Як встановити та налаштувати ModSecurity на Nginx

Веб-сервер Nginx використовується більш ніж 30% веб-сайтів у всьому світі та зростаючих.


Враховуючи зростання веб-загроз в Інтернеті, одним із викликів для веб-інженера є добре усвідомлення загартовування та забезпечення Nginx.

nginx-ринкова частка

Nginx добре відомий своєю продуктивністю та легким веб-сервером / проксі і використовується на багатьох найпотужніших сайтах.

  • Pinterest.com
  • Reddit.com
  • WordPress.com
  • Stackoverflow.com
  • Mail.ru

Якщо ви розміщуєте свої веб-програми на Nginx і переймаєтесь безпекою, тоді одним із перших, що ви хотіли б застосувати, є брандмауер веб-додатків (WAF).

Mod Security – це WAF з відкритим кодом від Trustwave SpiderLabs і був доступний для Nginx в 2012 році.

У цьому посібнику я поясню, як це зробити завантажити, встановити і налаштувати Безпека моди з Nginx.

Наступна демонстрація робиться на CentOS, розміщеному разом із DigitalOcean.

Якщо ви новачок у Nginx, я б рекомендував взяти це фундаментальний курс.

Завантажте Nginx та ModSecurity

Ви можете завантажити nginx безпосередньо на свій сервер або на локальний ПК, а потім перенести його.

  • Завантажте останню версію за посиланням нижче

http://nginx.org/uk/download.html

  • Якщо ви завантажуєте безпосередньо на сервер, то можете використовувати wget, як показано нижче

wget http://nginx.org/download/nginx-1.9.15.tar.gz

  • Витягніть їх за допомогою команди gunzip

gunzip -c nginx-1.9.15.tar.gz | tar xvf –

  • Ви побачите створену нову папку

drwxr-xr-x 8 1001 1001 4096 квітня 19 12:02 nginx-1.9.15

  • Завантажте останню версію Mod Security за посиланням нижче

https://www.modsecurity.org/download.html

  • Ви можете використовувати команди нижче із сервера безпосередньо

wget https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz
gunzip -c modsecurity-2.9.1.tar.gz | tar xvf –

Давайте встановимо їх

Встановіть Nginx за допомогою Mod Security

Важливо скласти вихідний код безпеки Nginx та mod.

  • Увійдіть на сервер і переконайтеся, що у вас є дозвіл root.

Примітка: якщо ви працюєте на абсолютно новому сервері, можливо, вам знадобиться встановити наступні бібліотеки.

yum встановити gcc зробити автоматичне autoconf libtool pcre pcre-devel libxml2 libxml2-devel curl curl-devel httpd-devel

Спочатку, давайте складемо безпеку моди. Йти до модабезпека-2.9.1 папку та використовувати команди нижче.

./ конфігуруйте –enable-автономний модуль
зробити

Далі, встановити Nginx з модною безпекою

./ configure –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
зробити
зробити встановлення

Таким чином, Nginx встановлений із Mod Security, і саме час його налаштувати.

Налаштуйте безпеку моди за допомогою Nginx

Скопіювати modsecurity.conf-рекомендується & unicode.mapping файл із витягнутої папки вищезавантаженого вихідного коду ModSecurity у папку nginx conf. Ви також можете скористатися командою find.

знайти / -ім’я modsecurity.conf-рекомендується
find / -name unicode.mapping
[[захищено електронною поштою] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/modsecurity.conf-recommended / usr / local / nginx / conf /
[[захищено електронною поштою] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/ unicode.mapping / usr / local / nginx / conf /
[[захищено електронною поштою] конф] #

Давайте перейменовано modsecurity.conf-рекомендується до modsecurity.conf

mv modsecurity.conf-рекомендується modsecurity.conf

  • Візьміть резервну копію файлу nginx.conf
  • Відкрийте файл nginx.conf і додайте наступне в директиві “location /”

ModSecurityEnabled;
ModSecurityConfig modsecurity.conf;

Так має виглядати так

Розташування / {
ModSecurityEnabled;
ModSecurityConfig modsecurity.conf;
}

Тепер Mod Security інтегрована з Nginx. Перезапустіть Nginx, щоб переконатися, що він з’являється без помилок.

Давайте перевіримо …

Існує два можливих способи підтвердити компіляцію Nginx з Mod Security.

Спочатку…

Перерахуйте складений модуль, використовуючи –V з виконуваним файлом nginx.

[[захищено електронною поштою] sbin] # ./ nginx -V
версія nginx: nginx / 1.9.15
побудовано gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC)
конфігуруйте аргументи: –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
[[захищено електронною поштою] sbin] #

По-друге …

Перейдіть до папки журналів і перегляньте файл помилки, ви побачите наступне

2016/05/21 21:54:51 [повідомлення] 25352 # 0: Налаштовано ModSecurity для nginx (STABLE) /2.9.1 (http://www.modsecurity.org/).
2016/05/21 21:54:51 [повідомлення] 25352 # 0: ModSecurity: APR складена версія ="1.3.9"; завантажена версія ="1.3.9"
2016/05/21 21:54:51 [повідомлення] 25352 # 0: ModSecurity: PCRE скомпільована версія ="7.8 "; завантажена версія ="7.8 2008-09-05"
2016/05/21 21:54:51 [повідомлення] 25352 # 0: ModSecurity: Скомпільована версія LIBXML ="2.7.6"

Це означає, що ви успішно налаштували ModSecurity з Nginx.

За замовчуванням конфігурація знаходиться лише в режимі виявлення, це означає, що вона не буде виконувати жодних дій та захищати ваші веб-програми.

У моїй наступній статті я пояснив, як налаштувати набір правил OWASP і включити Mod Security для захисту від уразливості веб-безпеки..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map