【干货】ModSecurity - 针对中小站长高效、免费waf组件

最新推荐文章于 2024-08-09 16:24:01 发布
最新推荐文章于 2024-08-09 16:24:01 发布
阅读量193 收藏
点赞数
文章标签: 运维 操作系统 php
原文链接:https://yq.aliyun.com/articles/54475
版权


ModSecurity 

p.s. 因发帖规定,所有http前面都加了@哦~ 
原创作者:雷息
 
一、简介  
 
 
ModSecurity是一款免费的开源主机waf软件(@http://www.modsecurity.org/),目前官网最新版本为2.9.1,支持nginx/apache/iis(32、64位)。它主要是作为上述web应用的扩展模块形式存在,通过相关的规则文件,对外部恶意的web攻击进行识别,并作出进一步的丢弃操作。  
 
二、安装  
 
 
1.nginx/apache  
在Linux操作系统下,web应用为nginx/apache情况下,安装Modsecurity需要在部署的时候对nginx/apache进行编译,将ModSecurity源码作为一个模块编译进nginx/apache去。
.准备工作
  1. nginx : @http://nginx.org/
  2. modsecurity for Nginx@[url]https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz[/url]
  3. OWASP规则集: @[url]https://github.com/SpiderLabs/owasp-modsecurity-crs[/url]
依赖关系: 
nginx依赖: pcre zlib openssl 这三个包centos 6.5及以上 系统源里都有:
yum install zlib zlib-devel opensslopenssl-devel  pcre pcre-devel
modsecurty依赖的包:pcre @httpd-devellibxml2 apr
yum install @httpd-devel apr apr-util-develapr-devel  pcre pcre-devel  libxml2 libxml2-devel
 
 
.启用standalone模块并编译
下载modsecurity fornginx 解压,进入解压后目录执行:
./autogen.sh
./configure --enable-standalone-module--disable-mlogc
make
 
 
.nginx添加modsecurity模块
在编译standalone后,nginx编译时可以通过"--add-module"添加modsecurity模块:
./configure--add-module=/root/modsecurity-2.9.1/nginx/modsecurity/  --prefix=/opt/tengine
make && make install
 
 
.添加规则
modsecurity倾向于过滤和阻止web危险,之所以强大就在于规则,OWASP提供的规则是于社区志愿者维护的,被称为核心规则CRScorerules,规则可靠强大,当然也可以定义规则来满足各种需求。
 
 
1.   下载OWASP规则:
mv owasp-modsecurity-crs /opt/tengine/conf/
cd/opt/tengine/conf/owasp-modsecurity-crs && mvmodsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
 
 
2.启用OWASP规则:
复制modsecurity源码目录下的modsecurity.conf-recommendedunicode.mappingnginxconf目录下,并将modsecurity.conf-recommended重新命名为modsecurity.conf
编辑modsecurity.conf文件,将SecRuleEngine设置为 on  //默认值为DetectOnly 即为观察模式,建议大家在安装时先默认使用这个模式,观察一段时间,看是否对网站服务有某些不可知的影响
owasp-modsecurity-crs下有很多存放规则的文件夹,例如base_rulesexperimental_rulesoptional_rulesslr_rules,里面的规则按需要启用,需要启用的规则使用Includemodsecurity.conf即可。
Includeowasp-modsecurity-crs/modsecurity_crs_10_setup.conf
Includeowasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Includeowasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Include owasp-modsecurity-crs/base_rules /modsecurity_crs_45_trojans.confwebshell
//考虑到可能对主机性能上的损耗,目前建议只加入上述几个高危漏洞的防护规则,可以防御住目前大部分的高危web攻击
整体规则的介绍详见:@[url]http://www.2cto.com/Article/201409/334251.html[/url],可以针对自己网站的特殊需求,加入相应的规则。
注意:由于nginx@http请求的解析会与apache有所不同,因此这些规则其中某些部分是无法再nginx环境下使用的,有兴趣研究的可以参考下
 
 
.配置nginx
在需要启用modsecurity的主机的location下面加入下面两行即可:
ModSecurityEnabled on;  
ModSecurityConfig modsecurity.conf;
下面是示例配置,php虚拟主机conf或是vhost文件:
server {
     listen      80;
     server_name xxx.com www.xxx.com;
     location ~ \.php$ {
     ModSecurityEnabled on;  
     ModSecurityConfig modsecurity.conf;
     root /web/webroot;
     index index.php index.html index.htm;
     fastcgi_pass   127.0.0.1:9000;
     fastcgi_index  index.php;
      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
     include        fastcgi_params;
     }
  }
 
 
2.    IIS  
IIS下官方直接提供了msi安装文件,下载了直接安装即可。  
 
  
 
  
一. 准备工作
1.    ModSecurity V2.9.1 for IIS MSI Install-3264bits @[url]http://www.modsecurity.org/download.html[/url]       
2.   Microsoft VisualC++ 2013 Redistributable Package 
 
 
 
二. 安装  
1.直接将上述2个安装包安装即可。
2.在C:\Windows\System32\inetsrv\config\applicationHost.config找到ModSecurity这一行,改为如下
<sectionname="ModSecurity" overrideModeDefault="Allow"allowDefinition="Everywhere" /></sectionGroup>
3.   在ModSecurrity安装目录ModSecurity IIS下找到modsecurity.conf,将其中的SecRuleEngine  改为On
4.   在web根目录下的web.config文件中添加如下配置
<?xmlversion="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <ModSecurityenabled="true" configFile=" C:\ProgramFiles\ModSecurity IIS\modsecurity_iis.conf " />
    </system.webServer>
</configuration>
5.   重启下网站
 
 
三、效果  
目前已经测试过的系统包括:centos6、windowsserver2008/2012均已测试安装成功,其他系统安装过程也与上述的类似,建议大家使用系统版本的时候尽量选稳定的最新版本,某些最新版本系统可能功能特性方面改动较大,导致安装过程中存在不可预知错误  
经过测试脚本的测试,拦截率达到较高的水平,其中XSS、sql注入、文件包含、命令执行等高危攻击拦截率也是比较令人满意的。
目前市面上免费的waf产品,安全狗还是做的相当不错的,但是具体使用过程中,还是有某些问题的:windows下兼容性还是有些问题,部署后,网站某些功能使用不了;Linux下的防御效果不如modsecurity。
 
 
四、用户维护、操作  
 
   1.所有命中规则的外部攻击均会存在Modsecurity_audit.log,用户可以对这个文件中记录进行审计
2.Log文件位置在modsecurity.confSecAuditLog这个位置,linux默认开启在 /var/log/modsec_audit.logwindows需要自行开启这个配置,并设置日志位置。
3.支持自定义规则,modsecurity有自己的一套waf语法规则,新增规则直接添加到modsecurity.conf中即可。


weixin_33737774
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ModSecurity
u013836531的专栏
06-07 314
http://wenku.baidu.com/view/50762bea172ded630b1cb6b6.html?re=view http://www.freebuf.com/articles/web/63076.html http://blog.bodhizazen.net/linux/how-to-mod_security-ubuntu-904/ http://www.cnbl
ModSecurity 白名单设置
weixin_33725515的博客
04-19 1260
方法一、SecRuleRemoveById 指令:通过Rule ID禁用指定规则 #waf whitelist <LocationMatch .*> SecRuleRemoveById 960017 #allow Host Header is a IP address </LocationMatch> 方法...
一个不错的开源WAF-配置ModSecurity防火墙与OWASP规则
weixin_33973609的博客
02-07 807
0x00 背景ModSecurity是一个免费、开源的Apache模块,可以充当Web应用防火墙(WAF)。ModSecurity是一个***探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的***.OWASP是一个安全社区,开发和维护着一套免费...
waflz:Verizon Digital Media Services提供的多租户ModSecurity兼容WAF引擎
02-13
Waflz 多租户ModSecurity兼容的WAF引擎。 目录 背景 WAF引擎在c / c ++中的实现,支持处理ModSecurity规则功能的子集,可使用json或ModSecurity规则进行配置。 waflz经过优化,可以通过使用/内部数据类型并在配置文件之间共享通用规则集数据来支持并排运行许多WAF配置文件-即,如果多个WAF配置文件引用相同的规则集,则这些规则集是全部加载一次并在内存中共享。 基本原理 VDMS全球边缘平台是一个多租户CDN,可从任意给定位置支持我们成千上万的个人客户配置。 VDMS WAF支持运行OWASP核心规则集以及某些第三方规则集。 任何给定客户配置的性能和资源分配都可能会影响其他配置-即最终所有配置都驻留在数据中心中“存在点”(POP)中物理服务器上的内存中。 那么对于VDMS CDN而言,WAF必须具有高性能,内存受限和确定性,这一点很重要。
ModSecurity的规则
浅笑996的博客
10-26 5338
一、ModSecurity的规则 基本格式 SecRule VARIABLES OPERATOR ACTIONS SecRule:ModSecurity主要的指令,用于创建安全规则。 VARIABLES :代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等。 OPERATOR:代表操作符,一般用来定义安全规则的匹配条件...
modsecurity-crs-docker:官方ModSecurity Docker + Core Rule Set(CRS)映像
05-19
ModSecurity核心规则集Docker映像...$ docker build --tag owasp/modsecurity-crs:v3.3.0-apache -f v3.3.0-apache/Dockerfile . 如果调用不带参数的make ,将构建所有发行版和Web服务器组合。 或者使用make VERSIONS
ModSecurity-nginx:ModSecurity v3 Nginx连接器
05-04
ModSecurity-nginx连接器是nginx和libmodsecurityModSecurity v3)之间的连接点。 换句话说,该项目提供了nginx和libmodsecurity之间的通信通道。 要使LibModSecurity与nginx一起使用,需要此连接器。 ModSecurity...
modsecurity-nginx-1.0.3
11-03
modsecurity-nginx-1.0.3 nginx 和 libmodsecurity 之间的连接器, 其实就是一个第三方 Nginx 模块, Nginx 可以通过静态或动态方式加载该模块。 下载地址git clone --depth 1 ...
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
02-06
"nginx-modsecurity-ubuntu" 这个标题指的是在Ubuntu操作系统上用于集成Nginx web服务器和ModSecurity安全模块的软件包。它表明我们要讨论的是如何在Ubuntu环境中配置Nginx以增强其安全性,特别是通过使用...
lua-resty-waf:基于OpenResty堆栈的高性能WAF
02-03
OpenResty集成了Nginx与LuaJIT,使得我们可以编写高性能的、动态的网络应用和中间件,而lua-resty-waf则是这个框架下的一个安全组件,旨在保护Web服务免受各种攻击。 **OpenResty和Nginx-Lua** OpenResty是Nginx的...
nginx配合modsecurity实现WAF功能
chen_jianjian的专栏
07-11 3450
modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器。 一.准备工作 系统:centos 6.5 64位、 tengine 2.1.0, modsecurity 2.8.0 tengine : http://tengine.taobao.o
Modsecurity(开源waf)深度使用
weixin_34104341的博客
11-02 517
WAF(网站应用防火墙)目前已经是一款非常成熟的安全产品,市场上的WAF产品参差不齐,价格也都不菲,下面我就介绍一款DIY的WAF产品。DIY的WAF其实采用的是一款开源的hwaf产品modsecurity。安装在nginx上,nginx开启反向代理模式开启modsecurity安全插件就是目前市场上商业化WAF的反向代理部署模式的原形了,据了解,安全宝的云WAF产品就是这种...
nginx 第三方模块 modsecurity安装使用
weixin_33856370的博客
02-24 575
2019独角兽企业重金招聘Python工程师标准>>> ...
WAF_owasp-modsecurity-crs(Web Application Firewall应用防火墙)修改规则
洋子的博客
02-27 1239
WAF_owasp-modsecurity-crs(Web Application Firewall应用防火墙)!!!! 当然针对于安全的角度我们设置防火墙,但是既然是防火墙就避免不了误删,但是防火墙又不能直接关闭或者强行修改规则,那么我们就按照防火墙的规则增加白名单就好了。 在开发一个功能时发现第三方的POST请求全都被Nginx403拒绝了,原因是因为回调的内容有大量的HTML内容误被认为是X...
Modsecurity原理分析--从防御方面谈WAF的绕过(一)
chengfangang的专栏
11-10 4728
0x00 背景知识 一说到WAF,在我们安全工作者,或者作为普通的白帽子来说,就很头疼,因为好多时候,我们发到服务端的恶意流量都被挡掉了,于是就产生了各种绕“WAF”的话题,绕来绕去,也就无非那么多种,而且大多都是基于URLDecode的方式。 虽然我的文章也会讲绕过,虽然也是那么几种,但是我会从防御的方面展示WAF规则的强大。 笔者再次强调,如果你只是想学习WAF的绕过
ModSecurity规则库学习
慢慢来的博客
08-16 6350
OWASP ModSecurity Core Rule Set https://www.netnea.com/cms/core-rule-set-inventory/ 可以看到规则非常细, 整理分析文章:https://yq.aliyun.com/ziliao/5287 1、主要规则文件: REQUEST-910-IP-REPUTATION.conf(可疑IP匹配) REQUEST-9...
Linux磁盘管理与文件系统(一):磁盘、MBR与分区和文件系统
shyuu的博客
08-08 996
Linux磁盘管理与文件结构(一),理论讲解磁盘结构、MBR与分区和文件系统
Falsk测试与部署(第九阶段)
蜡笔小新星的博客
08-09 629
在本章节中,我们学习了如何使用unittest和pytest进行单元和集成测试,以及如何配置Flask应用,使用WSGI服务器部署,容器化Flask应用并将其部署到各种云服务平台。通过这些步骤,你可以确保你的Flask应用在生产环境中的稳定性和可靠性。希望这些知识能够帮助你在实际项目中更好地实现测试和部署。
Centos7.6配置阿里云镜像源
ZHOUY@H
08-09 142
1、备份本地镜像源,将/etc/yum.repos.d/下所有文件备份到/etc/yum.repos.d/bak/下。3、清除yum缓存-yum clean all。4、验证镜像源仓库 yum repolist。
zabbix的自动发现和注册、proxy代理和SNMP监控
最新发布
Alone8046的博客
08-09 306
二、zabbix通过代理服务器添加主机:分布式监控,代理服务器的作用就是分担 server 的集中式压力;先有服务器,再有模版,模版当中设置应用集,模版当中设置应用集,再应用集中配置监控项,在监控项之后配置触发器,最后配置图形(可选项)zabbix proxy(代理服务器):代理服务器也要安装数据库,保存客户端的数据,然后再发送给服务端(代收器)zabbix客户端主动的和服务端联系,将自己的地址和端口发送给服务端,实现自动添加监控主机。snmp:简单网络管理协议,用来监控网络设备,可以监控交换机和路由器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值