Bir gün, bir web geliştiricisi olarak karşınıza büyük bir sorumluluk çıkıyor: Web sitenizi korumak. Elbette, güvenlik çok önemli ve bu konuda atılacak ilk adım Apache web sunucusunun güvenliğini artırmaktır. İşte tam bu noktada, Apache ModSecurity devreye giriyor. ModSecurity, Apache web sunucusunu potansiyel tehditlerden koruyacak harika bir güvenlik modülüdür.
Apache ModSecurity Nedir?
Apache ModSecurity, web uygulamalarını koruyan açık kaynaklı bir güvenlik duvarıdır. ModSecurity, kötü amaçlı trafik, SQL enjeksiyonu, XSS (Cross-Site Scripting) ve diğer web saldırılarını engellemek için kullanılabilir. Apache'nin yanına kurulacak ve onun gücünü artıracak bu modül, sitenizi tehditlere karşı korumaya alır.
ModSecurity'nin Kurulum Adımları
Apache'yi güvenli hale getirmek için ModSecurity'yi kurmamız gerekiyor. Endişelenmeyin, adımlar oldukça basit ve size rehberlik edeceğim.
# 1. Apache'yi Yükleyin (Eğer Yüklemediyseniz)
Linux sisteminizde Apache'nin kurulu olup olmadığını kontrol edin. Eğer kurulu değilse, şu komutla kurabilirsiniz:
sudo apt update
sudo apt install apache2
Bu komutla Apache'yi kurmuş olursunuz.
# 2. ModSecurity'yi Yükleyin
ModSecurity'yi kurmak için aşağıdaki komutu kullanabilirsiniz:
sudo apt install libapache2-mod-security2
Kurulum tamamlandıktan sonra, ModSecurity modülünü etkinleştirmeniz gerekiyor. Bunun için:
sudo a2enmod security2
Bu komut, Apache üzerinde ModSecurity'yi etkinleştirir.
# 3. ModSecurity'yi Yapılandırın
ModSecurity, kurulumdan sonra varsayılan olarak aktif değildir. ModSecurity'yi etkinleştirmek için, yapılandırma dosyasını düzenlemeniz gerekir. Apache’nin yapılandırma dosyasını açın:
sudo nano /etc/apache2/mods-enabled/security2.conf
Aşağıdaki satırı bulup "SecRuleEngine On" olarak değiştirdiğinizden emin olun:
SecRuleEngine On
Burada dikkat etmeniz gereken şey, ModSecurity'nin aktif hale gelmesidir. Eğer burada değişiklik yapmazsanız, ModSecurity işe yaramaz.
# 4. ModSecurity Kurallarını Yükleyin
ModSecurity’nin güvenliğini artırmak için, OWASP (Open Web Application Security Project) Core Rule Set (CRS) gibi güçlü bir güvenlik kural setine ihtiyacınız olacak. CRS, web uygulama güvenliğinizi optimize etmek için kullanabileceğiniz hazır güvenlik kuralları içerir. CRS’i yüklemek için aşağıdaki komutları takip edin:
cd /usr/share/modsecurity-crs
sudo cp -r * /etc/modsecurity/
Bu, CRS dosyalarını doğru yere kopyalar ve ardından ModSecurity ile çalışmaya başlayabilirsiniz.
# 5. Apache'yi Yeniden Başlatın
Tüm yapılandırma değişikliklerini yaptıktan sonra Apache'yi yeniden başlatmanız gerekiyor:
sudo systemctl restart apache2
Bu komut, tüm yapılandırmalarınızı etkinleştirir ve Apache'yi yeniden başlatır.
ModSecurity'yi Test Etme
Kurulum ve yapılandırma tamamlandığında, ModSecurity'nin doğru çalışıp çalışmadığını test etmelisiniz. Bunu yapmak için, bir tarayıcıda basit bir XSS (Cross-Site Scripting) saldırısı testi yapabilirsiniz. Örneğin:
Eğer Apache ve ModSecurity doğru bir şekilde yapılandırıldıysa, bu tür girişimler engellenecektir. Yani, tarayıcıda herhangi bir uyarı mesajı almanız gerekir.
ModSecurity'yi Özelleştirme
ModSecurity'yi kurduktan sonra, ihtiyacınıza göre özelleştirebilirsiniz. Örneğin, bazı saldırı türlerini engellemeyebilir veya belirli kuralları değiştirebilirsiniz. Tüm yapılandırmalar /etc/modsecurity/modsecurity.conf dosyasına eklenebilir. Güvenlik gereksinimlerinize göre kural setlerini düzenleyebilirsiniz.
Sonuç
Apache ModSecurity, web sitenizi korumanın en etkili yollarından biridir. Bu basit adımları takip ederek, web sunucunuzun güvenliğini önemli ölçüde artırabilirsiniz. Unutmayın, güvenlik her zaman ön planda olmalıdır ve ModSecurity, Apache’nizin koruma kalkanıdır. Eğer güvenlik konusunda ciddiyseniz, bu güvenlik duvarını mutlaka kullanmalısınız.
