A ModSecurity telepítése és konfigurálása az Nginx-en

Az Nginx webszervert több mint 30% weboldal világszerte és egyre növekszik.


Tekintettel az online webes fenyegetések növekedésére, a webmérnök számára az egyik kihívás az, hogy alaposan ismerjük a Nginx megszilárdítását és biztosítását..

nginx-a piaci részesedés

A Nginx jól ismert teljesítményéről és könnyű webszerveréről / proxyjáról, és sok forgalmas webhelyen használják.

  • Pinterest.com
  • Reddit.com
  • WordPress.com
  • Stackoverflow.com
  • Mail.ru

Ha webes alkalmazásokat tárolja az Nginx webhelyen, és aggódik a biztonság miatt, akkor az egyik első dolog, amelyet megvalósítani szeretne, a Web Application Firewall (WAF).

A Mod Security egy nyílt forráskódú WAF, amelyet a Trustwave SpiderLabs készített, és 2012-ben tette elérhetővé az Nginx számára.

Ebben az útmutatóban elmagyarázom, hogyan kell Letöltés, telepítés és Beállítás Mod Biztonság az Nginx használatával.

A következő demonstrációt a CentOS-on végezzük, amelyen a webhely üzemelteti DigitalOcean.

Ha még nem ismeri a Nginx-et, akkor azt javaslom venni alapvető tanfolyam.

Töltse le az Nginx és a ModSecurity szoftvert

Letöltheti az nginx-et közvetlenül a szerverre vagy a helyi számítógépre, majd átviheti.

  • Töltse le a legfrissebb verziót az alábbiakból

http://nginx.org/en/download.html

  • Ha közvetlenül letölt a szerveren, akkor a wget az alábbiak szerint használható

wget http://nginx.org/download/nginx-1.9.15.tar.gz

  • Bontsa ki őket a gunzip paranccsal

gunzip -c nginx-1.9.15.tar.gz | tar xvf –

  • Látni fogja az új mappát létrehozva

drwxr-xr-x 8 1001 1001 4096 19. április 12:02 nginx-1.9.15

  • Töltse le a Mod Security legújabb verzióját az alábbiakból

https://www.modsecurity.org/download.html

  • Az alábbi parancsokat közvetlenül a kiszolgálótól is felhasználhatja

wget https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz
gunzip -c modsecurity-2.9.1.tar.gz | tar xvf –

Telepítsük őket

Telepítse az Nginxet a Mod Security segítségével

Fontos az Nginx és a mod biztonsági forráskódjának összeállítása.

  • Jelentkezzen be egy kiszolgálóra, és győződjön meg arról, hogy rendelkezik root jogosultsággal.

Jegyzet: ha egy vadonatúj kiszolgálón dolgozik, akkor a következő könyvtárakat kell telepítenie.

yum install gcc make automake autoconf libtool pcre pcre-devel libxml2 libxml2-devel curl curl-devel httpd-devel

Első, fordítsuk össze a mod biztonságot. Menj modsecurity-2.9.1 mappát, és használja az alábbi parancsokat.

./ configure – engedélyezhető-önálló modul
make

Következő, telepítse az Nginx mod biztonságával

./ configure –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
make
telepítse

Ebből arra következtethetünk, hogy az Nginx telepítve van a Mod Security szolgáltatással, és itt az ideje, hogy konfiguráljuk.

Konfigurálja a Mod Security szolgáltatást az Nginx segítségével

Másolat modsecurity.conf ajánlott & unicode.mapping fájl a fent letöltött ModSecurity forráskód kibontott mappájából az nginx conf mappába. Használhatja a find parancsot is.

find / -name modsecurity.conf-ajánlott
find / -name unicode.mapping
[[Email protected] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/modsecurity.conf-ajánlott / usr / local / nginx / conf /
[[Email protected] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/ unicode.mapping / usr / local / nginx / conf /
[[Email protected] conf] #

Nézzük átnevezésre modsecurity.conf ajánlott nak nek modsecurity.conf

mv modsecurity.conf-ajánlott modsecurity.conf

  • Készítsen biztonsági másolatot az nginx.conf fájlról
  • Nyissa meg az nginx.conf fájlt, és a „location /” irányelv alatt adja hozzá a következőt

ModSecurityEnabled bekapcsolva;
ModSecurityConfig modsecurity.conf;

Tehát így kellene megjelennie

hely / {
ModSecurityEnabled bekapcsolva;
ModSecurityConfig modsecurity.conf;
}

A Mod Security mostantól integrálva van az Nginxbe. Indítsa újra az Nginxet, hogy megbizonyosodjon arról, hogy hiba nélkül jelenik meg.

Ellenőrizzük …

Kétféle módszer létezik annak megerősítésére, hogy az Nginx a Mod Security programmal fordul elő.

Első…

Sorolja fel a lefordított modult a –V és az nginx futtatható fájl használatával.

[[Email protected] sbin] # ./ nginx -V
nginx verzió: nginx / 1.9.15
építette: gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC)
konfigurálja az argumentumokat: –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
[[Email protected] sbin] #

Második…

Lépjen a naplók mappába, és tekintse meg a hibafájlt, a következőt kell látnia

2016/05/21 21:54:51 [értesítés] 25352 # 0: Az nginx (STABLE) ModSecurity beállítása /2.9.1 (http://www.modsecurity.org/) konfigurálva.
2016/05/21 21:54:51 [értesítés] 25352 # 0: ModSecurity: APR összeállított verzió ="1.3.9"; betöltött verzió ="1.3.9"
2016/05/21 21:54:51 [értesítés] 25352 # 0: ModSecurity: PCRE összeállított verzió ="7.8 "; betöltött verzió ="7.8 2008-09-05"
2016/05/21 21:54:51 [értesítés] 25352 # 0: ModSecurity: LIBXML összeállított verzió ="2.7.6"

Ebből arra következtethetünk, hogy sikeresen konfigurálta a ModSecurity szolgáltatást az Nginx segítségével.

A konfiguráció alapértelmezés szerint csak észlelési módban van, ez azt jelenti, hogy nem fog végrehajtani semmilyen műveletet, és nem védi a webes alkalmazásokat.

Következő cikkemben elmagyaráztam, hogyan konfigurálhatom az OWASP szabálykészletet és engedélyezhetjük a Mod Security szolgáltatást, hogy megvédjük az internetes biztonsági réseket.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map