lnmp环境 nginx环境基于lua搭建waf 防火墙

最新推荐文章于 2024-07-22 15:29:04 发布
最新推荐文章于 2024-07-22 15:29:04 发布
阅读量884 收藏 28
点赞数 16
文章标签: nginx lua 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hartyu/article/details/140501417
版权

前段时间在自己的php环境上搞了个 360 的webscan 来做网页程序的攻击防护,一般的防护没有问题,上传组件控制不严格导致webshell攻击,自己对安全相关知识还是缺少积累,百度相关资料发现了LUA模块,网上有openresty 模块集成nginx + lua,然而我的nginx是生产环境,难得去改配置,随决定平滑升级LUA模块。
lnmp环境搭建可以参考LNMP一键安装包 - CentOS/RadHat/Debian/Ubuntu下自动编译安装Nginx,PHP,MySQL,PHPMyAdmin  


 

原NGINX安装路径 /usr/local/nginx  安装前记得备份, 建议使用高版本的模块,低版本会有各种问题,难得处理、

什么是waf
Web 应用防火墙 (WAF-Web Application Firewall) 旨在保护 Web 应用免受各类应用层攻击,例如跨站点脚本 (XSS)、SQL 注入,以及 cookie 中毒等。应用是您重要数据的网关,因此针对应用发起的攻击就成为了造成漏洞的主要原因。有了 WAF 就可以拦截一系列企图通过入侵系统来泄漏数据的攻击。


开始安装

安装依赖包
 

yum -y install gcc gcc-c++ autoconf automake make unzip
yum -y install zlib zlib-devel openssl openssl-devel pcre pcre-devel

安装LuaJIT2.0
 

LuaJIT是Lua的即时编译器,简单来说,LuaJIT是一个高效的Lua虚拟机。

下载安装LuaJIT 2.1(2.0或者2.1都是支持的,官方推荐2.1):http://luajit.org/download.html
 

cd /usr/local/src 
wget http://luajit.org/download/LuaJIT-2.1.0-beta2.tar.gz 
tar zxf LuaJIT-2.1.0-beta2.tar.gz
cd LuaJIT-2.1.0-beta2 

make PREFIX=/usr/local/luajit 
make install PREFIX=/usr/local/luajit

下载ngx_devel_kit(NDK)模块
https://github.com/simpl/ngx_devel_kit/tags,不需要安装
 

cd /usr/local/src 
wget https://github.com/simplresty/ngx_devel_kit/archive/v0.3.0.tar.gz (上面附件中有注意名称)
tar -xzvf ngx_devel_kit-0.3.0.tar.gz

下载最新的lua-nginx-module 模块

https://github.com/openresty/lua-nginx-module/tags,不需要安装   附件上方有注意名称
 

cd /usr/local/src

wget https://github.com/openresty/lua-nginx-module/archive/v0.10.13.tar.gz

tar -xzvf  lua-nginx-module-0.10.13.tar.gz

设置环境变量

export LUAJIT_LIB=/usr/local/luajit/lib 
export LUAJIT_INC=/usr/local/luajit/include/luajit-2.1


nginx -V查看已经编译的配置
 

nginx -V

我的配置如下:

--prefix=/usr/local/nginx --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_gzip_static_module --with-http_sub_module --with-stream --with-stream_ssl_module --with-openssl=/root/lnmp1.8/src/openssl-1.1.1k --with-openssl-opt='enable-weak-ssl-ciphers'

加入黄色部分
--user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_gzip_static_module --with-http_sub_module --with-stream --with-stream_ssl_module --with-openssl=/root/lnmp1.8/lnmp1.7/src/openssl-1.1.1g --with-openssl-opt='enable-weak-ssl-ciphers' --with-pcre=../pcre-8.38 --with-pcre-jit --with-ld-opt=-ljemalloc --with-ld-opt=-Wl,-rpath,/usr/local/luajit/lib --add-module=/usr/local/src/ngx_devel_kit-0.3.0 --add-module=/usr/local/src/lua-nginx-module-0.10.13

注意 pcre-8.38 openssl-1.1.1g 这些的需要解压到对应的路径
进入nginx目录(在lnmp src nginx-XX 目录下)
 执行
 

./configure --prefix=/usr/local/nginx --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_gzip_static_module --with-http_sub_module --with-stream --with-stream_ssl_module --with-openssl=/root/lnmp1.8/src/openssl-1.1.1k --with-openssl-opt='enable-weak-ssl-ciphers' --with-pcre=../pcre-8.38 --with-pcre-jit --with-ld-opt=-ljemalloc --with-ld-opt=-Wl,-rpath,/usr/local/luajit/lib --add-module=/usr/local/src/ngx_devel_kit-0.3.0 --add-module=/usr/local/src/lua-nginx-module-0.10.13

然后编译安装
 

make -j2 
make install

中间如果编译失败 则需要更换 ngx_devel_kit 或 lua-nginx-module 版本测试

安装ngx_lua_waf

cd /usr/local/src/

wget https://github.com/loveshell/ngx_lua_waf/archive/master.zip

unzip master.zip -d /usr/local/nginx/conf/

mv /usr/local/nginx/conf/ngx_lua_waf-master /usr/local/nginx/conf/waf

在nginx.conf的http段添加

vi /usr/local/nginx/conf/nginx.conf

lua_package_path "/usr/local/nginx/conf/waf/?.lua";

lua_shared_dict limit 10m;

init_by_lua_file  /usr/local/nginx/conf/waf/init.lua;

access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;

创建日志目录

mkdir /usr/local/nginx/logs/hack

chown www /usr/local/nginx/logs/hack

修改配置文件

cd /usr/local/nginx/conf/waf

cat config.lua

规则文件在wafconf中

args里面的规则get参数进行过滤的

cookie是对请求过滤的cookie过滤

url是只在get请求url过滤的规则

post是只在post请求过滤的规则

whiteurl是白名单,里面的url匹配到不做过滤

user-agent是对user-agent的过滤规则

重启nginx 测试效果

/usr/local/nginx/sbin/nginx -s reload (可能需要  重启   nginx restart  )

重启如果缺少lua文件或模块 则需要到 OpenResty 官方博客 去下载对应文件 解压覆盖尝试
访问url

修改规则

 /usr/local/nginx/conf/waf/wafconf/url   规则中最后一个匹配

/(attachments|upimg|images|css|uploadfiles|html|uploads|templets|static|template|data|inc|forumdata|upload|includes|cache|avatar)/(\\w+).(php|jsp)

中的 /(\\w+).(php|jsp)  应改成  /.*\.(php|jsp)

 

hartyu
关注
  • 16
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ubuntu 20.04上搭建LNMP环境的方法步骤
09-14
在Ubuntu 20.04上搭建LNMP(Linux、Nginx、MySQL/MariaDB、PHP)环境是一项常见的任务,对于开发人员来说至关重要。以下将详细介绍如何在Ubuntu 20.04上逐步完成这一过程。 首先,我们需要了解LNMP架构。LNMP是一个...
lnmp环境搭建(nginx+mysql)
07-07
Lnmp环境搭建nginx+mysql) Lnmp 环境搭建是指使用 Nginx 作为 Web 服务器,MySQL 作为数据库管理系统,PHP 作为服务器端脚本语言的环境搭建。这种环境搭建方式广泛应用于 Web 开发和网站搭建中。 在本文中,...
安装nginx+ngx_lua支持WAF防护功能
weixin_30271335的博客
09-04 167
nginx lua模块淘宝开发的nginx第三方模块,它能将lua语言嵌入到nginx配置中,从而使用lua就极大增强了nginx的能力.nginx以高并发而知名,lua脚本轻便,两者的搭配堪称完美. 用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击 防止svn/备份之类文件泄漏 防止ApacheBench之类压力测试工具的攻击 屏蔽...
《Linux运维总结:Nginx添加Lua实现WAF防火墙
热门推荐
东城绝神
08-28 1万+
文章目录前言总结 前言 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。 ...
记录LNMP环境安装配置ngx_lua_waf/WAF Web应用防火墙
互联网那些事儿
02-25 533
目前,我们常用的无面板或者有面板的Linux Web环境在建站功能上已经是比较成熟和自动化,而且有几款工具还能保持较新的软件更新和安全升级。比如我们常用的LNMP WEB环境安装包每年6.1都会有较大版本的更新,作为这些软件提供商在保有软件的升级和一些功能之外,应该也在寻求更多的自动化和安全化。 笔者有看到LNMP一键包官方从1.5版本开始也有提供ngx_lua_waf/WAF功能,但是需要我们...
Nginx+Lua实现WAF引用防火墙
李在奋斗的博客
12-23 9018
Nginx + Lua实现WAF引用防火墙常见恶意行为常见的攻击手段1. 实战2.配置演示mysql防sql注入访问攻击测试Nginx + Lua实现WAF引用防火墙 常见恶意行为 爬虫行为和恶意抓取,资源盗取 防护手段 基础防盗链功能不让恶意用户能够轻易的爬取到网站对外数据 access_module -> 对后台,部分用户服务的数据提供IP防护 防护代码如下 # 防止恶意ab压...
nginx+lua实现waf
ikyjguygkjgjvu的博客
12-27 751
nginx+lua实现waf防火墙 lua简介: lua是一门简洁、轻量、可扩展的脚本语言(很容易被C/C++代码调用,也可以反过来调用C/C++的函数) lua安装: [root@localhost ~]# yum -y install lua lua的使用: [root@localhost ~]# lua Lua 5.1.4 Copyright © 1994-2008 Lua.org, PUC-Rio print “hello world” hello world 这种不方便,我们可以把它写在文件
nginx+lua实现简单的waf网页防火墙功能
fhuan123的专栏
05-21 445
安装LuaJIT http://luajit.org/download/LuaJIT-2.0.4.tar.gz tar xf LuaJIT-2.0.4.tar.gz cd LuaJIT-2.0.4 make && make install 即可 下载ngx_devel_kit https://codeload.github.com/simpl/ngx_devel_ki...
nginx+ngx_lua支持WAF防护功能
weixin_38920945的博客
02-28 120
安装nginx+ngx_lua支持WAF防护功能nginx lua模块淘宝开发的nginx第三方模块,它能将lua语言嵌入到nginx配置中,从而使用lua就极大增强了nginx的能力.nginx以高并发而知名,lua脚本轻便,两者的搭配堪称完美.用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等web***防止svn/备份之类文件泄漏防止Apa...
lnmp下web应用防火墙(ngx_lua_waf
weixin_33754065的博客
05-07 232
2019独角兽企业重金招聘Python工程师标准>>> ...
LNMP环境搭建 —— Linux + Nginx + MySQL + PHP
01-09
LNMP环境搭建是将Linux操作系统、Nginx Web服务器、MySQL数据库和PHP解释器整合在...搭建LNMP环境后,开发者可以在这样的平台上快速部署和管理基于PHP的Web应用,同时享受到Nginx的高性能和MySQL的稳定数据库支持。
lnmp(nginx 1.20.1+mysql5.7+php5.6)环境搭建
06-29
Lnmp(nginx 1.20.1+mysql5.7+php5.6)环境搭建 lnmp环境是指Nginx、MySQL和PHP三个组件的组合,用于搭建动态网站服务器。本文将详细介绍如何在CentOS 7.6上安装和配置Lnmp环境。 一、安装nginx 1.20.1 首先,需要...
Centos7.3服务器搭建LNMP环境的方法
01-10
本文实例讲述了Centos7.3服务器搭建LNMP环境的方法。分享给大家供大家参考,具体如下: 需求:在Centos7.3下搭建LNMP环境 1. 关闭防火墙和selinux 打开文件selinux vim /etc/sysconfig/selinux 将文件中SELINUX=...
SpringBoot之全局异常处理
好记性不如烂笔头
07-18 1040
会定义两个bean,其中一个 beanName 为 error,类型为 View,另一个 beanName 为 beanNameViewResolver,类型为 BeanNameViewResolver。PS:错误码需要和 html 名字一致,或者将 html 改成 4xx、5xx,这样以 4 开头的错误码就会跳转到 4xx.html,以 5 开头的错误码就会跳转到 5xx.html。根据一定的规则,在 Postman 中默认转发到 error 方法,在浏览器中默认转发到 errorHtml 方法。
lua 游戏架构 之 TablePool`对象池
heyuchang666的专栏
07-18 616
管理一个对象池。对象池是一种用于优化内存使用的技术,通过重用对象而不是频繁地创建和销毁对象,从而减少内存分配和垃圾回收的开销。
[Redis]典型应用——分布式锁
a_zhee1的博客
07-19 875
介绍redis的典型应用——分布式锁
lua 写一个 不同时区之间转换日期和时间 函数
heyuchang666的专栏
07-20 398
该函数的主要功能是根据给定的时区偏移量调整时间戳,并返回格式化后的日期字符串。如果`dontFixForTimeOffset`为真或者时间戳小于31536001(即1970年1月1日之后的秒数),则直接返回原始时间戳的格式化日期。
Redis+Lua脚本+AOP+反射+自定义注解,打造我司内部基础架构限流组件
最新发布
ZHUSHANGLIN的博客
07-22 233
*** 资源的key,唯一* 作用:不同的接口,不同的流量控制*//*** 最多的访问限制次数*//*** 过期时间(计算窗口时间),单位秒默认30*//*** 默认温馨提示语*/System . out . println("---------环绕通知1111111");

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值