『資訊長，早安，繼續mod_security吧。』

怎麼她那眼神，好像不知道我在說什麼似的...

『資訊長...mod_security...』

「昨天不是講完了?」

『講完了? 我講什麼講完了? 只講了要載入，要阻擋還是要放行，還有啊...』

「還有什麼?」

『Log啊...妳只是設定要記錄，但妳沒有說要記錄要存放在那裡啊!』

「啊.........其實，我有點想請假回家，吹冷氣、看iPad、喝咖啡和吃蛋糕，會不會太麻煩啊?」

『妳就敲敲鍵盤，那裡會麻煩?』

「記錄檔，這麼重要?」

『這該怎麼說呢? 像我筆電的記錄檔，就不重要。妳手機的記錄檔，也不重要。但公司法人的記錄檔就不一樣了。

資安事件，都是歷史事件啊，妳不從記錄去查，妳還能怎麼查資安事件?』

「資安事件是歷史事件? 你又唬我...」

『對被入侵的人來說，都是過去式，不是現在進行式。不會有人在被入侵的當下，知道被入侵了吧，就算妳監控，也只能在入侵者做出行為後，才能被監控到，可以接近即時，但只有對入侵者來說，是即時。

總不能把每個正在存取妳們銀行網站的使用者，都當成是入侵者......除非，像電影夏日大作戰那樣，把封包擬人化..........』

「停...對不起，我知道了，我拿筆記，等等，你不要再唸了...」

#宣告mod_security 的 audit log要放在那裡
SecAuditLog /var/log/httpd/modsec_audit.log

#宣告mod_security 的 audit log 要儲存什麼部份
#預設為ABIJDEFHZ
SecAuditLogParts ABIJDEFHZ

#全記錄為ABCDEFGHIJKZ
#SecAuditLogParts ABCDEFGHIJKZ

「好吧，那個什ABIJD什麼的，我要自己查，對不對。」

『是啊，可以到
owasp.org，裡面有非常詳細的官方說明，不過，還是建議，先用預設就好。』

「為什麼?」

『因為，同一個動作，但log檔的大小差很多...比如，我要開啟 http://192.168.142.20/wp-admin，
我只是按enter，被mod_sercurity阻擋後，跳出阻擋畫面...因為Log 儲存內容的不同，log檔的大小就差很多。』

『一個是4KB，一個是123KB，差不多30倍吧。檔案我放到我的github 了，有興趣就自己抓下來看看，只是一個動作而已哦。』

「好啦，我知道了......我昨天又沒睡了。」

『失眠? 妳不像是會失眠的人啊，想人? 不對啊，妳想誰呢? 妳該不會又坐在電腦前，寫前端到天亮吧?』

「差不多啦，就是我的練習環境啊，有WordPress啊 然後，我載入mod_security之後啊...」

『妳就打不開 wp-admin?』

「對，你怎麼知道?」

『我也遇到過同樣的狀況啊，我不是說了嗎? 資訊系統不會因為妳是權貴，就給妳特權，好嗎?』

「我是說，你知道，你怎麼不告訴我? 你真的很壞心耶!!!」

『昨天問妳個小問題，妳就說要去龍山寺問...我怎麼敢再問妳這種小小小小小問題?』

「隨便你啦...給個交待吧。」

『設定白名單......就好了。』

SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx/xx" "id:1002,phase:1,nolog,allow,ctl:ruleEngine=Off"

「不是吧，又是就這樣?」

我抓了抓頭...

『是啊，那個晚上，不對，那個清晨，日出前五分鐘，我也是坐在電腦前大罵...就這樣? 然後，我就幫自己換了一隻新鍵盤...』

「真的? 什麼時候?」

『前天晚上...妳是昨天對吧?』

「唉唉，我買隻更好的鍵盤給你啦...你這樣我都不知道要說什麼...」

『說什麼? 請我喝咖啡吧。』

「對啦，我還想問，你上次那個發LINE...那我不管，網路上有教怎麼發LINE。我要問的是...你知道的。」

『兩杯咖啡，一人一杯。』

「我有寄500杯，隨便你喝，貼心吧?」

(待)

2019/09/22 SunAllen