/modsecurity-crs

# 拉取最新规则集更新
git pull origin main

# 查看变更日志
cat CHANGELOG.md

# 重启Web服务器应用新规则
sudo systemctl restart apache2

2.2 规则回滚操作 

1
2
3
4
5
6
7
8

# 查看Git提交历史记录
git log

# 回滚到指定版本
git reset --hard <commit-hash>

# 重启Web服务器应用旧规则
sudo systemctl restart apache2

3. 误报处理流程

3.1 误报分析步骤

  1. 收集审计日志中的完整事件记录
  2. 分析触发的规则ID和匹配内容
  3. 在测试环境中复现问题请求
  4. 评估排除规则的影响范围
  5. 创建适当的排除规则
  6. 在生产环境中应用排除规则
  7. 监控被排除规则的安全影响

3.2 排除规则示例 

1
2
3
4
5
6
7
8

// 完全移除特定规则
SecRuleRemoveById 942100

// 对特定参数排除SQL注入检测
SecRuleUpdateTargetById 942100 !ARGS:search

// 对特定路径禁用JSON解析
SecRule REQUEST_URI "^/api/v1/safe-endpoint" "id:100,phase:1,t:none,pass,nolog,setenv:NO_JSON_PROCESSING=1"

4. 规则性能调优

4.1 规则复杂度评估 

1
2
3
4
5
6
7
8

// 统计各阶段规则数量
grep -r "phase:" /etc/modsecurity/rules/ | awk '{print $2}' | sort | uniq -c

// 分析规则匹配耗时
awk '/^--/ {if ($5 > 100) print}' /var/log/modsec_debug.log

// 查看高频触发规则
awk '{if ($1 == "Matched") print $3}' /var/log/modsec_audit.log | sort | uniq -c | sort -nr | head -n 20

4.2 正则表达式优化技巧

  1. 尽量使用锚点(^, $)限制匹配范围
  2. 避免使用贪婪匹配(*, +)
  3. 使用字符类代替多个选项([0-9]代替(0|1|2|…))
  4. 减少嵌套分组
  5. 对长字符串使用前缀匹配
  6. 合理使用短路逻辑组合规则

5. 规则生命周期管理

5.1 规则状态标记

状态标签描述
[ACTIVE]当前生效的规则
[DISABLED]临时禁用的规则
[OBSOLETE]已过时不再使用的规则
[TESTING]测试阶段的规则
[REVIEW]需要审查的规则

5.2 规则退役标准

  1. 规则已不再适用当前技术栈
  2. 规则存在高误报率且无法优化
  3. 规则被更高效的替代方案取代
  4. 规则针对的漏洞已被官方修复
  5. 规则不符合最新的安全标准

6. 版本控制规范

6.1 Git提交规范

类型描述
feat新增安全规则
fix修复规则缺陷
perf规则性能优化
docs文档更新
test测试用例更新
chore日常维护任务

6.2 示例提交信息 

1
2
3
4
5
6
7
8
9

feat(rules): add API rate limiting rule

Add new rule to prevent API abuse by limiting request rate to 100 requests per minute.
Related to #1234 security enhancement task.

perf(rules): optimize SQL injection detection regex

Improve performance of SQL injection rules by adding prefix matching and reducing backtracking.
Reduce CPU usage by 40% in benchmark tests.

7. 规则测试规范

7.1 测试覆盖率要求

规则类型最低测试覆盖率
核心防护100%
注入攻击95%+
XSS攻击95%+
文件操作90%+
会话安全90%+
自定义规则85%+

7.2 测试报告示例 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

=== ModSecurity Rule Test ===
Testing SQL Injection Rules...
Test Cases: 20
Success Rate: 100%
False Positives: 0
False Negatives: 0

Testing XSS Rules...
Test Cases: 25
Success Rate: 98%
False Positives: 1 (update rule 3004)
False Negatives: 0

Testing File Inclusion Rules...
Test Cases: 15
Success Rate: 93%
False Positives: 0
False Negatives: 1 (add pattern to rule 4002)
阅读全文

自建Kubernetes与AWS IAM授权认证.md

kbsonlong 发布于  收录于 云原生 安全 Kubernetes AWS

为什么需要 IRSA?

在 Kubernetes 集群中,当 Pod 需要访问 AWS 资源时,一个常见的做法是创建具有相应权限的 IAM 用户,并将其凭证(Access Key ID 和 Secret Access Key)作为 Kubernetes Secret 存储。这种方法的主要问题是创建了长期有效的凭证。一旦这些凭证泄露,任何持有者都可以滥用它们,直到我们手动在 AWS 账户中吊销它们。

阅读全文

Kubelet驱逐机制到Linux内核内存回收完整流程解析

kbsonlong 发布于  收录于 云原生运维 内核机制

Kubelet驱逐机制到Linux内核内存回收完整流程解析

概述

本文档详细解析了从Kubelet驱逐管理器(evictionManager)启动到最终触发Linux内核内存回收机制的完整流程。这个过程涉及多个层次的协作,从用户态的Kubernetes组件到内核态的内存管理机制。

阅读全文
Kubernetes内存管理CgroupOOM KillerEventfd
0%