CentOS7下Nginx使用ModSecurity进行WAF防护

最新推荐文章于 2024-04-18 19:50:31 发布
最新推荐文章于 2024-04-18 19:50:31 发布
阅读量1.1k 收藏 2
点赞数
文章标签: 运维 git 开发工具
原文链接:https://my.oschina.net/u/574036/blog/3005903
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

CentOS7下Nginx使用ModSecurity进行WAF防护

环境:CentOS7,当前yum源中Nginx最新版本1.12.2。ModSecurity为v3.本文适用于nginx反代Tomcat,或者nginx和php的环境,一切nginx可以反向代理的环境理论上都适合。

1 安装nginx
yum install nginx -y
yum update nginx
yum info nginx
2 安装编译依赖环境
yum install autoconf automake bzip2 flex gcc git httpd-devel libaio-devel libass-devel libjpeg-turbo-devel libpng12-devel libtheora-devel libtool libva-devel libvdpau-devel libvorbis-devel libxml2-devel libxslt-devel perl texi2html unzip zip openssl openssl-devel geoip geoip-devel

yum install -y gcc make automake autoconf libtool
yum install -y pcre pcre-devel libxml2 libxml2-devel curl curl-devel httpd-devel
4 编译ModSecurity lib
git clone https://github.com/SpiderLabs/ModSecurity
cd ModSecurity
git checkout -b v3/master origin/v3/master
sh build.sh
git submodule init
git submodule update
./configure
make && make install

输入路径为:/usr/local/modsecurity/lib
5 编译ModSecurity-Nginx[需要nginx源码]
git clone https://github.com/SpiderLabs/ModSecurity-nginx.git
wget http://nginx.org/download/nginx-1.12.2.tar.gz

解压nginx: tar zxvf nginx-1.12.2.tar.gz
查看nginx参数: nginx -V CentOS7源中nginx的输出为,复制configure arguments后面的参数备用

cd nginx-1.12.2 开始编译,注意add-dynamic-module前面是两个横线

./configure –prefix=/usr/share/nginx –sbin-path=/usr/sbin/nginx –modules-path=/usr/lib64/nginx/modules –conf-path=/etc/nginx/nginx.conf –error-log-path=/var/log/nginx/error.log –http-log-path=/var/log/nginx/access.log –http-client-body-temp-path=/var/lib/nginx/tmp/client_body –http-proxy-temp-path=/var/lib/nginx/tmp/proxy –http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi –http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi –http-scgi-temp-path=/var/lib/nginx/tmp/scgi –pid-path=/run/nginx.pid –lock-path=/run/lock/subsys/nginx –user=nginx –group=nginx –with-file-aio –with-ipv6 –with-http_auth_request_module –with-http_ssl_module –with-http_v2_module –with-http_realip_module –with-http_addition_module –with-http_xslt_module=dynamic –with-http_image_filter_module=dynamic –with-http_geoip_module=dynamic –with-http_sub_module –with-http_dav_module –with-http_flv_module –with-http_mp4_module –with-http_gunzip_module –with-http_gzip_static_module –with-http_random_index_module –with-http_secure_link_module –with-http_degradation_module –with-http_slice_module –with-http_stub_status_module –with-http_perl_module=dynamic –with-mail=dynamic –with-mail_ssl_module –with-pcre –with-pcre-jit –with-stream=dynamic –with-stream_ssl_module –with-google_perftools_module –with-debug –with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong –param=ssp-buffer-size=4 -grecord-gcc-switches -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -m64 -mtune=generic' –with-ld-opt='-Wl,-z,relro -specs=/usr/lib/rpm/redhat/redhat-hardened-ld -Wl,-E' --add-dynamic-module=../ModSecurity-nginx

make modules
编译完成的so文件在: ./objs/ngx_http_modsecurity_module.so
6 下载默认的配置文件
  • 下载ModSecurity配置文件:
mkdir modsec
cd modsec
wget https://raw.githubusercontent.com/SpiderLabs/ModSecurity/v3/master/modsecurity.conf-recommended
mv modsecurity.conf-recommended /etc/nginx/modsecurity.conf

打开此文件,设置启用waf设置,修改
SecRuleEngine DetectionOnly 为 SecRuleEngine On
  • 配置WAF核心规则:
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd owasp-modsecurity-crs/
cp -R rules/ /etc/nginx/conf/
cp crs-setup.conf.example /etc/nginx/crs-setup.conf

设置启用这些规则:
vim /etc/nginx/modsecurity.conf

增加以下几行:
#加载规则配置文件
Include crs-setup.conf
#加载所有规则
Include rules/*.conf
#禁用某个规则方法
#SecRuleRemoveById 911250
  • 配置nginx启用so链接库
复制链接库
cp ./nginx-1.12.2/objs/ngx_http_modsecurity_module.so /usr/share/nginx/modules/
修改配置文件
vim /etc/nginx/nginx.conf
增加下面一行
load_module /usr/share/nginx/modules/ngx_http_modsecurity_module.so
修改主机定义,或者虚拟主机定义文件
load_module /usr/share/nginx/modules/ngx_http_modsecurity_module.so;
http {
    server {
        #针对全局启用
         modsecurity on;
        modsecurity_rules_file /etc/nginx/modsecurity.conf;
        location / {
            #如果需要针对单个应用启用,编辑这里
        }
    }
}

7 重启nginx

service nginx restart

tailf /var/log/modsec_audit.log

转载于:https://my.oschina.net/u/574036/blog/3005903

weixin_34184561
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos7环境下Nginx版本升级方式及步骤
11-12
此手册主要用于记录个人进行nginx升级的步骤和心得,介绍了2种升级方式。 YUM upgrade升级:本方式适用于使用rpm安装nginx的方式,优点是升级操作简单便捷,缺点是无法升级到指定版本,默认升级至YUM安装支持的...
【如何快速搭建企业级的WAF防火墙】
zheng_le的博客
05-14 1847
基于 Centos -7、 OpenResty、Best-Nginx-Waf 快速搭建起企业级的网站WAF防火墙;
CentOS7雷池WAF基于Docker搭建部署
QuJJan的博客
01-17 1289
WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击长亭科技耗时近 10 年倾情打造的 WAF采用容器化部署,一条命令即可完成安装,0 成本上手安全配置开箱即用,无需人工维护,可实现安全躺平式管理。
centos7安装 Nginx+ModSecurity实现WAF
苏谨
11-04 2564
modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器。复制crs-setup.conf.example到/usr/app/nginx/conf/modsecurity/下并重命名为crs-setup.conf。在http或server节点中添加以下内容(在http节点添加表示全局配置,在server节点添加表示为指定网站配置)返回200 nginx首页内容。
常见modesecurity WAF拦截规则
qq_42890862的博客
04-27 1056
1、指定禁用某个ID号的规则(例:拦截ID为942100) SecRuleRemoveById 942100 2、禁用多个规则ID SecRuleRemoveById 942100 942101 ...... 3、禁用ID在941000-942000区间(包含前后ID)的所有规则 SecRuleRemoveById 941000-942000 4、禁用ID为942100、942100,以及ID在941000-942000区间(包含前后ID)的所有规则 SecRuleRemoveById 942100
nginx下安装配置modsecurity waf防火墙(附完整编译、配置、排错、详细规则)
不负韶华梦为马
11-26 1057
nginx下安装配置modsecurity waf防火墙(附完整编译、配置、排错、详细规则) 前言:此次编译配置modsecurity基于一键安装包环境(centos、nginx等)适用于阿里云,整个过程遇到不少坑,网上关于modsecurity的信息还是太少,有的教程不全,有的教程不适用一键安装包,还有很多坑。为了避免更多人少走弯路,因此打算写这篇文章帮助更多的人用上modsecu...
CentOS7 通过iptables实现全透明模式WAF
大西瓜的博客
04-27 4863
iptables 全透明模式部署WAF 需求 :WAF作为第七层的应用,前面通过NGINX实现了反向代理防护目标站点,现要实现透明模式防护(用户直接访问目标站点IP,如果流量触发WAF规则则会被拦截,如果正常则记录流量到WAF数据库后放行,用户感知不到WAF存在,但是WAF正常生效,后续再考虑软件Bypass或硬件Bypass) 流量流转过程 服务器接线方式 (实际环境ip和图里不一样,实际为被防护站点:192.168.113.105, WAF:192.168.113.104) 开始骚操作 1、接好线
centos安装部署nginx-waf
weixin_45444133的博客
01-17 989
nginx-waf 防火墙保护部署
openresty + waf 搭建
u011196623的专栏
05-23 650
Centos7安装Openresty通过yum安装 在 /etc/yum.repos.d/ 下新建 OpenResty.repo 内容 [openresty] name=Offici...
Centos7nginx的安装与配置教程详解
09-14
主要介绍了Centos7nginx的安装与配置教程详解,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
Centos 7 64 +[nginx+ngx_lua 模块] 支持WAF防护功能
11-16
Centos 7 64 +[nginx+ngx_lua 模块] 支持WAF防护功能 可以作为喔
CentOS7Nginx添加系统服务的方法步骤
09-15
主要介绍了CentOS7Nginx添加系统服务的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx-modsecurity3-centos7-3.0.4-1.x86_64.rpm
05-19
Nginx 1.16.1 with ModSecurity 3.0.4 软件安装包,可用于 Modsecurity 学习。
CentOS 7下安装Nginx服务器
09-30
主要为大家详细介绍了CentOS 7下安装Nginx服务器的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
记录一下联想连接wifi成功但是显示无internet
糕糕的博客
04-15 253
联想无法连接wifi
网络篇07 | 应用层 其他协议
qiushily2030的博客
04-14 1135
这一篇只说明一个问题,应用层的协议五花八门,都是各个领域自己造轮子,贴合他们的使用习惯捣鼓出来的,这就和好几家大企业相互争抢市场资源一样,也和各种语言争抢市场份额一样。(PHP是全世界最牛的语言)
Docker篇(三)— Docker的基本操作
脚踏实地,实事求是。
04-16 522
Docker的基本操作
记一次webshell排查但又无webshell的应急
最新发布
黑战士的博客
04-18 240
某次应急中,客户吓坏了,说是内网流量分析设备中有很多webshell连接告警,作为一名卑微但又不失理想的安服仔,毅然直奔前线…
BCLinux8U6系统部署oceanbase分布式数据库社区版之二、数据库服务器准备
forestqq的博客
04-16 373
本文是在完成步骤一、准备 OBD 中控机后的第二步,准备3台oceanbase分布式数据库服务器。
centos7nginx配置文件
07-28
在CentOS 7下,Nginx的配置文件位于`/etc/nginx/nginx.conf`。你可以使用任何文本编辑器打开该文件进行配置。 以下是一个简单的示例配置文件: ``` user nginx; worker_processes auto; error_log /var/log/nginx/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值