CentOS 7.X 网络安全加固 Nginx 安装 ModSecurity 模块

╰半夏微凉° 2024-03-25 10:49 140阅读 0赞

一、ModSecurity简介

ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。

官网地址:http://www.modsecurity.cn/
在这里插入图片描述

二、ModSecurity功能介绍

SQL Injection (SQLi):阻止SQL注入
Cross Site Scripting (XSS):阻止跨站脚本攻击
Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击
Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击
Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击
PHP Code Injectiod:阻止PHP代码注入
HTTP Protocol Violations:阻止违反HTTP协议的恶意访问
HTTPoxy:阻止利用远程代理感染漏洞进行攻击
Sshllshock:阻止利用Shellshock漏洞进行攻击
Session Fixation:阻止利用Session会话ID不变的漏洞进行攻击
Scanner Detection:阻止黑客扫描网站
Metadata/Error Leakages:阻止源代码/错误信息泄露
Project Honey Pot Blacklist:蜜罐项目黑名单
GeoIP Country Blocking:根据判断IP地址归属地来进行IP阻断

三、Nginx 安装 ModSecurity

1、安装依赖工具
  1. yum install -y epel-release
  2. yum install -y readline-devel curl-devel gcc gcc-c++ python-devel lua-devel doxygen perl yajl-devel GeoIP-devel lmdb-devel ssdeep-devel flex bison autoconf automake
2、安装 ModSecurity
1)下载 ModSecurity

在官网上下载 ModSecurity 3.0.4
在这里插入图片描述

2)安装 ModSecurity
  1. cd /usr/local
  2. 将下载的 modsecurity-v3.0.4.tar.gz copy /usr/local 目录下,解压
  3. tar -zxvf modsecurity-v3.0.4.tar.gz
  4. mv modsecurity-v3.0.4 modsecurity
  5. cd modsecurity
  6. yum install -y pcre pcre-devel
  7. yum install -y git
  8. sh build.sh #这一步报错 libtoolize: 未找到命令,解决方法: yum install -y libtool 安装后重新执行脚本正常
  9. ./configure
  10. make && make install
3、安装 Nginx 和 ModSecurity-nginx

(此处由于该测试服务器已安装有 Nginx,所以下载的同版本源码重新编译安装)

1)下载 ModSecurity-nginx

从 https://github.com/SpiderLabs/ModSecurity-nginx 下载 ModSecurity-nginx-master.zip
在这里插入图片描述

2)解压 ModSecurity-nginx
  1. cd /usr/local/
  2. 将下载的 ModSecurity-nginx-master.zip copy /usr/local/ 目录下
  3. unzip ModSecurity-nginx-master.zip
  4. mv ModSecurity-nginx-master modsecurity-nginx
3)Nginx 添加 ModSecurity-nginx 模块
  1. wget http://nginx.org/download/nginx-1.22.1.tar.gz
  2. tar -zxvf nginx-1.22.1.tar.gz
  3. cd /usr/local/nginx-1.22.1/
  4. ./configure --prefix=/etc/nginx \
  5. --sbin-path=/usr/sbin/nginx \
  6. --modules-path=/usr/lib64/nginx/modules \
  7. --conf-path=/etc/nginx/nginx.conf \
  8. --error-log-path=/var/log/nginx/error.log \
  9. --pid-path=/var/run/nginx.pid \
  10. --lock-path=/var/run/nginx.lock \
  11. --user=nginx \
  12. --group=nginx \
  13. --build=CentOS \
  14. --http-log-path=/var/log/nginx/access.log \
  15. --with-http_stub_status_module\
  16. --add-module=/usr/local/modsecurity-nginx \
  17. --with-http_ssl_module
  18. make && make install
4、启动 Nginx
  1. systemctl start nginx

Nginx 常用命令如下:

  1. # 启动 Nginx
  2. systemctl start nginx
  3. # 停止 Nginx
  4. systemctl stop nginx
  5. # 重启 Nginx
  6. systemctl restart nginx
  7. # 查看 Nginx 状态
  8. systemctl status nginx
5、配置 ModSecurity 安全规则
  1. mkdir -p /etc/nginx/modsecurity/rules
  2. cp /usr/local/modsecurity/modsecurity.conf-recommended /etc/nginx/modsecurity/modsecurity.conf
  3. cp /usr/local/modsecurity/unicode.mapping /etc/nginx/modsecurity/
6、下载规则文件压缩包
1)下载规则文件并解压
  1. cd /usr/local/
  2. wget http://www.modsecurity.cn/download/corerule/owasp-modsecurity-crs-3.3-dev.zip
  3. unzip owasp-modsecurity-crs-3.3-dev.zip
  4. cd owasp-modsecurity-crs-3.3-dev
2)复制配置文件

复制 crs-setup.conf.example 到 /etc/nginx/modsecurity/ 目录下,并重命名为 crs-setup.conf

  1. cd /usr/local/owasp-modsecurity-crs-3.3-dev
  2. cp crs-setup.conf.example /etc/nginx/modsecurity/crs-setup.conf
3)复制策略规则

将下载的策略规则包解压后的rules文件夹里面的所有规则,复制到/etc/nginx/modsecurity/rules/ 目录下。

  1. cp -r rules/ /etc/nginx/modsecurity/

最终得目录下面有如下文件和子目录

  1. cd /etc/nginx/modsecurity/

[root@localhost modsecurity]# pwd
/etc/nginx/modsecurity
[root@localhost modsecurity]# ls
crs-setup.conf modsecurity.conf modsecurity.conf_bak20221205 rules unicode.mapping
在这里插入图片描述
上面的rules是目录,其他是文件。

同时修改 REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example 与 RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example 两个文件的文件名,将”.example”删除,这两个文件用于自定义规则。

  1. cd /etc/nginx/modsecurity/rules/
  2. mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
  3. mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
4)编辑nginx.conf
  1. cd /etc/nginx/
  2. vi nginx.conf

在http或server节点中添加以下内容:
(在http节点添加表示全局配置,在server节点添加表示为指定网站配置)
这里看具体需要,实际生产业务推荐写在server,这样方便控制。

  1. modsecurity on;
  2. modsecurity_rules_file /etc/nginx/modsecurity/modsecurity.conf;

配置效果如下:
在这里插入图片描述

5)编辑modsecurity.conf
  1. cd /etc/nginx/modsecurity/
  2. vi modsecurity.conf

将 SecRuleEngine DetectionOnly 改为 SecRuleEngine On

同时添加以下内容:

  1. Include /etc/nginx/modsecurity/crs-setup.conf
  2. Include /etc/nginx/modsecurity/rules/*.conf

在这里插入图片描述
确保ModSecurity在记录审计日志时保存请求体IJ 改为 C

  1. #SecAuditLogParts ABIJDEFHZ
  2. SecAuditLogParts ABCDEFHZ

在这里插入图片描述

7、重启nginx
  1. systemctl restart nginx
8、测试访问
  1. [root@localhost conf.d]# curl 'http://localhost/?search=<scritp>alert('xss');</script>' -I
  2. HTTP/1.1 403 Forbidden
  3. Server: nginx/1.16.1
  4. Date: Fri, 10 Mar 2023 11:06:44 GMT
  5. Content-Type: text/html
  6. Content-Length: 153
  7. Connection: keep-alive

发表评论

表情:
评论列表 (有 0 条评论,140人围观)

还没有评论,来说两句吧...

相关阅读

    相关 IIS7安全加固

    限制目录执行权限 在“处理程序映射”中,把“编辑功能权限”中的“脚本”去掉,这样即使上传了木马文件在此目录,也是无法执行的。 删除不必要的脚本映射 在“处理程序映射”