Ubuntu下使用nginx+ModSecurity部署WAF(Web Application Firewall)

最新推荐文章于 2024-05-22 13:58:17 发布
最新推荐文章于 2024-05-22 13:58:17 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: 安全开发 Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lrlhy1/article/details/113504072
版权
业务场景

服务器8000端口运行着一个存在多个漏洞的web应用,现在需要搭建一个web应用防火墙,部署在80端口上,通过80端口可以访问到受到防火墙保护的web应用

解决方案

使用nginx反向代理,监听80端口的请求并转发到8000端口上,并部署ModSecurity模块,根据owasp核心规则拦截攻击请求,检测到攻击时返回403

详细部署方式
1.安装项目依赖
apt-get install apache2-dev autoconf automake build-essential bzip2 checkinstall devscripts flex g++ gcc git graphicsmagick-imagemagick-compat graphicsmagick-libmagick-dev-compat libaio-dev libaio1 libass-dev libatomic-ops-dev libavcodec-dev libavdevice-dev libavfilter-dev libavformat-dev libavutil-dev libbz2-dev libcdio-cdda1 libcdio-paranoia1 libcdio13 libcurl4-openssl-dev libfaac-dev libfreetype6-dev libgd-dev libgeoip-dev libgeoip1 libgif-dev libgpac-dev libgsm1-dev libjack-jackd2-dev libjpeg-dev libjpeg-progs libjpeg8-dev liblmdb-dev libmp3lame-dev libncurses5-dev libopencore-amrnb-dev libopencore-amrwb-dev libpam0g-dev libpcre3 libpcre3-dev libperl-dev libpng12-dev libpng12-0 libpng12-dev libreadline-dev librtmp-dev libsdl1.2-dev libssl-dev libssl1.0.0 libswscale-dev libtheora-dev libtiff5-dev libtool libva-dev libvdpau-dev libvorbis-dev libxml2-dev libxslt-dev libxslt1-dev libxslt1.1 libxvidcore-dev libxvidcore4 libyajl-dev make openssl perl pkg-config tar texi2html unzip zip zlib1g-dev
2.下载nginx1.18.0,编译安装

注:
源码目录/usr/local/.src
安装目录/usr/local/nginx

$ wget  http://nginx.org/download/nginx-1.18.0.tar.gz
$ tar xvf nginx-1.18.0.tar.gz -C /usr/local/src/
$ cd /usr/local/src/nginx-1.18.0
$ ./configure \
--prefix=/usr/local/nginx \
--with-http_ssl_module \
--with-http_flv_module \
--with-http_stub_status_module \
--with-http_gzip_static_module \
--with-pcre \
--with-file-aio \
--with-http_secure_link_module \
--with-compat \
--with-http_addition_module \
--with-http_auth_request_module \
--with-http_dav_module \
--with-http_flv_module \
--with-http_gzip_static_module \
--with-http_mp4_module  \
--with-http_random_index_module \
--with-http_realip_module \
--with-http_secure_link_module
$ make && make install
3.编写Nginx启动脚本

使用新建文件/usr/lib/systemd/system/nginx.service,内容如下

[Unit]
Description=nginx - high performance web server
After=network-online.target remote-fs.target nss-lookup.target
[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID
[Install]
WantedBy=multi-user.target
4.将nginx加入环境变量
$ vim /etc/profile

最后一行加入
PATH=/usr/local/nginx/sbin:$PATH

$ source /etc/profile
5.下载并编译libmodsecurity
$ cd /usr/local/src
$ git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity
$ cd ModSecurity/
$ git submodule init
$ git submodule update
$ ./build.sh
$ ./configure
$ make && make install
6.下载ModSecurity和Nginx的连接器
$ cd /usr/local/src/
$ git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git
$ nginx -V
$ cd /usr/local/src/nginx-1.14.0/
$ ./configure ...(-V获取的configure arguments) --add-dynamic-module=/usr/local/src/ModSecurity-nginx
$ make modules
$ make install
$ cp objs/ngx_http_modsecurity_module.so /usr/local/nginx/modules/ngx_http_modsecurity_module.so
7.加载Nginx ModSecurity
$ vim /usr/local/nginx/conf/nginx.conf

第一行加上
load_module /usr/local/nginx/modules/ngx_http_modsecurity_module.so;

8.下载默认的配置文件
$ cd /usr/local/src
$ wget https://raw.githubusercontent.com/SpiderLabs/ModSecurity/v3/master/modsecurity.conf-recommended
$ mv modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
9. 开启ModSecurity拦截模式
$ vim /usr/local/nginx/conf/modsecurity.conf

将SecRuleEngine后面的字段改为On

10.配置owasp核心规则
$ git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
$ cp -R owasp-modsecurity-crs/rules /usr/local/nginx/conf/
$ cp owasp-modsecurity-crs/crs-setup.conf.example /usr/local/nginx/conf/crs-setup.conf
$ vim /usr/local/nginx/conf/modsecurity.conf

加入以下两行
include crs-setup.conf
include rules/*.conf

11.修改nginx的配置文件
$  vim /usr/local/nginx/conf/nginx.conf

在server块中加入
modsecurity on;
modsecurity_rules_file /usr/local/nginx/conf/modsecurity.conf;

$ cp /usr/local/src/ModSecurity/unicode.mapping /usr/local/nginx/conf/
12.验证nginx配置文件,重启nginx服务
$ nginx -t
$ systemctl restart nginx
落日领航员
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用NGINX+Openresty实现WAF功能
reblue520的专栏
05-05 1438
使用NGINX+Openresty实现WAF功能 一、了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WAF的功能 支持IP...
ubuntu下配置nginx+php+mysql详解
10-23
本篇文章给大家介绍ubuntu下配置nginx+php+mysq,
nginx-modsecurity-ubuntu:适用于modsecurity-nginxUbuntu软件包
02-06
nginx-modsecurity-ubuntu:适用于modsecurity-nginxUbuntu软件包
ubuntu 16.04搭建Nginx+ Modsecurity
weixin_44157851的博客
10-17 364
1.安装依赖环境 apt-get install apache2-dev autoconf automake build-essential bzip2 checkinstall devscripts flex g++ gcc git graphicsmagick-imagemagick-compat graphicsmagick-libmagick-dev-compat libaio-dev libaio1 libass-dev libatomic-ops-dev libavcodec-dev libav
Ubuntu22.04(WSL)安装nginx
最新发布
小智博客
05-22 722
nginx,liunx
Linux&Ubuntu安装OpenWAF
AstarCloud
09-01 515
官方GitHub地址OpenWAFWeb Application Firewall)是一个开源的Web应用防火墙,用于保护Web应用程序免受各种网络攻击。它通过与Web服务器集成,监控和过滤对Web应用程序的流量,识别和阻止潜在的攻击和恶意行为。OpenWAF拥有一系列强大的安全功能,旨在提供全面的保护,包括以下方面:攻击防护:OpenWAF能够检测和阻止常见的Web攻击,如跨站脚本(XSS)、SQL注入、命令注入、跨站请求伪造(CSRF)和路径遍历等。它分析输入和输出的数据,通过识别恶意的请求和特定的攻
UbuntuNginx配置ModSecurity详细思路及过程
qq490765184的博客
09-14 950
UbuntuNginx配置ModSecurity详细思路及过程
Ubuntu16.04下Nginx+uwsgi部署Django项目
05-07
对于Python初学者,部署会踩很多,这里是自己初学时的经验,所以粘出来和大家分享
docker-waf:适用于Docker的基于NGINXModSecurityWeb应用程序防火墙
02-04
使用基于ModSecurityNGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其...
Nginx+Uwsgi+Django+Vue部署
02-25
Nginx+Uwsgi+Django(python3)+Vue部署,一步步实现。网上找了N多篇文章都没成功,特意记录,以免其他同学踩坑
apache日志 waf_在ubuntu16.04中安装apache2+modsecurity以及自定义WAF规则详解
weixin_40004051的博客
12-24 237
一、Modsecurity规则语法示例SecRule是ModSecurity主要的指令,用于创建安全规则。其基本语法如下:SecRule VARIABLES OPERATOR [ACTIONS]VARIABLES代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等。OPERATOR代表操作符,一般用来定义安全规则的匹配条件。常见...
Ubuntu 20.04 安装 ModSecurity3.0+Nginx
哈哈虎的博客
03-18 4504
ModSecurity 3.0 适合于 nginx ,将ModSecurity动态库增加到 nginx模块,嵌入各种 waf 规则,可以很灵活构建一套WEB防火墙。后期自己再测试,感觉时灵时不灵!也许我理解的不对!
青松云安全-WAF-1.0.655 (ubuntu 14.04 server)
zangdalei的专栏
09-13 501
青松云WAF针对企业业务真实安全需求,提供自动与主动双防御策略,隐藏企业网站源地址,有效检测并拦阻漏洞攻击如SQL注入,XSS跨站及黑客入侵,恶意扫描等威胁行为,并对0day攻击快速做出响应,可与青松DDoS云防御相结合,有效缓解DDoS攻击带来的影响,保护企业网站信息安全可靠。青松云WAF支持对http及https的请求防护,除默认防御规则库,提供自定义规则配置功能,可针对IP,URI,Method等进行对应规则设置,满足企业自身使用和需求制订的各异化要求,防御更精准。自带四层和七层负载均衡功能,具备高可
ubuntu16.04中安装apache2+modsecurity以及自定义WAF规则详解
weixin_34066347的博客
10-15 83
一、Modsecurity规则语法示例 SecRule是ModSecurity主要的指令,用于创建安全规则。其基本语法如下: SecRule VARIABLES OPERATOR [ACTIONS] VARIABLES 代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等。 OPERATOR ...
WAF学习之二——ubuntu/deepin配置nginx+ModSecurity
weixin_38719347的博客
02-23 1150
1.安装依赖 sudo apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf 2.编译ModSecurity 由于ModSecurity for...
Ubuntu Apache搭建modSecurity,创建自己的WAF
wang010366的专栏
08-14 2049
安装apache2安装命令:sudo apt-get install apache2 启动/停止/重启apache2: service apache2 start/stop/restart安装modSecurity第一步:安装libapache2-modsecurity模块及其依赖包apt-get install libxml2 libxml2-dev libxml2-utils libaprut
ubuntu上安装Apache2+ModSecurity及自定义WAF规则
weixin_34236869的博客
08-07 178
小编注:本文作者系FreeBuf专栏作者 @碳机体 美眉,目前她的研究方向主攻云防火墙。对文章内容有不清楚的可以直接评论区中留言,注意秩序和素质。 <img src="http://image.3001.net/images/20140915/14107931697495.png!small" title="modsecurity.png" data_ue_src="http://...
如何在Ubuntu 20.04 LTS上安装ModSecurity Apache
A5互联
11-25 765
在本文中我们将向您展示如何在香港服务器的Ubuntu 20.04 LTS系统上安装ModSecurity Apache。ModSecurity是一个Apache模块,它可以帮助保护你的网站免受各种攻击,如跨站脚本、SQL注入攻击、路径遍历攻击等。ModSecurity还可以实时监控网站流量,帮助你检测和应对入侵。 步骤1.首先,通过apt在终端中运行以下以下命令,确保所有系统软件包都是最新的。 sudo apt update sudo apt upgrade 步骤2.在Ubuntu 20.04上安装ModS
搭建Ubuntu VNC可视化界面
sachin_woo的博客
08-18 766
本文主要内容 创建Ubuntu服务器 安装和配置VNCServer以及Ubuntu Desktop 本地使用VNC连接 一、创建Ubuntu服务器 创建Ubuntu服务器有很多方法,这里选择云服务器,云服务器也有不少服务供应商,比如:亚马逊AWS、微软Azure、阿里云、腾讯云等,本文基于阿里云服务器。 阿里云创建Ubuntu服务比较简单,按照系统导向一步步操作即可,这里不再赘述。 二、安装和...
centos7.9下使用nginx+uwsgi部署django
03-10
可以回答这个问题。在 CentOS 7.9 下使用 Nginx 和 uWSGI 部署 Django 的步骤如下: 1. 安装 Nginx 和 uWSGI: ``` sudo yum install nginx uwsgi uwsgi-plugin-python36 ``` 2. 配置 Nginx: 在 /etc/nginx/conf.d/ 目录下创建一个新的配置文件,比如 mysite.conf,内容如下: ``` server { listen 80; server_name mysite.com; location / { include uwsgi_params; uwsgi_pass unix:///run/uwsgi/mysite.sock; } } ``` 这个配置文件指定了 Nginx 监听 80 端口,将所有请求转发给 uWSGI 处理。 3. 配置 uWSGI: 在 Django 项目的根目录下创建一个新的 uWSGI 配置文件,比如 mysite.ini,内容如下: ``` [uwsgi] chdir = /path/to/mysite module = mysite.wsgi:application master = true processes = 4 socket = /run/uwsgi/mysite.sock chmod-socket = 666 vacuum = true ``` 这个配置文件指定了 Django 项目的根目录,以及 WSGI 应用程序的入口。它还指定了 uWSGI 监听一个 Unix 套接字,并设置了一些其他的参数。 4. 启动 uWSGI: ``` uwsgi --ini mysite.ini ``` 这个命令将启动 uWSGI,开始监听 Unix 套接字。 5. 启动 Nginx: ``` sudo systemctl start nginx ``` 这个命令将启动 Nginx,开始监听 80 端口。 现在,你的 Django 应用程序已经部署在 CentOS 7.9 上,可以通过 Nginx 访问了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值