Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- coraza [2026/02/24 11:16]
jango
+++ coraza [2026/02/24 16:12] (aktuell)
jango
@@ Zeile 16: / Zeile 16: @@
 cd coraza-spoa
-go run mage.go build
+sudo go run mage.go build
 # binary is in build now
@@ Zeile 37: / Zeile 37: @@
 <code>
+[root@vpsv-haproxy1 ~]# cat /etc/haproxy/coraza-spoe.cfg
 [coraza]
 spoe-agent coraza-agent
-    messages coraza_req
+    messages coraza-req
     option var-prefix coraza
-    timeout hello 5s
+    timeout hello 2s
-    timeout idle 30s
+    timeout idle 10s
-    timeout processing 30s
+    timeout processing 5s
     use-backend coraza-spoa-backend
-spoe-message coraza_req
+spoe-message coraza-req
-    args app=str("sample_app") src_ip=src method=method path=path query=query version=req.ver
+    args app=str(sample_app) id=unique-id src_ip=src src_port=src_port dst_ip=dst dst_port=dst_port method=method path=path query=query version=req.ver headers=req.hdrs
     event on-frontend-http-request
+[root@vpsv-haproxy1 ~]#
+</code>
+<code>
+root@ubuntuserver:~# cat /etc/coraza-spoa/coraza-spoa.yaml
+bind: 0.0.0.0:9000
+# SPOA process logs (daemon-level)
+log_level: debug
+log_file: /dev/stdout
+log_format: console
+default_application: sample_app
+applications:
+  - name: sample_app
+    directives: |
+      #################################################################
+      # Base + CRS
+      #################################################################
+      Include @coraza.conf-recommended
+      Include @crs-setup.conf.example
+      SecRule REQUEST_FILENAME "@streq /Microsoft-Server-ActiveSync" "id:1001001,phase:1,pass,nolog,ctl:ruleRemoveById=920420"
+      Include @owasp_crs/*.conf
+      SecRuleEngine On
+      #################################################################
+      # Audit logging (WAF events / transactions)
+      #################################################################
+      # RelevantOnly = nur Treffer / relevante Transaktionen loggen
+      SecAuditEngine RelevantOnly
+      # Alle Parts für Troubleshooting (später ggf. reduzieren)
+      SecAuditLogParts ABCEFHIJZ
+      # JSON ist einfacher zum Auswerten
+      SecAuditLogFormat JSON
+      # Eine Datei (einfach fürs Testen)
+      SecAuditLog /var/log/coraza-spoa/audit.log
+      #################################################################
+      # Debug logging (nur vorübergehend!)
+      #################################################################
+      SecDebugLog /var/log/coraza-spoa/debug.log
+      SecDebugLogLevel 3
+      #################################################################
+      # Optional: mehr Sichtbarkeit beim Testen
+      #################################################################
+      # Wenn du wirklich JEDE Anfrage im Auditlog sehen willst, statt
+      # RelevantOnly -> On setzen:
+      # SecAuditEngine On
+    # HAProxy sendet bei dir aktuell nur Request-Infos
+    response_check: false
+    # Transaktionscache (ms)
+    transaction_ttl_ms: 60000
+    # App-level logs (coraza-spoa intern)
+    log_level: debug
+    log_file: /dev/stdout
+    log_format: console
+root@ubuntuserver:~#
+</code>
+<code>
+backend coraza-spoa-backend
+    mode tcp
+    timeout connect 5s
+    timeout server  30s
+    server coraza1 172.21.1.170:9000
+frontend outlook
+        bind 172.21.1.169:443 ssl crt /etc/ssl/private/wildcard_chain.pem
+        mode http
+        log global
+        log-format "[outlook] %ci:%cp fe=\"%f\" be=\"%b/%s\" bytes=%B"
+        filter spoe engine coraza config /etc/haproxy/coraza-spoe.cfg
+        http-response set-header X-Coraza-Action %[var(txn.coraza.action)] if { var(txn.coraza.action) -m found }
+        default_backend outlook
 </code>

MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge