ModSecurity中变量与集合的工作原理详解

变量生命周期与持久化存储

在ModSecurity 3.x版本中，变量的生命周期取决于所使用的存储后端。系统提供两种持久化存储机制：

1. 内存存储：默认情况下，所有集合变量都保存在内存中。这些数据会一直存在，直到HTTP守护进程重启。服务器重启后，所有内存中的变量数据都会丢失。

2. LMDB存储：如果在编译时通过./configure --with-lmdb启用了LMDB支持，集合变量将被存储在LMDB数据库中。这种情况下，如果没有设置过期时间，变量会永久保存在数据库中，直到手动删除数据库文件。

变量过期机制

通过expirevar指令可以设置变量的过期时间。例如expirevar:ip.dangerous_activity=60表示该变量将在设置60秒后自动从存储中移除。这个过期时间是绝对的，从设置时刻开始计算，与客户端IP无关。

集合(Collection)工作机制

集合是ModSecurity中组织变量的重要机制，特别是对于需要跨事务保持状态的变量：

1. 集合初始化：使用initcol指令初始化集合。例如initcol:ip=%{remote_addr}_%{tx.ua_hash}会创建一个基于客户端IP和User-Agent哈希组合的命名空间。

2. 集合生命周期：

   • 内存模式下：集合数据持续到服务器重启
   • LMDB模式下：集合数据持久化存储在磁盘上

3. 变量与集合关系：变量总是属于某个特定的集合。例如ip.dangerous_activity变量属于ip集合，而tx.foo变量则属于事务级的TX集合。

实际应用示例

一个典型的使用场景是限制客户端错误请求频率：

SecRule RESPONSE_STATUS "@rx ^(?:5|4(?!04))" \
  "phase:5,\
  pass,\
  setvar:ip.dangerous_activity=+1,\
  expirevar:ip.dangerous_activity=60,\
  nolog"

SecRule ip:dangerous_activity "@ge 5" \
  "phase:2,\
   deny,\
   status:406"

这个规则组合实现了：

1. 当客户端返回4xx或5xx错误时增加计数器
2. 计数器60秒后自动过期
3. 60秒内错误达到5次则拒绝请求

集合命名与区分

集合的命名可以包含动态变量，这使得我们可以创建细粒度的区分策略：

• initcol:ip=%{remote_addr}：仅基于IP地址区分
• initcol:ip=%{remote_addr}_%{tx.ua_hash}：基于IP和User-Agent组合区分

后者可以识别NAT后使用不同浏览器的用户，但无法区分使用相同浏览器的用户。

最佳实践建议

1. 对于生产环境，建议使用LMDB作为持久化存储
2. 为所有需要限制的变量设置合理的过期时间
3. 根据实际需求选择合适的集合区分粒度
4. 事务级变量使用TX集合，持久化变量使用自定义集合
5. 注意内存使用情况，避免创建过多变量导致内存压力

理解ModSecurity中变量和集合的工作机制对于编写有效的安全规则至关重要，特别是在实现频率限制、异常检测等需要状态保持的安全策略时。