Jak nainstalovat a nakonfigurovat ModSecurity na Nginxu

Webový server Nginx se používá na více než 30% webových stránek po celém světě a roste.


Vzhledem k nárůstu online hrozeb online je jednou z výzev pro webového inženýra dobře znát tvrdnutí a zabezpečení Nginxu..

nginx-market-share

Nginx je známý pro svůj výkon a lehký webový server / proxy a používá se na mnoha nejrušnějších webech.

  • Pinterest.com
  • Reddit.com
  • WordPress.com
  • Stackoverflow.com
  • Mail.ru

Pokud hostujete své webové aplikace na serveru Nginx a zajímá vás bezpečnost, jednou z prvních věcí, kterou byste chtěli implementovat, je Web Application Firewall (WAF)..

Mod Security je open source WAF od Trustwave SpiderLabs a byl k dispozici pro Nginx v roce 2012.

V této příručce vysvětlím, jak na to stažení, Nainstalujte a konfigurovat Zabezpečení modů pomocí Nginx.

Následující demonstrace se provádí na CentOS hostovaném s DigitalOcean.

Pokud jste pro Nginx nováčkem, doporučil bych to vzít základní kurz.

Stáhněte si Nginx a ModSecurity

Můžete si stáhnout nginx přímo na svůj server nebo do místního počítače a poté jej přenést.

  • Stáhněte si nejnovější verzi z odkazu níže

http://nginx.org/en/download.html

  • Pokud stahujete přímo na server, můžete použít wget, jak je uvedeno níže

wget http://nginx.org/download/nginx-1.9.15.tar.gz

  • Rozbalte je pomocí příkazu gunzip

gunzip -c nginx-1.9.15.tar.gz | dehet xvf –

  • Zobrazí se nová složka

drwxr-xr-x 8 1001 1001 4096 19. dubna 12:02 nginx-1.9.15

  • Stáhněte si nejnovější verzi Mod Security z odkazu níže

https://www.modsecurity.org/download.html

  • Příkazy ze serveru můžete použít přímo

wget https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz
gunzip -c modsecurity-2.9.1.tar.gz | dehet xvf –

Nechte je nainstalovat

Instalujte Nginx s Mod Security

Je důležité kompilovat zdrojový kód zabezpečení Nginx a mod.

  • Přihlaste se na server a ujistěte se, že máte oprávnění root.

Poznámka: Pokud děláte na zcela novém serveru, možná budete muset nainstalovat následující knihovny.

yum install gcc make automake autoconf libtool pcre pcre-devel libxml2 libxml2-devel curl curl-devel httpd-devel

za prvé, sestavme zabezpečení mod. Jít do modsecurity-2.9.1 a použijte níže uvedené příkazy.

./ configure –enable-standalone-module
udělat

další, nainstalovat Nginx s mod bezpečností

./ configure –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
udělat
provést instalaci

Tím dojde k závěru, že Nginx je nainstalován s Mod Security a je čas jej nakonfigurovat.

Konfigurace zabezpečení modů pomocí Nginx

kopírovat modsecurity.conf-doporučeno & unicode.mapping soubor z extrahované složky výše staženého zdrojového kódu ModSecurity do složky nginx conf. Můžete také použít příkaz find.

najít / -name modsecurity.conf-doporučeno
najít / -name unicode.mapping
[[chráněn e-mailem] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/modsecurity.conf-recommended / usr / local / nginx / conf /
[[chráněn e-mailem] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/ unicode.mapping / usr / local / nginx / conf /
[[chráněn e-mailem] conf] #

Pojmenujme modsecurity.conf-doporučeno na modsecurity.conf

mv modsecurity.conf-doporučené modsecurity.conf

  • Vytvořte zálohu souboru nginx.conf
  • Otevřete soubor nginx.conf a do direktivy „umístění /“ přidejte následující

ModSecurityEnabled on;
ModSecurityConfig modsecurity.conf;

Tak by to mělo vypadat takto

umístění / {
ModSecurityEnabled on;
ModSecurityConfig modsecurity.conf;
}

Nyní je Mod Security integrován s Nginx. Restartujte Nginx, abyste se ujistili, že se objeví bez chyb.

Ověřme…

Existují dvě možné metody, jak potvrdit, že Nginx je kompilován s Mod Security.

Za prvé…

Seznam kompilovaného modulu pomocí –V s spustitelným souborem nginx.

[[chráněn e-mailem] sbin] # ./ nginx -V
nginx verze: nginx / 1.9.15
postaveno gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC)
Argumenty konfigurace: –add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
[[chráněn e-mailem] sbin] #

Druhý…

Přejděte do složky logů a zobrazte soubor chyb, měli byste vidět následující

2016/05/21 21:54:51 [upozornění] 25352 # 0: Konfigurace ModSecurity pro nginx (STABLE) /2.9.1 (http://www.modsecurity.org/).
2016/05/21 21:54:51 [upozornění] 25352 # 0: ModSecurity: APR compiled version ="1.3.9"; načtená verze ="1.3.9"
2016/05/21 21:54:51 [upozornění] 25352 # 0: ModSecurity: PCRE compiled version ="7.8 "; načtená verze ="7.8 2008-09-05"
2016/05/21 21:54:51 [upozornění] 25352 # 0: ModSecurity: LIBXML compiled version ="2.7.6"

Tím dojde k závěru, že jste úspěšně nakonfigurovali ModSecurity s Nginx.

Ve výchozím nastavení je konfigurace pouze v detekčním režimu, což znamená, že nebude provádět žádnou akci a nebude chránit vaše webové aplikace.

V mém dalším článku jsem vysvětlil, jak nakonfigurovat sadu pravidel OWASP a jak povolit Mod Security, aby byl chráněn před zranitelnostmi zabezpečení webu.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map