Sécurité : Coupler l’IDS Prelude avec mod_security

Bijour …

Une (très)+ petite suite avec l’IDS Prelude (toujours pas snort ^^), pour pouvoir profiter des logs qu’écrit le mod-security, il faut mettre à jour un fichier :
/etc/prelude-lml/ruleset/modsecurity.rules
et le remplacer par celui que l’on peut trouver ici

Pour ce faire :
Il faut modifier le fichier /etc/prelude-lml/prelude-lml.conf
Cherchez la ligne :
qui correspond à :
file = /var/log/apache2/access.log
copiez-là en-dessous et changez access par error
ce qui devrait vous donner :
file = /var/log/apache2/access.log
file = /var/log/apache2/error.log
Puis :
[sourcecode language=bash]
cd /etc/prelude-lml/ruleset/
mv modsecurity.rules modsecurity.rules.bak
wget https://dev.prelude-ids.com/repositories/entry/prelude-lml/plugins/pcre/ruleset/modsecurity.rules?format=raw –no-check-certificate
mv modsecurity.rules\?format\=raw modsecurity.rules
/etc/init.d/prelude-lml restart
[/sourcecode]
Et ensuite, en allant sur l’url de votre prewikka (installé précédemment), vous devriez voir apparaitre toutes les erreurs/tentatives de hack/… qui sont effectuées sur votre serveur web.