- このトピックには4件の返信、2人の参加者があり、最後に
により1日前に更新されました。
- 投稿
2025年6月現在、当サーバでは「さくらのVPS」利用者向けに無償で提供されているSiteguard Server Editionを使えていましたが、移行先のサーバ(KAGOYA CLOUD)はこれが使えないため、WAFとしてはApacheのモジュールであるmod_security2を用意しています。
これに伴いWAFの検知除外方法が下記の通り変更になります。これまで各ユーザさん側でWAF検知を手動で除外したい場合、.htaccessファイルに
SiteGuard_User_ExcludeSig {シグネチャ名}として任意または全てのシグネチャ検知を除外してもらっていましたが、サーバ切替後はこの「SiteGuard_User_ExcludeSig」という記述自体が.htaccessファイルにあるとエラーとなりページが表示されませんので、切替作業直後に管理者側で一括で記載削除します。(.htaccessファイル内のその他の記述は残ります)
切替後はもしWAFの検知を除外したい場合は、まず/logディレクトリにあるerror.logを参照し
[line “139”] [id “941130“] [msg “XSS Filter – Category 3: Attribute Vector”] [data “Matched Data: .xhtml found within REQUEST_COOKIES_NAMES:primefaces.download_views_backuprestore.xhtml: primefaces.download_views_backuprestore.xhtml”] [severity “CRITICAL”]といったログが記録されている事を確認後、これを除外する場合は上記の例だと.htaccessファイルに下記の様に記述する事で検知を除外する事ができます。<IfModule mod_security2.c>
SecRuleRemoveById 941130
</IfModule>なお、複数のIDを除外したい場合は下記の通りそれぞれをスペースで区切ります。xxxxxxは実際のIDに置き換えて下さい。<IfModule mod_security2.c>
SecRuleRemoveById xxxxxx xxxxxx xxxxxx
</IfModule>または下記の通り1行に1IDでも指定できます。<IfModule mod_security2.c>
SecRuleRemoveById xxxxxx
SecRuleRemoveById xxxxxx
SecRuleRemoveById xxxxxx
</IfModule>WAF検知自体を無効化したい(全IDを除外したい)場合は下記の通りワイルドカード(アスタリスク)で指定します。
但し、全IDを検知除外した場合は無防備な状態と言えますので、ご面倒をおかけしますが可能な限りエラーログを見つつ1IDずつ除外して頂ければと思います。<IfModule mod_security2.c>
SecRuleRemoveById *
</IfModule>なお、<Directory></Directory>や<Location></Location>等のディレクティブは使えますので対象ディレクトリ全てに.htaccessファイルを配置する必要はありません。サーバ切替に伴うWAFの変更(自己IPの除外記述)について
サーバ切替前のWAFでは、以下の記述で自己IPのみ除外して、結構便利に使っていました。
<IfModule mod_siteguard.c>
SiteGuard_User_ExcludeSig ip(xxx.xxx.xx.xxx)
</IfModule>切替後のWAFでは、ID除外ではなく 上記と同じような以下の記述でも自己IPだけを除外できますでしょうか。
500エラーが出なくなったので試しているのですが、機能しているのかどうかイマイチ判断できずにいます。
<IfModule mod_security2.c>
SecRuleRemoveById ip(xxx.xxx.xx.xxx)
</IfModule>これでいいものかどうか、アドバイスいただければ幸いです。
よろしくお願いします。IPアドレスによる除外は対応していません。
未確認ですがもしかすると下記の設定で可能かもしれません。
メッセージ指定で除外なのでそこにIPアドレスを入れてみるという方法ですが、これが.htaccessで指定できるかは不明です。
SecRuleRemoveByMsg
- このトピックに返信するにはログインが必要です。