nginx+ModSecurity实现waf

已于 2023-06-19 16:37:27 修改
阅读量157 收藏
点赞数
分类专栏: nginx waf 文章标签: nginx git 运维
于 2023-06-19 16:28:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wt1611058180/article/details/131289780
版权
nginx 同时被 2 个专栏收录
2 篇文章 0 订阅
订阅专栏
waf
1 篇文章 0 订阅
订阅专栏

软件环境

Kylin Linux Advanced Server release V10 (Sword)
ModSecurity 3.0.9
nginx 1.21

安装依赖

yum install -y wget vim git libtool pcre pcre-devel gcc gcc-c++ flex bison yajl yajl-devel curl-devel curl GeoIP-devel doxygen zlib-devel libxml2 libxml2-devel lua lua-devel -y

安装ModSecurity

$ git clone https://github.com/SpiderLabs/ModSecurity.git
$ cd ModSecurity
$ git checkout v3/master
$ git submodule init
$ git submodule update
$ ./build.sh
$ ./configure
$ make
$ make install

将安装到 /usr/local/modsecurity/lib/libmodsecurity.so.3.0.9

安装nginx

$ yum install nginx -y

编译ModSecurity-nginx连接器

$ cd /root/nginx
$ git clone https://github.com/SpiderLabs/ModSecurity-nginx.git

使用nginx -V查看已经安装的nginx编译选项。获取编译选项后,下载同版本的nginx源码,解压后进入nginx源码目录:

$ cd ModSecurity-nginx
#编译动态模块
$ ./configure <所有nginx -V看到的编译选项>  --add-dynamic-module=/root/nginx/ModSecurity-nginx
#只编译模块
$ make modules

将编译后的连接器复制到nginx module目录中

$ cp objs/ngx_http_modsecurity_module.so /usr/share/nginx/modules/

在nginx主配置文件中加载模块:

$ vim /etc/nginx/nginx.conf
#在全局添加
load_module modules/ngx_http_modsecurity_module.so;

下载ModSecurity规则和配置

$ cd /root/nginx
$ git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
$ cd owasp-modsecurity-crs
$ mv crs-setup.conf.example crs-setup.conf

将ModSecurity配置文件拷贝到/root/nginx

$ cp ModSecurity/modsecurity.conf-recommended /root/nginx/modsecurity.conf

加载ModSecurity规则

创建nginx配置文件加载规则

$ cd /root/nginx
$ vim main.conf
Include /root/nginx/modsecurity.conf
Include /root/nginx/owasp-modsecurity-crs/crs-setup.conf
Include /root/nginx/owasp-modsecurity-crs/rules/*.conf

在nginx配置目录下,创建配置文件,启用ModSecurity

$ vim /etc/nginx/conf.d/default.conf
modsecurity on;
modsecurity_rules_file /root/nginx/main.conf;

测试ModSecurity

默认情况下只会记录恶意请求,若想阻塞需要ModSecurity配置文件中配置:

#SecRuleEngine DetectionOnly chage to
SecRuleEngine On

reload nginx

测试nginx
在这里插入图片描述
可以从ModSecurity日志中看到恶意请求拦截信息:
在这里插入图片描述

Wt1611058180
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx waf设计
03-11
基于nginxmodsecurityWAF防火墙实现的配置1.过滤文件和路径 阻止 /~ 这种带有波浪线的路径 #阻止文件类型(扩展名、后缀) .(bzr|cvs|git|svn) .(bak|backup|bzr|cfg|conf|cvs|doc|docx|DS_Store|ear|git|...
docker-waf:适用于Docker的基于NGINXModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurityNGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其...
Nginx - 集成ModSecurity实现WAF功能
小工匠
05-19 1623
ModSecurity是一款开源的Web应用防火墙(WAF),它能够保护Web应用免受各种类型的攻击。作为一个嵌入式模块,ModSecurity可以集成到常见的Web服务器(如Apache、Nginx)中,以拦截和阻止恶意的HTTP请求。其设计目标是提供一个灵活、可配置的安全解决方案,能够保护Web应用免受SQL注入、跨站脚本(XSS)、请求伪造、路径遍历等各种常见的Web攻击。
nginx安装和配置ModSecurity
一个今天胜过两个明天
06-11 395
通过以上步骤,我们在 Nginx 上安装和配置 ModSecurity,可以增强Web 服务器的安全性。ModSecurity 强大的规则集和灵活的配置选项,对安全防护最重要的就是规则,所以一定要定期审查日志,根据需要调整配置,适时更新规则集,以保持最佳的安全状态。OWASP 提供了一组常用的 ModSecurity 核心规则 (CRS),可以有效地防御许多常见的 Web 攻击。这里我禁止了对/tmp目录的访问,但允许/tmp后面加字母和数字的目录,比如/tmpabc,是允许的,主要是防止误杀。
modsecurity php,nginx + modsecurity实现WAF功能
weixin_42402188的博客
03-21 413
modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器。一.准备工作系统:centos 6.5 64位、 tengine 2.1.0, modsecurity 2.8.0依赖关系:tengine(nginx)依赖: pcre 、zlib、 openss...
nginx-整合modsecuritywaf
weixin_41978855的博客
06-03 949
ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。
Nginx+Modsecurity实现WAF
weixin_34319374的博客
05-30 85
一.软件介绍ModSecurity是一个免费、开源的Web(apache、nginx、IIS)模块,可以充当Web应用防火墙(WAF)。ModSecurity是一个***探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的***OWASP是一个安全...
CentOS7安装Nginx+ModSecurity
qwe546913的博客
08-08 159
当学习网络安全时,了解和使用安全设备是必不可少的一部分,其中一种常见的安全设备是Web应用防火墙(WAF)。市场上有许多商业化的WAF,但对于学习目的,我推荐使用一款免费开源的WAF,名为ModSecurityModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。目前已经支持Nginx和IIS,配合Nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核Web安全的利器。
CentOS下Nginx+ModSecurity(2.9.3)安装教程及配置WAF规则文件
懂进攻知防守
11-04 3282
ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。
nginx配合modsecurity实现WAF功能
zc520yzy的博客
08-23 312
modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器 一.准备工作 系统:centos 6.5 64位、 tengine 2.1.0, modsecurity 2.8.0 tengine : http://tengine.taobao.org/do...
nginx+modsecurity:WAF防火墙
weixin_30472035的博客
07-01 436
WEB waf应用 Nginx+modsecurity WAF防火墙 ModSecurity是一个开源的跨平台Web应用程序防火墙(WAF)模块。它被称为WAF的“瑞士军刀”,它使Web应用程序防御者能够了解HTTP(S)流量,并提供强大的规则语言和API来实现高级保护。 ModSecurity有以下作用: SQ...
nginx + modsecurity实现WAF功能
weixin_34129696的博客
09-15 133
modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器。一.准备工作系统:centos 6.5 64位、 tengine 2.1.0, modsecurity 2.8.0tengine:http://tengine.taoba...
nginx+waf的配置
06-13
2. **WAF模块集成**:Nginx可以通过第三方模块如ModSecurity或者 ngx_lua_waf实现WAF功能。这些模块需要在编译Nginx时添加,并在配置文件中引入相应的配置指令。例如,对于ngx_lua_waf,你可能需要在http块或...
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
02-06
它表明我们要讨论的是如何在Ubuntu环境中配置Nginx以增强其安全性,特别是通过使用ModSecurity这一强大的Web应用防火墙(WAF)。 **描述解析:** 描述中的内容简洁明了,再次确认了这个软件包是为Nginx和...
ModSecurity-nginx:ModSecurity v3 Nginx连接器
05-04
ModSecurity-nginx连接器是nginx和libmodsecurityModSecurity v3)之间的连接点。 换句话说,该项目提供了nginx和libmodsecurity之间的通信通道。 要使LibModSecuritynginx一起使用,需要此连接器。 ModSecurity...
1.ESP32-CAM 下使用 ESP-IDF 打开摄像头
最新发布
mabo
07-26 913
ESP32-CAM是安信可最新发布小尺寸的摄像头模组。可以用OV2640/OV7670摄像头。
Logitech Media Server已更名为Lyrion Music Server
wbsu2004的博客
07-24 1734
Lyrion Music Server 是一款开源服务器软件,可控制各种 Squeezebox 音频播放器。
GIT新手提交操作
qq_68741368的博客
07-23 268
当前路径下运行git push --set-upstream origin 姓名全拼音,例如。对应写好修改记录,选择好审核人,然后提交审核,审核人审核完毕后将你的分支合并到主分支。可以再次git branch -a查看一下是否创建成功。这样代码就推送到远程仓库内了。然后在出现的对应弹窗内先输入。点击提交后在弹出的弹窗内点击。
快速入门:ModSecurity 3.0与NGINX集成指南
- 简短回顾了ModSecurity的历史,它是如何从早期版本发展成为一款广泛使用的Web应用程序防火墙(WAF)。 - 介绍了ModSecurity的工作原理,它如何在HTTP请求和响应之间进行实时监控,以检测和阻止潜在的安全威胁。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值