nginx配置lua模块和基于lua的waf三种方式

最新推荐文章于 2024-03-03 17:11:49 发布
最新推荐文章于 2024-03-03 17:11:49 发布
阅读量560 收藏
点赞数
分类专栏: 监控与安全、性能 前端负载、开发、db 文章标签: nginx lua waf luajit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ronon77/article/details/84766673
版权

nginx和lua都注重性能,使用lua扩展nginx大大增强了nginx的灵活性。nginx支持lua需要用到ngx_lua模块,在nginx wiki中推荐使用openresty,编译时加上--with-luajit参数就行了,我用的模块不多,更喜欢轻量和高性能的tengine,采用手动编译也不复杂。

一、准备

服务器环境:centos 6.6 64位 ,tengine2.1.0 , openssl和pcre使用yum安装
软件下载:

LuaJIT推荐使用2.1版本,2.0的源码中已经包含了2.1的分支:

 

git clone http://luajit.org/git/luajit-2.0.git

安装zlib、openssl和pcre,偷懒使用yum安装:

yum install zlib zlib-devel openssl openssl-devel pcre pcre-devel

下载tengine和ngx_lua_waf:

wget http://tengine.taobao.org/download/tengine-2.1.0.tar.gz
git clone https://github.com/loveshell/ngx_lua_waf

二、编译LuaJIT和tengine

2.1 安装 LuaJIT2.1

lua或luaJIT都能支持ngx_lua模块,lua版本最高支持到5.1,出于效率考虑推荐使用luaJIT,我们克隆下来的luaJIT版本是2.0,官方推荐使用2.1开发版,切换到2.1的分支:

cd luajit-2.0 && git checkout v2.1

编译:

make
make install PREFIX=/usr/local/luajit

安装好后LUAJIT_LIB和LUAJIT_INC的路径是:
库文件 LUAJIT_LIB=/usr/local/luajit/lib
头文件 LUAJIT_INC=/usr/local/luajit/include/luajit-2.1
这两个路径编译tengine时要用到。

2.2编译tengine:
 ./configure --prefix=/opt/nginx --with-http_lua_module --with-luajit-lib=/usr/local/luajit/lib/ --with-luajit-inc=/usr/local/luajit/include/luajit-2.1/ --with-ld-opt=-Wl,-rpath,/usr/local/luajit/lib
 
make && make install

测试:
在nginx.conf中添加一个location:

location /lua { 
     default_type 'text/plain'; 
    content_by_lua 'ngx.say("hello, lua")'; 
}

启动nginx,访问:http://serverIP/lua ,如果出现 hello,lua 就安装成功了。

三、配置ngx_lua_waf

nginx下常见的开源waf有mod_security、naxsi、ngx_lua_waf这三个,mod_security是最老牌的,功能最强规则细定制性又强,但是配置最复杂高并发时性能差。naxsi是原生nginx下的waf,性能不错但是基于白名单,配置也很麻烦。ngx_lua_waf功能和规则虽然没有这两个强大,但赢在性能高和易用性强,基本上零配置,而且常见的攻击类型都能防御,是比较省心的选择。安装好ngx_lua后,把下载好的ngx_lua_waf复制到conf目录下,重命名为waf,在nginx.conf的http段添加:

lua_package_path "/opt/nginx/conf/waf/?.lua";
lua_shared_dict limit 10m;
init_by_lua_file  /opt/nginxconf/waf/init.lua; 
access_by_lua_file /opt/nginx/conf/waf/waf.lua;

修改/opt/nginx/conf/waf下的config.lua文件,将RulePath和logdir改为实际的目录:

RulePath = "/opt/nginx/conf/waf/wafconf/"
logdir = "/opt/nginx/logs/waf"   //确保此文件夹nginx有写入权限

其它的安全配置,按照实际需要开启。设置好和启动nginx

测试规则是否生效:

任意文件读取:

curl http://xxxx/test.php?id=../etc/passwd

sql注入:

curl http://xxxx/test.php?id=1 select * from admin

返回禁止页面就说明配置成功了。

四、遇到的问题

启动nginx报错:

./nginx: error while loading shared libraries: libluajit-5.1.so.2: cannot open shared object file: No such file or directory

编译时加参数:

--with-ld-opt=-Wl,-rpath,/usr/local/luajit/lib
意思是:为链接器添加额外的参数,将/usr/local/luajit/lib添加到nginx的二进制文件中,防止启动时找不到luaJIT的动态链接库。

参考文章
http://wiki.nginx.org/HttpLuaModule
http://www.cnblogs.com/ghj1976/p/3535818.html
https://github.com/loveshell/ngx_lua_waf

 

ronon77
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tengine_waf:Tengine_waf,具有WAF防火墙功能的te​​ngine系统,防止网络攻击和cc攻击的功能,小巧灵便,简单可依赖
03-11
Tengine WAFF 基于tengine的防攻击模块,最初我尝试了mod-security,但有一个bug,在大并发的时候狂吃内存,直到拖垮应用,不后来转向ngx_lua_waf(感谢loveshell),并在此基础上做了改良,觉得效果不错,就推荐给大家。 一,部署 部署简单,拿来就能用。整个工程是基于centos6.x,已经编译好了。 如果是其他系统,需要重新编译一遍,参考loveshell的编译步骤。 (1) 下载 到/usr/local/ 目录 (2) chown –R nobody:nobody /usr/local/tengine (3) cp –r /usr/local/tengine/lib/* /usr/lib64/ (4) 配置 /usr/local/tengine/conf/server/ 站点 参照模板,比普通的vhosts配置只在location
docker-nginx-lua-waf:基于 Nginx + Lua 技术栈的 WAF
07-22
nginx-lua-waf 用法 自己构建镜像bilxio/nginx-lua-waf ,在nginx-lua-waf文件夹执行如下命令: docker build -t bilxio/nginx-lua-waf . 或者,直接拉它, docker pull bilxio/nginx-lua-waf 要运行映像并将...
Nginx安装配置lua模块、GEOIP、加入系统服务)---无坑安装
u012417092的博客
10-13 4983
在线安装是最简便的,如果只需基本的web和转发服务就别往下看,直接【yum install nginx】,少折腾,稳定才是王道。下载安装包安装便以自定义参数、加载模块,但缺少系统服务支持。比如用systemctl start(stop\status) nginx命令,还有最常配置命令:nginx -t、nginx -s *需要对应安装目录下才能运行。以下介绍nginx下载全模块安装并加入系统服务。
ngx_waf入门教程:保护你的Nginx服务器
最新发布
里查叔叔
03-03 611
ngx_waf作为一款强大的Nginx Web应用防火墙模块,能够有效地提升Nginx服务器的安全性,保护Web应用程序免受各种网络攻击的侵害。随着网络安全形势的不断变化和发展,我们期待ngx_waf能够不断更新和完善,为用户提供更加全面和高效的Web安全防护解决方案。在本教程中,我们将介绍ngx_waf的基本概念和配置方法,帮助你入门并保护你的Nginx服务器。ngx_waf会记录拦截的请求信息到指定的日志文件中。在上述配置中,我们启用了ngx_waf模块,并指定了规则文件和日志文件的路径。
宝塔面板开启隐藏的 waf 防火墙的方法
热门推荐
风火纶回
08-02 1万+
宝塔配置NGINX,默认的宝塔面板是安装了ngx_lua_waf模块的,在5.9版本中面板集成的waf,所以可以在5.9版本的nginx中看到过滤器这个功能,并且可以设置。 在6.X版本中,宝塔面板还是编译了ngx_lua_waf模块,该如何在宝塔面板6.X中开启隐藏的nginx防火墙。 部分源代码: http { include mime.types; #include luawaf.conf;...
Nginx + Lua 搭建网站WAF防火墙
giun的博客
06-17 6244
Nginx + Lua 搭建网站WAF防火墙一、目的二、前期环境准备(一)、更新下yum源(二)、编译安装Nginx(三)、端口放行(四)、验证安装(五)、lua编译安装三、Nginx+Lua搭建WAF防火墙(一)、php环境配置(二)、克隆代码并将其移动到nginx/waf目录下(三)、进行必要配置(四)、验证四、总结 一、目的 利用centos -7 和Nginx + Lua 搭建网站WAF防火墙可以防御SQL、XSS等攻击。 二、前期环境准备 (一)、更新下yum源 这边使用的是centos-7的系统
window系统中为Nginx增加WAF应用防火墙
songjoyce的专栏
02-02 1858
window系统中为Nginx增加WAF应用防火墙
waf:使用Nginx+Lua实现的WAF(版本v1.0)
05-08
使用Nginx+Lua实现自定义WAF(Web application firewall) 最近发现使用的人越来越多了,计划开始维护和增加新功能 2020.7.29 赵班长 项目背景介绍 需求产生 由于原生态的Nginx的一些安全防护功能有限,就研究能不能...
nginx-lua-wafNginx-Lua-WAF是一种基于Nginx的使用Lua语言开发的灵活高效的Web应用层防火墙
02-03
nginx-lua-wafNginx-Lua-WAF是一种基于Nginx的使用Lua语言开发的灵活高效的Web应用层防火墙
Nginx-ngx_lua模块原理和内置函数.docx
06-05
lua_use_default_type lua_code_cache lua_regex_cache_max_entries header_filter_by_lua ngx.headers_sent
luawaf web防火墙 redis+nginx
06-23
基于网上大牛的waf版本魔改了一下,宝塔也是用此防火墙..支持redis记录来访ip数据,更好查询记录, 需要安装openresty版本的nginx, 如何安装网上教程一大堆,自己去找吧..
setup-ghost-blog:使用Nginx和ModSecurityNaxsi Web应用程序防火墙安装自己的Ghost博客的脚本。 支持多个博客
02-05
setup-ghost-blog:使用Nginx和ModSecurityNaxsi Web应用程序防火墙安装自己的Ghost博客的脚本。 支持多个博客
一篇文章让你了解nginxlua脚本(Nginx详解)
qq_51753851的博客
07-29 4305
我们举个例子就是,访问如下路径,并且配置conf文件,代码如下##全局块 begin###配置允许运行 Nginx 工作进程的用户和用户组user www;#配置运行 Nginx 进程生成的worker进程数#配置 Nginx 服务器运行对错误日志存放的路径#配置 Nginx 服务器允许时记录 Nginx 的master进程的 PID 文件路径和名称#配置 Nginx 服务是否以守护进程方法启动#daemon on;##全局块 end####events块 begin##
nginx中添加lua模块
m0_38130105的博客
03-11 4781
nginx 中添加 lua 模块,支持lua脚本一...
nginx使用lua实战
Blueeyedboy521的博客
05-30 5212
目录一、介绍二、安装1、apt安装2、测试hello world3、命令模式三、lua语法1、数据类型2、变量3、拼接字符串..4、循环5、函数6、条件控制 一、介绍 lua是一种轻量小巧的脚本语言,用标准C语言编写并以源代码形式开放,其设计目的是为了嵌入应用程序中,从而为应用程序提供灵活的扩展和定制功能。 官网:https://www.lua.org/ 二、安装 1、apt安装 apt install lua5.3 2、测试hello world 1)、在linux虚拟机的任意目录下,新建hello.
NginxLUA(5)
分享专业、有用、有趣的技术、产品、运营和管理知识。
01-20 1934
Nginx又是业务直接和外部交流的接入点,对二次开发和动态变化又有着强烈的以及一些定制化的需求,因此出现了LUA这种嵌入式的脚本语言,它能揉和以及处理各种不同的Nginx上游输出(proxy、log等)。
026_nginx引用lua遇到的坑
weixin_33896069的博客
04-19 936
server { listen 80; listen 443 ssl; server_name www.jyall.com; access_log /data/log/nginx/*.www.jyall.com.access.log ngx_main; error_log /data/log/nginx/*.www.jyall.c...
Nginx配置Lua模块
大耳根图图的博客
06-11 669
前言NginxLua编写脚本的基本构建块是指令。指令用于指定何时运行用户Lua代码以及如何使用结果。下面是显示指令执行顺序的图。原理:ngx_luaLua嵌入Nginx,可以让Nginx执行Lua脚本,并且高并发、非阻塞的处理各种请求。Lua内建协程,这样就可以很好的将异步回调转换成顺序调用的形式。ngx_luaLua中进行的IO操作都会委托给Nginx的事件模型,从而实现非...
Nginx+Lua实现WAF应用防火墙配置
IT_10的博客
08-24 2253
本文以防止sql注入来讲解WAF配置 环境:centos7,PHP7,mysql5.6,Nginx1.13 建立一个用户表: create table user(id int(11),username varchar(64), password varchar(64),email varchar(64)); 插入一条数据 insert into user (id,username,pass...
lua模块配置nginx
09-07
要在Nginx配置Lua模块,你需要遵循以下步骤: 1. 在安装Nginx之前,请确保你已经安装了LuaJIT或者Lua的开发库。你可以通过在终端中运行以下命令来安装它们: 对于Ubuntu/Debian系统: ``` sudo apt-get ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值