nginx之安全基础(nginx+waf+lua)

最新推荐文章于 2024-08-20 02:10:05 发布
最新推荐文章于 2024-08-20 02:10:05 发布
阅读量1.6k 收藏
点赞数 1
文章标签: nginx 优化 安全 waf web应用防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/brghtcheng/article/details/48467443
版权

感谢网上的大神们提供的文档。

  nginx waf +lua 安全模块搭建,nginx上的web应用防火墙

需要的软件:

1、LuaJIT下载 网站:http://luajit.org (当前稳定版:2.0.4)
2、ngx_devel_kit-0.2.19.tar
3、lua-nginx-module-0.9.5rc2.tar
4、master.zip
5、nginx
优化nginx包
1、libunwind
2、gperftools

一、安装LuaJIT

    tar -zxvf LuaJIT.tar.gz

    make

    make install

    安装后lib、include直接放在/usr/local/lib和/usr/local/include中

二、解压ngx_devel_kit、lua-nginx-module

三、设置环境变量

export LUAJIT_LIB=/usr/local/lib
        export LUAJIT_INC=/usr/local/include/luajit-2.0
        export LD_LIBRARY_PATH=/usr/local/lib/:$LD_LIBRARY_PATH

       四、安装nginx(版本1.6.1,在1.9.4中失败)

4.1优化nginx

vim /usr/local/src/nginx-1.6.1/auto/cc/gcc

注释:#debug
#CFLAGS="$CFLAGS -g"

 解释:关闭nginx debug模块,减少nginx安装包大小

         4.2优化nginx

解释:优化nginx性能,在内存分配效率和速度上提高很多,降低负载。需要安装libunwind和gperftools 

4.2.1安装libunwind

 tar -xf /usr/local/src/libunwind.tar.gz

cd /usr/local/src/libunwind
   CFLAGS=-fPIC ./configure
    make CFLAGS=-fPIC
    make CFLAGS=-fPIC install 

4.2.2安装gperftools

tar -xf  /usr/local/src/gperftools.tar.gz
    cd /usr/local/src/gperftools 
   make && make install

       mkdir /tmp/tcmalloc //创建tcmalloc线程写入文件
       chmod 777 /tmp/tcmalloc

echo "/usr/local/lib" >/etc/ld.so.conf.d/usr_local_lib.conf #使nginx.conf中配置google_perftools_profiles生效

  4.2.3安装nginx

cd /usr/local/src/nginx-1.6.1/

例如:生产环境:注意ngx_devel_kit-0.2.19、lua-nginx-module-0.9.5rc2路径一定要正确
--prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_ssl_module --with-file-aio --with-http_realip_module --add-module=/usr/local/nginx_upstream_check_module-master --with-http_stub_status_module --add-module=/usr/local/src/ngx_devel_kit-0.2.19   --add-module=/usr/local/src/lua-nginx-module-0.9.5rc2  --with-google_perftools_module
    make && make install

4.2.4增加ngx_lua_waf_master

 unzip -o /usr/local/src/ngx_lua_waf_master.zip
     mv /usr/local/src/ngx_lua_waf_master /usr/local/nginx/conf/waf

 #创建文件夹存放waf日志,需要有写入的权限
     mkidr /home/nignx_waf_log/
     chmod  777 /home/nginx_waf_log/


vim /usr/local/src/nginx/conf/waf/conf.lua
          RulePath = "/usr/local/nginx-help/conf/waf/wafconf/" #指定waf规则存放文件夹
          logdir = "/home/nginx_waf_log" #指定waf日志存放地

vim /usr/local/nginx/conf/nginx.conf
     #在pid下添加,支持gperftools库
     google_perftools_profiles /tmp/tcmalloc/tcmalloc.;
      #在http 添加
    lua_package_path "/usr/local/nginx/conf/waf/?.lua";
      lua_shared_dict limit 10m;
      init_by_lua_file  /usr/local/nginx/conf/waf/init.lua; 
  access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;


  然后启动nginx
  网站子连接url后增加?id=../etc/passwd;查看是否会出现防火墙阻挡页面
  lsof -n | greo tcmalloc 查看gperftools是否正常运行

在正式使用时候,使用的www.wooyun.org上提供的waf模块,规则根据自己所需要的进行修改

 


brghtcheng
关注
nginx防mysql注入_nginx安全之通过nginx+luawaf防火墙防sql注入和cc攻击
weixin_36314729的博客
01-29 509
2.测试页面准备:登陆页面html[root@node1 code]#cat /opt/app/code/login.htmljeson sql注入演示用户名:密码验证页面validate.php[root@node1 code]#cat /opt/app/code/validate.php
nginx+waf的配置
06-13
这个文件是我们生产所用的nginx配置文件和waf结合使用的配置文件
nginx+waf
不负韶华梦为马
07-15 3464
https://www.52os.net/articles/nginx-use-modsecurity-module-as-waf.html
蓝易云服务器 - Nginx安装ngx_lua_waf模块教程
最新发布
weixin_40325263的博客
08-20 45
安装ngx_lua_waf模块需要以下步骤:安装依赖:在安装ngx_lua_waf模块之前,确保已经安装了NginxLuaJIT。如果还没有安装LuaJIT,可以通过包管理工具来安装,如在Ubuntu下使用apt:登录后复制 sudo apt update sudo apt install nginx liblua5....
基于ngx_lua模块的waf开发实践
weixin_30628801的博客
03-25 162
0x00 常见WAF简单分析 WAF主要分为硬件WAF和软件防火墙,硬件WAF如绿盟的NSFOCUS Web Application Firewall,软件防火墙比较有名的是ModSecurity,再就是代码级别的ngx_lua_waf。下面谈谈个人对几款防火墙的理解: 硬件WAF个人觉得只适合在那种访问量较少的网站,比如政府网站,公司的介绍网站等等。硬件WAF的的优势在于规则有专门的安全...
WEB安全-nginx+waf
猛犸象
04-06 745
WAFweb应用防火墙 web application firewall 基于nginxwaf方法 方法1:nginx+openresty+unixhot_waf https://blog.csdn.net/m0_37886429/article/details/73178889 https://blog.csdn.net/wmj2004/article/details/70871924 方法...
nginx+lua搭建网站waf
molaifeng的专栏
12-05 2175
WAF,英文名称Web Application Firewall,中文叫做Web应用防护系统,也可以称为Web应用防火墙,可以抵御日常的sql注入、本地包含、CC攻击等,下面就介绍下nginx+luawaf方案。安装Openrestycd /usr/local/ wget https://openresty.org/download/openresty-1.11.2.2.tar.gz tar xf
waf:使用Nginx+Lua实现的WAF(版本v1.0)
05-08
由于原生态的Nginx的一些安全防护功能有限,就研究能不能自己编写一个WAF,参考Kindle大神的ngx_lua_waf,自己尝试写一个了,使用两天时间,边学Lua,边写。不过不是安全专业,只实现了一些比较简单的功能: 功能...
docker-nginx-lua-waf:基于 Nginx + Lua 技术栈的 WAF
07-22
nginx-lua-waf 用法 自己构建镜像bilxio/nginx-lua-waf ,在nginx-lua-waf文件夹执行如下命令: docker build -t bilxio/nginx-lua-waf . 或者,直接拉它, docker pull bilxio/nginx-lua-waf 要运行映像并将...
Nginx利用Lua+Redis实现动态封禁IP的方法
01-10
本文给大家介绍的是Nginx利用Lua+Redis实现动态封禁IP的方法,下面话不多说了,来一起看看详细的介绍吧 二、架构 实现 IP 黑名单的功能有很多途径: 1、在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求; 2...
Nginx之轨迹】Nginx + Lua 实现 waf Web 应用防火墙(解决 nignx 加载失败问题:LuaJIT version which is not OpenResty‘s)
rkmhr_sef的博客
02-23 897
—— 目录 —— 1. Lua 和 ngx_lua_waf 简介 2. 前置问题 3. 安装和配置各模块 4. 配置 Nginx 5. 检验是否添加模块成功 6. 配置安全防火墙 7. 详细设置安全防火墙 1. Lua 和 ngx_lua_waf 简介 Lua 是一门轻量小巧的脚本语言,用标准C语言编写并以源代码形式开放 其设计目的是为了嵌入应用程序中,从而为应用程序提供灵活的扩展和定制功能。 Lua应用场景:游戏开发、独立应用脚本、Web 应用脚本、扩展和数据库插件如:MySQL Proxy 和
ngx_lua_waf
weixin_34268310的博客
04-18 207
  Web应用防护系统Web Application Firewall,简称WAF。针对HTTP/HTTPS的安全策略专门为Web应用提供保护的产品。 OpenResty是一个基于NginxLua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用Web 服务和动态网关。...
ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙
stableboy的Blog
12-03 3535
  https://www.itsvse.com/thread-3416-1-1.html     ngx_lua_waf ngx_lua_waf是我刚入职趣游时候开发的一个基于ngx_luaweb应用防火墙。 代码很简单,开发初衷主要是使用简单,高性能和轻量级。 现在开源出来,遵从MIT许可协议。其中包含我们的过滤规则。如果大家有什么建议和...
【攻防】ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙
不纯正的逼格的专栏
12-21 163
ngx_lua_waf是一个基于ngx_luaweb应用防火墙。代码很简单,开发初衷主要是使用简单,高性能和轻量级。遵从MIT许可协议。其中包含我们的过滤规则。
使用Nginx+Lua实现自定义WAFWeb application firewall)
qq_27546717的博客
06-26 1576
这个是整个WAF最核心的部分,流程如图2-8所示,Nginx处理HTTP协议的请求内容,将HTTP协议解析成URL、URL参数、post内容、cookie、user-agent等字段,Lua针对这些字段进行检测,判断攻击类型。WAF一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。使用页面访问,可以正常使用,说明反向代理配置生效。支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
开源工具利器之软WAF:ngx_lua_waf
黑白的博客
08-15 4463
源码中,作者定义的策略要么是在白名单(IP、URI)中,直接return true,后面不用再检测,要么是在黑名单,say_html()后return true,不往后进行如果我们想做一个方法的白名单,只允许GET/POST/OPTIONS方法,客户端请求的方法只允许这三个,但是又要进行后面的参数、cookie等校验,你不能因为设置了方法白名单后,客户端发来一个GET请求,就不做后面的校验吧?
Nginx +WAF使用总结
weixin_33774615的博客
08-17 1264
曾经研究过一段时间,并做了一下简单的总结,感觉还比较实用,放在有道云笔记里躺了很长时间,感觉有点浪费,拿出来分享一下,让新手少走弯路,高手请绕行。。。。环境:linux平台,redhat系统;一Nginx安装1.所需组件若已有这几个组件,可直接查看安装部分1.1gcc编译器若没有gcc编译器,yum-yinstallgcc*这一步时间有点长1.2...
Nginx 快速集成免费 WAF
m0_63660506的博客
06-30 1203
OpenResty 是一个基于 NginxLuaJIT 的全功能 Web 应用服务器。本文主要介绍如何用Nginx 快速集成免费 WAF
Lua实现的Web防火墙:Redis+OpenResty+Nginx集成方案
LuaWAF结合了Redis和Nginx的优势,利用Lua语言的灵活性和Redis的高性能特性,为Web应用程序提供了一套高效且易于配置的安全防护解决方案。通过宝塔面板,管理员可以方便地管理和优化防火墙的设置,及时响应各类...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值