libapache-mod-security

パッケージは libapache-mod-security (2.5.12-1)。
一々 Apache2 だから mod-security2 だとかそういうバージョン指定はぺっけーじ名のレベルではなくなった。設定ファイルとか見てくと残ってるところもあるけど。
enmod はされてる(/etc/apache2/mods-enabled/mod-security.load@)が、ロードされるだけなのでなんか設定しないと。

ルールファイル

ルールファイルは取敢えず「/usr/share/doc/mod-security-common/examples/rules」以下にある。まあ modsecurity_crs_10_config.conf と base_rules/ で。
とはいえ share/doc 以下その儘使うのは、パッケージアップデートの際にルールが変わるとちょっとなので何処かにコピーしておいて使うようにしよう。
それでその場所なんだけど、apache2 の ssl関係が /etc/ssl 以下に置かれてる事を参考に、 /etc/mod-security を作ってそこに置こうか。

mod-security.conf

すると書くべき mod-security.conf はこんな感じか

<IfModule mod_security2.c>
  Include /etc/mod-security/*.conf
</IfModule>

/etc/mod-security への base_rules/以下のコピーだけど、.confファイルだけだと不十分、使ってる .dataファイルなんかもコピーすること。 modsecurity.conf-minimal もコピーしようか、09_minimal くらいで、そしてログファイルへのパス二つ適宜、まあ /var/log/apache2 の下かな。そのログのローテートは /etc/logrotate.* の方で適宜。

アパッチリスタート

の際に、一度「a2dismod mod-security」「a2enmod mod-security」やり直した方がいいでしょうか .confファイルが付け加わってる訳だし。
そしてログファイルを見て動いてる事を確認。
ルールについてはちゃんと検討(勉強)しましょう、そして状況に応じて適宜。ログもレベルとか量とか適宜。