OpenResty && OpenRASP

最新推荐文章于 2023-06-02 20:58:26 发布
最新推荐文章于 2023-06-02 20:58:26 发布
阅读量1.7k 收藏
点赞数
分类专栏: 运维安全 笔记 文章标签: 运维安全 服务器安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CN_SHzhaoyujie/article/details/103381415
版权

文章目录

一、OpenResty

OpenResty是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。然后通过他来搭建WAF防火墙系统。官网地址下载地址https://openresty.org/cn/download.html

1. 安装OpenResty

  • 安装对应好软件
yum install -y readline-devel pcre-devel openssl-devel git wget vim openssl-devel gcc curl
  • 下载OpenResty
wget https://openresty.org/download/ngx_openresty-1.9.3.2.tar.gz --no-check-certificate
  • 解压编译安装
tar -zxvf ngx_openresty-1.9.3.2.tar.gz
cd ngx_openresty-1.9.3.2
./configure --prefix=/usr/local/openresty --with-luajit --with-http_stub_status_module --with-pcre --with-pcre-jit
gmake
gmake install

2. WAF的列表

支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。
支持URL白名单,将不需要过滤的URL进行定义。
支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。
支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
支持URL参数过滤,原理同上。
支持日志记录,将所有拒绝的操作,记录到日志中去。
日志记录为JSON格式,便于日志分析,例如使用ELKStack进行攻击日志收集、存储、搜索和展示。

3. 配置waf规则

  • 下载waf
git clone https://github.com/unixhot/waf.git
  • 拷贝配置文件
cp -a ./waf/waf /usr/local/openresty/nginx/conf/
  • 配置规则
vim /usr/local/openresty/nginx/conf/nginx.conf
  • 把下面代码拷贝到http中
lua_shared_dict limit 50m;
lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua";
init_by_lua_file "/usr/local/openresty/nginx/conf/waf/init.lua";
access_by_lua_file "/usr/local/openresty/nginx/conf/waf/access.lua";

vim /usr/local/openresty/nginx/conf/waf/config.lua

二、OpenRASP

OpenRASP 是一个百度安全旗下的免费开源安全项目,全称应该是:Opensource Runtime Application Self-Protection 开源实时程序自保护系统。

更想详细了解OpenRASP:https://www.freebuf.com/articles/web/164413.html

但是目前,OpenRASP 支持 Java 和 PHP 两种开发语言,那也希望以后能支持各种类型。
软件兼容性https://rasp.baidu.com/doc/install/compat.html

1. 下载漏洞环境

  • 安装jdk和关闭防火墙
yum install epel-release -y
yum install java-1.8.0-openjdk* -y
systemctl stop firewalld.service
systemctl disable firewalld.service
  • 安装tomcat
wget http://mirrors.shu.edu.cn/apache/tomcat/tomcat-8/v8.5.38/bin/apache-tomcat-8.5.38.tar.gz

tar zxvf apache-tomcat-8.5.34.tar.gz 

mv apache-tomcat-8.5.34 /usr/local/tomcat

find / -name "java"  ##找到/jre/bin/java的安装路径

vim /usr/local/tomcat/bin/catalina.sh

JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.212.b04-0.el7_6.x86_64
JRE_HOME=$JAVA_HOME/jre
  • 手动插件tomcat启动配置文件
vim /usr/lib/systemd/system/tomcat8.service

[Unit]
Description=Tomcat
After=syslog.target network.target remote-fs.target nss-lookup.target

[Service]
Type=oneshot
ExecStart=/usr/local/tomcat/bin/startup.sh
ExecStop=/usr/local/tomcat/bin/shutdown.sh
ExecReload=/bin/kill -s HUP $MAINPID
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target
  • 开机启动tomcat
systemctl enable tomcat8
systemctl start tomcat8.service
  • 配置tomcat参数来正确访问war包页面
vim /usr/local/tomcat/conf/tomcat-users.xml
  • 最后添加上
<role rolename="manager-gui"/>
<role rolename="manager-script"/>
<role rolename="manager-jmx"/>
<role rolename="manager-status"/>
<user username="admin" password="123ccc" roles="manager-gui,manager-script,manager-jmx,manager-status"/>

vim /usr/local/tomcat/webapps/manager/META-INF/context.xml
  • 把默认的<Valve className 修改为下面参数
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
       allow="\d+\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
  • 重启服务
systemctl restart tomcat8
  • 下载漏洞平台

https://github.com/baidu-security/openrasp-testcases/releases
下载vulns.war部署到tomcat上

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

点击vulns就能访问测试的漏洞平台页面

2. 安装单机版openrasp

wget https://github.com/baidu/openrasp/releases/download/v1.0/rasp-java.tar.gz
tar xvf rasp-java.tar.gz
cd rasp-2019-04-24/
  • java方式安装压缩包
java -jar RaspInstall.jar -install /usr/local/tomcat/

systemctl restart tomcat8
  • 手动安装压缩包 出现10004错误代码时
cp -rf rasp /usr/share/tomcat/
OpenRASP 需要在 rasp 目录下释放一些动态链接库,所以还需要修改 rasp 目录的权限,e.g
chmod 777 -R rasp

对于使用 yum 安装的 tomcat,
你需要创建 /etc/tomcat/conf.d/rasp.conf,并写入以下内容
JAVA_OPTS="-javaagent:${CATALINA_HOME}/rasp/rasp.jar ${JAVA_OPTS}"
JAVA_OPTS="-Dlog4j.rasp.configuration=file://${CATALINA_HOME}/rasp/conf/rasp-log4j.xml ${JAVA_OPTS}"

3. openrasp后台管理

  • 安装Mongodb
vim /etc/yum.repos.d/mongodb-org-4.0.repo

[mongodb-org-4.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.0.asc


yum install -y mongodb-org
systemctl start mongod
  • 安装Elasticsearch

去官网下载最新的版本https://www.elastic.co/downloads/elasticsearch 或者把最新的下载地址用wget命令下载rpm包或者tar.gz包

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.1.0-linux-x86_64.tar.gz
  • 创建普通用户使用
useradd Elasticsearch
mv elasticsearch-7.1.0 /usr/local/elasticsearch
chown -R Elasticsearch /usr/local/elasticsearch
  • 配置
vim /usr/local/elasticsearch/config/elasticsearch.yml

network.host: 127.0.0.1
http.port: 9200
discovery.zen.ping.unicast.hosts
discovery.zen.minimum_master_nodes
  • 使用rpm包安装
vim /etc/elasticsearch/elasticsearch.yml

network.host: 127.0.0.1
http.port: 9200
discovery.zen.ping.unicast.hosts: ["host1"]

systemctl start elasticsearch
  • 如果启动会出现jdk错误问题。
sysctl -w vm.max_map_count=262144

或者永久性修改

/etc/sysctl.conf

vim /usr/java/elasticsearch/config/jvm.options

将-Xmx2g改成-Xmx256m,也就是heap size [268435456] /1024/1024的值
如果:max file descriptors [4096] for elasticsearch process likely too low, increase to at least [65536]这个错误(切换到root操作)

/etc/security/limits.conf seven hard nofile 65536
  • 修改后重新登录seven用户,使用如下命令查看是否修改成功
ulimit -Hn
  • 启动:
/usr/local/elasticsearch/bin/elasticsearch -d

4. 安装后台系统

https://github.com/baidu/openrasp/releases 下载rasp-cloud.tar.gz

wget https://github.com/baidu/openrasp/releases/download/v1.0/rasp-cloud.tar.gz
tar zxvf rasp-cloud.tar.gz

vim /usr/local/src/rasp-cloud-2019-04-17/conf/app.conf

PanelServerURL = http://192.168.80.101:8086
AgentServerURL = http://192.168.80.101:8086
  • 修改es和mongodb 默认是127.0.0.1就可以不修改,并启动服务
/usr/local/src/rasp-cloud-2019-04-17/rasp-cloud -d

http://ip:8086` 访问管理后台。其中,后台用户名固定为 `openrasp`,初始密码为 `admin@123

5. 添加客户端

  • 下载 Java Agent 安装包
curl https://packages.baidu.com/app/openrasp/release/1.0/rasp-java.tar.gz -o rasp-java.tar.gz
tar -xvf rasp-java.tar.gz
cd rasp-2019-04-24
  • 执行 RaspInstall 进行安装
java -jar RaspInstall.jar -install /usr/local/tomcat -appid db8076ce5095ee15b84741ea808dada22ed4a03e -appsecret Tt2gBKm8QsKBwqpu5v9PQV3lo64vEMhkzpKbjVIQZsS -backendurl http://192.168.80.101:8086/
  • 重启 Tomcat/JBoss/SpringBoot 应用服器
systemctl restart tomcat8
CN_SHzhaoyujie
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ngnix实战&openresty;介绍
06-09
高性能Nginx服务器简介、Nginx安装、http服务器、虚拟主机配置、反向代理、负载均衡、负载均衡中session问题,Openresty搭建安装,简单Nginx+lua开发
一步安装openresty
06-12
离线一步安装openresty,前提需要安装gcc
WAF规则编写指南
03-01
较为详细的介绍了使用modsecurity rule language编写Rule。
openresty 最佳实践
07-25
openresty最佳实践,中文版,带书签,非常详细地说了openresty的使用和技术
Openresty 缓存策略.pdf
08-20
Openresty 缓存策略.pdf
Edgio WAF规则——在混乱中创造秩序(上篇)
jovichan76的博客
09-27 1175
当考虑到过去几年发生的新攻击载体和漏洞的冲击时,准确性是至关重要的。事实上,网络安全和基础设施安全机构(CISA)最近在其已知利用漏洞目录中增加了66个新漏洞。CISA并不是唯一关注安全性和性能的机构。根据WAF最近的一项调查,企业希望减少误报、误报、警报疲劳,并希望看到WAF管理的改善。要更深入地了解企业如何调整其应用程序安全实践,请阅读我们的WAF基准报告。
WAF学习
three_cats的博客
04-28 642
WAF的理解: 过去企业通常采用的防火墙只是在第三层(网络层)有效的阻断一些数据包。 而随着Web服务器成为主要的被攻击目标(第五层应用层),waf(Web Application Firewall)应运而生。 WAF的作用: waf是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 WAF的原理 WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,...
利用OpenRASP构建WAF
wj193165zl的博客
07-31 476
该项目现在只支持PHP和JAVA项目 OpenRASP安装: 环境设置: yum install -y vim wget net-tools epel-release java-1.8.0-openjdk* systemctl stop firewalld.service systemctl disable firewalld.service 安装并配置tomcat: cd /us...
关于百度 OpenRASP 的个人拙见
刘坏坏的博客
05-08 4138
OpenRASP 简介 OpenRASP 是一个百度安全旗下的免费开源安全项目,全称应该是:Open­source Run­time Ap­pli­ca­tion Self-Pro­tec­tion 开源实时程序自保护系统。它隶属于百度 OAESE智能终端安全生态联盟,是其中五大开放技术之一。功能就是——检测网络入侵,从而发现漏洞。 竞品 WAF(Web Application Firewall)...
Edgio WAF规则——在混乱中创造秩序(下篇)
jovichan76的博客
09-27 647
由于我们的高性能WAF在运行我们的内容交付服务的同一堆栈上以本机方式运行,在全球180多个存在点(PoP)的每台Edgio服务器中每天都会发生数十亿次这种情况。在这个博客开始的时候,我提到我有很多关于WAF的问题。我希望您现在了解是什么使它与其他解决方案不同。我们将智能操作顺序与各种WAF规则模块(从ACL到速率限制,再到bot和自定义规则)、托管WAF规则(从特定规则到通用规则)以及安全性的混合签名和异常评分模式相结合,以确保不影响性能。
mino-thumbor-openresty:minio thumbor && openresty
05-17
mynginx-代理-github 怎么跑 docker-compose构建 如果使用一些错误构建拇指图像,则可以使用docker-compose-new.yml docker-compose build docker-compose运行 docker-compose up -d 向公众上传图片和设置策略 minio密钥信息可以从docker-compose日志minio获取
OpenResty教程,OpenResty使用教程
12-22
OpenResty教程,OpenResty使用教程 OpenResty是大并发服务器的不错选择,可实现数据校验前置、缓存前置、数据过滤、API请求聚合、认证管理、负载均衡、流量控制、灰度发布、降级、监控等功能
OpenResty的文件
最新发布
03-26
OpenResty
nginx下安装配置modsecurity waf防火墙(附完整编译、配置、排错、详细规则)
热门推荐
中年闰土的博客
07-01 24万+
ModSecurity是一个免费、开源的Apache模块,可以充当Web应用防火墙(WAF)。ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,...
Node.JS实战36:写一个WAF中间件!防黑客,防攻击
w2sft的博客
12-19 873
如果用Node.JS做Web服务,很多时候是会选择Express的。 本文,将展示如何如何实现一个WAF中间件。 WAF有什么用? WAF即Web Application Firewall,Web应用防火墙,防攻击、防黑客的。 小提示:npm上,目前还没有专业的express中间件WAF,这可是稀缺的技术! 先看完整示例代码: var express = require('ex...
OpenResty+OpenWAF的WEB防护实战
学而思(xiejava的blog)
04-07 1847
本文介绍了OpenResty+OpenWAF的安装,并通过配置对DVWA的靶机进行了WEB防护,通过SQL注入及XSS的攻击,验证了OpenWAF的效果。OpenResty+OpenWAF是开源的软WAF解决方案,安装和配置相对简单,对于中小企业的web防护来说不失为一个低成本的解决方案。
Nginx/OpenResty目录穿越漏洞复现
小小猪的博客
11-26 1万+
Nginx/OpenResty目录穿越漏洞复现 漏洞背景: 2020年03月18日, 360CERT监测发现 openwall oss-security 邮件组披露了两枚漏洞。在特定配置下 nginx/openresty 存在 内存泄漏漏洞/目录穿越漏洞。 Nginx 是异步框架的网页服务器,也可以用作反向代理、负载平衡器和HTTP缓存。 OpenResty是一个基于nginx的Web平台,它对nginx增加LuaJIT引擎使其运行Lua脚本。 影响版本: nginx <= v1.17
文件上传漏洞
kuzemax的博客
06-02 2646
文件头类型检查文件类型文件幻术头GIF 47 49 46 38 39 61(相当于文本的GIF89a)图片🐎制作方式将一句话木马植入图片中,一句话木马最好不要植入在图片的开头(有可能会造成文件损坏),Windows执行语句:copy xx.jpg/b+test.php/a test.jpg;Linux木马植入执行语句:cat test.php >> xx.jpg\b以二进制格式复制、合并文件 \a指定以ascll格式复制、合并文件。
nextcloud——搭建私有云盘
CN_SHzhaoyujie的博客
06-10 6786
文章目录部署lnmp 部署lnmp 最新版nextcloud需要php7.2以上的版本,所以以下是基于Centos6使用yum快速安装PHP7.2的方法,MySQL和Nginx不做演示 安装yum扩展源 yum install -y epel-release 安装Remi源(包含最新的PHP和mysql) yum install http://rpms.remirepo.net/ente...
nginx openresty
11-12
nginx openresty是一个基于nginx的可扩展Web平台,它包含了一些高质量的第三方模块,这些模块可以通过Lua脚本进行配置和扩展。OpenResty的核心是由Nginx和LuaJIT两部分组成,其中Nginx是一个高性能的Web服务器,而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值