<div dir="ltr"><br><br>On Fri, Nov 11, 2022 at 1:43 PM Gus Flowers Starkiller <<a href="mailto:relectgustfs@gmail.com">relectgustfs@gmail.com</a>> wrote:<br>><br>> Hi ! Thanks a lot for your explanation ! Well I've installed some Nginx servers all cases like configured like Proxy Reverse, But, at first I installed Nginx from pages different from Nginx.org but the source were get from nginx too (i think) and cases like nginx.conf is happening, different files with <a href="http://ngonx.org">ngonx.org</a> and other sources and for example that directories like sites-available and sites-enabled are missing after installation:<br>> e.g. /etc/nginx/sites-available and /etc/nginx/sites-enabled are not in installation from <a href="http://nginx.org">nginx.org</a> and as you say I could configure them to my own target, but in these cases I must install Nginx + ModSecurity + OWASP (CRS) because we must have the most security network with web pages to publicate. <br>> So, is there any configuration that you could recommend me? <br>> Another point too, I read the book about Nginx+Modsecurity from these book<br>><br>> And I couldn't find in which directories of linux is installed Nginx, in my cases Nginx and OWASP is in /usr/local/src but in the moment where I must compile Nginx there is error about module<br>> "./configure: error: ngx_http_modsecurity_module requires the ModSecurity library."<br>><br>> Well I hope all these words don't disturb you at all, please sorry and any word you can tell me about this, I will be so grateful. Thanks a lot, greetings from Argentina.<br><br>One comment about this:<br><br>    I must install Nginx + ModSecurity + OWASP (CRS) because we<br>    must have the most security network with web pages to<br>    publicate...<br><br><div>I help run a website and wiki. CRS was too aggressive in practice, and it broke the wiki. We could not submit page edits. So we used modsecurity, but we dropped the CRS gear.</div><div><br></div><div>Modsecurity alone will still provide basic protections, like MIME types, some request protections, some header protection, some body protection, some memory limits, etc. (See /etc/modsecurity/modsecurity.conf for the details).</div><br>Here's what it looks like under Apache:<br><br># cat /etc/apache2/mods-enabled/security2.conf<br><IfModule security2_module><br>        # Default Debian dir for modsecurity's persistent data<br>        SecDataDir /var/cache/modsecurity<br><br>        # Include all the *.conf files in /etc/modsecurity.<br>        IncludeOptional /etc/modsecurity/*.conf<br><br>        # Include OWASP ModSecurity CRS rules if installed<br>        # IncludeOptional /usr/share/modsecurity-crs/*.load<br></IfModule><br><br>I don't think I've ever run ModSecurity with Nginx, so I am not sure what the configuration would look like.<br><br>This does not help you with Nginx, but here are the relevant packages for Apache2:<br><br># apt-cache search modsecurity<br>libapache2-mod-security2 - Tighten web applications security for Apache<br>libmodsecurity-dev - ModSecurity v3 library component (development files)<br>libmodsecurity3 - ModSecurity v3 library component<br>modsecurity-crs - OWASP ModSecurity Core Rule Set<br><br>'modsecurity-crs' is what we avoided due to the wiki. It is no longer installed.<br><br>Jeff</div>