CentOS7安装Nginx+ModSecurity

最新推荐文章于 2025-04-28 23:33:48 发布
最新推荐文章于 2025-04-28 23:33:48 发布
阅读量204 收藏 1
点赞数 3
文章标签: nginx 运维 网络 学习 linux 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwsdfFDFSAD/article/details/132815605
版权

一、介绍

当学习网络安全时,了解和使用安全设备是必不可少的一部分,其中一种常见的安全设备是Web应用防火墙(WAF)。市场上有许多商业化的WAF,但对于学习目的,我推荐使用一款免费开源的WAF,名为ModSecurity。

ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。

目前已经支持Nginx和IIS,配合Nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核Web安全的利器。

ModSecurity官网下载地址:ModSecurity中文社区,我下载的是ModSecurity v3.0.4的稳定版,v2.9.*的与Nginx存在兼容问题。

二、功能

SQL Injection (SQLi):阻止SQL注入
Cross Site Scripting (XSS):阻止跨站脚本攻击
Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击
Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击
Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击
PHP Code Injectiod:阻止PHP代码注入
HTTP Protocol Violations:阻止违反HTTP协议的恶意访问
HTTPoxy:阻止利用远程代理感染漏洞进行攻击
Sshllshock:阻止利用Shellshock漏洞进行攻击
Session Fixation:阻止利用Session会话ID不变的漏洞进行攻击
Scanner Detection:阻止黑客扫描网站
Metadata/Error Leakages:阻止源代码/错误信息泄露
Project Honey Pot Blacklist:蜜罐项目黑名单
GeoIP Country Blocking:根据判断IP地址归属地来进行IP阻断

三、安装与配置

1. 安装后续编译所需依赖

yum install -y gcc-c++ flex bison yajl yajl-devel curl-devel curl GeoIP-devel doxygen zlib-devel pcre-devel lmdb-devel libxml2-devel ssdeep-devel lua-devel libtool autoconf automake wget epel-release openssl-devel

2. 安装ModSecurity

mkdir -p /usr/local/modsecurity     // -p(parents):父文件夹不存在就创建,省得一级一级地创建
​
cd /usr/local/modsecurity 
wget http://www.modsecurity.cn/download/modsecurity/modsecurity-v3.0.3.tar.gz
tar -zxvf modsecurity-v3.0.3.tar.gz
​
mv modsecurity-v3.0.3 /usr/local/modsecurity/modsecurity // 改名
​
cd /usr/local/modsecurity/modsecurity
sh build.sh     // 执行build.sh
./configure     // 配置,无其他参数
make && make instal // 编译

3. 安装ModSecurity-Nginx

modsecurity-nginx是 nginx 和 libmodsecurity 之间的连接器,需要安装。

cd /usr/local/
wget https://codeload.github.com/SpiderLabs/ModSecurity-nginx/zip/refs/heads/master
​
yum -y install unzip    // 如果已经有了的话就不必再安装unzip了
unzip  master           
​
mv ModSecurity-nginx-master /usr/local/modsecurity/modsecurity-nginx    // 改名
​

4. 安装Nginx

由于个人原因 需要安装SSL模块 ,如果不需要SSL 可以编译时使用下面 指令进行编译。

./configure --prefix=/usr/local/nginx --add-module=/usr/local/modsecurity-nginx

开始执行相关命令安装Nginx

mkdir -p /usr/local/nginx
​
cd /usr/local/nginx
wget http://nginx.org/download/nginx-1.22.1.tar.gz
tar -zxvf nginx-1.22.1.tar.gz
​
cd /usr/local/nginx/nginx-1.22.1/       // 转到该目录
./configure --prefix=/usr/app/nginx --with-http_stub_status_module --with-http_ssl_module --with-file-aio --with-http_realip_module --add-module=/usr/local/modsecurity-nginx 
​
make && make install

四、配置

以上安装均全完成,现在进入配置环节,将ModSecurity 下的配置文件 复制到nginx.config 目录,方便后期更改配置。

mkdir -p /usr/local/nginx/conf/modsecurity
cp /usr/local/modsecurity/modsecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurit/modsecurity.conf    // 重命名
cp /usr/local/modsecurity/modsecurity/unicode.mapping  /usr/app/nginx/conf/modsecurity  // 复制文件

1. 配置nginx.conf

vim /usr/local/nginx/conf/nginx.conf

在http或server节点中添加以下内容(在http节点添加表示全局配置,在server节点添加表示为指定网站配置)。

1689927890_64ba40d235608fa4bbc84.png!small?1689927890499

我这里就添加到server节点,因为我添加到http节点时打不开Nginx服务,所以我索性就添加到server节点,大家如果遇到和我一样的问题,也可以换一个节点添加内容。

打开规则引擎SecRuleEngine On

#SecRuleEngine DetectionOnly
SecRuleEngine On

确保ModSecurity在记录审计日志时保存请求体IJ 改为 C

#SecAuditLogParts ABIJDEFHZ
SecAuditLogParts ABCDEFHZ

添加防护规则文件

Include /usr/local/nginx/conf/modsecurity/crs-setup.conf
Include /usr/local/nginx/conf/modsecurity/rules/*.conf

1689927923_64ba40f33185e4231e879.png!small?1689927923151

2.下载防护规则文件

cd /usr/app/modsecurity
wget http://www.modsecurity.cn/download/corerule/owasp-modsecurity-crs-3.3-dev.zip  // 无论是ModSecurity是1.6.1版本还是1.22.1版本都可以用这个规则文件,亲测可用。
unzip owasp-modsecurity-crs-3.3-dev.zip
​
cd owasp-modsecurity-crs-3.3-dev
cp crs-setup.conf.example /usr/local/nginx/conf/modsecurity/crs-setup.conf  // 复制并改名
cp -r rules /usr/app/nginx/conf/modsecurity/
cd /usr/local/nginx/conf/modsecurity/rules
​
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

四、测试

1. 启动Nginx

/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
​
注:如果启动不了,试试用systemctl service start Nginx 来启动服务

Nginx 常用命令如下:

# 启动 Nginx
systemctl start nginx
​
# 停止 Nginx
systemctl stop nginx
​
# 重启 Nginx
systemctl restart nginx
​
# 查看 Nginx 状态
systemctl status nginx

2. 测试防护效果

curl -I http://localhost

返回状态码200,代表正常访问成功,Nginx首页内容:

HTTP/1.1 200 OK
Server: nginx/1.22.1
Date: Wed, 19 Jul 2023 12:43:40 GMT
Content-Type: text/html
Content-Length: 615
Last-Modified: Wed, 19 Jul 2023 11:18:47 GMT
Connection: keep-alive
ETag: "64b7c697-267"
Accept-Ranges: bytes

试一下SQL注入攻击

返回状态码是400,被拦截了,说明WAF起作用了

HTTP/1.1 400 Bad Request
Server: nginx/1.22.1
Date: Wed, 19 Jul 2023 12:45:33 GMT
Content-Type: text/html
Content-Length: 157
Connection: close

至此,在CentOS7中安装ModSecurity+Nginx就结束了,如果有什么不足之处还望指正,谢谢。

奇迹行者-
关注
Nginx+ModSecurity(3.0.x)安装教程及配置WAF规则文件
oqzuser12345678999q的博客
08-27 574
ModSecurity + nginx
Ubuntu下Nginx配置ModSecurity详细思路及过程
qq490765184的博客
09-14 1392
Ubuntu下Nginx配置ModSecurity详细思路及过程
nginx安装配置ModSecurity
一个今天胜过两个明天
06-11 1538
通过以上步骤,我们在 Nginx安装配置 ModSecurity,可以增强Web 服务器的安全性。ModSecurity 强大的规则集和灵活的配置选项,对安全防护最重要的就是规则,所以一定要定期审查日志,根据需要调整配置,适时更新规则集,以保持最佳的安全状态。OWASP 提供了一组常用的 ModSecurity 核心规则 (CRS),可以有效地防御许多常见的 Web 攻击。这里我禁止了对/tmp目录的访问,但允许/tmp后面加字母和数字的目录,比如/tmpabc,是允许的,主要是防止误杀。
Centos7安装Modsecurity(nginx)的那些坑
qq_35648576的博客
11-14 1537
基于这篇文章https://blog.csdn.net/yetugeng/article/details/89052382 在安装过程中的一些坑 安装modsecurity3.X 直接到“方法二:编译通过ModSecurity-Nginx Connector加载的动态模块” 然后“编译安装Nginx并添加ModSecurity-Nginx Connector模块” 有的朋友可能是网速不...
CentOS7: Nginx+ModSecurity 安装教程
热门推荐
莫忘、初心
01-02 2万+
nginx 卸载 停止nginx ps -ef | grep nginx kill -9 pid 删除nginx文件夹 whereis nginx rm -rf * yum清理nginx yum remove nginx 相关依赖安装 yum install -y wget epel-release yum install -y gcc-c++ flex bison yajl yajl-...
CentOS7Nginx使用ModSecurity进行WAF防护
weixin_34184561的博客
01-25 1212
2019独角兽企业重金招聘Python工程师标准>>> ...
【防火墙 pfsense】2配置
jingshaoyou的博客
04-25 257
如果你为广域网(WAN)使用动态主机配置协议(DHCP),你很可能可以将这些字段留空,因为它们通常会由你的互联网服务提供商(ISP)自动分配。生成有效的 SSH-2 公钥 / 私钥对,将公钥添加到 pfSense 中管理员的授权 SSH 密钥列表中,配置 PuTTY 以登录到 pfSense,记住将私钥添加到 SSH 身份验证选项中。->配置广域网(WAN)和局域网(LAN)接口,分配设备标识符,如 eth0、eth1 等;->如将WAN 接口将被分配到 eth0,而 LAN 接口将被分配到 eth1;
VScode远程连接服务器(免密登录)
Hans的博客
04-25 315
注:若在连接后vscode报错The remote host may not meet VS Code Server‘s prerequisites for glibc and libstdc++,说明远程服务器相关依赖版本过低,需要对vscode进行版本回退,建议使用1.98版本(三、修改vscode的config文件.ssh/config,加入私钥在本机的位置,后续即可免密登陆。二、在远程服务器根目录的.ssh文件夹的authorized_keys中输入id_rsa的内容。
CMCC RAX3000M CH EC 算力版刷机(中国移动 RAX3000M 算力版)刷机
阿哥的专栏
04-26 701
路由器断电,重新插电,重启 (不进入可以断电按reset键,再插电后再松开按键)然后filter中可以过滤,比如安装主题theme,语言包比如chinese等。点击updatelist可以相当于执行opkg update,更新软件列表。也可以设置无线中继 scan中连接无线wifi 设置为client模式。电脑端启动tftpd服务端, 改为电脑可见模式,关闭防火墙。('data' 分区可以忽略,基本没有啥用)固件的名字需要改成这个才可以被找到。可以设置无线(master模式)登录,默认密码为空,直接进入。
轻松上手:使用 Docker Compose 部署 TiDB 的简易指南
shunwahma的博客
04-28 336
本篇征文介绍了如何在 CentOS 7 上利用 Docker Compose 快速搭建 TiDB 7.5 集群,并展示了基本的数据库操作如创建数据库、表以及数据插入。特别地,我们演示了如何创建分区表并对其进行优化。通过这些实践,可以更好地理解 TiDB 的功能特性及其应用场景,为后续深入学习和应用打下坚实基础。希望这篇教程能帮助更多开发者顺利部署并使用 TiDB 进行开发,享受其带来的高效和灵活性。同时,通过实际操作中的对比分析,进一步认识到了优化数据库设计的重要性。
ngrok 内网穿透技术详细部署指南
独坐一隅,凝神遐想,是种幸福! ——独隅
04-26 1158
ngrok 内网穿透技术详细部署指南
Ubuntu 下 Nginx 1.28.0 源码编译安装与 systemd 管理全流程指南
hello.reader
04-25 496
Nginx 作为高性能的 Web 服务器和反向代理,因其轻量、模块化和可扩展性,广泛应用于生产环境。在某些场景下,为了使用特定模块或自定义编译选项,我们需要从源码手动编译安装。本文以 **Nginx 1.28.0** 为例,演示如何在 Ubuntu 上完成从源码编译、安装到通过 systemd 管理的全流程。
一些可用于监控服务器响应时间稳定性的工具
zhuralll112的博客
04-27 388
这些工具可结合使用(如通过Prometheus采集数据,Grafana可视化,Alertmanager报警),实现从基础设施到应用层的全链路响应时间稳定性监控。
第十七届山东省职业院校技能大赛 中职组网络建设与运维赛项
Geek极安云科-致力于网络安全事业
04-24 672
(1)在 linux6-linux7安装 containerd 和 kubernetes,linux6 作为 master node,提供 apache 服务,域名为 www.sdskills.lan,网站目录为/var/www/html,(四)配置 network603,绑定 vlan603,ssid 为 Wir5,使用 wpa 个人版加密,密码 Key-3.创建协作目录/home/xiao, /home/xiao 的所属组是 sysmgrs,/home/xiao 中创建的。
使用虚拟机与指纹浏览器实现社交媒体账号无限多开技术指南
专注技术分享
04-25 441
【代码】ubuntu 点击显示应用程序不弹出菜单的解决方案。
学习记录:DAY19
最新发布
2301_79760424的博客
04-28 527
系统运行环境相关的依赖和程序运行脚本指令说明示例FROM指定基础镜像ENV设置环境变量,可在后面指令使用COPY拷贝本地文件到镜像的指定目录RUN执行 Linux 的 shell 命令,一般是安装过程的命令EXPOSE指定容器运行时监听的端口,是给镜像使用者看的ENTRYPOINT镜像中应用的启动命令,容器运行时调用注意:Dockerfile 的文件名称就叫Dockerfile。结果因为修 bug 修到了第二天。
centos7安装WAF
12-26
### 如何在 CentOS 7安装配置 Web 应用防火墙 (WAF) #### 准备工作 为了确保顺利部署 WAF,在开始之前需确认已准备好一台运行 CentOS 7 的服务器环境[^2]。 #### 安装 OpenResty 和 ModSecurity 对于基于 Nginx 的 WAF 实现,推荐采用 OpenResty 或者直接集成 ModSecurity 到标准版 Nginx 中。这里介绍通过 OpenResty 来构建支持 WAF 功能的服务端: 1. **安装依赖包** 使用 yum 工具来更新现有软件包并安装必要的开发工具和库文件: ```bash sudo yum update -y && sudo yum groupinstall "Development Tools" -y ``` 2. **下载并编译安装 OpenResty** 访问官方 GitHub 页面获取最新版本号,并按照说明文档完成源码编译过程。注意启用 `--with-compat` 参数以便后续加载第三方模块如 ModSecurity。 ```bash wget https://openresty.org/download/openresty-1.19.3.1.tar.gz tar zxvf openresty-1.19.3.1.tar.gz cd openresty-1.19.3.1/ ./configure --with-compat make && sudo make install ``` 3. **安装 ModSecurity 及其规则集** 下载 ModSecurity 源代码及其 OWASP CRS(Core Rule Set),然后将其放置到合适的位置供 OpenResty 加载使用。 ```bash git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity.git cd ModSecurity git submodule init git submodule update ./build.sh ./configure make sudo make install # 获取OWASP核心规则集合 git clone https://github.com/coreruleset/coreruleset.git /usr/local/nginx/conf/modsec ln -s /usr/local/nginx/conf/modsec/crs-setup.conf /usr/local/nginx/conf/modsec/main_rules_file.conf ``` 4. **配置 Nginx/OpenResty** 修改 `/usr/local/nginx/conf/nginx.conf` 文件加入以下内容以激活 WAF 支持: ```nginx http { ... modsecurity on; modsecurity_rules_file /usr/local/nginx/conf/modsec/main_rules_file.conf; server { listen 80; location / { root html; index index.html index.htm; try_files $uri @backend; } location @backend { proxy_pass http://localhost:8080; # 假设后端服务监听于该地址 } } } ``` 5. **测试与验证** 启动 nginx 并尝试访问站点首页查看是否正常显示 “hello world”,这表示 OpenResty 成功启动并且可以处理请求;接着可以通过发送恶意 HTTP 请求测试 WAF 是否能够有效拦截攻击行为[^1]。 6. **调整优化** 根据实际需求修改默认的安全策略设置,比如自定义错误页面、日志记录级别等参数,具体可参阅相关手册了解更详细的选项列表[^3]。 ```python print("以上步骤完成后即可实现在CentOS 7上搭建具备基本防护能力的Web应用防火墙") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值