nginx/1.14.0 加装modsecurity3.0动态模块的实现过程(基础教程)

5 篇文章 0 订阅

条件准备:(所有的压缩包默认放在/root/下做所有安装操作!)

实验下的环境
系统:            redhat7.x
nginx:           nginx-1.14.0.tar.gz
modsecurity:     modsecurity-3.0.0.tar.gz
nginx-modsecurity: ModSecurity-nginx-master.zip

下载地址:

  nginx版本集官方下载地址:http://nginx.org/en/download.html

  modsecurity官方下载地址:https://github.com/SpiderLabs/ModSecurity/releases/tag/v3.0.0

  modsecurity和nginx连接包下载地址:https://github.com/SpiderLabs/owasp-modsecurity-crs/archive/v3.2/dev.zip

  nginx和modsecurity3.X官方配置文档地址:
  https://www.nginx.com/blog/compiling-and-installing-modsecurity-for-open-source-nginx/

一,系统依赖环境准备

[root@localhost ~]# yum install -y pcre pcre-devel openssl openssl-devel libtool libtool-ltdl-devel gcc gcc-c++ gcc-g77 autoconf automake geoip geip-devel libcurl libcurl-devel yajl yajl-devel lmdb-devel ssdeep-devel lua-devel  unzip

 注:上面没有的其实基础安装方面不影响,如果想装全则需要到centos源中找,redhat源中可能有些不全;

二,安装modsecurity

[root@localhost ~]# tar xf modsecurity-v3.0.0.tar.gz
[root@localhost ~]# cd modsecurity-v3.0.0
[root@localhost modsecurity-v3.0.0]# ./configure && make && make install

三,安装nginx

[root@localhost modsecurity-v3.0.0]# cd ~
[root@localhost ~]# tar xf nginx-1.14.0.tar.gz
[root@localhost ~]# cd nginx-1.14.0
[root@localhost nginx-1.14.0]# ./configure --with-http_ssl_module && make && make install

四,生成nginx和modsecurity连接的动态模块

[root@localhost nginx-1.14.0]# cd ~
[root@localhost ~]# unzip ModSecurity-nginx-master.zip > /dev/null
[root@localhost ~]# ls ModSecurity-nginx-master
AUTHORS  CHANGES  config  LICENSE  ngx-modsec.stp  README.md  release.sh  src  tests
[root@localhost ~]# cd nginx-1.14.0
[root@localhost nginx-1.14.0]# /usr/local/nginx/sbin/nginx -V 
nginx version: nginx/1.14.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-4) (GCC) 
built with OpenSSL 1.0.1e-fips 11 Feb 2013
TLS SNI support enabled
configure arguments: --with-http_ssl_module
[root@localhost nginx-1.14.0]# ./configure --with-http_ssl_module --add-dynamic-module=../ModSecurity-nginx-master/ && make
[root@localhost nginx-1.14.0]# mkdir /usr/local/nginx/modules
[root@localhost nginx-1.14.0]# cp objs/ngx_http_modsecurity_module.so /usr/local/nginx/modules/

注意:上面我使用了 /usr/local/nginx/sbin/nginx -V,为的就是查看当前下有哪些模块,在生成nginx动态模块的时候需要知道安装上的nginx中自带了哪些模块,并需要放在生成动态模块的编译命令中,这样动态模块才能被识别哦!

五,拷贝modsecurity的配置规则文件并修改nginx的主配置文件

由于modsecurity的规则配置文件有类似于基础的规则内容,所以可以暂时当做基础规则使用;

[root@localhost nginx-1.14.0]# cd ~
[root@localhost ~]# mkdir /usr/local/nginx/modsec
[root@localhost ~]# cp modsecurity-v3.0.0/modsecurity.conf-recommended /usr/local/nginx/modsec/modsecurity.conf
[root@localhost ~]# sed -i 's/SecRuleEngine DetectionOnly/SecRuleEngine On/' /usr/local/nginx/modsec/modsecurity.conf

创建并编写main.conf文件:

[root@localhost ~]# cat /usr/local/nginx/modsec/main.conf
# From https://github.com/SpiderLabs/ModSecurity/blob/master/\
# modsecurity.conf-recommended
#
# Edit to set SecRuleEngine On
Include "/usr/local/nginx/modsec/modsecurity.conf"

# Basic test rule
SecRule ARGS:testparam "@contains test" "id:1234,deny,status:403"

在nginx.conf中的顶部新建一行写加载模块语句:

[root@localhost ~]# cat /usr/local/nginx/conf/nginx.conf
load_module modules/ngx_http_modsecurity_module.so;
#user  nobody;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;
... ...



解释:就是第一行的这个=》“load_module modules/ngx_http_modsecurity_module.so;”

在相应位置添加启用并引入规则的语句,如下:

[root@localhost ~]# cat /usr/local/nginx/conf/nginx.conf
... ...
server {
    modsecurity on;
    modsecurity_rules_file /usr/local/nginx/modsec/main.conf;
    ... ...
    }
... ...

省略号就是代表里面已有的信息;可以写在server下的首两行;

六,测试并启动nginx

[root@localhost ~]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@localhost ~]# /usr/local/nginx/sbin/nginx

七,测试是否成功拦截

[root@localhost ~]# curl localhost?testparam=test
<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.14.0</center>
</body>
</html>

[root@localhost ~]# cat /var/log/modsec_audit.log 
---uCIdEUWW---A--
[15/Aug/2018:22:32:36 -0400] 153438675644.502478 10.82.1.124 5219 10.82.1.124 80
---uCIdEUWW---B--
GET /?testparam=test HTTP/1.1
Host: 10.82.23.56
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:61.0) Gecko/20100101 Firefox/
61.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: keep-alive
Upgrade-Insecure-Requests: 1

也可以使用  tail -f /var/log/modsec_audit.log -n 1实时跟踪被截拦的信息!

这样就表示成功了,为什么拦截这个,是因为我们在main.conf中写了一个规则:

SecRule ARGS:testparam "@contains test" "id:1234,deny,status:403"

八,总结

整体来说,唯一的难度就是在生成动态模块时,需要将nginx的已有模块信息需要编译到动态模块中,否则单纯编译modsecurity动态模块后,使用的时nginx会识别不了!

从下载资源--->安装modsecurity-->安装nginx-->生成modsecurity动态模块-->加载modsecurity动态模块-->实验出现效果为止,安装配置实验完成!!至于加载核心src模块其实就很简单了,下一次更新本文,我会写具体步骤的,其实很简单,完结。

 

 

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值