Как да инсталирате и конфигурирате ModSecurity на Nginx

Уеб сървърът Nginx се използва на повече от 30% на уебсайтове по целия свят и нараства.


Като се има предвид увеличаването на онлайн заплахите в мрежата, едно от предизвикателствата пред уеб инженера е да осъзнаят добре втвърдяването и осигуряването на Nginx.

Nginx-пазарния дял

Nginx е добре известен със своята производителност и лек уеб сървър / прокси и се използва в много натоварени сайтове.

  • Pinterest.com
  • Reddit.com
  • WordPress.com
  • Stackoverflow.com
  • Mail.ru

Ако хоствате уеб приложенията си в Nginx и сте загрижени за сигурността, тогава едно от първите неща, които бихте искали да внедрите, е защитната стена на уеб приложението (WAF).

Mod Security е WAF с отворен код от Trustwave SpiderLabs и е предоставен за Nginx през 2012 г..

В това ръководство ще обясня как да Изтегли, Инсталирай и конфигуриране Модна сигурност с Nginx.

Следващата демонстрация е направена на CentOS, хостван с DigitalOcean.

Ако сте нов за Nginx, тогава бих препоръчал да го вземете фундаментален курс.

Изтеглете Nginx и ModSecurity

Можете да изтеглите nginx директно на вашия сървър или на вашия локален компютър, след което да го прехвърлите.

  • Изтеглете най-новата версия от долната връзка

http://nginx.org/en/download.html

  • Ако директно изтегляте на сървъра, можете да използвате wget, както е посочено по-долу

Wget http://nginx.org/download/nginx-1.9.15.tar.gz

  • Извадете ги с помощта на командата gunzip

gunzip -c nginx-1.9.15.tar.gz | катран xvf –

  • Ще видите създадената нова папка

drwxr-xr-x 8 1001 1001 4096 април 19 12:02 nginx-1.9.15

  • Изтеглете най-новата версия на Mod Security от долната връзка

https://www.modsecurity.org/download.html

  • Можете да използвате по-долу команди директно от сървъра

Wget https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz
gunzip -c modsecurity-2.9.1.tar.gz | катран xvf –

Нека ги инсталираме

Инсталирайте Nginx с Mod Security

Важно е да компилирате изходния код за защита на Nginx и mod.

  • Влезте в сървър и се уверете, че имате разрешение за root.

Забележка: ако правите на съвсем нов сървър, тогава може да се наложи да инсталирате следните библиотеки.

yum install gcc make automke autoconf libtool pcre pcre-devel libxml2 libxml2-devel curl curl-devel httpd-devel

първи, нека компилираме модната сигурност. Отидете на modsecurity-2.9.1 папка и използвайте команди по-долу.

./ конфигурирайте – самостоятелно-самостоятелен модул
грим

Следващия, инсталирайте Nginx с модна сигурност

./ configure –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
грим
направи инсталиране

Това завършва Nginx е инсталиран с Mod Security и е време да го конфигурирате.

Конфигурирайте Mod Security с Nginx

копие modsecurity.conf препоръчан & unicode.mapping файл от извлечена папка на сваления по-горе ModSecurity изходен код в папка nginx conf. Можете също да използвате командата find.

find / -name modsecurity.conf-препоръчително
find / -name unicode.mapping
[[Имейл защитен] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/modsecurity.conf-recommended / usr / local / nginx / conf /
[[Имейл защитен] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/ unicode.mapping / usr / local / nginx / conf /
[[Имейл защитен] конф] #

Нека преименуваме modsecurity.conf препоръчан да се modsecurity.conf

mv modsecurity.conf-препоръчително modsecurity.conf

  • Вземете резервно копие на nginx.conf файл
  • Отворете nginx.conf файла и добавете следното в директивата „location /“

ModSecurityEnabled;
ModSecurityConfig modsecurity.conf;

Така че трябва да изглежда така

местоположение / {
ModSecurityEnabled;
ModSecurityConfig modsecurity.conf;
}

Сега Mod Security е интегрирана с Nginx. Рестартирайте Nginx, за да се уверите, че излиза без никаква грешка.

Нека да проверим …

Има два възможни метода за потвърждаване, че Nginx е компилиран с Mod Security.

Първо …

Избройте компилирания модул, като използвате –V с nginx изпълним файл.

[[Имейл защитен] sbin] # ./ nginx -V
версия на nginx: nginx / 1.9.15
построен от gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC)
конфигурирайте аргументи: –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
[[Имейл защитен] sbin] #

На второ място …

Отидете в папката с журнали и прегледайте файла с грешки, трябва да видите следното

2016/05/21 21:54:51 [известие] 25352 # 0: Конфигурирана ModSecurity за nginx (STABLE) /2.9.1 (http://www.modsecurity.org/).
2016/05/21 21:54:51 [известие] 25352 # 0: ModSecurity: APR компилирана версия ="1.3.9"; заредена версия ="1.3.9"
2016/05/21 21:54:51 [известие] 25352 # 0: ModSecurity: PCRE компилирана версия ="7.8 "; заредена версия ="7.8 2008-09-05"
2016/05/21 21:54:51 [известие] 25352 # 0: ModSecurity: LIBXML компилирана версия ="2.7.6"

Това стига до заключението, че успешно сте конфигурирали ModSecurity с Nginx.

По подразбиране конфигурацията е в режим на откриване само това означава, че няма да извърши никакви действия и да защити вашите уеб приложения.

В следващата си статия обясних как да конфигурирам набора от правила OWASP и да разреша Mod Security да се защити от уязвимости на уеб сигурността.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map