ModSecurity临时文件与持久化数据目录配置指南

目录位置选择

在ModSecurity的默认配置中，系统会使用/tmp/目录来存储临时文件(SecTmpDir)和持久化数据(SecDataDir)。然而从安全角度考虑，这种配置存在明显缺陷：

1. /tmp/目录通常对所有用户可访问
2. 系统可能定期清理/tmp目录内容
3. 存在被其他用户窥探或篡改的风险

推荐替代方案

生产环境推荐目录：

• /var/run/modsecurity/ (需手动创建)
• /var/tmp/modsecurity/
• /var/lib/modsecurity/

选择这些目录的优势：

• 属于标准FHS目录结构
• 通常不会被系统自动清理
• 可以设置更严格的访问控制

文件系统注意事项

关键限制：SecTmpDir和SecDataDir必须位于同一文件系统分区。这是因为ModSecurity在处理大文件时会使用重命名操作，而跨分区的重命名操作在某些系统上会导致文件被静默丢弃。

权限设置建议

推荐权限配置：

chown www-data:www-data /var/run/modsecurity
chmod 750 /var/run/modsecurity

这样设置可以确保：

• 只有运行ModSecurity的服务用户(如www-data)有完全访问权限
• 同组用户仅有读取权限
• 其他用户无任何访问权限

高级配置方案

对于高安全性要求的场景，可以考虑：

1. 内存文件系统(tmpfs)： 在/etc/fstab中添加：

   tmpfs /var/run/modsecurity tmpfs rw,size=100M,nosuid,nodev,noexec,mode=750,uid=www-data,gid=www-data 0 0
   

   优点：

   • 数据完全存储在内存中
   • 重启后自动清空 缺点：
   • 不适合存储需要持久化的数据
   • 需合理设置size参数

2. 专用分区： 为ModSecurity创建单独的分区或逻辑卷，可以：

   • 完全隔离其他系统操作的影响
   • 便于监控和配额管理

实际部署建议

1. 创建目录结构：

   mkdir -p /var/run/modsecurity
   chown www-data:www-data /var/run/modsecurity
   chmod 750 /var/run/modsecurity
   ln -s /var/run/modsecurity /var/tmp/modsecurity
   

2. 修改ModSecurity配置：

   SecTmpDir /var/run/modsecurity/
   SecDataDir /var/run/modsecurity/
   

3. 对于使用systemd的系统，可以通过tmpfiles.d确保目录存在： 创建/etc/tmpfiles.d/modsecurity.conf：

   d /var/run/modsecurity 0750 www-data www-data -
   

维护注意事项

1. 定期检查目录使用情况：

   du -sh /var/run/modsecurity
   

2. 设置日志监控，关注文件系统错误

3. 在系统更新后验证目录权限是否保持

通过以上配置，可以显著提升ModSecurity运行环境的安全性和可靠性，同时避免因文件系统问题导致的规则失效或数据丢失情况。