nginx增加modsecurity模塊

原創 waring_id 2019-02-22 23:27

  modsecurity原本是Apache上的一款開源waf,可以有效的增強web安全性,目前已經支持nginx和IIS,配合nginx的靈活和高效,可以打造成生產級的WAF,是保護和審覈web安全的利器。

git clone https://github.com/SpiderLabs/ModSecurity.git
cd ModSecurity/
./autogen.sh
./configure--enable-standalone-module --disable-mlogc
make
cd tengine/
./configure--prefix=/usr/local/nginx
 --conf-path=/etc/nginx/nginx.conf--pid-path=/var/run/nginx/nginx.pid 
--error-log-path=/var/log/nginx/nginx.log--http-log-path=/var/log/nginx/nginx-http.log--add-module=/root/ngx_devel_kit-0.2.19/--add-module=/root/lua-nginx-module-0.9.13/--add-module=/root/ModSecurity/nginx/modsecurity/
 --with-ld-opt="-Wl,-rpath,$LUAJIT_LIB"
make

wKiom1Ukh5DxhnVpAAH0kvpBwJU101.jpg

  modsecurity傾向於過濾和阻止web危險,之所以強大就在於規則,OWASP提供的規則是於社區志願者維護的,被稱爲核心規則CRS(corerules),規則可靠強大,當然也可以自定義規則來滿足各種需求。

git clone https://github.com/SpiderLabs/owasp-modsecurity-crs
cp -R owasp-modsecurity-crs /etc/nginx/
cp
 /etc/nginx/owasp-modsecurity-crs/modsecurity_crs_10_setup.conf.example 
/etc/nginx/owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
cd ModSecurity/
cp modsecurity.conf-recommended /etc/nginx/modsecurity.conf
cp unicode.mapping /etc/nginx
vim modsecurity.conf
SecRuleEngine on
nclude owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
Includeowasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Includeowasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Includeowasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
Includeowasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf

  在需要啓用modsecurity的主機的location下面加入下面兩行即可:

ModSecurityEnabled on;  
ModSecurityConfig modsecurity.conf;

wKioL1UkiRuSEMxiAAEL-SVNHRA735.jpg

wKiom1Ukh9Ohe5HQAADchpj6Je0153.jpg

參考文章

http://www.52os.net/articles/nginx-use-modsecurity-module-as-waf.html

https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX

http://drops.wooyun.org/tips/2614

http://drops.wooyun.org/tips/3804

http://drops.wooyun.org/tips/734

http://www.freebuf.com/articles/web/18084.html

http://www.freebuf.com/articles/web/16806.html


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

寶塔面板 + Rancher + 阿里雲鏡像倉庫 + Docker + Kubernetes,添加集羣、部署 web 應用

燕小范 2019-02-23 13:20:14

Android平臺調用WebService詳解

推薦碼發放 2019-02-24 19:41:33

某熊的技術之路指北 ☯

王下邀月熊_Chevalier 2019-02-23 16:23:03

Http反響代理

老夫_子 2019-02-23 13:31:39

全新的JoyiStar AJAX WebShop3.0體驗版本功能預覽

中原是戲臺 2019-02-23 13:27:57

用JAAS 和 JSSE 實現 Java 安全性

javatutu 2019-02-23 13:22:24

Nginx 安裝與配置規則入門

Lmagic16 2019-02-24 22:13:58

nginx+php執行請求的工作原理

xavier 2019-02-24 15:52:41

配置Nginx支持php,出現No input file specified錯誤的解決方法

lvqingpu 2019-02-24 13:15:35

深入 Nginx 之架構篇

jeffrey_up 2019-02-23 19:23:46

tcpdump查看Nginx長連接還是短連接

ouyangbro 2019-02-23 15:52:48

Nginx使用安裝(一)

flashhand 2019-02-23 13:58:28

nginx中gzip模塊

小紅帽子 2019-02-23 13:37:48

nginx+keepalived配置高可用HTTP羣集

小紅帽子 2019-02-23 13:37:48

Nginx服務之防盜鏈功能

兩袖春風 2019-02-23 13:28:22