CentOS 7.X 网络安全加固 Nginx 安装 ModSecurity 模块

最新推荐文章于 2024-05-19 23:19:50 发布
最新推荐文章于 2024-05-19 23:19:50 发布
阅读量988 收藏 3
点赞数
分类专栏: ModSecurity Nginx CentOS 文章标签: centos web安全 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aikudexiaohai/article/details/129493036
版权
Nginx 同时被 3 个专栏收录
8 篇文章 0 订阅
订阅专栏
CentOS
4 篇文章 0 订阅
订阅专栏
ModSecurity
1 篇文章 0 订阅
订阅专栏

一、ModSecurity简介

ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。

官网地址:http://www.modsecurity.cn/
在这里插入图片描述

二、ModSecurity功能介绍

SQL Injection (SQLi):阻止SQL注入
Cross Site Scripting (XSS):阻止跨站脚本攻击
Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击
Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击
Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击
PHP Code Injectiod:阻止PHP代码注入
HTTP Protocol Violations:阻止违反HTTP协议的恶意访问
HTTPoxy:阻止利用远程代理感染漏洞进行攻击
Sshllshock:阻止利用Shellshock漏洞进行攻击
Session Fixation:阻止利用Session会话ID不变的漏洞进行攻击
Scanner Detection:阻止黑客扫描网站
Metadata/Error Leakages:阻止源代码/错误信息泄露
Project Honey Pot Blacklist:蜜罐项目黑名单
GeoIP Country Blocking:根据判断IP地址归属地来进行IP阻断


三、Nginx 安装 ModSecurity

1、安装依赖工具
yum install -y epel-release
yum install -y readline-devel curl-devel gcc gcc-c++ python-devel lua-devel doxygen perl yajl-devel GeoIP-devel lmdb-devel ssdeep-devel flex bison autoconf automake
2、安装 ModSecurity
1)下载 ModSecurity

在官网上下载 ModSecurity 3.0.4
在这里插入图片描述

2)安装 ModSecurity
cd /usr/local

将下载的 modsecurity-v3.0.4.tar.gz copy 到 /usr/local 目录下,解压
tar -zxvf modsecurity-v3.0.4.tar.gz
mv modsecurity-v3.0.4 modsecurity

cd modsecurity

yum install -y pcre pcre-devel
yum install -y git

sh build.sh #这一步报错 libtoolize: 未找到命令,解决方法: yum install -y libtool 安装后重新执行脚本正常

./configure

make && make install
3、安装 Nginx 和 ModSecurity-nginx

(此处由于该测试服务器已安装有 Nginx,所以下载的同版本源码重新编译安装)

1)下载 ModSecurity-nginx

从 https://github.com/SpiderLabs/ModSecurity-nginx 下载 ModSecurity-nginx-master.zip
在这里插入图片描述

2)解压 ModSecurity-nginx
cd /usr/local/

将下载的 ModSecurity-nginx-master.zip copy 到 /usr/local/ 目录下
unzip ModSecurity-nginx-master.zip
mv ModSecurity-nginx-master modsecurity-nginx
3)Nginx 添加 ModSecurity-nginx 模块
wget http://nginx.org/download/nginx-1.22.1.tar.gz

tar -zxvf nginx-1.22.1.tar.gz

cd /usr/local/nginx-1.22.1/

./configure --prefix=/etc/nginx \
--sbin-path=/usr/sbin/nginx \
--modules-path=/usr/lib64/nginx/modules \
--conf-path=/etc/nginx/nginx.conf \
--error-log-path=/var/log/nginx/error.log \
--pid-path=/var/run/nginx.pid \
--lock-path=/var/run/nginx.lock \
--user=nginx \
--group=nginx \
--build=CentOS \
--http-log-path=/var/log/nginx/access.log \
--with-http_stub_status_module\
--add-module=/usr/local/modsecurity-nginx \
--with-http_ssl_module

make && make install
4、启动 Nginx
systemctl start nginx

Nginx 常用命令如下:

# 启动 Nginx
systemctl start nginx

# 停止 Nginx
systemctl stop nginx

# 重启 Nginx
systemctl restart nginx

# 查看 Nginx 状态
systemctl status nginx
5、配置 ModSecurity 安全规则
mkdir -p /etc/nginx/modsecurity/rules
cp /usr/local/modsecurity/modsecurity.conf-recommended /etc/nginx/modsecurity/modsecurity.conf
cp /usr/local/modsecurity/unicode.mapping /etc/nginx/modsecurity/
6、下载规则文件压缩包
1)下载规则文件并解压
cd /usr/local/
wget http://www.modsecurity.cn/download/corerule/owasp-modsecurity-crs-3.3-dev.zip
unzip owasp-modsecurity-crs-3.3-dev.zip
cd owasp-modsecurity-crs-3.3-dev
2)复制配置文件

复制 crs-setup.conf.example 到 /etc/nginx/modsecurity/ 目录下,并重命名为 crs-setup.conf

cd /usr/local/owasp-modsecurity-crs-3.3-dev
cp crs-setup.conf.example /etc/nginx/modsecurity/crs-setup.conf
3)复制策略规则

将下载的策略规则包解压后的rules文件夹里面的所有规则,复制到/etc/nginx/modsecurity/rules/ 目录下。

cp -r rules/ /etc/nginx/modsecurity/

最终得目录下面有如下文件和子目录

cd /etc/nginx/modsecurity/

[root@localhost modsecurity]# pwd
/etc/nginx/modsecurity
[root@localhost modsecurity]# ls
crs-setup.conf modsecurity.conf modsecurity.conf_bak20221205 rules unicode.mapping
在这里插入图片描述
上面的rules是目录,其他是文件。

同时修改 REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example 与 RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example 两个文件的文件名,将".example"删除,这两个文件用于自定义规则。

cd /etc/nginx/modsecurity/rules/
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
4)编辑nginx.conf
cd /etc/nginx/
vi nginx.conf

在http或server节点中添加以下内容:
(在http节点添加表示全局配置,在server节点添加表示为指定网站配置)
这里看具体需要,实际生产业务推荐写在server,这样方便控制。

modsecurity on;
modsecurity_rules_file /etc/nginx/modsecurity/modsecurity.conf;

配置效果如下:
在这里插入图片描述

5)编辑modsecurity.conf
cd /etc/nginx/modsecurity/
vi modsecurity.conf

将 SecRuleEngine DetectionOnly 改为 SecRuleEngine On

同时添加以下内容:

Include /etc/nginx/modsecurity/crs-setup.conf
Include /etc/nginx/modsecurity/rules/*.conf

在这里插入图片描述
确保ModSecurity在记录审计日志时保存请求体IJ 改为 C

#SecAuditLogParts ABIJDEFHZ
SecAuditLogParts ABCDEFHZ

在这里插入图片描述

7、重启nginx
systemctl restart nginx
8、测试访问
[root@localhost conf.d]# curl 'http://localhost/?search=<scritp>alert('xss');</script>' -I
HTTP/1.1 403 Forbidden
Server: nginx/1.16.1
Date: Fri, 10 Mar 2023 11:06:44 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive
龙凌云
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
WAF简介以及ModSecurity安装
weixin_64655821的博客
09-28 1874
WAF简介以及ModSecurity安装
Centos7.x下Nginx安装及SSL配置与常用命令详解
09-30
CentOS 7.x操作系统中,Nginx是一个广泛使用的高...通过以上步骤,您可以在CentOS 7.x上成功安装配置Nginx,实现SSL加密和反向代理功能,并掌握基本的Nginx管理命令。这为您的Web服务提供了安全且高效的运行环境。
modsecurity实用安装部署
10-25
实用的modsecurity安装手册,详细介绍了安装过程的中遇到的问题。适合小白和初级人员。
Nginx - 集成ModSecurity实现WAF功能
最新发布
小工匠
05-19 1379
ModSecurity是一款开源的Web应用防火墙(WAF),它能够保护Web应用免受各种类型的攻击。作为一个嵌入式模块ModSecurity可以集成到常见的Web服务器(如Apache、Nginx)中,以拦截和阻止恶意的HTTP请求。其设计目标是提供一个灵活、可配置安全解决方案,能够保护Web应用免受SQL注入、跨站脚本(XSS)、请求伪造、路径遍历等各种常见的Web攻击。
ModSecurity搭建过程(保姆级教学)
R.W.Y的博客
08-22 1085
ModSecurity 有一个默认的配置文件样本,样本路径为/etc/modsecurity/modsecurity.conf-recommended,我们将其复制到名为 modsecurity.conf 的配置文件,以启用和配置ModSecurityModSecurity在/usr/share/modsecurity-crs目录中设置了默认规则。要使新的规则对apache生效,我们使用vim编辑/etc/apache2/mods-enabled/security2.conf文件。
nginx 第三方模块 modsecurity安装使用
weixin_33856370的博客
02-24 566
2019独角兽企业重金招聘Python工程师标准>>> ...
CentOS7安装Nginx+ModSecurity
rysehsf的博客
10-24 58
当学习网络安全时,了解和使用安全设备是必不可少的一部分,其中一种常见的安全设备是Web应用防火墙(WAF)。市场上有许多商业化的WAF,但对于学习目的,我推荐使用一款免费开源的WAF,名为ModSecurityModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。目前已经支持Nginx和IIS,配合Nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核Web安全的利器。
Centos7.6.1810离线安装Nginx-所需依赖包
09-17
Centos7.6.1810离线安装Nginx-所需依赖包 1、patch命令:patch-2.7.1-12.el7_7.x86_64.rpm 2、zlib-1.2.12.tar.gz 3、zlib-devel-1.2.7-20.el7_9.x86_64.rpm 4、pcre-8.32-17.el7.x86_64.rpm 5、pcre-devel-8.32-17....
nginx-modsecurity3-centos7-3.0.4-1.x86_64.rpm
05-19
Nginx 1.16.1 with ModSecurity 3.0.4 软件安装包,可用于 Modsecurity 学习。
docker-waf:适用于Docker的基于NGINXModSecurityWeb应用程序防火墙
02-04
使用基于ModSecurityNGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其支持基础架构的攻击面。 但是,这并不意味着不应对安全的容器保持警惕。 除了遵循减轻容器安全风险的安全实践外,使用容器的安全实践还应使用边缘安全性来保护容器。 部署到容器中的大多数应用程序都以某种方式通过暴露的端口连接到Internet。 传统上,应用程序是由诸如统一威胁管理(UTM)之类的边缘设备保护的,该设备可提供包括应用程序保护在内的一系列保护服务。 尽管容器的性质
CentOS 7.x编译安装Nginx1.10.3+MySQL5.7.16+PHP5.2 5.3 5.4 5.5 5.6 7.0 7.1多版本全能环境
09-15
主要介绍了CentOS 7.x编译安装Nginx1.10.3+MySQL5.7.16+PHP5.2 5.3 5.4 5.5 5.6 7.0 7.1多版本全能环境,需要的朋友可以参考下
CentOs7.x安装Mysql的详细教程
09-09
CentOS7的yum源中默认好像是没有MySQL的。为了解决这个问题,我们要先下载mysql的repo源。下面通过本教程给大家详细介绍CentOs7.x安装Mysql的方法,一起看看吧
docker上面部署nginx-waf 防火墙“modsecurity”,使用CRS规则,搭建WEB应用防火墙
2301_76429513的博客
08-13 604
web防火墙(waf)免费开源的比较少,并且真正可以商用的WAF少之又少,modsecurity 是开源防火墙鼻祖并且有正规公司在维护着,目前是https://www.trustwave.com在维护,不幸的是2024 年 7 月将不再维护交还开源社区管理,Trustwave目前打造自己的web防火墙,至于是否免费开源就不得而知了。ModSecurity目前依然是开源,免费的WAF一哥,我们就先用着吧,商业WAF费用太贵。
关于docker镜像modsecurity nginx.conf conf.d 被覆盖解决
weixin_56576835的博客
06-14 419
启动之后覆盖看日志是因为有个启动脚本templates.sh 将 templates 目录下面的nginx.conf.template 文件 修改成/etc/nginx/nginx.conf 文件。解决方法 (1)修改dockerfile文件 将宿主机上面的nginx.conf copy到 /etc/nginx/templates/nginx.conf.template。conf.d 也是同样的问题 不过 我没有使用conf.d 里面的文件 我直接在nginx.conf 引用了其他目录。
Nginx配合modsecurity实现企业级WAF应用防火墙功能
测试0901-1
01-11 290
ModSecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器 一、什么是ModSecurity? 1、ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所...
Nginx 高性能调优与安全加固实战指南
大新软件老杨
04-08 136
remote_addr 只能获取到与服务器直连的上层请求 IP,但当通过 CDN 或其他代理访问时,后端服务器获取到的将是 CDN 或代理的 IP,而非真实用户 IPNGINX 将重用现有的 TCP 连接,而不是创建新的 TCP 连接,这可以极大地减少繁忙服务器上处于 TIME_WAIT 状态的 TCP 连接中的套接字数量(减少操作系统建立新连接的工作,减少网络上的数据包)。文件句柄可以看作是文件的索引,随着请求量的增加,进程对文件句柄的调用频率也会相应提高,导致文件句柄数量增多。
CentOSNginx+ModSecurity(2.9.3)安装教程及配置WAF规则文件
懂进攻知防守
11-04 3276
ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。
【telnet】Centos7.x上telnet telnet-server的安装配置
10-24
CentOS 7.x上安装配置telnet和telnet-server,可以按照以下步骤进行操作: 1. 安装telnet和telnet-server:可以使用yum命令进行安装,命令为:sudo yum install telnet telnet-server 2. 启动telnet服务:可以使用systemctl命令启动telnet服务,命令为:sudo systemctl start telnet.socket 3. 设置telnet服务开机自启动:可以使用systemctl命令设置telnet服务开机自启动,命令为:sudo systemctl enable telnet.socket 4. 配置telnet服务:可以编辑/etc/xinetd.d/telnet文件进行配置,可以设置telnet服务的端口号、超时时间等参数。 5. 重启xinetd服务:可以使用systemctl命令重启xinetd服务,命令为:sudo systemctl restart xinetd.service 注意:在CentOS 7.x上安装telnet和telnet-server可能会出现依赖问题,可以使用引用中提供的命令进行安装

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值