Cách cài đặt & cấu hình ModSecurity trên Nginx

Máy chủ web Nginx được sử dụng trên nhiều hơn 30% của trang web trên toàn thế giới và đang phát triển.


Xem xét sự gia tăng các mối đe dọa web trực tuyến, một thách thức đối với kỹ sư web là nhận thức rõ về việc làm cứng và bảo vệ Nginx.

thị phần nginx

Nginx nổi tiếng với hiệu suất và máy chủ web / proxy nhẹ và được sử dụng trên nhiều trang web bận rộn nhất.

  • Pinterest.com
  • Reddit.com
  • WordPress.com
  • Stackoverflow.com
  • Mail.ru

Nếu bạn đang lưu trữ các ứng dụng web của mình trên Nginx và lo ngại về bảo mật thì một trong những điều đầu tiên bạn muốn triển khai là Tường lửa ứng dụng Web (WAF).

Mod Security là một WAF mã nguồn mở của Trustwave SpiderLabs và đã có sẵn cho Nginx vào năm 2012.

Trong hướng dẫn này, tôi sẽ giải thích làm thế nào để Tải xuống, Tải vềcấu hình Bảo mật Mod với Nginx.

Trình diễn sau đây được thực hiện trên CentOS được lưu trữ với DigitalOcean.

Nếu bạn chưa quen với Nginx thì tôi khuyên bạn nên dùng cái này khóa học cơ bản.

Tải xuống Nginx và ModSecurance

Bạn có thể tải nginx trực tiếp trên máy chủ của bạn hoặc trên PC cục bộ của bạn sau đó chuyển nó.

  • Tải xuống phiên bản mới nhất từ ​​liên kết dưới đây

http://nginx.org/en/doad.html

  • Nếu bạn đang tải trực tiếp trên máy chủ thì có thể sử dụng wget như bên dưới

wget http://nginx.org/doad/nginx-1.9.15.tar.gz

  • Giải nén chúng bằng cách sử dụng lệnh gunzip

súng nén -c nginx-1.9.15.tar.gz | tar xvf –

  • Bạn sẽ thấy thư mục mới được tạo

drwxr-xr-x 8 1001 1001 4096 ngày 19 tháng 4 12:02 nginx-1.9.15

  • Tải xuống phiên bản mới nhất của Mod Security từ liên kết bên dưới

https://www.modsecurity.org/doad.html

  • Bạn có thể sử dụng các lệnh dưới đây từ máy chủ trực tiếp

wget https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz
gunzip -c modsecurance-2.9.1.tar.gz | tar xvf –

Hãy để chúng tôi cài đặt chúng

Cài đặt Nginx với Mod Security

Nó rất quan trọng để biên dịch mã nguồn bảo mật Nginx và mod.

  • Đăng nhập vào máy chủ và đảm bảo bạn có quyền root.

Ghi chú: nếu bạn đang làm trên một máy chủ hoàn toàn mới thì bạn có thể cần phải cài đặt các thư viện sau.

yum cài đặt gcc làm cho autoake autoconf libtool pcre pcre-devel libxml2 libxml2-devel curl curl-devel httpd-devel

Đầu tiên, hãy để biên dịch bảo mật mod. Đi đến modsecurance-2.9.1 thư mục và sử dụng các lệnh dưới đây.

./ configure –enable-stand Độc-module
làm

Kế tiếp, cài đặt Nginx với bảo mật mod

./ configure –add-module = .. / modsecurity-2.9.1 / nginx / modsecurance
làm
cài đặt

Điều này kết luận Nginx đã được cài đặt với Mod Security và đã đến lúc cấu hình nó.

Định cấu hình Mod Security với Nginx

Sao chép modsecurity.conf-khuyên dùng & unicode.micking tệp từ thư mục được trích xuất của mã nguồn ModSecurity đã tải xuống ở trên vào thư mục nginx conf. Bạn cũng có thể sử dụng lệnh find.

tìm / -name modsecurity.conf-khuyên dùng
tìm / -name unicode.micking
[[email được bảo vệ] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/modsecurity.conf-recommends / usr / local / nginx / conf /
[[email được bảo vệ] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/ unicode.micking / usr / local / nginx / conf /
[[email được bảo vệ] tâm sự]

Hãy đổi tên modsecurity.conf-khuyên dùng đến modsecurity.conf

mv modsecurity.conf khuyến nghị modsecurity.conf

  • Sao lưu tập tin nginx.conf
  • Mở tập tin nginx.conf và thêm vào dưới mục Chỉ thị vị trí /

ModSecurityEnables trên;
ModSecurityConfig modsecurity.conf;

Vì vậy, nó sẽ xuất hiện như thế này

vị trí / {
ModSecurityEnables trên;
ModSecurityConfig modsecurity.conf;
}

Giờ đây, Mod Security được tích hợp với Nginx. Khởi động lại Nginx để đảm bảo nó sắp ra mắt mà không có lỗi.

Hãy để xác minh

Có hai phương pháp có thể để xác nhận Nginx được biên dịch với Mod Security.

Đầu tiên…

Liệt kê mô-đun đã biên dịch bằng cách sử dụng chương trình mật khẩu với tệp thực thi nginx.

[[email được bảo vệ] sbin] # ./ nginx -V
phiên bản nginx: nginx / 1.9.15
được xây dựng bởi gcc 4.4.7 20120313 (Mũ đỏ 4.4.7-16) (GCC)
cấu hình các đối số: –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
[[email được bảo vệ] sbin] #

Thứ hai…

Chuyển đến thư mục bản ghi và xem tệp lỗi, bạn sẽ thấy sau đây

2016/05/21 21:54:51 [thông báo] 25352 # 0: ModSecurance cho nginx (ỔN ĐỊNH) /2.9.1 (http://www.modsecurity.org/) được định cấu hình.
2016/05/21 21:54:51 [thông báo] 25352 # 0: ModSecurity: APR phiên bản được biên dịch ="1.3.9"; phiên bản đã tải ="1.3.9"
2016/05/21 21:54:51 [thông báo] 25352 # 0: ModSecurity: PCRE phiên bản được biên dịch ="7,8 "; phiên bản đã tải ="7.8 2008-09-05"
2016/05/21 21:54:51 [thông báo] 25352 # 0: ModSecurity: LIBXML phiên bản được biên dịch ="2.7.6"

Điều này kết luận bạn đã cấu hình thành công ModSecurity với Nginx.

Theo mặc định, cấu hình chỉ ở chế độ phát hiện, điều đó có nghĩa là nó sẽ không thực hiện bất kỳ hành động nào và bảo vệ các ứng dụng web của bạn.

Trong bài viết tiếp theo, tôi đã giải thích cách định cấu hình bộ quy tắc OWASP và cho phép Mod Security bảo vệ khỏi các lỗ hổng bảo mật web.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map