WAF:ModSecurity on Nginx(15)

最新推荐文章于 2024-05-19 23:19:50 发布
最新推荐文章于 2024-05-19 23:19:50 发布
阅读量558 收藏 1
点赞数
分类专栏: 护网行动系列 文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyj1781572/article/details/129194819
版权

预备知识
Nginx概述

    Nginx ("engine x") 是一个高性能的HTTP和 反向代理 服务器,也是一个 IMAP/POP3/SMTP服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。 

Modsecurity概述

    ModSecurity是一个入侵侦测与防护引擎,它主要是用于Web 应用程序,所以也被称为Web应用程序防火墙。 它可以作为Apache Web服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Web application的安全性和保护Web application以避免遭受来自已知与未知的攻击。其防护的概念如下图所示:
     
    ModSecurity计划是从2002年开始,后来由Breach Security Inc.收购,但Breach Security Inc.允诺ModSecurity仍旧为open source,并开放源代码给大家使用。最新版的ModSecurity(一个开源的Web应用防火墙,即WAF)开始支持核心规则集(Core Rule Set,即CRS,可用于定义旨在保护Web应用免受零日及其他安全攻击的规则)了。ModSecurity团队发布的2.5.10 版以后还包含了其他一些特性,如并行文本匹配、Geo IP解析和信用卡号检测等,同时还支持内容注入、自动化的规则更新和脚本等内容。可以通过ModSecurity手工创建安全过滤器、定义攻击并实现主动的安全输入验证。此外,它还提供了一个面向Lua语言的新的API,为开发者提供一个脚本平台以实现用于保护Web应用的复杂逻辑。

    ModSecurity的运作设计有以下的基础概念:

    1、让使用者可以做任何想做的事情(Empower users to do what they want)

    2、 使用者设定的动作才会执行(Don’t do anything implicitly)

    3、 预设是不做任何动作(Be passive)


ModSecurity的部署架构

    1、 与Web Server结合 。

    2、 与Apache/nginx结合部署为网关,当作一个反向代理。

总结:

    ModSecurity是一个Web应用防火墙(WAF)。当前已经有超过70%的攻击发生在网络应用层,各级组织急需要能够保证他们的系统安全性的帮助。WAF系统的部署,可以为web应用增加一个外部安全层来检测或防止攻击。针对一系列的攻击,ModSecurity为web应用提供了强大的保护,并对HTTP流量进行监测和实时分析。

    软件下载地址:

    Nginx:http://nginx.org/en/download.html

    ModSecurity:https://www.modsecurity.org/download.html

    OWASP规则集:https://github.com/SpiderLabs/owasp-modsecurity-crs

实验目的
1)Install Nginx with ModSecurity

2)Configure ModSecurity with Nginx

3)启用OWASP规则

实验环境
操作系统:Server:Centos 7 Client:Windows xp

网络拓扑见下图:


服务端IP:10.1.1.56,客户端IP随机

所用软件:Nginx 1.9.15 ; modsecurity-2.9.1

PS:本实验指导书中涉及的软件路径均可以根据你自己所需设定,不必完全按照实验指导书中的配置而设定。

实验步骤一
Install Nginx with ModSecurity

1、安装Nginx和ModSecurity依赖的包和其他必须的软件包

    yum install gcc make automake autoconf libtool pcre pcre-devel libxml2 libxml2-devel curl curl-devel httpd-devel zlib zlib-devel openssl openssl-devel apr apr-util-devel apr-devel -y

2、下载Nginx和ModSecurity源码

    wget http://nginx.org/download/nginx-1.9.15.tar.gz

    wget https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz

3、编译modsecurity

    先解压:

    cd /opt

    gunzip -c modsecurity-2.9.1.tar.gz | tar xvf –

    进入解压后目录执行:

    ./autogen.sh

    ./configure --enable-standalone-module --disable-mlogc

    make

    make install


4、编译nginx并添加modsecurity模块

    先解压:

    cd /opt

    进入解压后目录执行如下命令,编译nginx:

    ./configure --add-module=/opt/modsecurity-2.9.1/nginx/modsecurity/ --prefix=/usr/src/nginx

    make && make install

实验步骤二
Configure ModSecurity with Nginx

1、复制modsecurity.conf-recommended & unicode.mapping文件到nginx的conf目录下:

    可以使用find命令查找这个两个文件在哪

    find / -name modsecurity.conf-recommended

    find / -name unicode.mapping

  
    复制文件:

    cp /opt/modsecurity-2.9.1/modsecurity.conf-recommended /usr/src/nginx/conf/

    cp /opt/modsecurity-2.9.1/unicode.mapping /usr/src/nginx/conf/
 
2、配置

    改名:

    mv modsecurity.conf-recommended modsecurity.conf

  
    修改nginx配置文件:

    cp nginx.conf nginx.conf.bak (备份nginx配置文件)

    在需要启用modsecurity的主机的在location下面加入下面两行即可:

    ModSecurityEnabled on;

    ModSecurityConfig modsecurity.conf;

    保存配置。

    至此,Nginx已经集成了ModSecurity,现在重启Nginx试试。

    检查配置文件:

    /usr/src/nginx/sbin/nginx -t

    启动nginx:
    /usr/src/nginx/sbin/nginx
  
    检查ModSecurity是否正常启动的两种办法:

    第一种:/usr/src/nginx/sbin/nginx -V
 
    第二种查看nginx错误日志:

    cat /usr/src/nginx/logs/error.log
  
实验步骤三
启用OWASP规则

1、下载OWASP ModSecurity CRS:

    cd /opt

    wget 'https://github.com/SpiderLabs/owasp-modsecurity-crs/archive/master.zip'

2、解压到/usr/src/nginx/conf/

    cp master.zip /usr/src/nginx/conf/

    cd /usr/src/nginx/conf/

    unzip master.zip

3、添加OWASP规则

    进入/usr/src/nginx/conf/目录,复制规则配置文件到/usr/src/nginx/conf/目录:

    cp owasp-modsecurity-crs-master/modsecurity_crs_10_setup.conf.example  modsecurity_crs_10_setup.conf

    打开modsecurity.conf, 在最上面引入规则文件路径。

    Include /usr/src/nginx/conf/modsecurity_crs_10_setup.conf

    Include /usr/src/nginx/conf/owasp-modsecurity-crs-master/base_rules/modsecurity_crs_41_sql_injection_attacks.conf

 
    将SecRuleEngine设置为On

   
4、php环境下测试:

    我们启用了xss和sql注入的过滤,不正常的请求会直接返回403。以php环境为例,在/var/www/html目录下新建一个index.php内容为:

    修改nginx配置文件为如下:

  
    保存配置。重启nginx即可

    /usr/src/nginx/sbin/nginx -s reload

    切换到client客户端,在浏览器中访问:

    http://serverip/index.php?id=1 正常显示

    http://serverip/index.php? id=1 and 1=1  返回403

    http://serverip/index.php? search=<script>alert('xss');</script>  返回403

    说明sql注入和xss已经被过滤了

   
    当然还可以在/var/log/modsec_audit.log中看到攻击日志   

    至此表示安装成功

 部分实验截图如下图所示;

 

 

jack-yyj
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ModSecurity-nginx:ModSecurity v3 Nginx连接器
05-04
ModSecurity-nginx连接器是nginx和libmodsecurityModSecurity v3)之间的连接点。 换句话说,该项目提供了nginx和libmodsecurity之间的通信通道。 要使LibModSecuritynginx一起使用,需要此连接器。 ModSecurity...
docker-waf:适用于Docker的基于NGINXModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurityNGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其...
NGINX+ModSecurity搭建
qq_42890862的博客
01-05 3246
1、建立临时工作任务 [root@localhost ~]# cd /root && mkdir temporary && cd temporary/ 2、yum安装系统常用软件 [root@localhost temporary]# yum install epel-release [root@localhost temporary]# yum groupinstall ‘Development Tools’ -y 3、modsecurity依赖安装 [root@local
nginx下安装配置modsecurity waf防火墙(附完整编译、配置、排错、详细规则)
高性价比服务器就选:蓝易云
11-02 199
通过以上步骤,你已经成功在Nginx下安装和配置了ModSecurity WAFModSecurity能够提供Web应用程序的安全防护,帮助防止各种攻击。请确保始终保持规则集的更新,并定期检查日志以确保系统的安全性。在开始安装ModSecurity前,需要确保系统中已经安装了一些必要的依赖项。
Nginx - 集成ModSecurity实现WAF功能
最新发布
小工匠
05-19 1449
ModSecurity是一款开源的Web应用防火墙(WAF),它能够保护Web应用免受各种类型的攻击。作为一个嵌入式模块,ModSecurity可以集成到常见的Web服务器(如Apache、Nginx)中,以拦截和阻止恶意的HTTP请求。其设计目标是提供一个灵活、可配置的安全解决方案,能够保护Web应用免受SQL注入、跨站脚本(XSS)、请求伪造、路径遍历等各种常见的Web攻击。
Ubuntu下Nginx配置ModSecurity详细思路及过程
qq490765184的博客
09-14 971
Ubuntu下Nginx配置ModSecurity详细思路及过程
14 张图搞懂 Nginx 高性能网络工作原理!
qq_23350817的博客
07-11 295
在单进程的网络编程模型中。所有的网络相关的动作都是在一个进程里完成的,如监听 socket 的创建, bind、listen。再比如 epoll 的创建、要监听事件的添加,以及 epoll_wait 等待时间发生。这些统统都是在一个进程里搞定。一个客户端和使用了 epoll 的服务端的交互过程如下图所示。以下是其大概的代码示例(没耐心看的同学可以先)。 在单进程模型中,不管有多少的连接,是几万还是几十万,服务器都是通过 epoll 来监控这些连接 socket 上的可读和可写事件。当某个 socket 上有
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
02-06
它表明我们要讨论的是如何在Ubuntu环境中配置Nginx以增强其安全性,特别是通过使用ModSecurity这一强大的Web应用防火墙(WAF)。 **描述解析:** 描述中的内容简洁明了,再次确认了这个软件包是为Nginx和...
docker-nginx-waf:Nginx反向代理与ModSecurity Web应用程序防火墙,SSL终止(certbot)和brotli压缩
04-12
vlche / nginx-waf 泊坞窗高山基于容器提供与 , 压缩和certbot为的SSL证书自动续订。 您可以将其用作多合一服务,也可以用作SSL / Load-Balancer前端和WAF后端/后端。 其他预配置的选项包括: 优化的中间ssl设置...
lua-resty-waf:基于OpenResty堆栈的高性能WAF
02-03
ModSecurity是一款广泛使用的开源WAF,它可以与多种Web服务器集成,包括Nginx。lua-resty-waf则更专注于OpenResty环境,它的优势在于更直接的Lua集成,可以更灵活地处理请求,且性能表现优秀。然而,ModSecurity拥有...
modsecurity日志解析并存到mysql数据库
01-04
modsecurity日志解析并存到mysql数据库,设置modsecurity_log_mysql.py定时任务,实现modsecurity日志解析并存到mysql数据库,并自动清除旧日志。
ModSecurity中文
01-29
ModSecurity手册-用于加强apache的安全管理的一个组件,功能相当强大
CentOS7安装Nginx+ModSecurity
qwe546913的博客
08-08 157
当学习网络安全时,了解和使用安全设备是必不可少的一部分,其中一种常见的安全设备是Web应用防火墙(WAF)。市场上有许多商业化的WAF,但对于学习目的,我推荐使用一款免费开源的WAF,名为ModSecurityModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。目前已经支持Nginx和IIS,配合Nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核Web安全的利器。
nginx 第三方模块 modsecurity安装使用
weixin_33856370的博客
02-24 569
2019独角兽企业重金招聘Python工程师标准>>> ...
Nginx 配置 ModSecurity 网络应用防火墙 | Linux 中国
12-20 1223
该防火墙会将一份规则列表与由 Web 服务器/代理提供的 HTTP 头流进行交叉引用。你可以直接在自己的服务器实现中调用这个库,或通过特定编程语言的封装进行调用。演示的防火墙在检测模式中运行并记录不寻常的行为。en.wikipedia.org 设备无法应对这些威胁,所以其长时间以来一直是人们特别关注的问题。通过提供一些额外的配置指令,连接器对 Nginx 进行了扩展。现在,你在 Nginx 配置文件夹中有了一个包含所有当前 OWASP 规则的。,所以在这个使用场景中,这个包本身就是防火墙。
modsecurity源码分析
研究源码的最底层,只持有正确的仓位
01-15 3450
一。so文件导出结构在Mod_security2.c中的最后AP_MODULE_DECLARE_DATA security2_module全局变量. 该变量定义了hook的各个函数位置和处理的指令表。 二。指令处理。 1.SecRuleEngine On:由函数cmd_rule_engine处理,在Apache2_config.c中。 该函数主要是设置directory_config-&gt;is...
ModSecurity2”源码分析
zhangge3663的博客
04-12 1842
一、相关结构体struct msre_engine{ apr_pool_t *mp; apr_table_t *variables; apr_table_t *operators; apr_table_t *actions; apr_table_t *tfns; apr_table_t *reqbody_processors; };//在msre_engine_variab...
SCG WS nginx 安全加固
架构师的成长之路的博客
01-19 2107
SCG WS nginx - OWASP 概括 这提供了 NginX 安全配置强化指南。配置指南侧重于 NginX 本身。因此,Linux 操作系统配置加固不在此处介绍。 它包括以下主题: 2.1 缓冲区溢出保护 2.2 删除不必要的备份文件 2.3 删除版本号 2.4 缓解缓慢的 HTTP DoS 攻击 2.5 仅允许访问指定域 2.6 限制 IP 客户端访问 2.7 SSL/TLS 配置 2.8 SSL 模块 2.9 HTTP 安全标头 2.10限制 HTTP 方法 安全配置 缓冲区溢出保
windows modsecurity支持nginx
07-27
ModSecurity 是一个开源的 Web 应用程序防火墙 (WAF),它可以帮助保护 Web 应用程序免受常见的攻击,如 SQL 注入、跨站脚本等。而 Nginx 是一个高性能的 Web 服务器和反向代理服务器,可以作为 ModSecurity 的前端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jack-yyj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值