Nginx+Modsecurity 安全安装

最新推荐文章于 2024-06-11 11:14:06 发布
最新推荐文章于 2024-06-11 11:14:06 发布
阅读量1.6k 收藏 4
点赞数 1
分类专栏: linux运维 文章标签: nginx 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40230682/article/details/119387798
版权

一、安装nginx

Nginx可选择直接yum安装,也可以使用二进制文件编译安装,该文档模拟使用yum安装后,添加Modsecurity 模块

#安装nginx-1.16.1 [直接yum install nginx 安装1.20.1也行]
rpm -ivh http://nginx.org/packages/centos/7/x86_64/RPMS/nginx-1.16.1-1.el7.ngx.x86_64.rpm

#此时Nginx 已安装完成,可查看nginx版本
 nginx -v 

#使用nginx -V 查看已编译安装的模块,此时没有modsecurity-nginx模块,需要重新下载对应版本的nginx二进制文件,重新进行编译安装。

二、下载nginx、modsecurity、modsecurity-nginx、modsecurity-crs

Nginx:  http://nginx.org/download/

Modsecurity: https://github.com/SpiderLabs/ModSecurity/releases/

Modsecurity-nginx: https://github.com/SpiderLabs/ModSecurity-nginx/releases

modsecurity-crs: https://github.com/SpiderLabs/owasp-modsecurity-crs/releases

三、安装

#安装基础依赖等,编译二进制文件时也需要,若后续编译安装时还需要其他依赖,再进行单独安装
yum -y install libxml2 libxml2-dev libxslt-devel gd-devel perl-devel perl-ExtUtils-Embed GeoIP GeoIP-devel GeoIP-data gcc gcc-c++ autoconf automake zlib zlib-devel openssl-devel pcre-devel gperftools

yum groupinstall 'Development Tools' -y

# 安装modsecurity
#将已经下载的modsecurity二进制包放入服务器进行解压
tar zxvf modsecurity-v3.0.4.tar.gz
#将解压的的文件夹移动至/usr/local/下(建议)
mv modsecurity-v3.0.4 /usr/local/
cd /usr/local/modsecurity-v3.0.4
./configure
make    #该步骤有点慢
make install
#编译完成,modsecurity的安装路径在/usr/local/modsecurity/下
cp modsecurity.conf-recommended /usr/local/modsecurity/modsecurity.conf
cp unicode.mapping /usr/local/modsecurity/

#下载ModSecurity-nginx模块,解压放置/usr/local/src
tar zxvf modsecurity-nginx-v1.0.2.tar.gz
mv modsecurity-nginx-v1.0.2 /usr/local/modsecurity-nginx

#重新编译安装nginx,先记录其已编译的模块
nginx -V
#下载对应版本的nginx,备份旧nginx文件,并解压编译新nginx
mv /etc/nginx /etc/nginx_bak
mv /usr/sbin/nginx /usr/sbin/nginx_bak
tar zxvf nginx-1.16.1.tar.gz
mv nginx-1.16.1 /etc/nginx
cd /etc/nginx
#进行重新编译,在旧已编译的模块后方加入--add-module=/usr/local/modsecurity-nginx

./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie' --add-module=/usr/local/modsecurity-nginx

make
make install
#若无报错,即可查看modsecurity-nginx编译加载成功
nginx -V

四、添加modsecurity安全规则及配置modsecurity

# 下载owasp-modsecurity-crs 规则并解压

tar zxvf owasp-modsecurity-crs-3.1.1.tar.gz
cd owasp-modsecurity-crs-3.1.1
#将安全规则与配置文件放置modsecurity中
cp -r rules/ /usr/local/modsecurity/
cp crs-setup.conf.example /usr/local/modsecurity/crs-setup.conf


#修改modsecurity配置文件
vim /usr/local/modsecurity/modsecurity.conf
# 由 DetectionOnly 改为 On
SecRuleEngine On
# 由 ABIJDEFHZ 改为 ABCDEFHZ
SecAuditLogParts ABCDEFHZ
# 修改modsec日志文件,改文件会特别大,建议将路径修改至数据盘(需要手动创建文件夹)
SecAuditLog /data/log/modsec_audit.log
# 下面3行追加到配置文件
Include /usr/local/modsecurity/crs-setup.conf
#加载rules中所有规则,也可自定义加载的规则
Include /usr/local/modsecurity/rules/*.conf
#看需求是否需要为JSON格式
SecAuditLogFormat JSON 


# -----自定义安全规则-----
# 下面2行追加到配置文件
Include /usr/local/modsecurity/crs-setup.conf
Include /usr/local/modsecurity/main.conf
#配置main.conf文件,即可自定义需要的安全规则
vim /usr/local/modsecurity/main.conf
#白名单ip
#SecRule REMOTE_ADDR "@ipMatch xx.xx.xx.xx" "id:1000,phase:1,pass,nolog,ctl:ruleEngine=Off"
#规则使用情况
#include /etc/nginx/modsecurity/rules/REQUEST-910-IP-REPUTATION.conf
#include /etc/nginx/modsecurity/rules/REQUEST-911-METHOD-ENFORCEMENT.conf
include /etc/nginx/modsecurity/rules/REQUEST-912-DOS-PROTECTION.conf
include /etc/nginx/modsecurity/rules/REQUEST-913-SCANNER-DETECTION.conf
include /etc/nginx/modsecurity/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf
#include /etc/nginx/modsecurity/rules/REQUEST-931-APPLICATION-ATTACK-RFI.conf
include /etc/nginx/modsecurity/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf
#include /etc/nginx/modsecurity/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf
#include /etc/nginx/modsecurity/rules/REQUEST-934-APPLICATION-ATTACK-NODEJS.conf
include /etc/nginx/modsecurity/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf
include /etc/nginx/modsecurity/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf
include /etc/nginx/modsecurity/rules/REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf
include /etc/nginx/modsecurity/rules/REQUEST-944-APPLICATION-ATTACK-JAVA.conf
include /etc/nginx/modsecurity/rules/RESPONSE-950-DATA-LEAKAGES.conf
include /etc/nginx/modsecurity/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf
include /etc/nginx/modsecurity/rules/RESPONSE-952-DATA-LEAKAGES-JAVA.conf
#include /etc/nginx/modsecurity/rules/RESPONSE-953-DATA-LEAKAGES-PHP.conf
#include /etc/nginx/modsecurity/rules/RESPONSE-954-DATA-LEAKAGES-IIS.conf
include /etc/nginx/modsecurity/rules/RESPONSE-959-BLOCKING-EVALUATION.conf
include /etc/nginx/modsecurity/rules/RESPONSE-980-CORRELATION.conf

五、引用启动modsecurity

#配置nginx 配置文件,在虚拟主机或者整体http配置中引用modsecurity
vim /etc/nginx/nginx.conf
    modsecurity on;  #若不使用modsecurity注释掉这两行即可
    modsecurity_rules_file /usr/local/modsecurity/modsecurity.conf;


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;
    #modsecurity on;
    #modsecurity_rules_file /usr/local/modsecurity/modsecurity.conf;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;
    server {
        listen       80 default_server;
        listen       [::]:80 default_server;
        server_name  _;
        root         /usr/share/nginx/html;

        include /etc/nginx/default.d/*.conf;


        error_page 404 /404.html;
        location = /404.html {
        }

        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

六、测试modsecurity

#启动nginx
nginx

#关闭nginx
nginx -s stop

#重读配置文件
nginx -s reload

#每次修改modsecurity之后,需要重读nginx配置文件

#使用浏览器访问
http://xx.xx.xx.xx:xx/login?id=1 and 1=1 
#页面会提示为403状态。另,查看modsecurity日志,也可以测试modsecurity是否正常加载
tail -f /data/log/modsec_audit.log

菜鸟入行
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
nginx-modsecurity3-centos7-3.0.4-1.x86_64.rpm
05-19
Nginx 1.16.1 with ModSecurity 3.0.4 软件安装包,可用于 Modsecurity 学习。
基于 NGINX 的 WAF 配置方法之ModSecurity
markvivv随笔
03-15 3058
我们都希望自己创建的应用程序是安全的,不会轻易被破坏。但是,忽然而至的黑客攻击新闻,突然收到的安全通报,都在提醒我们安全无小事,挑战随时随地发生。随着扫描器、rootkit 和其他恶意工具的盛行,只需有一点点技术知识的人就可以很容易地开始入侵网站。虽然被入侵可能是不可避免的,但我们仍然应该采取一切预防措施,保护我们的应用程序和数据,降低被入侵的风险,减少被通报的次数。ModSecurity 是一个确保应用程序安全的WAF开源工具,全世界有超过一百万个网站在使用。
nginx安装和配置ModSecurity
最新发布
一个今天胜过两个明天
06-11 551
通过以上步骤,我们在 Nginx安装和配置 ModSecurity,可以增强Web 服务器的安全性。ModSecurity 强大的规则集和灵活的配置选项,对安全防护最重要的就是规则,所以一定要定期审查日志,根据需要调整配置,适时更新规则集,以保持最佳的安全状态。OWASP 提供了一组常用的 ModSecurity 核心规则 (CRS),可以有效地防御许多常见的 Web 攻击。这里我禁止了对/tmp目录的访问,但允许/tmp后面加字母和数字的目录,比如/tmpabc,是允许的,主要是防止误杀。
NGINX+ModSecurity搭建
qq_42890862的博客
01-05 3279
1、建立临时工作任务 [root@localhost ~]# cd /root && mkdir temporary && cd temporary/ 2、yum安装系统常用软件 [root@localhost temporary]# yum install epel-release [root@localhost temporary]# yum groupinstall ‘Development Tools’ -y 3、modsecurity依赖安装 [root@local
nginx 第三方模块 modsecurity安装使用
weixin_33856370的博客
02-24 577
2019独角兽企业重金招聘Python工程师标准>>> ...
Ubuntu下Nginx配置ModSecurity详细思路及过程
qq490765184的博客
09-14 1095
Ubuntu下Nginx配置ModSecurity详细思路及过程
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
02-06
"nginx-modsecurity-ubuntu" 这个标题指的是在Ubuntu操作系统上用于集成Nginx web服务器和ModSecurity安全模块的软件包。它表明我们要讨论的是如何在Ubuntu环境中配置Nginx以增强其安全性,特别是通过使用...
nginx waf设计
03-11
基于nginxmodsecurity的WAF防火墙实现的配置1.过滤文件和路径 阻止 /~ 这种带有波浪线的路径 #阻止文件类型(扩展名、后缀) .(bzr|cvs|git|svn) .(bak|backup|bzr|cfg|conf|cvs|doc|docx|DS_Store|ear|git|...
docker-waf:适用于Docker的基于NGINXModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurityNGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其...
ModSecurity-nginx:ModSecurity v3 Nginx连接器
05-04
ModSecurity-nginx连接器是nginx和libmodsecurityModSecurity v3)之间的连接点。 换句话说,该项目提供了nginx和libmodsecurity之间的通信通道。 要使LibModSecuritynginx一起使用,需要此连接器。 ModSecurity...
Nginx - 集成ModSecurity实现WAF功能
小工匠
05-19 2117
ModSecurity是一款开源的Web应用防火墙(WAF),它能够保护Web应用免受各种类型的攻击。作为一个嵌入式模块,ModSecurity可以集成到常见的Web服务器(如Apache、Nginx)中,以拦截和阻止恶意的HTTP请求。其设计目标是提供一个灵活、可配置的安全解决方案,能够保护Web应用免受SQL注入、跨站脚本(XSS)、请求伪造、路径遍历等各种常见的Web攻击。
nginx安装配置modsecurity waf防火墙(附完整编译、配置、排错、详细规则)
高性价比服务器就选:蓝易云
11-02 221
通过以上步骤,你已经成功在Nginx安装和配置了ModSecurity WAF。ModSecurity能够提供Web应用程序的安全防护,帮助防止各种攻击。请确保始终保持规则集的更新,并定期检查日志以确保系统的安全性。在开始安装ModSecurity前,需要确保系统中已经安装了一些必要的依赖项。
Nginx 安装 ModSecurity 模块
zhanggd57的博客
04-06 7610
1.首先把需要得规则策略包丢到/usr/local目录下 (后面好像没用到,可以暂时忽略) 下载链接: owasp-modsecurity-crs/rules at v3.3/dev · SpiderLabs/owasp-modsecurity-crs · GitHub 2.安装依赖工具 yum install -y epel-release yum install -y readline-devel curl-devel gcc gcc-c++ python-devel lua-devel d
CentOS 7.X 网络安全加固 Nginx 安装 ModSecurity 模块
ideal-lingyun
03-13 1092
CentOS 7.X 网络安全加固 Nginx 安装 ModSecurity 模块
学习Nginx(十三):第三方模块ModSecurity安装与规则配置
Linux技术宅
05-24 1050
ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。SQL Injection (SQLi):阻止SQL注入Cross Site Scripting (XSS):阻止跨站脚本攻击Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击。
Nginx + ModSecurity 配置安装
thlzjfefe的博客
01-18 2695
软件环境:centos7,nginx-1.14.1,modsec-3.0.3,ModSecurity-nginx.git 软件环境安装 #第一:准备编译和依赖环境 yum install gcc wget git geoip-devel libcurl-devel libxml2 libxml2-devel libgd-devel openssl-devel -y yum ...
nginx waf防火墙之Modsecurity
第九系艾文
03-14 872
nginx 只waf防火墙 modsecutiry
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值