Cum se instalează și se configurează ModSecurity pe Nginx

Serverul web Nginx este utilizat pe mai mult de 30% a site-ului mondial și în creștere.


Având în vedere creșterea amenințărilor web online, o provocare pentru inginerul web este să conștientizeze bine întărirea și securizarea Nginx.

Nginx-cotei de piață

Nginx este cunoscut pentru performanțele și serverul / proxy web ușor și este utilizat pe multe site-uri ocupate.

  • Pinterest.com
  • Reddit.com
  • WordPress.com
  • Stackoverflow.com
  • Mail.ru

Dacă găzduiești aplicațiile tale web pe Nginx și te preocupă securitatea, atunci unul dintre primele lucruri pe care ai dori să le implementezi este aplicația Web Firewall (WAF).

Mod Security este un WAF Open Source de Trustwave SpiderLabs și a fost disponibil pentru Nginx în 2012.

În acest ghid, voi explica cum să Descarca, instalare și Configureaza Securitate Mod cu Nginx.

Următoarea demonstrație se face pe CentOS găzduit cu DigitalOcean.

Dacă sunteți nou la Nginx, atunci v-aș recomanda să luați acest lucru curs fundamental.

Descărcați Nginx și ModSecurity

Puteți descărca nginx direct pe serverul dvs. sau pe computerul local, apoi îl puteți transfera.

  • Descărcați cea mai recentă versiune de sub linkul

http://nginx.org/en/download.html

  • Dacă descărcați direct pe server, atunci puteți utiliza wget ca mai jos

wget http://nginx.org/download/nginx-1.9.15.tar.gz

  • Extrageți-le folosind comanda gunzip

gunzip -c nginx-1.9.15.tar.gz | gudron xvf –

  • Veți vedea noul folder creat

drwxr-xr-x 8 1001 1001 4096 Apr 19 12:02 nginx-1.9.15

  • Descărcați cea mai recentă versiune de Mod Security de sub linkul

https://www.modsecurity.org/download.html

  • Puteți utiliza mai jos comenzile direct de pe server

wget https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz
gunzip -c modsecurity-2.9.1.tar.gz | gudron xvf –

Să le instalăm

Instalați Nginx cu Mod Security

Este important să compilați codul sursă de securitate Nginx și mod.

  • Conectați-vă pe un server și asigurați-vă că aveți permisiunea root.

Notă: dacă faceți un server nou, atunci trebuie să instalați următoarele biblioteci.

yum instala gcc make automake autoconf libtool pcre pcre-devel libxml2 libxml2-devel curl curl-devel httpd-devel

Primul, să compilăm securitatea modului. Mergi la ModSecurity-2.9.1 folderul și utilizați mai jos comenzile.

./ configure –enable-standalone-module
face

Următor →, instalați Nginx cu securitate mod

./ configure –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
face
face instalare

Aceasta concluzionează că Nginx este instalat cu Mod Security și este timpul să îl configurați.

Configurați securitatea Mod cu Nginx

Copie modsecurity.conf-a recomandat & unicode.mapping fișier din folderul extras din codul sursă ModSecurity descărcat mai sus în folderul nginx conf. De asemenea, puteți utiliza comanda find.

find / -name modsecurity.conf-recomandat
find / -name unicode.mapping
[[Email protected] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/modsecurity.conf-recomended / usr / local / nginx / conf /
[[Email protected] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/ unicode.mapping / usr / local / nginx / conf /
[[Email protected] conf] #

Să redenumim modsecurity.conf-a recomandat la modsecurity.conf

mv modsecurity.conf-recomandat modsecurity.conf

  • Faceți o copie de rezervă a fișierului nginx.conf
  • Deschideți fișierul nginx.conf și adăugați următoarele în conformitate cu directiva „locație /”

ModSecurityEnabled activat;
ModSecurityConfig modsecurity.conf;

Deci ar trebui să apară astfel

Locație / {
ModSecurityEnabled activat;
ModSecurityConfig modsecurity.conf;
}

Acum, Mod Security este integrat cu Nginx. Reporniți Nginx pentru a vă asigura că va apărea fără nicio eroare.

Să verificăm …

Există două metode posibile pentru a confirma că Nginx este compilat cu Mod Security.

Primul…

Enumerați modulul compilat folosind –V cu fișierul executabil nginx.

[[Email protected] Sbin] # ./ nginx -V
versiunea nginx: nginx / 1.9.15
construit de gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (CCG)
configurați argumentele: –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
[[Email protected] Sbin] #

Al doilea…

Accesați folderul jurnalelor și vizualizați fișierul de eroare, ar trebui să vedeți următoarele

2016/05/21 21:54:51 [notificare] 25352 # 0: ModSecurity pentru nginx (STABLE) /2.9.1 (http://www.modsecurity.org/) configurat.
2016/05/21 21:54:51 [notificare] 25352 # 0: ModSecurity: versiunea compilată APR ="1.3.9"; versiunea încărcată ="1.3.9"
2016/05/21 21:54:51 [notificare] 25352 # 0: ModSecurity: versiunea compilată PCRE ="7.8 "; versiunea încărcată ="7.8 2008-09-05"
2016/05/21 21:54:51 [notificare] 25352 # 0: ModSecurity: versiunea compilată LIBXML ="2.7.6"

Aceasta concluzionează că ați configurat cu succes ModSecurity cu Nginx.

În mod implicit, configurația este în modul detectare, ceea ce înseamnă că nu va executa nici o acțiune și nu vă va proteja aplicațiile web.

În următorul meu articol, am explicat cum să configurați setul de reguli OWASP și să permiteți Mod Security să se protejeze de vulnerabilitățile de securitate web.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map