Coreruleset und mod_security -> kein JSON Support!

  • Mit 0.375 wurde als Neuerung coreruleset mit aufgeführt.

    Gleichwohl ist in den Templates dazu keine Konfiguration in der pdadmin SE-Umgebung zu finden.

    Ich vermute mal, das hier noch weitere Anpassungen / Konfiguration von Herrn Bradler für Folge-Releases geplant sind.


    Aus meiner Sicht müsste hier auch eine .conf Datei für mod_security beigefügt werden.


    Ich habe testhalber mal eine Datei modsecurity.conf erstellt:

    Ergänzend habe ich dann noch folgende Zeilen in der httpd24.conf-template eingefügt:

    Code
    include /usr/local/pd-admin2/httpd-2.4/conf/modsecurity.conf
    include /usr/local/pd-admin2/httpd-2.4/conf/coreruleset-3.3.0/crs-setup.conf
    include /usr/local/pd-admin2/httpd-2.4/conf/coreruleset-3.3.0/rules/*.conf


    Im Ordner coreruleset-3.3.0 sowie im Ordner coreuleset-3.3.0/rules habe ich die *.example in *.conf umbenannt und in der Konfigurationsdatei crs-setup.conf noch folgende Regel aktiviert, damit die gängigen Produkte wie nextcloud und wordpress nicht pauschal geblockt werden.


    Code
    SecAction \
    "id:900130,\
    phase:1,\
    nolog,\
    pass,\
    t:none,\
    setvar:tx.crs_exclusions_drupal=1,\
    setvar:tx.crs_exclusions_dokuwiki=1,\
    setvar:tx.crs_exclusions_nextcloud=1,\
    setvar:tx.crs_exclusions_wordpress=1


    Grundsätzlich würde das nach einem Neustart des Apache Webservers so gut funktionieren, ABER es muss noch eine weitere Voraussetzung erfüllt sein:

    Das mod_security Modul müsste mit JSON Support kompiliert werden. Aktuell ist es das nicht.


    Es wäre schön, wenn man diesen "Bug" noch mit dem nächsten SE-Update lösen würde ;-)