学习Nginx(十三):第三方模块ModSecurity的安装与规则配置

已于 2024-06-03 10:06:08 修改
阅读量767 收藏 11
点赞数 32
分类专栏: 学习Nginx 文章标签: 学习 nginx 运维
于 2024-05-24 07:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45081413/article/details/139137462
版权

简介

ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。

ModSecurity功能介绍:

    • SQL Injection (SQLi):阻止SQL注入
    • Cross Site Scripting (XSS):阻止跨站脚本攻击
    • Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击
    • Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击
    • Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击
    • PHP Code Injectiod:阻止PHP代码注入
    • HTTP Protocol Violations:阻止违反HTTP协议的恶意访问
    • HTTPoxy:阻止利用远程代理感染漏洞进行攻击
    • Sshllshock:阻止利用Shellshock漏洞进行攻击
    • Session Fixation:阻止利用Session会话ID不变的漏洞进行攻击
    • Scanner Detection:阻止黑客扫描网站
    • Metadata/Error Leakages:阻止源代码/错误信息泄露
    • Project Honey Pot Blacklist:蜜罐项目黑名单
    • GeoIP Country Blocking:根据判断IP地址归属地来进行IP阻断

安装依赖工具

[root@RockyLinux9 ~]# dnf install -y unzip wget epel-release
[root@RockyLinux9 ~]# dnf install -y gcc-c++ flex bison yajl lua curl-devel curl zlib-devel pcre-devel pcre2-devel libxml2-devel ssdeep-devel libtool autoconf automake make libmaxminddb


# 以下组件无法使用工具安装,请注意devel包与系统中对应组件的版本一致
[root@RockyLinux9 ~]# wget https://mirrors.aliyun.com/rockylinux/9/devel/x86_64/kickstart/Packages/l/lua-devel-5.4.4-4.el9.x86_64.rpm
[root@RockyLinux9 ~]# wget https://mirrors.aliyun.com/rockylinux/9/devel/x86_64/kickstart/Packages/y/yajl-devel-2.1.0-22.el9.x86_64.rpm
[root@RockyLinux9 ~]# wget https://mirrors.aliyun.com/rockylinux/9/devel/x86_64/kickstart/Packages/l/lmdb-0.9.29-3.el9.x86_64.rpm
[root@RockyLinux9 ~]# wget https://mirrors.aliyun.com/rockylinux/9/devel/x86_64/kickstart/Packages/l/lmdb-devel-0.9.29-3.el9.x86_64.rpm
[root@RockyLinux9 ~]# wget https://mirrors.aliyun.com/rockylinux/9/devel/x86_64/kickstart/Packages/l/libmaxminddb-devel-1.5.2-3.el9.x86_64.rpm
[root@RockyLinux9 ~]# dnf localinstall -y libmaxminddb-devel-1.5.2-3.el9.x86_64.rpm
[root@RockyLinux9 ~]# dnf localinstall -y yajl-devel-2.1.0-22.el9.x86_64.rpm
[root@RockyLinux9 ~]# dnf localinstall -y lmdb-0.9.29-3.el9.x86_64.rpm
[root@RockyLinux9 ~]# dnf localinstall -y lmdb-devel-0.9.29-3.el9.x86_64.rpm
[root@RockyLinux9 ~]# dnf localinstall -y libmaxminddb-devel-1.5.2-3.el9.x86_64.rpm

安装ModSecurity

[root@RockyLinux9 ~]# cd /usr/local/
[root@RockyLinux9 local]# wget https://github.com/owasp-modsecurity/ModSecurity/releases/download/v3.0.12/modsecurity-v3.0.12.tar.gz
[root@RockyLinux9 local]# tar xf modsecurity-v3.0.12.tar.gz
[root@RockyLinux9 local]# mv modsecurity-v3.0.12 modsecurity
[root@RockyLinux9 local]# cd modsecurity
[root@RockyLinux9 modsecurity]# ./configure
[root@RockyLinux9 modsecurity]# make && make install

配置模块ModSecurity-nginx

  • 停止nginx服务
[root@RockyLinux9 modsecurity]# systemctl stop nginx
[root@RockyLinux9 modsecurity]# ps -ef|grep nginx
  • 下载ModSecurity-nginx
[root@RockyLinux9 ~]# cd /usr/local/
[root@RockyLinux9 local]# wget https://github.com/owasp-modsecurity/ModSecurity-nginx/releases/download/v1.0.3/modsecurity-nginx-v1.0.3.tar.gz
[root@RockyLinux9 local]# tar xf modsecurity-nginx-v1.0.3.tar.gz
[root@RockyLinux9 local]# mv modsecurity-nginx-v1.0.3 modsecurity-nginx
  • 查看依赖并重新编译nginx
[root@RockyLinux9 modsecurity]# cd /root/nginx-1.26.0
[root@RockyLinux9 nginx-1.26.0]# nginx -V
# 添加--add-module=ModSecurity-nginx的路径
[root@RockyLinux9 nginx-1.26.0]# ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_ssl_module --with-http_v2_module --with-http_realip_module --with-http_stub_status_module --with-http_gzip_static_module --with-pcre --with-stream --with-stream_ssl_module --with-stream_realip_module --add-module=/usr/local/modsecurity-nginx
[root@RockyLinux9 nginx-1.26.0]# make && make instal
  • 启动nginx
[root@RockyLinux9 nginx-1.26.0]# systemctl start nginx

模拟XSS攻击

  • 模拟测试未启动ModSecurity时的访问效果
    • URL:http://linuxjsz.com/?param="<script>alert(1);</script>

修改配置文件

  • 创建相关配置文件夹
[root@RockyLinux9 nginx-1.26.0]# cd /usr/local
[root@RockyLinux9 local]# mkdir /usr/local/nginx/conf/modsecurity
# 下载规则文件
[root@RockyLinux9 local]# wget http://www.modsecurity.cn/download/corerule/owasp-modsecurity-crs-3.3-dev.zip
[root@RockyLinux9 local]# unzip owasp-modsecurity-crs-3.3-dev.zip
# 拷贝相关文件
[root@RockyLinux9 local]# cp -r /usr/local/owasp-modsecurity-crs-3.3-dev/rules/ /usr/local/nginx/conf/modsecurity/
[root@RockyLinux9 local]# cp /usr/local/owasp-modsecurity-crs-3.3-dev/crs-setup.conf.example /usr/local/nginx/conf/modsecurity/crs-setup.conf
[root@RockyLinux9 local]# cp /usr/local/modsecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity/modsecurity.conf
[root@RockyLinux9 local]# cp /usr/local/modsecurity/unicode.mapping /usr/local/nginx/conf/modsecurity/
  • 修改nginx
    • 在http或server段中添加如下内容(http段添加表示全局配置,server段添加表示执行对应网站地址配置)
[root@RockyLinux9 local]# vim /usr/local/nginx/conf/nginx.conf
http {
    ...
    modsecurity on;
    modsecurity_rules_file /usr/local/nginx/conf/modsecurity/modsecurity.conf;
    ...
}
  • 修改modsecurity.conf
[root@RockyLinux9 local]# vim /usr/local/nginx/conf/modsecurity/modsecurity.conf
# 修改参数
  7 #SecRuleEngine DetectionOnly
  8 SecRuleEngine On
  9
# 添加如下内容,加载相关规则及配置  
 10 Include /usr/local/nginx/conf/modsecurity/crs-setup.conf
 11 Include /usr/local/nginx/conf/modsecurity/rules/*.conf
  • 重载nginx
[root@RockyLinux9 local]# nginx -s reload

测试结果

  • 查看浏览器,刷新

分享、在看与点赞
👇只要你点,我们就是胖友👇

来自: 学习Nginx(十三):第三方模块ModSecurity的安装与规则配置icon-default.png?t=N7T8https://mp.weixin.qq.com/s/o1UXCeFF_Xcc4C1fQlmvRg

Linux技术宅
关注
  • 32
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
docker-waf, 基于 NginxModSecurity的Docker 网络应用防火墙.zip
09-17
docker-waf, 基于 NginxModSecurity的Docker 网络应用防火墙 在使用ModSecurityNginx 构建的Web应用程序防火墙( WAF )的情况下,保护 Docker 容器的安全性一个人绝对不能太偏心于在线安全,因为有很多原因。 缺省情况下,容器通常被认为是更安全的,因为它们大大减少了给定应
nginx安装第三方模块的方法
09-30
其中一个重要的特性就是它支持第三方模块安装,这使得Nginx能够通过扩展来增加更多的功能。** ### 安装Nginx第三方模块 #### 在未安装Nginx的情况下安装第三方模块 1. **下载Nginx源码**:首先从[Nginx官方网站...
Nginx - 集成ModSecurity实现WAF功能
最新发布
小工匠
05-19 1084
ModSecurity是一款开源的Web应用防火墙(WAF),它能够保护Web应用免受各种类型的攻击。作为一个嵌入式模块ModSecurity可以集成到常见的Web服务器(如Apache、Nginx)中,以拦截和阻止恶意的HTTP请求。其设计目标是提供一个灵活、可配置的安全解决方案,能够保护Web应用免受SQL注入、跨站脚本(XSS)、请求伪造、路径遍历等各种常见的Web攻击。
Ubuntu下Nginx配置ModSecurity详细思路及过程
qq490765184的博客
09-14 891
Ubuntu下Nginx配置ModSecurity详细思路及过程
nginx安装配置modsecurity waf防火墙(附完整编译、配置、排错、详细规则
高性价比服务器就选:蓝易云
11-02 166
通过以上步骤,你已经成功在Nginx安装配置ModSecurity WAF。ModSecurity能够提供Web应用程序的安全防护,帮助防止各种攻击。请确保始终保持规则集的更新,并定期检查日志以确保系统的安全性。在开始安装ModSecurity前,需要确保系统中已经安装了一些必要的依赖项。
nginx 第三方模块 modsecurity安装使用
weixin_33856370的博客
02-24 562
2019独角兽企业重金招聘Python工程师标准>>> ...
Nginx 配置 ModSecurity 网络应用防火墙 | Linux 中国
12-20 1194
该防火墙会将一份规则列表与由 Web 服务器/代理提供的 HTTP 头流进行交叉引用。你可以直接在自己的服务器实现中调用这个库,或通过特定编程语言的封装进行调用。演示的防火墙在检测模式中运行并记录不寻常的行为。en.wikipedia.org 设备无法应对这些威胁,所以其长时间以来一直是人们特别关注的问题。通过提供一些额外的配置指令,连接器对 Nginx 进行了扩展。现在,你在 Nginx 配置文件夹中有了一个包含所有当前 OWASP 规则的。,所以在这个使用场景中,这个包本身就是防火墙。
基于 NGINX 的 WAF 配置方法之ModSecurity
markvivv随笔
03-15 2875
我们都希望自己创建的应用程序是安全的,不会轻易被破坏。但是,忽然而至的黑客攻击新闻,突然收到的安全通报,都在提醒我们安全无小事,挑战随时随地发生。随着扫描器、rootkit 和其他恶意工具的盛行,只需有一点点技术知识的人就可以很容易地开始入侵网站。虽然被入侵可能是不可避免的,但我们仍然应该采取一切预防措施,保护我们的应用程序和数据,降低被入侵的风险,减少被通报的次数。ModSecurity 是一个确保应用程序安全的WAF开源工具,全世界有超过一百万个网站在使用。
NGINX+ModSecurity搭建
qq_42890862的博客
01-05 3232
1、建立临时工作任务 [root@localhost ~]# cd /root && mkdir temporary && cd temporary/ 2、yum安装系统常用软件 [root@localhost temporary]# yum install epel-release [root@localhost temporary]# yum groupinstall ‘Development Tools’ -y 3、modsecurity依赖安装 [root@local
分布式调用与高并发处理 Nginx (6.7 第三方fair模块安装
07-21
分布式调用与高并发处理 Nginx (6.7 第三方fair模块安装
Nginx 安装配置规则入门详解
09-30
本文将深入探讨Nginx安装配置规则,帮助初学者快速入门。 首先,我们来了解一下Nginx安装过程。在Mac OS环境下,Nginx可以通过Homebrew这个包管理器进行安装。只需在终端输入`$brew install nginx`即可完成...
生产版nginx最新版本Dockerfile 添加主动检查等第三方模块 修复漏洞
12-10
生产版nginx最新版本Dockerfile 添加主动检查nginx_upstream_check_module等第三方模块,
Centos7下nginx安装配置教程详解
09-14
- 启动Nginx: ```bash /usr/local/nginx/sbin/nginx ``` - 检查Nginx配置文件的正确性: ```bash /usr/local/nginx/sbin/nginx -t ``` - 停止Nginx服务: 首先找到Nginx的进程号,然后使用`kill`命令...
详解Nginx服务器中map模块配置与使用
09-30
Nginx服务器中的map模块是其强大的配置工具之一,它允许管理员根据输入变量的值动态地设置其他变量的值,从而实现复杂的路由决策、访问控制和优化策略。ngx_http_map_module是Nginx中用于实现map功能的核心模块,...
Nginx 盛大 第三方软件安全配置规范
11-03
Nginx 盛大 第三方软件安全配置规范】 Nginx 是一款广泛应用的高性能Web服务器和反向代理服务器,其稳定性和效率受到许多大型企业的青睐,包括盛大游戏。为了确保系统的安全性,盛大游戏技术保障中心网络安全部...
Nginx 安装 ModSecurity 模块
zhanggd57的博客
04-06 7340
1.首先把需要得规则策略包丢到/usr/local目录下 (后面好像没用到,可以暂时忽略) 下载链接: owasp-modsecurity-crs/rules at v3.3/dev · SpiderLabs/owasp-modsecurity-crs · GitHub 2.安装依赖工具 yum install -y epel-release yum install -y readline-devel curl-devel gcc gcc-c++ python-devel lua-devel d
modsecurity3.0 nginx 安装
weixin_33853794的博客
02-18 554
备注: 使用的是modsecurity 3.0 的版本,也是nginx 官方推荐使用的,同时使用的是nginx 的dynamic module  1. 环境准备 https://github.com/SpiderLabs/ModSecurity https://github.com/SpiderLabs/ModSecurity-nginx https://nginx.org/down...
[security][modsecurity][nginx] nginxmodsecurity
weixin_30372371的博客
06-14 195
参考文档: https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#installation-for-nginx nginx不支持动态加载模块,所以需要重新编译,将modsecuritynginx整合。 一: 软件准备:   ModSecurity-2.9.1.zip   nginx-1.10.1.tar.g...
mac 安装nginx 怎么安装第三方模块
07-12
在 macOS 上安装 nginx第三方模块可以使用 Homebrew 包管理器来简化过程。以下是安装第三方模块的步骤: 1. 首先,确保您已经安装了 Homebrew。如果您还没有安装,可以在终端中运行以下命令来安装 Homebrew: ``` /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" ``` 2. 安装 nginx。在终端中运行以下命令来使用 Homebrew 安装 nginx: ``` brew install nginx ``` 3. 找到您想要安装第三方 nginx 模块。您可以通过在搜索引擎上搜索或访问模块的官方网站来找到合适的模块。 4. 下载并解压第三方模块的源代码。将源代码解压到一个您可以方便访问的位置。 5. 进入解压后的模块源代码目录,并使用 `./configure` 命令配置编译选项。在这个命令中,您可以通过添加 `--add-dynamic-module=/path/to/module` 来指定要安装模块。例如: ``` ./configure --add-dynamic-module=/path/to/module ``` 请将 `/path/to/module` 替换为您要安装模块的实际路径。 6. 完成配置后,运行 `make` 命令编译 nginx。 7. 编译完成后,在终端中运行以下命令将编译好的模块复制到 nginx模块目录: ``` cp objs/*.so /usr/local/Cellar/nginx/{version}/libexec/modules/ ``` 请将 `{version}` 替换为您当前安装nginx 版本号。 8. 在终端中运行以下命令启动 nginx: ``` brew services start nginx ``` 现在,您已经成功安装第三方模块,并且可以在 nginx配置文件中启用和配置它们。 请注意,安装第三方模块可能需要一些编译工具和依赖项。如果出现任何错误或依赖项缺失,您可能需要安装相应的工具和库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Linux技术宅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值