modsecurity php,nginx + modsecurity实现WAF功能

最新推荐文章于 2024-07-01 00:01:43 发布
最新推荐文章于 2024-07-01 00:01:43 发布
阅读量423 收藏
点赞数
文章标签: modsecurity php
本文详细介绍如何在CentOS 6.5系统上安装和配置ModSecurity,包括依赖包管理、启用standalone模块、整合到Tengine(Nginx)中,以及如何启用OWASP规则库来防止SQL注入和XSS攻击。通过实例配置展示如何在PHP和负载均衡环境中应用ModSecurity,确保Web安全。
摘要由CSDN通过智能技术生成

modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器。

一.准备工作

系统:centos 6.5 64位、 tengine 2.1.0, modsecurity 2.8.0

依赖关系:

tengine(nginx)依赖: pcre 、zlib、 openssl, 这三个包centos 6.5 系统源里都有:yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel

modsecurty依赖的包:pcre httpd-devel libxml2 apryum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel

二.启用standalone模块并编译

下载modsecurity for nginx 解压,进入解压后目录执行:./autogen.sh

./configure --enable-standalone-module --disable-mlogc

make

三.nginx添加modsecurity模块

在编译standalone后,nginx编译时可以通过"--add-module"添加modsecurity模块:./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine

make && make install

四.添加规则

modsecurity倾向于过滤和阻止web危险,之所以强大就在于规则,OWASP提供的规则是于社区志愿者维护的,被称为核心规则CRS(corerules),规则可靠强大,当然也可以自定义规则来满足各种需求。

1.下载OWASP规则:git clone https://github.com/SpiderLabs/owasp-modsecurity-crs

mv owasp-modsecurity-crs /opt/tengine/conf/

cd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf

2.启用OWASP规则:

复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下,并将modsecurity.conf-recommended重新命名为modsecurity.conf。

编辑modsecurity.conf 文件,将SecRuleEngine设置为 on

owasp-modsecurity-crs下有很多存放规则的文件夹,例如base_rules、experimental_rules、optional_rules、slr_rules,里面的规则按需要启用,需要启用的规则使用Include进来即可。Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf

Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf

Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf

Include owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf

Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf

Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf

Include owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf

五.配置nginx

在需要启用modsecurity的主机的location下面加入下面两行即可:ModSecurityEnabled on;

ModSecurityConfig modsecurity.conf;

下面是两个示例配置,php虚拟主机:server {

listen      80;

server_name 52os.net www.52os.net;

location ~ \.php$ {

ModSecurityEnabled on;

ModSecurityConfig modsecurity.conf;

root /web/wordpress;

index index.php index.html index.htm;

fastcgi_pass   127.0.0.1:9000;

fastcgi_index  index.php;

fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;

include        fastcgi_params;

}

}

upstream负载均衡:upstream 52os.net {

server 192.168.1.100:8080;

server 192.168.1.101:8080 backup;

}

server {

listen 80;

server_name 52os.net www.52os.net;

location / {

ModSecurityEnabled on;

ModSecurityConfig modsecurity.conf;

proxy_pass http://online;

proxy_redirect         off;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;

}

}

六.测试

我们启用了xss和sql注入的过滤,不正常的请求会直接返回403。以php环境为例,新建一个phpinfo.php内容为:<?php

phpinfo();

?>

在浏览器中访问:http://www.52os.net/phpinfo.php?id=1 正常显示。

http://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。

http://www.52os.net/phpinfo.php?search=alert('xss');  返回403。

说明sql注入和xss已经被过滤了

七、安装过程中排错

1.缺少APXS会报错configure: looking for Apache module support via DSO through APXS

configure: error: couldn't find APXS

apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具,用于编译一个或多个源程序或目标代码文件为动态共享对象。

解决方法:yum install httpd-devel

2.没有pcreconfigure: *** pcre library not found.

configure: error: pcre library is required

解决方法:yum install pcre pcre-devel

3.没有libxml2configure: *** xml library not found.

configure: error: libxml2 is required

解决方法:yum install  libxml2 libxml2-devel

4.执行 /opt/tengine/sbin/nginx -m 时有警告Tengine version: Tengine/2.1.0 (nginx/1.6.2)

nginx: [warn] ModSecurity: Loaded APR do not match with compiled!

原因:modsecurity编译时和加载时的apr版本不一致造成的,并且会有以下error.log2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.

2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"

2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!

2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"

2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"

2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.

解决方法,移除低版本的APR (1.3.9)yum remove apr

5.Error.log中有: Audit log: Failed to lock global mutex2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock

global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]

解决方法:

编辑modsecurity.conf,注释掉默认的SecAuditLogType和SecAuditLog,添加以下内容:SecAuditLogDirMode 0777

SecAuditLogFileMode 0550

SecAuditLogStorageDir /var/log/modsecurity

SecAuditLogType Concurrent

懂车老王
关注
2021-08-26 网安实验-Linux操作系统加固之WAF(ModSecurity on Nginx)
时光隧道
08-26 5万+
Install Nginx with ModSecurity 1、安装NginxModSecurity依赖的包和其他必须的软件包(实验环境已经安装好) yum install gcc make automake autoconf libtool pcre pcre-devel libxml2 libxml2-devel curl curl-devel httpd-devel zlib zlib-devel openssl openssl-devel apr apr-util-devel apr-devel
WAF简介以及ModSecurity安装
weixin_64655821的博客
09-28 2118
WAF简介以及ModSecurity安装
wafModSecurity
第九系艾文
08-21 992
wafModSecurity
雷池WAF+Modsecurity安装防护及系统加固
最新发布
钟言的博客
07-01 3285
本篇为继上一篇对于XSS靶场的二次加固,将modsecurity与雷池WAF进行联动,详细内容包含了雷池WAF 1、什么是雷池 2、什么是WAF 3、雷池的功能 4、WAF部署架构 5、整体检测流程 雷池WAF环境依赖 1、查看本地CPU架构 2、Docker安装 2.1 卸载旧版本 2.2 安装yum-utils工具包 2.3 设置镜像仓库 2.4 安装docker 2.5 启动docker并查看版本 3、Docker Compose安装 3.1 卸载旧版本 3.2 下载文件并移至bin目录3.等内容。
php secmod,modsecurity从零开始
weixin_29790467的博客
03-28 275
3、关于规则的问题记录:(1)分为5个阶段:Request Header(phase:1):处理 requesst line 和 request headersRequest Body(phase:2):处理 request bodyResponse Header(phase:3):处理 response headersResponse Body(phase:4):处理 response body...
nginx配合modsecurity实现WAF功能
我心如水
06-27 2020
第三方     modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器 对于配置以及基础教程在下面这本书中都已经提到了有感兴趣的可以联系我 目前这本书最新版在国内还没有出现,官网报价是24英镑 将近200元,现在只需要30就可以得到这本wa
WAF简介及ModSecurity-nginx搭建
5L2g556F5ZWl77yf
03-25 2932
WAF简介 WAF是(Web Application Firewall)的简称,一般称为web应用防火墙(waf防火墙),用于屏蔽过滤常见漏洞攻击,sql,xml,xss等,针对应用层的入侵检测(只针对应用层)。次要功能是作网站加速用CDN等。 WAF分为三种,三类WAF优缺点均有但工作流程几乎相同。 云WAF(阿里云盾,百度云加速)用户的请求首先发送到云端节点进行检测,如存在异常请求则进行拦截否...
docker-nginx-waf:Nginx反向代理与ModSecurity Web应用程序防火墙,SSL终止(certbot)和brotli压缩
04-12
vlche / nginx-waf 泊坞窗高山基于容器提供与 , 压缩和certbot为的SSL证书自动续订。 您可以将其用作多合一服务,也可以用作SSL / Load-Balancer前端和WAF后端/后端。 其他预配置的选项包括: 优化的中间ssl设置...
docker-waf:适用于Docker的基于NGINXModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurityNGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其...
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
02-06
它表明我们要讨论的是如何在Ubuntu环境中配置Nginx以增强其安全性,特别是通过使用ModSecurity这一强大的Web应用防火墙(WAF)。 **描述解析:** 描述中的内容简洁明了,再次确认了这个软件包是为Nginx和...
nginx waf设计
03-11
基于nginxmodsecurityWAF防火墙实现的配置1.过滤文件和路径 阻止 /~ 这种带有波浪线的路径 #阻止文件类型(扩展名、后缀) .(bzr|cvs|git|svn) .(bak|backup|bzr|cfg|conf|cvs|doc|docx|DS_Store|ear|git|...
php waf 搭建,如何构建属于自己的nginx waf防火墙 VeryNginx
weixin_42349469的博客
04-15 373
构建自己防火墙的原因 : 需要对特定链接进行防cc攻击 但对某些链接不需要进行防cc攻击技术选型: 基于 nginx + lua 的 verynginx1、首先verynginx 需要nginx 编译安装模块 或者使用openrestylua-nginx-modulehttp_stub_status_modulehttp_ssl_module2、verynginx 自带的openresty...
php secmod,把Apache ModSecurity的攻击日志存储到MySQL
weixin_39779530的博客
03-28 216
把Apache ModSecurity的攻击日志存储到MySQL。 查看mod_security文件类型的日志,确实太麻烦了。国内资料居然没有百度到,找到了一篇英文文章,并且php都是写好的。httpd.confInclude conf/modsecurity-crs/crs-setup.confInclude conf/modsecurity-crs/rules/*.conf# mlogc.ex...
使用 apxs 构建和安装 Apache 扩展共享对象模块
allway2的博客
08-09 1868
ache etenion 工具或者是一个简洁的小程序(perl 脚本),它允许我们为 Apache HTTP 服务器构建和安装扩展模块。这些类似于我们多次看到的,例如、mod_proxy、、等,它们作为(共享对象)文件驻留在某个文件夹中。.so是的,我们正在讨论如何使用此工具从 C 源代码构建要使用此扩展机制,您的平台必须支持 DSO 功能(这对于大多数基于 unix 或类 unix 的操作系统都是如此)并且httpd必须(这也是相当常见的)构建。如果不是这样,apxs无论如何都会抱怨跑步。安装。...
nginx + php-fpm 搭建owncloud
weixin_30808693的博客
09-05 299
nginx + php-fpm 搭建owncloud 本文首发:https://www.cnblogs.com/somata/p/NgnixAndPhp-fpmBuildOwncloud.html 今天新研究的nginx,用owncloud来测试一下学的怎么样。大部分都还是按之前的那篇来《Centos7 搭建owncloud云存储》。 配置国内yum源 mkdir /root/back...
"./configure --with-apxs="命令出现错误Cannot find webserver等
热门推荐
Jeffery Rao的博客
05-11 1万+
在搭建web服务器的时候,在编译生成mod_jk的时候,需要用“./configure --with-apxs=”+“apxs的地址”,我们一般填写apxs的地址是按照网上的教程:“/usr/bin/apxs”或者“/usr/local/apache/bin/apxs”。这样可能找不到apxs,就会报错类似“configure:error:Invalid location for apxs:'/u
Ubuntu虚拟机couldn‘t find xx包的解决方法——tftpd-hpa等旧包的安装方法即手动修改Ubuntu下载源方法
liaojq2020的博客
08-31 2654
一些版本的Ubuntu虚拟机在安装如tftpd-hpa这一类旧包时,会由于版本等级不支持存在安装失败的问题,出现Couldn’t find xx的错误提示(如下图所示)。 这时需要手动修改虚拟机的下载源到可以下载稳定版本的下载源。具体做如下操作即可。 1.打开sources.list文件 在虚拟机终端输入指令 sudo gedit /etc/apt/sources.list 输入指令后按下回车,即可打开sources.list文件。 2.编辑sources.list文件以修改下载源 将打开的source
快速入门:ModSecurity 3.0与NGINX集成指南
- 重点关注了ModSecurity 3.0的新功能和改进,包括性能优化、规则集增强以及与NGINX集成的增强特性。 2. **安装与配置**: - 包括开源NGINX的安装步骤,详细指导用户如何将ModSecurity集成到基础的NGINX配置中。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值