راکی لینکس 3 پر Nginx کے ساتھ ModSecurity 9 + OWASP کیسے انسٹال کریں۔

ModSecurity، جسے اکثر Modsec کہا جاتا ہے، ایک مفت، اوپن سورس ویب ایپلیکیشن فائر وال (WAF) ہے۔ ModSecurity کو Apache HTTP سرور کے ماڈیول کے طور پر بنایا گیا تھا۔ تاہم، اپنے ابتدائی دنوں سے، ڈبلیو اے ایف نے ترقی کی ہے اور اب ہائپر ٹیکسٹ ٹرانسفر پروٹوکول کی درخواست اور مائیکروسافٹ IIS، Nginx، اور Apache جیسے مختلف پلیٹ فارمز کے لیے جوابی فلٹرنگ کی صلاحیتوں کا احاطہ کرتا ہے۔ ModSecurity کا بنیادی کردار آنے والی ٹریفک کو فلٹر کرکے اور بدنیتی پر مبنی درخواستوں کو بلاک کرکے ویب ایپلیکیشنز کو تحفظ فراہم کرنا ہے۔ ڈبلیو اے ایف کو مخصوص قسم کی سرگرمیوں کے لیے ٹریفک کی نگرانی کے لیے بھی ترتیب دیا جا سکتا ہے، جیسے کہ ایس کیو ایل انجیکشن اٹیک، اور اس طرح کی سرگرمی کا پتہ چلنے پر الرٹ پیدا کرتا ہے۔ اپنے حفاظتی فوائد کے علاوہ، ModSecurity قواعد کو کیش کرکے اور ایک ہی درخواست پر بار بار کارروائی کرنے کی ضرورت کو ختم کرکے ویب کی کارکردگی کو بہتر بنا سکتی ہے۔

Modsecurity کی تنصیب کے ساتھ، OWASP Core Rule Set (CRS) کو عام طور پر استعمال کیا جاتا ہے جو ModSecurity کی SecRules زبان میں لکھے گئے قوانین کا ایک کھلا ذریعہ سیٹ ہے۔ سیکورٹی انڈسٹری میں CRS کو بہت زیادہ سمجھا جاتا ہے، اور ModSecurity کو ویب ایپلیکیشنز کو حملے سے بچانے کے لیے سب سے مؤثر طریقوں میں سے ایک سمجھا جاتا ہے۔ اگرچہ ModSecurity کوئی چاندی کی گولی نہیں ہے، لیکن یہ ویب سیکیورٹی کو سنجیدگی سے لینے والی کسی بھی تنظیم کے ہتھیاروں میں ایک لازمی ٹول ہے۔

ModSecurity کے ساتھ OWASP رول سیٹ تقریباً فوری طور پر آپ کے سرور کی حفاظت میں مدد کر سکتا ہے۔

  • خراب صارف ایجنٹ
  • DDOS
  • کراس ویب سائٹ اسکرپٹنگ
  • ایس کیو ایل انجکشن۔
  • سیشن ہائی جیکنگ
  • دیگر دھمکیاں

مندرجہ ذیل ٹیوٹوریل میں، آپ سیکھیں گے کہ ModSecurity 3 اور OWASP Core Rule Set کو Nginx کے ساتھ انسٹال کرنے کا طریقہ Rocky Linux 9 پر شروع سے آخر تک مثال کنفیگریشن کے ساتھ۔

کی میز کے مندرجات

راکی لینکس کو اپ ڈیٹ کریں۔

سب سے پہلے، اپنے سسٹم کو اپ ڈیٹ کریں تاکہ یہ یقینی بنایا جا سکے کہ تمام موجودہ پیکجز اپ ٹو ڈیٹ ہیں۔

sudo dnf upgrade --refresh

تازہ ترین Nginx اسٹیبل یا مین لائن انسٹال کریں۔

پہلے سے طے شدہ طور پر، اگر آپ کو مماثل ورژن کا ذریعہ مل جاتا ہے تو آپ اپنے Nginx کے موجودہ ورژن کو انسٹال رکھ سکتے ہیں۔ اگر نہیں۔

موجودہ Nginx انسٹالیشن کو ہٹا دیں۔

موجودہ Nginx سروس کو روکیں:

sudo systemctl stop nginx

اب موجودہ Nginx انسٹالیشن کو اس طرح ہٹائیں:

sudo dnf remove nginx

اب جب کہ آپ نے Nginx کے پرانے ورژن کو کامیابی کے ساتھ ہٹا دیا ہے، اگر آپ نے اسے انسٹال کر لیا تھا، تو Nginx مین لائن کو انسٹال کرنے کے لیے، آپ کو پہلے اس کے لیے انحصار انسٹال کرنا ہوگا، جو کہ ہے ڈی این ایف یوٹیلیٹیز مندرجہ ذیل کمانڈ کے ساتھ:

sudo dnf install dnf-utils -y

اگلا، ذیل کے ذخیروں کو درآمد کریں۔

Nginx مین لائن ریپوزٹری درآمد کریں۔

sudo tee /etc/yum.repos.d/nginx-mainline.repo<<EOF

[nginx-mainline]
name=nginx mainline repo
baseurl=http://nginx.org/packages/mainline/centos/9/x86_64/
gpgcheck=1
enabled=0
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true

EOF

آرک آرکیٹیکچر والے صارفین، اوپر کی کمانڈ میں تبدیل کریں۔ baseurl=http://nginx.org/packages/mainline/centos/9/x86_64/ ساتھ baseurl=http://nginx.org/packages/mainline/centos/9/aarch64/۔

درآمد کریں Nginx مستحکم ذخیرہ

sudo tee /etc/yum.repos.d/nginx-stable.repo<<EOF

[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/9/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true

EOF

آرک آرکیٹیکچر والے صارفین، اوپر کی کمانڈ میں تبدیل کریں۔ baseurl=http://nginx.org/packages/mainline/centos/9/x86_64/ ساتھ baseurl=http://nginx.org/packages/mainline/centos/9/aarch64/۔

Nginx انسٹال کریں۔

پہلے سے طے شدہ طور پر، مستحکم Nginx پیکجوں کے لیے تازہ ترین ذخیرہ پہلے استعمال کیا جاتا ہے۔ تاہم، ٹیوٹوریل انسٹال ہو جائے گا۔ Nginx مین لائن، لہذا آپ کو مین لائن ریپوزٹری کو مندرجہ ذیل طور پر فعال کرنے کے لئے درج ذیل کمانڈ کو چلانے کی ضرورت ہوگی۔

sudo yum-config-manager --enable nginx-mainline

نوٹ کریں کہ اگر آپ مستحکم کو ترجیح دیتے ہیں، تو مذکورہ کمانڈ کا استعمال نہ کریں اور ٹیوٹوریل کے اگلے حصے پر جائیں۔

اگلا، Nginx مین لائن کو مندرجہ ذیل طور پر انسٹال کریں:

sudo dnf install nginx
راکی لینکس 3 پر Nginx کے ساتھ ModSecurity 9 + OWASP کیسے انسٹال کریں۔

جیسا کہ اوپر، ٹیوٹوریل Nginx کا تازہ ترین مین لائن ورژن براہ راست Nginx.org سے انسٹال کر رہا ہے۔ نوٹ کریں کہ آپ کو ایک پاپ اپ نظر آئے گا جو آپ کو درآمد کرنے کے بارے میں مطلع کرتا ہے۔ انسٹالیشن کے دوران GPG کلید۔ یہ کرنا محفوظ ہے اور Nginx مین لائن کو کامیابی سے انسٹال کرنے کے لیے ضروری ہے۔

پہلے سے طے شدہ طور پر، Nginx فعال نہیں ہوتا ہے اور انسٹالیشن پر غیر فعال ہوجاتا ہے۔ اپنی Nginx سروس کو چالو کرنے کے لیے، استعمال کریں:

sudo systemctl start nginx

Nginx کو بوٹ پر شروع کرنے کے قابل بنائیں۔ درج ذیل کمانڈ کا استعمال کریں:

sudo systemctl enable nginx

اختیاری طور پر، اپنے Nginx کے ورژن کی تصدیق کریں۔ ہمارے معاملے میں، یہ Nginx مین لائن ورژن ہے۔ درج ذیل کمانڈ کا استعمال کریں۔

nginx -v

Nginx کے لئے فائر وال ڈی کو ترتیب دیں۔

اگر آپ کسی موجودہ Nginx سروس کو تبدیل نہیں کر رہے ہیں اور پہلی بار Nginx انسٹال کر رہے ہیں، تو آپ کو HTTP اور HTTPS ٹریفک کے لیے فائر وال کو ترتیب دینے کی ضرورت پڑ سکتی ہے۔ ایسا کرنے کا طریقہ ذیل میں ایک مثال ہے:

HTTP ٹریفک کو درج ذیل کمانڈ استعمال کرنے کی اجازت دیں:

sudo firewall-cmd --permanent --zone=public --add-service=http

HTTPS ٹریفک کو درج ذیل کمانڈ استعمال کرنے کی اجازت دیں:

sudo firewall-cmd --permanent --zone=public --add-service=https

ایک بار کام کرنے کے بعد، آپ کو فائر وال کو دوبارہ لوڈ کرکے تبدیلیوں کو مؤثر بنانے کی ضرورت ہے:

sudo firewall-cmd --reload

Nginx سورس ڈاؤن لوڈ کریں۔

اگلا مرحلہ Now ہے، اور آپ کو ModSecurity ڈائنامک ماڈیول مرتب کرنے کے لیے Nginx سورس کوڈ ڈاؤن لوڈ کرنے کی ضرورت ہوگی۔ آپ کو ڈائرکٹری کے مقام میں سورس پیکج کو ڈاؤن لوڈ اور اسٹور کرنا ہوگا۔ /etc/local/src/nginx.

ڈائریکٹریز بنائیں اور ترتیب دیں۔

مندرجہ ذیل جگہ بنائیں:

sudo mkdir /usr/local/src/nginx && cd /usr/local/src/nginx

ماخذ محفوظ شدہ دستاویزات ڈاؤن لوڈ کریں۔

اس کے بعد، ڈاؤن لوڈز کے صفحے سے Nginx سورس آرکائیو کو ڈاؤن لوڈ کریں تاکہ آپ نے پہلے شناخت کیے ہوئے Nginx ورژن سے مماثل ہو۔ یہاں تک کہ اگر آپ نے مستحکم یا مین لائن Nginx کے تازہ ترین ورژن کو اپ ڈیٹ نہیں کیا اور پرانا ورژن استعمال کیا ہے، تو آپ کو اپنے سے مماثل ذریعہ تلاش کرنے کے قابل ہونا چاہیے۔

Nginx ڈاؤن لوڈ کا صفحہ ہو سکتا ہے۔ یہاں پایا.

کا استعمال کرتے ہوئے ذریعہ ڈاؤن لوڈ کریں۔ wget مندرجہ ذیل کے طور پر حکم (صرف مثال).

sudo wget http://nginx.org/download/nginx-1.23.1.tar.gz

یاد رکھیں یہ ضروری ہے کہ انسٹال کردہ Nginx ورژن ڈاؤن لوڈ کردہ آرکائیو سے میل کھاتا ہو، ورنہ آپ کو بعد میں ٹیوٹوریل میں ناکامی کا سامنا کرنا پڑے گا۔

اگلا، مندرجہ ذیل آرکائیو کو نکالیں۔

sudo tar -xvzf nginx-1.23.1.tar.gz

ماخذ ورژن کی تصدیق کریں۔

اگلا، کے ساتھ ڈائریکٹریز فائلوں کی فہرست ls کمانڈ مندرجہ ذیل

ls

آپ میں مثال کے طور پر آؤٹ پٹ /usr/src/local/nginx ڈائریکٹری.

[[email protected] nginx]$ ls
nginx-1.23.1  nginx-1.23.1.tar.gz

اگلا، تصدیق کریں کہ سورس پیکج وہی ہے جیسا کہ آپ کے سسٹم پر نصب آپ کے Nginx ورژن جیسا ہے، جیسا کہ پہلے بتایا گیا ہے۔

ModSecurity کے لیے libmodsecurity3 انسٹال کریں۔

پیکیج libmodsecurity3 WAF کا بنیادی حصہ ہے جو کرتا ہے۔ HTTP فلٹرنگ آپ کی ویب ایپلیکیشنز کے لیے۔ آپ اسے ماخذ سے مرتب کریں گے۔

Github سے ModSecurity Repository کو کلون کریں۔

پہلا قدم گیتھب سے کلون ہے، اور اگر آپ نے گٹ انسٹال نہیں کیا ہے، تو آپ کو درج ذیل کمانڈ پر عمل کرنے کی ضرورت ہوگی۔

sudo dnf install git -y

اگلا، کلون libmodsecurity3 GIT مندرجہ ذیل کے طور پر ذخیرہ.

sudo git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity /usr/local/src/ModSecurity/

ایک بار کلون ہونے کے بعد، آپ کو کرنے کی ضرورت ہوگی۔ CD ڈائریکٹری میں.

cd /usr/local/src/ModSecurity/

libmodsecurity3 انحصار انسٹال کریں۔

Before you compile, you will need to install the following dependencies as follows.

پہلا کام EPEL ریپوزٹری کو انسٹال کرنا ہے، اور سفارش یہ ہے کہ دونوں ریپوزٹری کو انسٹال کیا جائے۔

سب سے پہلے، CRB ریپوزٹری کو فعال کریں۔

sudo dnf config-manager --set-enabled crb

اگلا، انسٹال ای پی ای ایل مندرجہ ذیل کا استعمال کرتے ہوئے (dnf) ٹرمینل کمانڈ.

sudo dnf install \
    https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm \
    https://dl.fedoraproject.org/pub/epel/epel-next-release-latest-9.noarch.rpm

Next, run the following command to install the packages that Modsecurity will require. This should cover most options and features that you can use with Modsecurity and the core rule set.

sudo dnf install doxygen yajl-devel gcc-c++ flex bison yajl curl-devel zlib-devel pcre-devel autoconf automake git curl make libxml2-devel pcre-static pkgconfig libtool httpd-devel redhat-rpm-config wget curl openssl openssl-devel geos geos-devel geocode-glib-devel geolite2-city geolite2-country nano -y

Install GeoIP, you will first need to import the Remi repository.

sudo dnf install dnf-utils http://rpms.remirepo.net/enterprise/remi-release-9.rpm -y

اب درج ذیل کمانڈ کا استعمال کرتے ہوئے GeoIP-devel انسٹال کریں۔

sudo dnf --enablerepo=remi install GeoIP-devel -y

اب ختم کرنے کے لیے، درج ذیل GIT ذیلی ماڈیولز کو انسٹال کریں۔

sudo git submodule init

پھر ذیلی ماڈلز کو اپ ڈیٹ کریں:

sudo git submodule update

ModSecurity Environment کی تعمیر

اگلا مرحلہ اب اصل میں پہلے ماحول کی تعمیر کرنا ہے۔ درج ذیل کمانڈ کا استعمال کریں:

sudo ./build.sh

اگلا، کنفیگر کمانڈ چلائیں۔

sudo ./configure

نوٹ کریں کہ آپ کو ممکنہ طور پر درج ذیل خرابی نظر آئے گی۔

fatal: No names found, cannot describe anything.

آپ اسے محفوظ طریقے سے نظر انداز کر سکتے ہیں اور اگلے مرحلے پر جا سکتے ہیں۔

ModSecurity سورس کوڈ مرتب کرنا

اب جب کہ آپ نے libmodsecurity3 کے لیے ماحول بنایا اور ترتیب دیا ہے، اب وقت آگیا ہے کہ اسے کمانڈ کے ساتھ مرتب کیا جائے۔ بنا.

sudo make

ایک آسان چال کی وضاحت کرنا ہے۔ -j کیونکہ اگر آپ کے پاس طاقتور سرور ہے تو اس سے کمپائلنگ کی رفتار میں نمایاں اضافہ ہوسکتا ہے۔

مثال کے طور پر، سرور میں 6 CPUs ہیں، اور میں رفتار بڑھانے کے لیے تمام 6 یا کم از کم 4 سے 5 استعمال کر سکتا ہوں۔

sudo make -j 6

سورس کوڈ کو مرتب کرنے کے بعد، اب اپنے ٹرمینل میں انسٹالیشن کمانڈ چلائیں:

sudo make install

نوٹ کریں کہ انسٹالیشن میں کی گئی ہے۔ /usr/local/modsecurity/, جس کا آپ بعد میں حوالہ دیں گے۔

ModSecurity-nginx کنیکٹر انسٹال کریں۔

۔ ModSecurity-nginx کنیکٹر nginx اور libmodsecurity کے درمیان کنکشن پوائنٹ ہے۔ یہ وہ جزو ہے جو Nginx اور ModSecurity کے درمیان بات چیت کرتا ہے۔ (libmodsecurity3).

Github سے ModSecurity-nginx Repository کو کلون کریں۔

libmodsecurity3 repository کی کلوننگ کے پچھلے مرحلے کی طرح، آپ کو مندرجہ ذیل کمانڈ کا استعمال کرتے ہوئے کنیکٹر ریپوزٹری کو دوبارہ کلون کرنے کی ضرورت ہوگی۔

sudo git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git /usr/local/src/ModSecurity-nginx/

ModSecurity-nginx Dependencies انسٹال کریں۔

اگلا، Nginx سورس ڈائرکٹری میں جائیں؛ یاد رکھیں نیچے دی گئی مثال آپ کے ورژن سے مختلف ہو گی۔ یہ صرف ایک مثال ہے.

: مثال کے طور پر

cd /usr/local/src/nginx/nginx-1.23.1/

اگلا، آپ مرتب کریں گے ModSecurity-nginx کنیکٹر ماڈیول صرف کے ساتھ ساتھ ساتھ مندرجہ ذیل پرچم:

sudo ./configure --with-compat --add-dynamic-module=/usr/local/src/ModSecurity-nginx

مثال کے طور پر آؤٹ پٹ اگر اب تک سب نے صحیح طریقے سے کام کیا ہے:

راکی لینکس 3 پر Nginx کے ساتھ ModSecurity 9 + OWASP کیسے انسٹال کریں۔

ابھی بنا (تخلیق کریں) درج ذیل کمانڈ کے ساتھ متحرک ماڈیولز:

sudo make modules

پیداوار کی مثال:

راکی لینکس 3 پر Nginx کے ساتھ ModSecurity 9 + OWASP کیسے انسٹال کریں۔

اگلا، Nginx سورس ڈائرکٹری میں رہتے ہوئے، اپنے بنائے ہوئے متحرک ماڈیول کو منتقل کرنے کے لیے درج ذیل کمانڈ کا استعمال کریں جو مقام پر محفوظ کیا گیا تھا۔ objs/ngx_http_modsecurity_module.so اور اسے کاپی کریں۔ /usr/share/nginx/modules ڈائریکٹری.

sudo cp objs/ngx_http_modsecurity_module.so /usr/share/nginx/modules/

اگر آپ لوڈ کرتے وقت مکمل راستہ بتاتے ہیں تو آپ ڈائنامک ماڈیول کو کہیں بھی اسٹور کر سکتے ہیں۔

ان صارفین کے لیے جنہوں نے Nginx مین لائن یا مستحکم انسٹال کیا، مقام درج ذیل ہوگا۔

sudo cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules/

Nginx کے ساتھ ModSecurity-nginx کنیکٹر لوڈ اور کنفیگر کریں۔

اب جب کہ آپ نے ڈائنامک ماڈیول مرتب کر لیا ہے اور اس کے مطابق اسے واقع کیا ہے، آپ کو اپنے میں ترمیم کرنے کی ضرورت ہے۔ /etc/nginx/nginx.conf ModSecurity کو اپنے Nginx ویب سرور کے ساتھ چلانے کے لیے کنفیگریشن فائل۔

nginx.conf میں ModSecurity کو فعال کریں۔

سب سے پہلے، آپ کو وضاحت کرنے کی ضرورت ہے load_module اور آپ کے modsecurity ماڈیول کا راستہ۔

کھولو nginx.conf کسی بھی ٹیکسٹ ایڈیٹر کے ساتھ۔ ٹیوٹوریل کے لیے نینو استعمال کیا جائے گا:

sudo nano /etc/nginx/nginx.conf

اگلا، اوپر کے قریب فائل میں درج ذیل لائن شامل کریں:

load_module modules/ngx_http_modsecurity_module.so;

اگر آپ نے ماڈیول کو کہیں اور پایا ہے تو مکمل راستہ شامل کریں۔

اب درج ذیل کوڈ کو کے تحت شامل کریں۔ HTTP {} مندرجہ ذیل سیکشن:

modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/modsec-config.conf;

: مثال کے طور پر

راکی لینکس 3 پر Nginx کے ساتھ ModSecurity 9 + OWASP کیسے انسٹال کریں۔

اگر آپ نے ماڈیول کو کہیں اور پایا ہے تو مکمل راستہ شامل کریں۔

فائل کو محفوظ کریں (CTRL+O)، پھر باہر نکلیں (CTRL+X).

ModSecurity کے لیے ڈائریکٹری اور فائلیں بنائیں اور ترتیب دیں۔

ٹیوٹوریل کے لیے، آپ کو کنفیگریشن فائلوں اور مستقبل کے قواعد، OWASP CRS کو ذخیرہ کرنے کے لیے ایک ڈائرکٹری بنانے کی ضرورت ہوگی۔

بنانے کے لیے درج ذیل کمانڈ کا استعمال کریں۔ /etc/nginx/modsec ڈائریکٹری.

sudo mkdir /etc/nginx/modsec/

آپ کو ہماری کلون شدہ GIT ڈائرکٹری سے نمونہ ModSecurity کنفیگریشن فائل کاپی کرنی ہوگی۔

sudo cp /usr/local/src/ModSecurity/modsecurity.conf-recommended /etc/nginx/modsec/modsecurity.conf

اپنے پسندیدہ ٹیکسٹ ایڈیٹر کا استعمال کرتے ہوئے، modsecurity.conf فائل کو درج ذیل کھولیں۔

sudo nano /etc/nginx/modsec/modsecurity.conf

پہلے سے طے شدہ طور پر، ModSecurity کنفیگریشن میں قاعدہ انجن ہوتا ہے جیسا کہ بیان کیا گیا ہے۔ (صرف پتہ لگانے)، جو دوسرے لفظوں میں، ModSecurity چلاتا ہے اور تمام بدنیتی پر مبنی رویے کا پتہ لگاتا ہے لیکن ان تمام HTTP لین دین کو روکتا ہے یا پابندی نہیں لگاتا اور لاگ ان کرتا ہے جن پر یہ پرچم لگاتا ہے۔ یہ صرف اس صورت میں استعمال کیا جانا چاہئے جب آپ کے پاس بہت سارے غلط مثبت ہیں یا آپ نے حفاظتی سطح کی ترتیبات کو انتہائی سطح تک بڑھا دیا ہے اور یہ دیکھنے کے لئے جانچ کر رہے ہیں کہ آیا کوئی غلط مثبت پائے جاتے ہیں۔

کنفیگریشن فائل میں، اس رویے کو تبدیل کریں۔ (پر)، لائن 7 پر پایا۔

SecRuleEngine DetectionOnly

ModSecurity کو فعال کرنے کے لیے اس میں لائن تبدیل کریں:

SecRuleEngine On

: مثال کے طور پر

راکی لینکس 3 پر Nginx کے ساتھ ModSecurity 9 + OWASP کیسے انسٹال کریں۔

اب، آپ کو درج ذیل کو تلاش کرنے کی ضرورت ہے۔ SecAuditLogParts، جو لائن 224 پر واقع ہے۔

# Log everything we know about a transaction.
SecAuditLogParts ABIJDEFHZ

یہ درست نہیں ہے اور اسے تبدیل کرنے کی ضرورت ہے۔ لائن کو درج ذیل میں تبدیل کریں:

SecAuditLogParts ABCEFHJKZ

اب محفوظ کریں۔ فائل کا استعمال کرتے ہوئے (CTRL+O)، پھر باہر نکلیں (CTRL+X).

اگلا حصہ درج ذیل فائل بنانا ہے۔ modsec-config.conf. یہاں آپ شامل کریں گے۔ modsecurity.conf فائل کے ساتھ اور بعد میں دوسرے قواعد جیسے جیسے OWASP CRS، اور اگر آپ ورڈپریس استعمال کر رہے ہیں تو ڈبلیو پی آر ایس سی آر ایس اصول مقرر.

فائل بنانے اور اسے کھولنے کے لیے درج ذیل کمانڈ کا استعمال کریں۔

sudo nano /etc/nginx/modsec/modsec-config.conf

ایک بار فائل کے اندر، درج ذیل لائن شامل کریں۔

include /etc/nginx/modsec/modsecurity.conf

modsec-config.conf فائل کو اس کے ساتھ محفوظ کریں۔ (CTRL+O)، تو (CTRL+X) باہر نکلیں.

آخر میں، ModSecurity کی کاپی کریں۔ unicode.mapping فائل کے ساتھ سی پی کمانڈ مندرجہ ذیل

sudo cp /usr/local/src/ModSecurity/unicode.mapping /etc/nginx/modsec/

آگے بڑھنے سے پہلے، آپ کو اپنی Nginx سروس کو درج ذیل ٹرمینل کمانڈ کے ساتھ ڈرائی رن دینا چاہیے۔

sudo nginx -t

اگر آپ نے سب کچھ درست طریقے سے ترتیب دیا ہے، تو آپ کو درج ذیل آؤٹ پٹ ملنا چاہیے:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

تبدیلیوں کو لائیو بنانے کے لیے، systemctl کمانڈ کا استعمال کرتے ہوئے اپنی Nginx سروس کو دوبارہ شروع کریں:

sudo systemctl restart nginx

ModSecurity کے لیے OWASP کور رول سیٹ انسٹال کریں۔

ModSecurity بذات خود آپ کے ویب سرور کی حفاظت نہیں کرتی ہے، اور آپ کو قواعد کی ضرورت ہے۔ سب سے مشہور، قابل احترام، اور معروف قوانین میں سے ایک OWASP CRS اصول سیٹ ہے۔ قوانین ویب سرورز اور دیگر WAFs کے درمیان سب سے زیادہ استعمال ہوتے ہیں، اور اسی طرح کے دوسرے سسٹمز اپنے زیادہ تر قوانین کو اس CRS پر مبنی کرتے ہیں۔ اس رول سیٹ کو انسٹال کرنے سے آپ کو خود بخود انٹرنیٹ پر زیادہ تر ابھرتے ہوئے خطرات سے نقصان پہنچانے والے عناصر کا پتہ لگا کر اور انہیں بلاک کر کے تحفظ کا ایک بڑا ذریعہ ملے گا۔

چیک کریں OWASP ریلیز ٹیگ صفحہ یہ دیکھنے کے لیے کہ تازہ ترین کیا ہے، جیسا کہ ذیل کی مثال مستقبل میں تبدیل ہو سکتی ہے۔

پہلے، اپنی موڈسیک ڈائرکٹری پر واپس جائیں جو بنائی گئی تھی۔

cd /etc/nginx/modsec

یہاں wget کمانڈ, ڈاؤن لوڈ کریں OWASP CRS 3.3.2 آرکائیو، جو کہ اس تاریخ تک تازہ ترین مستحکم ہے، لیکن چار دن پہلے ذہن میں رکھیں، پری ریلیز ورژن گرا ہوا ہے، اس لیے میرا مشورہ یہ ہے کہ اوپر دیے گئے لنک کو چند سطروں کو چیک کریں تاکہ یہ معلوم ہو سکے کہ ریلیزز بنیادی اصولوں کے لیے کیسی لگ رہی ہیں۔

wget https://github.com/coreruleset/coreruleset/archive/refs/tags/v3.3.2.zip

آپ ان لوگوں کے لیے رات کی تعمیر ڈاؤن لوڈ کر سکتے ہیں جو کنارے پر رہنا چاہتے ہیں۔ رات کو صرف اس صورت میں استعمال کریں جب آپ اپ ڈیٹس کے لیے CoreRuleSet Github کو بار بار دوبارہ مرتب کرنے اور چیک کرنے کے لیے تیار ہیں اور مسائل کا پتہ لگانے میں زیادہ پر اعتماد ہیں۔ تکنیکی طور پر رات زیادہ محفوظ ہو سکتی ہے لیکن ممکنہ طور پر مسائل پیدا کر سکتی ہے۔

نئے صارفین کے لیے، مستحکم ورژن استعمال کریں اور نیچے والا ورژن استعمال نہ کریں۔

wget https://github.com/coreruleset/coreruleset/archive/refs/tags/nightly.zip

ٹیوٹوریل کی تخلیق کے وقت، v4.0.0-RC1 پری ریلیز بھی دستیاب ہے، جیسا کہ پہلے ذکر کیا جا چکا ہے۔

wget https://github.com/coreruleset/coreruleset/archive/refs/tags/v4.0.0-rc1.zip

انسٹال کریں ان زپ پیکج اگر یہ آپ کے سرور پر انسٹال نہیں ہے۔

sudo dnf install unzip -y

اب آرکائیو کو ان زپ کریں، اور ٹیوٹوریل RC امیدوار کو انسٹال کرے گا کیونکہ یہ نائٹلی کا استعمال کیے بغیر ممکنہ طور پر سب سے زیادہ اپ ڈیٹ شدہ ورژن کے قریب ہے، جو اس وقت تک پریشانی کا باعث ہو سکتا ہے جب تک کہ آپ کو OWASP قوانین اور Modsecurity کا تجربہ نہ ہو۔ پھر میں تازہ ترین حفاظتی اصولوں کے لیے اس ورژن کو استعمال کرنے کی تجویز کرتا ہوں۔

sudo unzip v4.0.0-rc1 -d /etc/nginx/modsec

میں تجویز کرتا ہوں کہ OWASP رول سیٹ کے ورژن رکھیں کیونکہ آپ ایک سے زیادہ ڈاؤن لوڈ کر سکتے ہیں اور مستقبل میں، انہیں فوری طور پر اپنے modsecurity.conf میں تبدیل کر سکتے ہیں تاکہ یہ دیکھیں کہ کون سا رول سیٹ بغیر کسی مسائل کے بہترین کام کرتا ہے، جیسے کہ ریلیز امیدواروں کے درمیان جانچ اور رات کے وقت یا مستحکم اور امیدوار کو رہا کریں۔

جیسا کہ پہلے تھا، جیسا کہ modsecurity.conf نمونہ کنفیگریشن، OWASP CRS نمونہ کنفیگریشن فائل کے ساتھ آتا ہے جس کا آپ کو نام تبدیل کرنے کی ضرورت ہے۔ اگر آپ کو دوبارہ دوبارہ شروع کرنے کی ضرورت ہو تو CP کمانڈ استعمال کرنا اور مستقبل کے لیے بیک اپ رکھنا بہتر ہے۔

sudo cp /etc/nginx/modsec/coreruleset-4.0.0-rc1/crs-setup.conf.example /etc/nginx/modsec/coreruleset-4.0.0-rc1/crs-setup.conf

قواعد کو فعال کرنے کے لیے، کھولیں۔ /etc/nginx/modsec/modsec-config.conf.

sudo nano /etc/nginx/modsec/modsec-config.conf

ایک بار پھر فائل کے اندر، درج ذیل دو اضافی لائنیں شامل کریں:

include /etc/nginx/modsec/coreruleset-4.0.0-rc1/crs-setup.conf
include /etc/nginx/modsec/coreruleset-4.0.0-rc1/rules/*.conf

: مثال کے طور پر

راکی لینکس 3 پر Nginx کے ساتھ ModSecurity 9 + OWASP کیسے انسٹال کریں۔

فائل کو محفوظ کریں (CTRL+O) اور باہر نکلیں (CTRL+T).

یاد رکھیں، جیسا کہ تھوڑا پہلے بیان کیا گیا ہے، آپ تکنیکی طور پر متعدد ورژن ڈاؤن لوڈ کر سکتے ہیں، اس فائل میں ترمیم کر سکتے ہیں، اور جو آپ کرتے ہیں اسے کاپی کرنا اور وائٹ لسٹ کرنا نہ بھولیں، وائٹ لسٹ کے بارے میں اہم بات یہ ہے کہ یہ زیادہ تر حصے کے لیے عام ہے۔

پہلے کے مطابق، آپ کو اپنی Nginx سروس کو لائیو بنانے سے پہلے اس میں کسی بھی نئے اضافے کو جانچنے کی ضرورت ہے۔

sudo nginx -t

ڈرائی رن ٹیسٹ چلانے کے بعد، آپ کو درج ذیل آؤٹ پٹ ملنا چاہیے جس کا مطلب ہے کہ سب کچھ صحیح طریقے سے کام کر رہا ہے:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

مندرجہ ذیل تبدیلیوں کو لائیو بنانے کے لیے اپنی Nginx سروس کو دوبارہ شروع کریں:

sudo systemctl restart nginx

OWASP کور رول سیٹ کا استعمال اور سمجھنا

OWASP CRS کے پاس بہت سے اختیارات ہیں، تاہم، پہلے سے طے شدہ ترتیبات آپ کے حقیقی مہمانوں اور اچھے SEO بوٹس کو نقصان پہنچائے بغیر فوری طور پر زیادہ تر سرورز کی حفاظت کریں گی۔ ذیل میں، وضاحت میں مدد کے لیے کچھ علاقوں کا احاطہ کیا جائے گا۔ مزید پڑھنا بہتر ہوگا کہ کنفیگریشن فائلوں میں موجود تمام آپشنز کی خود چھان بین کی جائے کیونکہ ان کے پاس وضاحت کرنے کے لیے کافی متنی ڈیٹا موجود ہے۔

کھولیں CRS-setup.conf فائل.

sudo nano /etc/nginx/modsec/coreruleset-4.0.0-rc1/crs-setup.conf

نوٹ کریں کہ یہ ورژن 3.3 کے مقابلے میں اضافی آئٹمز کے ساتھ ڈیو ورژن کنفیگریشن ہے۔

یہاں سے، آپ اپنی زیادہ تر OWASP CRS سیٹنگز میں ترمیم کر سکتے ہیں۔

OWASP CRS اسکورنگ

اسے توڑنے کے لیے، ModSecurity کے دو طریقے ہیں:

بے ترتیب اسکورنگ موڈ

# -- [[ Anomaly Scoring Mode (default) ]] --
# In CRS3, anomaly mode is the default and recommended mode, since it gives the
# most accurate log information and offers the most flexibility in setting your
# blocking policies. It is also called "collaborative detection mode".
# In this mode, each matching rule increases an 'anomaly score'.
# At the conclusion of the inbound rules, and again at the conclusion of the
# outbound rules, the anomaly score is checked, and the blocking evaluation
# rules apply a disruptive action, by default returning an error 403.

خود ساختہ موڈ

# -- [[ Self-Contained Mode ]] --
# In this mode, rules apply an action instantly. This was the CRS2 default.
# It can lower resource usage, at the cost of less flexibility in blocking policy
# and less informative audit logs (only the first detected threat is logged).
# Rules inherit the disruptive action that you specify (i.e. deny, drop, etc).
# The first rule that matches will execute this action. In most cases this will
# cause evaluation to stop after the first rule has matched, similar to how many
# IDSs function.

انوملی اسکورنگ عام طور پر، زیادہ تر صارفین کے لیے، استعمال کرنے کا بہترین موڈ ہے۔

پیراونیا کی چار سطحیں ہیں:

  • پیراونیا لیول 1 - پہلے سے طے شدہ سطح اور زیادہ تر صارفین کے لیے تجویز کردہ۔
  • پیراونیا لیول 2 - صرف اعلی درجے کے صارفین۔
  • پیراونیا لیول 3 - صرف ماہر صارفین۔
  • پیراونیا لیول 4 - غیر معمولی حالات کے علاوہ، بالکل بھی سفارش نہیں کی جاتی ہے.
# -- [[ Paranoia Level Initialization ]] ---------------------------------------
#
# The Paranoia Level (PL) setting allows you to choose the desired level
# of rule checks that will add to your anomaly scores.
#
# With each paranoia level increase, the CRS enables additional rules
# giving you a higher level of security. However, higher paranoia levels
# also increase the possibility of blocking some legitimate traffic due to
# false alarms (also named false positives or FPs). If you use higher
# paranoia levels, it is likely that you will need to add some exclusion
# rules for certain requests and applications receiving complex input.
#
# - A paranoia level of 1 is default. In this level, most core rules
#   are enabled. PL1 is advised for beginners, installations
#   covering many different sites and applications, and for setups
#   with standard security requirements.
#   At PL1 you should face FPs rarely. If you encounter FPs, please
#   open an issue on the CRS GitHub site and don't forget to attach your
#   complete Audit Log record for the request with the issue.
# - Paranoia level 2 includes many extra rules, for instance enabling
#   many regexp-based SQL and XSS injection protections, and adding
#   extra keywords checked for code injections. PL2 is advised
#   for moderate to experienced users desiring more complete coverage
#   and for installations with elevated security requirements.
#   PL2 comes with some FPs which you need to handle.
# - Paranoia level 3 enables more rules and keyword lists, and tweaks
#   limits on special characters used. PL3 is aimed at users experienced
#   at the handling of FPs and at installations with a high security
#   requirement.
# - Paranoia level 4 further restricts special characters.
#   The highest level is advised for experienced users protecting
#   installations with very high security requirements. Running PL4 will
#   likely produce a very high number of FPs which have to be
#   treated before the site can go productive.
#
# All rules will log their PL to the audit log;
# example: [tag "paranoia-level/2"]. This allows you to deduct from the
# audit log how the WAF behavior is affected by paranoia level.
#
# It is important to also look into the variable
# tx.enforce_bodyproc_urlencoded (Enforce Body Processor URLENCODED)
# defined below. Enabling it closes a possible bypass of CRS.

اپنے سرور پر OWASP CRS کی جانچ کریں۔

یہ جانچنے کے لیے کہ آیا OWASP CRS آپ کے سرور پر کام کر رہا ہے، اپنا انٹرنیٹ براؤزر کھولیں اور درج ذیل استعمال کریں:

https://www.yourdomain.com/index.html?exec=/bin/bash

آپ کو ایک وصول کرنا چاہیے۔ 403 ممنوعہ غلطی. اگر نہیں، تو ایک قدم چھوٹ گیا ہے۔

: مثال کے طور پر

راکی لینکس 3 پر Nginx کے ساتھ ModSecurity 9 + OWASP کیسے انسٹال کریں۔

سب سے عام مسئلہ بدلنا ہے۔ صرف شناخت کرنے کے لئے On, جیسا کہ پہلے ٹیوٹوریل میں بتایا گیا ہے۔

جھوٹے مثبت اور کسٹم رولز کے اخراج سے نمٹنا

اکثر نہ ختم ہونے والے کاموں میں سے ایک جھوٹے مثبت کاموں سے نمٹنا ہے، ModSecurity اور OWASP CRS مل کر بہت اچھا کام کرتے ہیں، لیکن یہ آپ کے وقت کی قیمت پر آتا ہے، لیکن آپ کو جو تحفظ ملتا ہے اس کے پیش نظر، یہ قابل قدر ہے۔ شروع کرنے والوں کے لیے، سنہری اصول ہے۔

انگوٹھے کا ایک اچھا اصول یہ ہے کہ مقرر کردہ اصول کو چند ہفتوں سے مہینوں تک چلائیں جس میں شاید ہی کوئی غلط مثبت ہو، پھر اضافہ کریں، مثال کے طور پر، پیراونیا لیول 1 سے پیراونیا لیول 2، تاکہ آپ بیک وقت ایک ٹن کے ساتھ دلدل میں نہ آئیں۔

غلط مثبت معلوم ایپلی کیشنز کو چھوڑ کر

Modsecurity، بذریعہ ڈیفالٹ، روزمرہ کے ان اعمال کو وائٹ لسٹ کر سکتی ہے جو ذیل میں غلط مثبتات کا باعث بنتی ہیں:

#SecAction \
# "id:900130,\
#  phase:1,\
#  nolog,\
#  pass,\
#  t:none,\
#  setvar:tx.crs_exclusions_cpanel=1,\
#  setvar:tx.crs_exclusions_dokuwiki=1,\
#  setvar:tx.crs_exclusions_drupal=1,\
#  setvar:tx.crs_exclusions_nextcloud=1,\
#  setvar:tx.crs_exclusions_phpbb=1,\
#  setvar:tx.crs_exclusions_phpmyadmin=1,\
#  setvar:tx.crs_exclusions_wordpress=1,\
#  setvar:tx.crs_exclusions_xenforo=1"

فعال کرنے کے لیے، مثال کے طور پر، ورڈپریس، phpBB، اور phpMyAdmin جیسا کہ آپ تینوں کو استعمال کرتے ہیں، لائنوں کو غیر تبصرہ کریں۔ اور چھوڑ دیں (1) نمبر برقرار ہے، دوسری خدمات جو آپ استعمال نہیں کرتے ہیں، مثال کے طور پر، Xenforo کو تبدیل کریں۔ (0) جیسا کہ آپ ان اصولوں کو وائٹ لسٹ نہیں کرنا چاہتے۔

ذیل کی مثال:

SecAction \
 "id:900130,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.crs_exclusions_cpanel=0,\
  setvar:tx.crs_exclusions_dokuwiki=0,\
  setvar:tx.crs_exclusions_drupal=0,\
  setvar:tx.crs_exclusions_nextcloud=0,\
  setvar:tx.crs_exclusions_phpbb=1,\
  setvar:tx.crs_exclusions_phpmyadmin=1,\
  setvar:tx.crs_exclusions_wordpress=1,\
  setvar:tx.crs_exclusions_xenforo=0"

آپ نحو میں بھی ترمیم کر سکتے ہیں، جو صاف ستھرا ہوگا۔ مثال کے طور پر:

SecAction \
 "id:900130,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.crs_exclusions_phpbb=1,\
  setvar:tx.crs_exclusions_phpmyadmin=1,\
  setvar:tx.crs_exclusions_wordpress=1"

جیسا کہ آپ دیکھ سکتے ہیں، ہٹائے گئے اختیارات ہیں جن کی ضرورت نہیں ہے اور جوڑے گئے ہیں۔ (") صحیح نحو کے لیے ورڈپریس کے آخر میں۔

CRS سے پہلے کے قواعد کو چھوڑ کر

حسب ضرورت اخراج سے نمٹنے کے لیے، سب سے پہلے، آپ کو نام سے تبدیل کرنا ہوگا۔ REQUEST-900-exclusion-rules-BEFORE-CRS-SAMPLE.conf فائل کے ساتھ سی پی کمانڈ مندرجہ ذیل ہے:

sudo cp /etc/nginx/modsec/coreruleset-3.4-dev/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example /etc/nginx/modsec/coreruleset-3.4-dev/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf

اخراج کے اصول بناتے وقت یاد رکھیں، ہر ایک کی شناخت ہونی چاہیے: اور منفرد بنیں، ورنہ جب آپ اپنی Nginx سروس کی جانچ کریں گے، تو آپ کو ایک خرابی ملے گی۔

مثال کے طور پر "id: 1544، مرحلہ: 1، لاگ، اجازت، ctl:ruleEngine=off"، id 1544 کو دوسرے اصول کے لیے استعمال نہیں کیا جا سکتا۔

مثال کے طور پر، کچھ REQUEST_URI غلط مثبتات کو بڑھا دیں گے۔ ورڈپریس کے لیے گوگل پیج اسپیڈ بیکن اور WMUDEV پلگ ان کے ساتھ نیچے کی مثال دو ہے۔

SecRule REQUEST_URI "@beginsWith /wp-load.php?wpmudev" "id:1544,phase:1,log,allow,ctl:ruleEngine=off"

SecRule REQUEST_URI "@beginsWith /ngx_pagespeed_beacon" "id:1554,phase:1,log,allow,ctl:ruleEngine=off"

جیسا کہ آپ دیکھ سکتے ہیں، راستے سے شروع ہونے والے کسی بھی URL کو خود بخود اجازت دے دی جائے گی۔

دوسرا آپشن IP پتوں کو وائٹ لسٹ کرنا ہے۔ چند طریقوں سے آپ اس کے بارے میں جا سکتے ہیں:

SecRule REMOTE_ADDR "^195\.151\.128\.96" "id:1004,phase:1,nolog,allow,ctl:ruleEngine=off"
## or ###
SecRule REMOTE_ADDR "@ipMatch 127.0.0.1/8, 195.151.0.0/24, 196.159.11.13" "phase:1,id:1313413,allow,ctl:ruleEngine=off"

۔ @ipMatch سب نیٹس کے لیے زیادہ وسیع پیمانے پر استعمال کیا جا سکتا ہے۔ اگر آپ سب نیٹ یا آئی پی ایڈریس کی تبدیلی سے انکار کرنا چاہتے ہیں تو انکار کرنے کی اجازت دیں۔ کچھ جانکاری کے ساتھ، آپ بلیک لسٹ اور وائٹ لسٹ بھی بنا سکتے ہیں اور اسے fail2ban کے ساتھ کنفیگر کر سکتے ہیں۔ امکانات اکثر لامتناہی ہوسکتے ہیں۔

ایک آخری مثال صرف ان اصولوں کو غیر فعال کرنا ہے جو غلط مثبت کو متحرک کرتے ہیں، نہ کہ پورے راستے کو وائٹ لسٹ کرتے ہوئے، جیسا کہ آپ نے پہلی REQUEST_URI مثال کے ساتھ دیکھا۔ تاہم، یہ زیادہ وقت اور جانچ لیتا ہے.

مثال کے طور پر، اگر آپ قواعد کو ہٹانا چاہتے ہیں۔ 941000 اور 942999 آپ کی طرف سے /ایڈمن/ علاقے کے طور پر یہ آپ کی ٹیم کے لیے غلط پابندیوں اور بلاکس کو متحرک کرتا رہتا ہے، اپنے موڈ سیکیوریٹی لاگز میں رول آئی ڈی فائل کریں اور پھر صرف اس آئی ڈی کو غیر فعال کریں۔ RemoveByID ذیل کی مثال کے طور پر:

SecRule REQUEST_FILENAME "@beginsWith /admin" "id:1004,phase:1,pass,nolog,ctl:ruleRemoveById=941000-942999"

مثالیں ModSecurity GIT پر مل سکتی ہیں۔ صفحہ کا صفحہ.

ModSecurity کے لیے ورڈپریس WPRS رول سیٹ

کے لئے ایک اور آپشن WordPress صارفین کو آپ کے OWASP CRS رول سیٹ کے ساتھ انسٹال اور چلنا ہے، WPRS رول سیٹ کے عنوان سے ایک معروف پروجیکٹ۔ چونکہ یہ اختیاری ہے اور ہر کسی کے لیے نہیں، اس لیے ٹیوٹوریل اس حصے میں اس کا احاطہ نہیں کرے گا۔

تاہم، اگر آپ اسے اپنے سرور پر ورڈپریس کا استعمال کرتے ہوئے اضافی تحفظ کے لیے انسٹال کرنا چاہتے ہیں، تو براہ کرم ہمارا ٹیوٹوریل ملاحظہ کریں۔ ورڈپریس ModSecurity Rule Set (WPRS) انسٹال کرنا.

ModSecurity LogRotate فائل بنائیں

ModSecurity لاگز بہت زیادہ بڑھ سکتے ہیں، لہذا آپ کو لاگ روٹیٹنگ سیٹ اپ کرنے کی ضرورت ہے کیونکہ یہ آپ کے لیے نہیں کیا گیا ہے۔

سب سے پہلے، اپنی ModSecurity روٹیٹ فائل بنائیں اور کھولیں۔ موڈسیک.

sudo nano /etc/logrotate.d/modsec

درج ذیل کوڈ شامل کریں:

/var/log/modsec_audit.log
{
        rotate 31
        daily
        missingok
        compress
        delaycompress
        notifempty
}

یہ 31 دنوں تک لاگز رکھے گا۔ اگر آپ کم رکھنے کو ترجیح دیتے ہیں، تو 31 سے 7 دن تبدیل کریں، ایک ہفتے کے لاگ کے برابر۔ آپ کو ModSecurity کے لیے روزانہ گھومنا چاہیے۔ اگر آپ کو لاگ فائلوں کا جائزہ لینے کی ضرورت ہے جس میں ہفتہ وار فائل موجود ہے تو اسے چھاننا ایک آفت ہو گا، یہ دیکھتے ہوئے کہ یہ کتنی بڑی ہو گی۔

تبصرے اور نتیجہ

مجموعی طور پر، آپ کے سرور پر ModSecurity کی تعیناتی فوری تحفظ فراہم کرے گی۔ تاہم، صبر، وقت، اور سیکھنے کے لیے لگن ایک بہت بڑی خصوصیت ہوگی۔ آخری چیز جو آپ چاہتے ہیں وہ SEO بوٹس کو بلاک کرنا ہے یا زیادہ اہم بات یہ ہے کہ حقیقی صارفین جو ممکنہ گاہک ہو سکتے ہیں۔

لاگز کو جانچنا اور چیک کرنا یاد رکھیں اور سیکیورٹی کی سطح کو بہت زیادہ متعین نہ کریں۔ یہ سافٹ وئیر جتنے اچھے ہیں، وہ بہت جلد جائز ٹریفک کو روک سکتے ہیں اور، اس بات پر منحصر ہے کہ آیا آپ کی ویب سائٹ آمدنی کا ذریعہ ہے، تباہ کن نتائج برآمد ہو سکتے ہیں۔



LinuxCapable.com پر عمل کریں!

خودکار اپ ڈیٹس حاصل کرنا پسند کرتے ہیں؟ ہمارے سوشل میڈیا اکاؤنٹس میں سے ایک پر ہمیں فالو کریں!