hallo 
ich hab hier ein problem mit dem neusten mod security 2.2.7
es laeuft hier auf opensuse 13.1 mit apache 2.4.6
und zwar will ich das modsecurity_crs_11_slow_dos_protection.conf zum laufen bringen, aus den experimental rule set von OWASP ModSecurity Core Rule Set (CRS)
mod security laeuft soweit echt ohne probleme ich bringe nur die slow_dos_protection nicht zum laufen.
aktiviere ich diese rule dann werde ich einfach von mod security geblocked!
[Fri Mar 21 17:23:04.018323 2014] :warn] [pid 29457] ModSecurity: Access denied with code 400. Too many threads [150] of 100 allowed in READ state from 91.22.223.123 - Possible DoS C
onsumption Attack [Rejected]
und ich bin mir zu 1000% sicher dass ich da keine 150 threads im read state habe.
der apache server-status zeigt mir gerade mal 5 thread an … also irgendwas stimmt da einfach nicht.
in der slow dos rule von mod security steht SecReadStateLimit 100
mod security will ja auch seine collections, also daten speichern, was man via SecDataDir angibt
SecDataDir /tmp
in der modsecurity.conf
hab ich alles gemacht, nur will apache / mod security die dateien ip/global einfach nicht in ordner /tmp erstellen nach einen rcapache2 restart
und jetzt denke ich mit halt, dass mod security halt keine daten erstellen kann und ich deshalb einfach geblocked werde??
ich verstehe das echt nicht?
ich hab noch 2 andere suse kisten am laufen und dort funktioniert des einfach ohne probleme …
wenn mir jemand bei suse 13.1 helfen koennte dann waere des echt cool
ich sag jetzt schon mal danke und freue mich ueber jeder hilfe!
greetings
becki