Apache : désactiver le mod-security

Le mod-security pour apache est très intéressant, c’est un firewall pour application web, il peut bloquer l’accès en cas d’en-têtes incomplètes, d’injection sql, et tout autre type d’attaques. Par contre pour certaines applications, ou pour faire des tests, on a besoin de le désactiver. Il existe plusieurs façons, on peut désactiver le module :

a2dismod mod-security
/etc/init.d/apache2 restart

Cette façon est simple mais si vous avez plusieurs sites, les autres ne seront plus protégés.

Une autre solution consiste à désactiver le mod-security pour un ou plusieurs virtual host pour cela, il suffit d’ajouter les lignes ci-dessous dans chaque virtual host :

<location "/" >
 SecRuleEngine Off
 </location>

Puis recharger la configuration du serveur apache.

Vous pouvez aussi ne désactiver que les règles qui posent soucis mais aussi que les appliquer dans certains virtual host, pour cela il faut ajouter dans un virtual host la directive ci-dessous :

SecRuleRemoveById 960011

Vous pouvez en mettre autant que vous voulez , le nombre qui suit la directive correspond à l’id de la règle à désactiver. Vous pourrez le trouver dans vos fichiers logs.