Ubuntu下Nginx配置ModSecurity详细思路及过程

已于 2023-09-17 11:24:22 修改
阅读量1.1k 收藏 5
点赞数 1
分类专栏: 技术分享 学习笔记 文章标签: nginx 服务器 linux 防火墙 modsecurity 运维
于 2023-09-14 12:21:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq490765184/article/details/132870991
版权

下面是一个简介:

Ubuntu是一个linux操作系统,Nginx是一个web服务器软件,ModSecurity是一款开源的web应用防火墙(江湖人称“WAF”)。

如果上面的概念没有一定的了解,下面的内容其实也能看。就是不好操作。

一、准备

在安装及配置之前,需要做如下准备:

1.1 安装需要的库

在这之前,你应该配置了

[ubuntu的apt源](https://so.csdn.net/so/search/s.do?q=ubuntu的apt源&from=blog)
 

apt install g++ flex bison curl apache2-dev doxygen libyajl-dev ssdeep liblua5.2-dev libgeoip-dev libtool dh-autoreconf libcurl4-gnutls-dev libxml2 libpcre++-dev libxml2-dev git liblmdb-dev libpkgconf3 lmdb-doc pkgconf zlib1g-dev libssl-dev -y

1.2 下载需要的源码

1.2.1 nginx

链接

如果是编译安装,对源码版本没有要求,如果是动态加载,首先要查看已经安装的好的nginx版本,下载与已安装的nginx版本一致的源码。

nginx -V

1.2.2 Modsecurity

链接 

1.2.3 Modsecurity-nginx

链接

二、编译安装

思路很简单,就是目前你还没有安装nginx,直接通过编译nginx源码。来生成nginx服务器,在生成的过程中,直接将模块配置好。

2.1 编译Modsecurity

通过下面的步骤,会在当前系统中安装libmodsecurity库。

# 解压源码文件
tar -xvzf modsecurity-v3.0.10.tar.gz

# 切换到源码目录
cd modsecurity-v3.0.10

# 构建
./build.sh

# 配置
./configure

# 生成
make

# 安装
make install

2.2 编译安装nginx

此方法直接将modsecurity-nginx与nginx一直编译

# 源码下载,可以按自己喜欢的方式来
git clone https://github.com/SpiderLabs/ModSecurity-nginx.git
wget https://nginx.org/download/nginx-1.25.2.tar.gz


# 解压源码
tar xzf nginx-1.25.2.tar.gz

# 创建一个专门的用户
useradd -r -M -s /sbin/nologin -d /usr/local/nginx nginx

#切换到nginx源码目录
cd nginx-1.25.2

# 配置
./configure --user=nginx --group=nginx --with-pcre-jit --with-debug --with-compat --with-http_ssl_module --with-http_realip_module --add-dynamic-module=/root/ModSecurity-nginx --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log

# 生成
make

# 生成模块
make modules

# 安装nginx
make install

# 创建一个软链接
ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/

# 测试nginx 安装情况
nginx -V

 2.3 配置

2.3.1 配置nginx支持modsecurity

在nginx的主要配置文件中,添加如下内容:

1. 在http模块前添加下面命令加载模块

load_module modules/ngx_http_modsecurity_module.so;

2. 在server模块中添加如下命令:

modsecurity  on;
modsecurity_rules_file  /your rule file path/modsecurity.conf;

以下是我在安装时的配置文件及命令:

命令:

# 备份配置文件
cp /usr/local/nginx/conf/nginx.conf{,.bak}

# 编辑配置文件
nano /usr/local/nginx/conf/nginx.conf

# 将modsecurity的配置文件添加到指定的位置
cp ~/modsecurity-v3.0.8/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf

# modsecurity配置所需要的另一个文件
cp ~/modsecurity-v3.0.8/unicode.mapping /usr/local/nginx/conf/

nginx.conf 配置文件内容如下:

# 加载模块 
load_module modules/ngx_http_modsecurity_module.so;
user  nginx;
worker_processes  1;
pid        /run/nginx.pid;
events {
    worker_connections  1024;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    server {
        listen       80;
        server_name  nginx.example.com;
        # 启用模块
        modsecurity  on;
        # 加载模块配置文件
        modsecurity_rules_file  /usr/local/nginx/conf/modsecurity.conf;

        access_log  /var/log/nginx/access_example.log;
        error_log  /var/log/nginx/error_example.log;
        location / {
            root   html;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
}

测试nginx的配置文件:

sudo nginx -t

 2.3.2 配置modsecurity

修改刚才添加到指定位置的modsecurity的配置文件modsecurity.conf:

modsecurity.conf将SecRuleEngine 修改为如下的参数

# SecRuleEngine DetectionOnly
SecRuleEngine on

 同时,下载规则文件:

git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git /usr/local/nginx/conf/owasp-crs/
cp /usr/local/nginx/conf/owasp-crs/crs-setup.conf{.example,}

modsecurity.conf中添加如下的参数:

Include owasp-crs/crs-setup.conf
Include owasp-crs/rules/*.conf

测试:

nginx -t

三 Nginx动态配置

 动态配置与编译配置只有一点不一样,需要自己生成模块。具体生成的的流程如下:

3.1 流程简介

setp 1: 安装nginx,如下命令:

sudo  apt install nginx

查看nginx版本: 

nginx -V

setp 2: 下载好需要的源码。

setp 3: 编译安装Modsecruity,见2.1

setp 4: 编译生成Modsecurity-nginx,见3.2

setp 5: 配置nginx支持modsecurity,具体思路见2.3.1

setp 6: 配置modsecurity,见2.3.2

3.2 生成模块

进入nginx源码目录 。

cd nginx-1.18.0/

 配置模块:

./configure --with-compat --add-dynamic-module=../ModSecurity-nginx

编译生成:

make modules

 复制模块到nginx的模块目录下:

cp objs/ngx_http_modsecurity_module.so /usr/share/nginx/modules

objs:nginx源码目录下放置生成模块的位置

/usr/share/nginx/modules:nginx应用放置模块的位置。

此处稍微详细的说明一下。在我安装完nginx后,其模块配置是通过一个个单独的配置文件引入的。

首先可以看下在服务器中的模块位置并不是 /usr/share/nginx/modules

 而在 /usr/share/nginx/modules中的包含的文件如下:

其中配置文件的内容如下:

 那么这个文件在那里使用呢?

通过下图可以看到,这些文件通过软链接链接到/etc/nginx/modules-enabled/文件夹下面。

 而这些文件则通过nginx的主配置文件进行包含,从而完成模块的动态加载。

以上是模块动态加载的详细分析,后面模块的配置参见2.3.2 

三、测试

现在是对同一个包含有sql注入的请求的在打开规则和没有打开规则的测试:

未打开规则 :

正常响应nginx的欢迎页面。

打开modsecurity规则:

四、总结

懂思路更重要

技术交流:490765184@qq.com

奋羊羊
关注
专栏目录
Nginx与安全防护:ModSecurity WAF集成
java专栏
08-11 518
🎯 你可以定义自己的规则来满足特定的安全需求。# 在ModSecurity配置文件中添加:\b(?💬 注释:这个规则会检查请求参数、头部和正文中是否包含特定的SQL注入模式。
Linux 一键部署 Nginx1.26.1 + ModSecurity3
极致,细节
06-20 408
ModSecurity 是 Apache 基金会的一个开源、高性能的 Web 应用程序防火墙(WAF),它提供了强大的安全规则引擎,用于检测和阻止各种攻击行为,如 SQL 注入、XSS 跨站点脚本攻击等。而 nginx 是一个高性能的 Web 服务器,常用于处理大量的并发请求,具有很高的负载均衡能力。当 ModSecuritynginx 结合使用时,可以为网站提供更加全面的安全保护。ModSecurity 可以拦截 HTTP 请求,分析其中的恶意行为,并根据预设的规则进行过滤或拒绝。
ubuntu安装ModSecurity
雪水
01-04 2148
环境:Ubuntu 14.04 一、准备各种库文件 1、安装apache apt-get install apache2 apt-get install apache2-dev 2、安装libapr和libapr-util 官网http://apr.apache.org/下载libapr和libapr-util压缩包 先安装libapr ./configure make sud
ModSecurity-nginx 模块详解及实战指南
最新发布
gitblog_00075的博客
08-10 305
ModSecurity-nginx 模块详解及实战指南 ModSecurity-nginxModSecurity v3 Nginx Connector项目地址:https://gitcode.com/gh_mirrors/mo/ModSecurity-nginx 1. 项目介绍 ModSecurity-nginx 是一个用于连接 Nginx 服务器与 Libmodsecurity(ModSecu...
Ubuntu 20.04 安装 ModSecurity3.0+Nginx
哈哈虎的博客
03-18 4646
ModSecurity 3.0 适合于 nginx ,将ModSecurity动态库增加到 nginx模块,嵌入各种 waf 规则,可以很灵活构建一套WEB防火墙。后期自己再测试,感觉时灵时不灵!也许我理解的不对!
Ubuntu下安装ModSecurity模块
 RBPi' Blog
06-03 974
ModSecurity官网:www.modsecurity.org 所需的一些依赖安装 pcre: sudo apt-get install libpcre3 libpcre3-dev libxml2: sudo apt-get install libxml2 libxml2-dev ./configure –with-apxs=/usr/bin/apxs...
nginx 第三方模块 modsecurity安装使用
weixin_33856370的博客
02-24 617
2019独角兽企业重金招聘Python工程师标准>>> ...
nginx-modsecurity-ubuntu:适用于modsecurity-nginxUbuntu软件包
02-06
4. **编译与安装**:详细步骤指导如何从源代码编译和安装NginxModSecurity,以及如何配置UbuntuMakefile进行构建。 5. **安全策略配置**:探讨不同级别的安全策略,如预防、检测和审计模式,以及如何在Nginx配置...
Debian/UbuntuNginx的安装、反向代理和负载均衡的基本配置
王鸿飞的专栏
04-14 2852
源码安装去Nginx官网下载最新稳定版,这里用的是nginx-1.6.3版。 下载完成后解压缩,进入该目录执行:./configure如果你的机器上没有安装PCER库、zlib库等,这一步会出错。sudo apt-get install libpcre3-dev zlibc zlib-bin然后执行:sudo make sudo make install完成后,nginx会默认安装在/usr/lo
setup-ghost-blog:使用NginxModSecurityNaxsi Web应用程序防火墙安装自己的Ghost博客的脚本。 支持多个博客
02-05
本教程将详细介绍如何使用Nginx作为Web服务器,并结合ModSecurity Naxsi Web应用程序防火墙来安装和保护你的多个Ghost博客。 首先,我们需要了解Node.js。Node.js是一个开放源代码、跨平台的JavaScript运行环境,它...
ubuntu安装modSecurity
07-08 119
apt-getinstalllibxml2libxml2-devlibxml2-utilslibaprutil1libaprutil1-devlibapache2-modsecurity ubuntu18.04需要执行 apt-get install libxml2 libxml2-dev libxml2-utils libaprutil1 libaprutil1-dev l...
学习Nginx(十三):第三方模块ModSecurity的安装与规则配置
Linux技术宅
05-24 1157
ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。SQL Injection (SQLi):阻止SQL注入Cross Site Scripting (XSS):阻止跨站脚本攻击Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击。
nginx安装和配置ModSecurity
一个今天胜过两个明天
06-11 841
通过以上步骤,我们在 Nginx 上安装和配置 ModSecurity,可以增强Web 服务器的安全性。ModSecurity 强大的规则集和灵活的配置选项,对安全防护最重要的就是规则,所以一定要定期审查日志,根据需要调整配置,适时更新规则集,以保持最佳的安全状态。OWASP 提供了一组常用的 ModSecurity 核心规则 (CRS),可以有效地防御许多常见的 Web 攻击。这里我禁止了对/tmp目录的访问,但允许/tmp后面加字母和数字的目录,比如/tmpabc,是允许的,主要是防止误杀。
WAF学习之二——ubuntu/deepin配置nginx+ModSecurity
weixin_38719347的博客
02-23 1544
1.安装依赖 sudo apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf 2.编译ModSecurity 由于ModSecurity for...
NGINX+ModSecurity搭建
qq_42890862的博客
01-05 3339
1、建立临时工作任务 [root@localhost ~]# cd /root && mkdir temporary && cd temporary/ 2、yum安装系统常用软件 [root@localhost temporary]# yum install epel-release [root@localhost temporary]# yum groupinstall ‘Development Tools’ -y 3、modsecurity依赖安装 [root@local
ubuntu 16.04搭建Nginx+ Modsecurity
weixin_44157851的博客
10-17 413
1.安装依赖环境 apt-get install apache2-dev autoconf automake build-essential bzip2 checkinstall devscripts flex g++ gcc git graphicsmagick-imagemagick-compat graphicsmagick-libmagick-dev-compat libaio-dev libaio1 libass-dev libatomic-ops-dev libavcodec-dev libav
Ubuntu下使用nginx+ModSecurity部署WAF(Web Application Firewall)
落日领航员の技术栈
02-01 1258
业务场景 服务器8000端口运行着一个存在多个漏洞的web应用,现在需要搭建一个web应用防火墙,部署在80端口上,通过80端口可以访问到受到防火墙保护的web应用 解决方案 使用nginx反向代理,监听80端口的请求并转发到8000端口上,并部署ModSecurity模块,根据owasp核心规则拦截攻击请求,检测到攻击时返回403 详细部署方式 1.安装项目依赖 apt-get install apache2-dev autoconf automake build-essential bzip2 chec
如何在Ubuntu 20.04 LTS上安装ModSecurity Apache
A5互联
11-25 853
在本文中我们将向您展示如何在香港服务器Ubuntu 20.04 LTS系统上安装ModSecurity Apache。ModSecurity是一个Apache模块,它可以帮助保护你的网站免受各种攻击,如跨站脚本、SQL注入攻击、路径遍历攻击等。ModSecurity还可以实时监控网站流量,帮助你检测和应对入侵。 步骤1.首先,通过apt在终端中运行以下以下命令,确保所有系统软件包都是最新的。 sudo apt update sudo apt upgrade 步骤2.在Ubuntu 20.04上安装ModS
modsecurity 安装ubuntu
09-19
要在Ubuntu上安装modsecurity,您可以使用nginx-modsecurity-ubuntu软件包。首先,下载modsecurity.conf-recommended和unicode.mapping文件。然后,将modsecurity.conf-recommended文件复制到当前目录,并将其重命名为modsecurity.conf。使用文本编辑器(如vim)打开modsecurity.conf文件,并进行以下更改:将SecRuleEngine的值改为on,并根据参考文档添加黑名单规则。保存并关闭文件。现在,您可以继续安装ModSecurity-nginx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值