Nginx 安装 ModSecurity 模块

已于 2022-06-28 11:23:30 修改
阅读量7.2k 收藏
点赞数
分类专栏: nginx 文章标签: linux web安全 安全
于 2022-04-06 14:38:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanggd57/article/details/123988897
版权

1.首先把需要得规则策略包丢到/usr/local目录下 

下载链接:

owasp-modsecurity-crs/rules at v3.3/dev · SpiderLabs/owasp-modsecurity-crs · GitHub

2.安装依赖工具

yum install -y epel-release

yum install -y readline-devel curl-devel gcc gcc-c++ python-devel lua-devel doxygen perl yajl-devel GeoIP-devel lmdb-devel ssdeep-devel flex bison autoconf automake

3.安装Modsecurity

cd /usr/local

git clone https://github.com/SpiderLabs/ModSecurity.git

cd ModSecurity

git checkout -b v3/master origin/v3/master

git submodule init

git submodule update

sh build.sh  #这一步报错  libtoolize: 未找到命令,解决方法: yum install -y libtool  安装后重新执行脚本正常

./configure

make

make install

4.安装Nginx和ModSecurity-nginx(此处由于该测试服务器已安装有nginx,所以下载的同版本源码重新编译安装)

cd /usr/local

git clone https://github.com/SpiderLabs/ModSecurity-nginx

wget http://nginx.org/download/nginx-1.17.10.tar.gz

tar -zxvf nginx-1.17.10.tar.gz

cd /usr/local/nginx-1.17.10

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib64/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=CentOS \
            --http-log-path=/var/log/nginx/access.log \
            --with-http_stub_status_module\
            --add-module=/usr/local/ModSecurity-nginx

make

make install

5.nginx启动正常

6.最终配置

mkdir -p /etc/nginx/modsecurity/rules

cp /usr/local/ModSecurity/modsecurity.conf-recommended  /etc/nginx/modsecurity/modsecurity.conf

cp /usr/local/ModSecurity/unicode.mapping /etc/nginx/modsecurity/

7.下载规则文件压缩包

cd /usr/local/
wget http://www.modsecurity.cn/download/corerule/owasp-modsecurity-crs-3.3-dev.zip
unzip owasp-modsecurity-crs-3.3-dev.zip
cd owasp-modsecurity-crs-3.3-dev

复制crs-setup.conf.example到/etc/nginx/modsecurity/下并重命名为crs-setup.conf

cd /usr/local/owasp-modsecurity-crs-3.3-dev
cp crs-setup.conf.example /etc/nginx/modsecurity/crs-setup.conf

将下载的策略规则包解压后的rules文件夹里面的所有规则复制到/etc/nginx/modsecurity/rules下

cp -r rules/ /etc/nginx/modsecurity/

最终得目录下面有如下文件

[root@IT3 modsecurity]# ls

crs-setup.conf  modsecurity.conf  rules  unicode.mapping

上面的rules是目录,其他是文件

同时修改REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example与RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example两个文件的文件名,将".example"删除,这两个文件用于自定义规则;

cd rules
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

编辑nginx.conf

在http或server节点中添加以下内容(在http节点添加表示全局配置,在server节点添加表示为指定网站配置)这里看具体需要,实际生产业务推荐写在server,这样方便控制

modsecurity on;

modsecurity_rules_file /etc/nginx/modsecurity/modsecurity.conf;

编辑modsecurity.conf

SecRuleEngine DetectionOnly改为SecRuleEngine On

同时添加以下内容:

Include /etc/nginx/modsecurity/crs-setup.conf

Include /etc/nginx/modsecurity/rules/*.conf

确保ModSecurity在记录审计日志时保存请求体IJ 改为 C

#SecAuditLogParts ABIJDEFHZ
SecAuditLogParts ABCDEFHZ

8.重启nginx

service nginx restart

注:此处可能重启报错

[root@WoMusic-test02 sbin]# nginx -t
nginx: [emerg] "modsecurity_rules_file" directive Rules error. File: /etc/nginx/modsecurity/rules/REQUEST-910-IP-REPUTATION.conf. Line: 75. Column: 22. This version of ModSecurity was not compiled with GeoIP or MaxMind support.  in /etc/nginx/nginx.conf:22

ref:Nginx + ModSecurity 报错_莫忘、初心的博客-CSDN博客

注释这条规则即可

测试访问:http://localhost:5080/?id=2%27or%201-3

返回403

[root@WoMusic-test02 sbin]# curl 'http://localhost:5080/?id=1 AND 1=1' -I
HTTP/1.1 403 Forbidden
Server: nginx/1.17.10
Date: Wed, 07 Apr 2021 06:41:22 GMT
Content-Type: text/html
Content-Length: 154
Connection: keep-alive

[root@WoMusic-test02 sbin]#

ref:

CentOS7.7下源码安装3.x.x版本ModSecurity+Nginx及配置策略 - 简书 CentOS7: Nginx+ModSecurity 安装教程_莫忘、初心的博客-CSDN博客_modsecurity nginx CentOS下Nginx+ModSecurity(3.0.x)安装教程及配置WAF规则文件_使用教程_ModSecurity-应用实践

zhanggd57
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker-waf, 基于 NginxModSecurity的Docker 网络应用防火墙.zip
09-17
docker-waf, 基于 NginxModSecurity的Docker 网络应用防火墙 在使用ModSecurityNginx 构建的Web应用程序防火墙( WAF )的情况下,保护 Docker 容器的安全性一个人绝对不能太偏心于在线安全,因为有很多原因。 缺省情况下,容器通常被认为是更安全的,因为它们大大减少了给定应
nginx安装配置modsecurity waf防火墙(附完整编译、配置、排错、详细规则)
热门推荐
中年闰土的博客
07-01 24万+
ModSecurity是一个免费、开源的Apache模块,可以充当Web应用防火墙(WAF)。ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,...
CentOS 7.X 网络安全加固 Nginx 安装 ModSecurity 模块
ideal-lingyun
03-13 812
CentOS 7.X 网络安全加固 Nginx 安装 ModSecurity 模块
使用Docker安装Nginx服务器进行ModSecurity集成
深入Odoo开发:打造高效、定制化的企业解决方案。
03-12 790
OWASP Core Rule Set (CRS)是一套由OWASP Foundation提供的预定义的安全规则集,旨在自动检测和防御针对Web应用的多种常见攻击。CRS主要为使用Web应用防火墙(WAF)的用户设计,如ModSecurity,它是目前最流行的开源WAF之一。
ModSecurity 3.x + Nginx 编译安装
xufuangchao的博客
05-19 1966
在CentOS7上,制作nginx_modsecurity3 安装包,附件有制作完成的 rpm 安装包,系统环境匹配的情况下可以直接使用。
基于 NGINX 的 WAF 配置方法之ModSecurity
markvivv随笔
03-15 2731
我们都希望自己创建的应用程序是安全的,不会轻易被破坏。但是,忽然而至的黑客攻击新闻,突然收到的安全通报,都在提醒我们安全无小事,挑战随时随地发生。随着扫描器、rootkit 和其他恶意工具的盛行,只需有一点点技术知识的人就可以很容易地开始入侵网站。虽然被入侵可能是不可避免的,但我们仍然应该采取一切预防措施,保护我们的应用程序和数据,降低被入侵的风险,减少被通报的次数。ModSecurity 是一个确保应用程序安全的WAF开源工具,全世界有超过一百万个网站在使用。
利用 ModSecurityNginx 上构建 WAF
yetugeng的专栏
04-06 1519
ModSecurity原本是Apache上的一款开源WAF模块,可以有效的增强Web安全性。目前已经支持Nginx和IIS,配合Nginx的灵活和高效可以打造成生产级的WAF,是保护和审核Web安全的利器。 在这篇文章中,我们将学习配置ModSecurity与OWASP的核心规则集。 什么是ModSecurity ModSecurity是一个入侵侦测与防护引擎,它主要是用于Web应用程序,所...
nginx 第三方模块 modsecurity安装使用
weixin_33856370的博客
02-24 555
2019独角兽企业重金招聘Python工程师标准>>> ...
NGINX+ModSecurity搭建
qq_42890862的博客
01-05 3153
1、建立临时工作任务 [root@localhost ~]# cd /root && mkdir temporary && cd temporary/ 2、yum安装系统常用软件 [root@localhost temporary]# yum install epel-release [root@localhost temporary]# yum groupinstall ‘Development Tools’ -y 3、modsecurity依赖安装 [root@local
ModSecurity for Nginx
cnbird's blog
12-11 3845
Announcing the availability of ModSecurity extension for Nginx ModSecurity for Nginx ModSecurity for Nginx is a web server plug-in for the Nginx web server platform. This module was created
Nginx为已安装nginx动态添加模块
01-20
这里以安装第三方ngx_http_google_filter_module模块为例 nginx模块是需要重新...2. 查看nginx编译安装安装了哪些模块 将命令行切换到nginx执行程序所在的目录并输入./nginx -V,具体如下: [root@liuyazhuang
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
02-06
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
ModSecurity-nginx:ModSecurity v3 Nginx连接器
05-04
ModSecurity-nginx连接器采用nginx模块的形式。 该模块只是充当nginxModSecurity之间的通信层。 请注意,该项目依赖于libmodsecurity而不是ModSecurity(2.9版或更低版本)。此项目与nginx的旧ModSecurity加载项...
nginx安装第三方模块的方法
09-30
主要介绍了nginx安装第三方模块的方法,包含在未安装nginx的情况下安装nginx第三方模块和在已安装nginx情况下安装nginx第三方模块,需要的朋友可以参考下
Linux下给nginx安装waf模块
09-30
ngx_lua_waf是一个基于ngx_lua的web应用防火墙。代码很简单,开发初衷主要是使用简单,高性能和轻量级。下面我们来看看如何在为nginx安装waf模块
linux-journal日志文件特别大怎么办,journal日志文件学习
你是我的天晴
04-28 249
今天发现磁盘容量不多了,就去清理磁盘,发现这个文件特别大:journal,特此来学习下。
Linux』 第一章 基本操作指令(上)
m0_54443558的博客
04-28 936
Linux 基本指令
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
最新发布
weixin_44131922的博客
04-30 370
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
nginx安装MP4模块
07-29
要在Nginx安装MP4模块,您需要进行以下步骤: 1. 首先,确保您已经安装Nginx。如果您的系统上没有安装Nginx,请根据您的操作系统使用适当的包管理器进行安装。 2. 下载ngx_http_mp4_module模块的源代码。您可以从Nginx官方的源代码仓库(https://github.com/nginx/nginx)或第三方的资源库(如https://github.com/kaltura/nginx-vod-module)获取该模块的源代码。 3. 解压下载的源代码文件,并进入解压后的目录。 4. 编译Nginx,并将MP4模块添加到编译选项中。示例如下: ``` ./configure --add-module=/path/to/ngx_http_mp4_module make sudo make install ``` 这里的`/path/to/ngx_http_mp4_module`应替换为您实际下载并解压模块源代码的路径。 5. 安装完成后,您可以修改Nginx配置文件(通常位于`/etc/nginx/nginx.conf`),以启用MP4模块。示例如下: ``` http { ... server { ... location /videos { mp4; mp4_buffer_size 1m; mp4_max_buffer_size 10m; } ... } ... } ``` 这里的`/videos`是您想要启用MP4模块的URL路径。您还可以根据需求调整`mp4_buffer_size`和`mp4_max_buffer_size`的值。 6. 保存并关闭配置文件后,重新启动Nginx服务,以使配置更改生效。您可以使用以下命令来重启Nginx: ``` sudo service nginx restart ``` 现在,您已经成功安装并启用了Nginx的MP4模块。您可以在指定的URL路径上提供MP4视频文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值