BunkerWeb多站点配置中CRS规则文件的正确使用方法

前言

在使用BunkerWeb搭建多站点服务时，ModSecurity核心规则集(CRS)的定制化配置是一个常见需求。许多用户从Bunkerized Nginx迁移过来时，会遇到CRS规则文件加载失败的问题。本文将详细介绍正确的配置方法和常见误区。

核心问题分析

CRS规则在多站点环境中的配置主要涉及两个关键点：

1. 规则文件的存放位置
2. 规则文件的书写格式

正确配置方法

文件存放位置

推荐使用以下目录结构：

bw-data/
└── configs/
    └── modsec/
        └── 站点域名/
            └── crs.conf

例如针对example1.net站点的配置应存放在： ./bw-data/configs/modsec/example1.net/crs.conf

文件内容格式

规则支持两种书写方式：

1. 多行格式（适合复杂规则）

SecAction \
    "id:900200,\
    phase:1,\
    nolog,\
    pass,\
    t:none,\
    setvar:'tx.allowed_methods=GET POST HEAD COPY DELETE LOCK MKCOL MOVE PROPFIND PROPPATCH PUT UNLOCK OPTIONS'"

2. 单行格式（适合简单规则）

SecAction id:900200, phase:1, nolog, pass, t:none, setvar:'tx.allowed_methods=GET POST HEAD COPY DELETE LOCK MKCOL MOVE PROPFIND PROPPATCH PUT UNLOCK OPTIONS'

Docker卷配置建议

在docker-compose.yml中，建议采用以下卷配置方式：

volumes:
  - ./bw-data:/data
  - ./bw-data/configs/:/data/configs/:ro

这种配置会自动创建所需的目录结构，只需填充相应文件即可。

验证配置

配置完成后，可以通过以下方式验证：

1. 检查Docker容器日志，确认规则是否加载
2. 使用ModSecurity的调试功能验证规则生效情况

常见问题排查

1. 规则未生效：检查文件路径和命名是否正确
2. 语法错误：确保规则格式符合ModSecurity要求
3. 权限问题：确认容器有读取配置文件的权限

最佳实践建议

1. 为每个站点创建独立的CRS配置文件
2. 复杂规则建议使用多行格式，提高可读性
3. 修改配置后重启BunkerWeb服务使更改生效

通过遵循以上指南，可以确保在多站点环境中正确配置和使用CRS规则文件，有效保护您的Web服务安全。