Как установить и настроить ModSecurity на Nginx

Веб-сервер Nginx используется более чем на 30% веб-сайта по всему миру и растет.


Учитывая увеличение количества веб-угроз в Интернете, одной из проблем для веб-инженера является хорошее понимание усиления и защиты Nginx..

Nginx-доля рынка

Nginx хорошо известен своей производительностью и легким веб-сервером / прокси и используется на многих загруженных сайтах..

  • Pinterest.com
  • Reddit.com
  • WordPress.com
  • Stackoverflow.com
  • Mail.ru

Если вы размещаете свои веб-приложения на Nginx и беспокоитесь о безопасности, то первое, что вы хотели бы реализовать, – это брандмауэр веб-приложений (WAF)..

Мод безопасности является открытым исходным кодом WAF от Trustwave SpiderLabs и был доступен для Nginx в 2012 году.

В этом руководстве я объясню, как скачать, устанавливать а также настроить Мод безопасности с Nginx.

Следующая демонстрация сделана на CentOS с DigitalOcean.

Если вы новичок в Nginx, то я бы порекомендовал принять это фундаментальный курс.

Скачать Nginx и ModSecurity

Вы можете скачать nginx прямо на свой сервер или локальный компьютер, а затем перенести его.

  • Скачать последнюю версию по ссылке ниже

http://nginx.org/en/download.html

  • Если вы загружаете напрямую на сервер, можете использовать wget, как показано ниже

Wget http://nginx.org/download/nginx-1.9.15.tar.gz

  • Распакуйте их с помощью команды gunzip

gunzip -c nginx-1.9.15.tar.gz | tar xvf –

  • Вы увидите новую папку, созданную

drwxr-xr-x 8 1001 1001 4096 19 апреля 12:02 nginx-1.9.15

  • Загрузите последнюю версию Mod Security по ссылке ниже

https://www.modsecurity.org/download.html

  • Вы можете использовать ниже команды непосредственно с сервера

Wget https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz
gunzip -c modsecurity-2.9.1.tar.gz | tar xvf –

Давайте установим их

Установите Nginx с Мод безопасности

Важно скомпилировать исходный код безопасности Nginx и мода.

  • Войдите на сервер и убедитесь, что у вас есть права root.

Замечания: если вы работаете на новом сервере, то вам может потребоваться установить следующие библиотеки.

yum install gcc make automake autoconf libtool pcre pcre-devel libxml2 libxml2-devel curl curl-devel httpd-devel

Первый, давайте скомпилируем мод безопасности. Перейти к ModSecurity-2.9.1 папка и используйте команды ниже.

./ configure –enable-standalone-module
делать

следующий, установить Nginx с модом безопасности

./ configure –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
делать
сделать установку

Таким образом, Nginx устанавливается с Mod Security, и пришло время его настроить.

Настройка безопасности мода с Nginx

копия modsecurity.conf рекомендовал & unicode.mapping файл из извлеченной папки загруженного выше исходного кода ModSecurity в папку conf nginx. Вы также можете использовать команду поиска.

найти / -name modsecurity.conf-рекомендуется
find / -name unicode.mapping
[[Электронная почта защищена] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/modsecurity.conf-recommended / usr / local / nginx / conf /
[[Электронная почта защищена] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/ unicode.mapping / usr / local / nginx / conf /
[[Электронная почта защищена] конф] #

Давайте переименовать modsecurity.conf рекомендовал в modsecurity.conf

mv modsecurity.conf-рекомендуемый modsecurity.conf

  • Сделайте резервную копию файла nginx.conf
  • Откройте файл nginx.conf и добавьте следующее в директиву location /

ModSecurityEnabled on;
ModSecurityConfig modsecurity.conf;

Так должно выглядеть вот так

расположение / {
ModSecurityEnabled on;
ModSecurityConfig modsecurity.conf;
}

Теперь Mod Security интегрирован с Nginx. Перезапустите Nginx, чтобы убедиться, что он работает без ошибок.

Давайте проверим …

Есть два возможных способа подтвердить, что Nginx скомпилирован с Mod Security.

Первый…

Вывести список скомпилированных модулей, используя –V с исполняемым файлом nginx.

[[Электронная почта защищена] SBIN] # ./ nginx -V
Версия nginx: nginx / 1.9.15
построен gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC)
настроить аргументы: –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
[[Электронная почта защищена] SBIN] #

Во-вторых …

Перейдите в папку logs и просмотрите файл ошибок, вы должны увидеть следующее

2016/05/21 21:54:51 [извещение] 25352 # 0: ModSecurity для nginx (STABLE) /2.9.1 (http://www.modsecurity.org/) настроен.
2016/05/21 21:54:51 [извещение] 25352 # 0: ModSecurity: скомпилированная версия APR ="1.3.9"; загруженная версия ="1.3.9"
2016/05/21 21:54:51 [извещение] 25352 # 0: ModSecurity: PCRE-скомпилированная версия ="7,8 "; загруженная версия ="7.8 2008-09-05"
2016/05/21 21:54:51 [извещение] 25352 # 0: ModSecurity: скомпилированная версия LIBXML ="2.7.6"

Таким образом, вы успешно настроили ModSecurity с Nginx.

По умолчанию конфигурация находится только в режиме обнаружения, это означает, что она не будет выполнять никаких действий и защищать ваши веб-приложения..

В моей следующей статье я объяснил, как настроить набор правил OWASP и включить Mod Security для защиты от уязвимостей веб-безопасности..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map