ModSecurity原本是Apache上的一款开源WAF模块,可以有效的增强Web安全性。目前已经支持Nginx和IIS,配合Nginx的灵活和高效可以打造成生产级的WAF,是保护和审核Web安全的利器。
% m- y% S# O# T# Z$ `9 ^
7 C4 }9 y9 o- i" y2 r
( {( i; |5 B: u% s. d在这篇文章中,我们将学习配置ModSecurity与OWASP的核心规则集。/ \6 k% L4 Y% l9 L
' _: W8 I6 |2 z: a3 ~) {
2 [' p$ v* @5 c7 v1 ~什么是ModSecurity( Y! |. n+ \# E3 y3 K# J, V
ModSecurity是一个入侵侦测与防护引擎,它主要是用于Web应用程序,所以也被称为Web应用程序防火墙(WAF)。它可以作为Web服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Web Application 的安全性和保护Web application以避免遭受来自已知与未知的攻击。
: P$ g( @' j$ ] n9 ?- {+ O. U$ k" P7 O: K
* E9 \6 e8 `7 @) O3 F0 W: d
ModSecurity计划是从2002年开始,后来由Breach Security Inc.收购,但Breach Security Inc.允诺ModSecurity仍旧为Open Source,并开放源代码给大家使用。最新版的ModSecurity开始支持核心规则集(Core Rule Set),CRS可用于定义旨在保护Web应用免受0day及其它安全攻击的规则。5 Z7 d# h- a2 U) s$ r7 p$ v7 Z
9 e; ?, x) L6 e, [& Y( T& |: e' ~6 F$ l( \& }( G2 I
ModSecurity还包含了其他一些特性,如并行文本匹配、Geo IP解析和信用卡号检测等,同时还支持内容注入、自动化的规则更新和脚本等内容。此外,它还提供了一个面向Lua语言的新的API,为开发者提供一个脚本平台以实现用于保护Web应用的复杂逻辑。" p% d) i; u& F; a( b$ F7 v
( d" h# p, ^6 g
- z- o# v' m7 K- g3 I
官网: https://www.modsecurity.org/% y; ^" d* S. C" h3 j% ?. @
: {' q% t8 |1 X
Z5 \+ f/ z: W( V! @' n什么是OWASP CRS
* Z2 A: Y- t% ]2 m. M) k3 bOWASP是一个安全社区,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS)。ModSecurity之所以强大就在于OWASP提供的规则,我们可以根据自己的需求选择不同的规则,也可以通过ModSecurity手工创建安全过滤器、定义攻击并实现主动的安全输入验证。7 Y9 Y- r. I# ~/ ~" D7 M
4 p! P8 m. ]$ z. s: x$ q# K9 D' U/ x5 G* L
ModSecurity核心规则集(CRS)提供以下类别的保护来防止攻击。# R2 z9 P% @9 ?- i% Z7 P
2 z/ ^2 O; S' v; w
f7 N' S0 p; `0 E& Y5 q3 lHTTP Protection(HTTP防御)# N6 a, c" _/ o/ ]+ t) C0 P1 y6 X" A
HTTP协议和本地定义使用的detectsviolations策略。5 @& y6 X: o, L1 M. {4 q
! G8 F$ ^2 s. J
2 t" U0 z0 i- H- n7 o. x/ AReal-time Blacklist Lookups(实时黑名单查询), l: n( a- @- @6 ~3 b
利用第三方IP名单。
8 X! t9 ^- M2 R# e, M4 o
: x4 O; o! c: N1 y
* c1 [. H0 M6 h) I: IHTTP Denial of Service Protections(HTTP的拒绝服务保护)
- ~! [* f* ?4 a9 `+ E) r- k& ]0 y防御HTTP的洪水攻击和HTTP Dos攻击。( F7 ^+ v# c$ [; F: [* G
6 Z7 S0 O: n5 b: `- C* N; b! q& |- T' [7 {' V d
Common Web Attacks Protection(常见的Web攻击防护)
/ g& C; u9 ]9 ~* r( N8 F# C5 e检测常见的Web应用程序的安全攻击。! ?6 n5 M% Y* f/ m6 P( \5 Q
! a! ]* n# w4 b& ^2 [
# Z6 x: L; t* F: q P4 y- m
Automation Detection(自动化检测)
7 K/ ?7 G6 s* s4 B% Y; ]# H检测机器人,爬虫,扫描仪和其他表面恶意活动。
0 B& E3 n" c$ q3 H+ V( U
' v7 H, ]; O8 {! A" T5 ]0 Q
( G$ j; D, ?+ @: k$ k" M8 `Integration with AV Scanning for File Uploads(文件上传防病毒扫描)
' o: d6 b& A) Y+ [) A3 c检测通过Web应用程序上传的恶意文件。
( \2 f/ H/ v. x1 a7 c# c3 A6 ~4 W& C. N, B2 M, v
# {8 a6 K/ z$ K D. o
Tracking Sensitive Data(跟踪敏感数据)
9 Q& W( D) {: U" Q6 ?6 J信用卡通道的使用,并阻止泄漏。2 D9 j" h4 g( ~0 p0 j5 ]! o- ~) X+ E
9 V3 ?* ^" x# ]0 r* z
O; I; w/ M( X( k! \Trojan Protection(木马防护)9 A8 f- A+ n) e1 g/ F# p7 z' |% \
检测访问木马。
$ E* \# J- A2 r1 L
# F6 B! p8 V4 J6 r' y
3 t4 a) o/ ]7 q- n" Y, vIdentification of Application Defects(应用程序缺陷的鉴定)
2 n5 K( z5 \7 a& S* m. |检测应用程序的错误配置警报。
2 Q" Y3 `5 K+ C3 ?% M' D: u1 Z. o1 I
" V; o( t$ \# N3 z$ T6 m& F, v; q" [
Error Detection and Hiding(错误检测和隐藏)
: b3 B- K( A) F, o" J检测伪装服务器发送错误消息。
, c+ N9 L' i! H1 R+ D1 {7 N% k( q) t4 s
, I1 m A! h8 y' T2 Y8 Q
安装ModSecurity
, I' K7 x2 ^: [ I软件基础环境准备
' s: a8 g. I# n" k下载对应软件包
8 R6 w( l3 g+ }) m$ m" L$ cd /root3 c7 n* ]% ?! B
$ wget 'http://nginx.org/download/nginx-1.9.2.tar.gz'
8 S) R4 h9 |& k6 ~% Y$ wget -O modsecurity-2.9.1.tar.gz https://github.com/SpiderLabs/ModSecurity/releases/download/v2.9.1/modsecurity-2.9.1.tar.gz
0 p' {$ E+ m5 p* G, [安装Nginx和ModSecurity依赖包 Y( M! o8 a! e+ q8 a1 a% n% ?- x
Centos/RHEL
3 j* v6 E. M' ~( Q* _1 [) i4 a5 e* I
3 Y3 `2 `* a4 Y. h8 K
$ yum install httpd-devel apr apr-util-devel apr-devel pcre pcre-devel libxml2 libxml2-devel zlib zlib-devel openssl openssl-devel
: H# q, a5 \5 n* D+ y; y' VUbuntu/Debian5 ^& k1 q1 V$ j
! _0 m- r: E1 i4 w* [
0 S, x3 S3 I3 H! @* G4 x8 f1 }9 o& f' D7 C$ apt-get install libreadline-dev libncurses5-dev libssl-dev perl make build-essential git libpcre3 libpcre3-dev libtool autoconf apache2-dev libxml2 libxml2-dev libcurl4-openssl-dev g++ flex bison curl doxygen libyajl-dev libgeoip-dev dh-autoreconf libpcre++-dev
5 Z0 _) x I/ n g( n( z0 q' y6 @, H编译安装ModSecurity
5 Q- ?; ^, I7 |* u1 ~& F+ VNginx加载ModSecurity模块有两种方式:一种是编译为Nginx静态模块,一种是通过ModSecurity-Nginx Connector加载动态模块。
5 z$ ^* ^) L% ]$ m7 d- \. l' @ O' U3 I9 m
/ a4 G# H' F, n& G; d8 c \
方法一:编译为Nginx静态模块7 b9 \- P# d% [4 K m
$ @. P0 ]6 g6 d0 ~$ d8 _- e x6 M! O; ^- f/ _: X6 s8 v
编译为独立模块(modsecurity-2.9.1)% o6 N, V1 _: V K6 g9 j- U
$ tar xzvf modsecurity-2.9.1.tar.gz# ?* G" j0 t+ ]; F
$ cd modsecurity-2.9.1/) D* s: O) D7 K
$ ./autogen.sh- H& d' ?) `- _ w& \
$ ./configure --enable-standalone-module --disable-mlogc
% f; S5 n7 y3 h) f$ make
2 Y$ ]0 |' H( y编译安装Nginx并添加ModSecurity模块% V( h0 N3 W4 f: k
$ tar xzvf nginx-1.9.2.tar.gz
]( r" |# Q* \/ w% ?! D$ cd nginx-1.9.20 b1 e. q7 V( G0 V) S5 j I
$ ./configure --add-module=/root/modsecurity-2.9.1/nginx/modsecurity/% I" v, Z0 z- M% `% T
$ make && make install
+ u7 V% w; E! o' V! S方法二:编译通过ModSecurity-Nginx Connector加载的动态模块
5 `# V* D) M5 H- p s) `$ q% k: [/ |' ^
, L7 X. q- \7 V& i/ R2 e编译LibModSecurity(modsecurity-3.0)
; b5 e8 X& ^/ e! l3 ~$ cd /root% n/ ?# z) Y( P& P
$ git clone https://github.com/SpiderLabs/ModSecurity
8 D9 T" B2 T7 ]" `3 A' } A$ cd ModSecurity& K5 G6 }% q8 Z9 W8 }0 m
$ git checkout -b v3/master origin/v3/master
6 F; g2 R4 v& |8 P) e( q/ `3 J$ sh build.sh
1 W1 l h) `% h5 }; A% ^1 H$ git submodule init1 q4 k5 ?5 f. u# c: A2 W- Y i' |
$ git submodule update
8 e$ s2 K9 G- u: ~$ |, v2 ^, s$ ./configure
( T3 p% c; e# N+ M9 S: }, ?+ O$ make
! G' {% G5 |: M; B$ make install
) P0 a4 n* ]+ u# \5 u$ PLibModSecurity会安装在 /usr/local/modsecurity/lib 目录下。, c2 D0 d. G0 w; _2 H. n* i
/ B) y- W) V) v" Q6 K! s8 ^6 `$ G
) T! O5 G# p! q$ ls /usr/local/modsecurity/lib
M0 i0 b! D3 {8 j% w0 Y* Wlibmodsecurity.a libmodsecurity.la libmodsecurity.so libmodsecurity.so.3 libmodsecurity.so.3.0.0
' h C% U; C& e3 H, j编译安装Nginx并添加ModSecurity-Nginx Connector模块
& q+ a4 U5 i& Y1 Z$ }5 T9 A* Z6 S使用ModSecurity-Nginx模块来连接LibModSecurity
0 V2 R$ b( C% s2 P, J' }0 x h9 y/ s$ X( X- B2 d% d
/ y+ c; o8 z4 j0 \. T/ O$ cd /root9 @$ q- `$ p. Z2 b) _+ L
$ git clone https://github.com/SpiderLabs/ModSecurity-nginx.git modsecurity-nginx
) V z1 a, F$ @! _7 Z+ I7 j$ tar xzvf nginx-1.9.2.tar.gz+ ?+ e6 u# ^7 m! S: h# M
$ cd nginx-1.9.2
/ M* o9 v2 C1 _9 |/ F- O2 b$ ./configure --add-module=/root/modsecurity-nginx* v0 t4 z* s$ m5 ]; C, I
$ make# r7 M( R) u5 U: }
$ make && make install: `. X% x/ D0 f5 ]! d' h f
添加OWASP规则
: U. E' }3 _: \& [) E5 t( VModSecurity倾向于过滤和阻止Web危险,之所以强大就在于规则。OWASP提供的规则是社区志愿者维护的被称为核心规则CRS,规则可靠强大,当然也可以自定义规则来满足各种需求。1 H# `8 D, t# F" I, ~! K" d4 h& \' z1 z
H4 p. b6 n4 O8 j1 L; v, p) _9 Q% o3 q$ `* Z6 v1 G" P
下载OWASP规则并生成配置文件" x2 t/ B6 t4 I8 b
$ git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
& L6 n8 s" ?+ Y) x; b$ cp -rf owasp-modsecurity-crs /usr/local/nginx/conf/! r* i- W& n } Q
$ cd /usr/local/nginx/conf/owasp-modsecurity-crs8 F" a- G; Q- _. Q D
$ cp crs-setup.conf.example crs-setup.conf7 f5 d3 j" @8 ]2 L( e
配置OWASP规则) I# S3 Q: {: W% B% L4 j* \7 i# O6 w
编辑crs-setup.conf文件
( a, ~* U3 V: ~1 D8 i9 A( u, F! c/ V9 X5 a/ Q& w6 e! A# w
4 D+ r) e* J0 K8 w" I; n$ sed -ie 's/SecDefaultAction "phase:1,log,auditlog,pass"/#SecDefaultAction "phase:1,log,auditlog,pass"/g' crs-setup.conf* O0 t$ i' K0 g* G1 }
$ sed -ie 's/SecDefaultAction "phase:2,log,auditlog,pass"/#SecDefaultAction "phase:2,log,auditlog,pass"/g' crs-setup.conf
+ U* Y& F/ p6 f! F$ sed -ie 's/#.*SecDefaultAction "phase:1,log,auditlog,deny,status:403"/SecDefaultAction "phase:1,log,auditlog,deny,status:403"/g' crs-setup.conf5 F+ z) @* z( N1 ^
$ sed -ie 's/# SecDefaultAction "phase:2,log,auditlog,deny,status:403"/SecDefaultAction "phase:2,log,auditlog,deny,status:403"/g' crs-setup.conf
7 W1 y6 Y$ K9 K& Z默认ModSecurity不会阻挡恶意连接,只会记录在Log里。修改SecDefaultAction选项,默认开启阻挡。
9 g( ^/ N6 ?- `; j& U0 A9 X, J# F! _& d- D, r" {& u- z [0 z
6 P$ g8 ` s, _ P3 J启用ModSecurity模块和CRS规则
4 F1 U2 b1 ?! _, e+ V4 i: h复制ModSecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到Nginx的conf目录下,并将modsecurity.conf-recommended重新命名为modsecurity.conf。
: X; y T+ b3 h( ]
7 @! K: ^0 x, `; _( v/ p' k* W
- z: p, y: W' j! ymodsecurity.conf-recommended是ModSecurity工作的主配置文件。默认情况下,它带有.recommended扩展名。要初始化ModSecurity,我们就要重命名此文件。
; r% A" W% q/ r/ n$ S# R# u3 f. f5 ^0 M
( n/ o+ P3 W5 G$ Q( A% W6 s5 g/ D1 w5 l
$ cd /root/modsecurity-2.9.1/8 Y% V" F! l& a. C
$ cp modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf 3 y+ R' ]3 i% y2 y) v) U1 r
$ cp unicode.mapping /usr/local/nginx/conf// m) R2 |! Y$ ~- G# [: f! a; f
将SecRuleEngine设置为On,默认值为DetectOnly即为观察模式,建议大家在安装时先默认使用这个模式,规则测试完成后在设置为On,避免出现对网站、服务器某些不可知的影响。; d: ?5 s$ q) l/ ~5 U8 k: z. C0 B+ h
- L- t$ b$ s1 \7 R5 J3 ] S8 R, _( Y
$ vim /usr/local/nginx/conf/modsecurity.conf- o' ?8 T' D) r) e. q4 S
SecRuleEngine On9 M7 m4 Z# M6 P* u# v5 N
ModSecurity中几个常用配置说明:, w' j0 w% z' @; b& C
) m0 d- a6 H! G9 O: y3 o" M/ q! v
s. S# x+ D7 l9 f1 I1.SecRuleEngine:是否接受来自ModSecurity-CRS目录下的所有规则的安全规则引擎。因此,我们可以根据需求设置不同的规则。要设置不同的规则有以下几种。SecRuleEngine On:将在服务器上激活ModSecurity防火墙,它会检测并阻止该服务器上的任何恶意攻击。SecRuleEngine Detection Only:如果设置这个规则它只会检测到所有的攻击,并根据攻击产生错误,但它不会在服务器上阻止任何东西。SecRuleEngine Off:这将在服务器上上停用ModSecurity的防火墙。; O1 a7 ]9 o: Z% G; `8 ?
1 B9 R* t6 W+ o& g% v' F9 c2 z6 |; o! Y+ c8 b' c8 e7 c
2.SecRequestBodyAccess:它会告诉ModSecurity是否会检查请求,它起着非常重要的作用。它只有两个参数ON或OFF。3 r/ t) n/ Q! K+ x
7 G9 G/ n0 p! _" r' G W& M) q% ?9 @& O+ M4 ^8 |5 a5 J
3.SecResponseBodyAccess:如果此参数设置为ON,然后ModeSecurity可以分析服务器响应,并做适当处理。它也有只有两个参数ON和Off,我们可以根据求要进行设置。9 C& H3 y, p/ g; ^7 r
2 x3 ~) l) @2 L; Y& B: l& |2 ]3 J& o- W; X5 A1 b! i8 e; `
4.SecDataDir:定义ModSecurity的工作目录,该目录将作为ModSecurity的临时目录使用。
/ c2 T# y' p7 ?' M: z: J: C q) V& X8 V1 y
, _% j8 S/ y+ L
在 owasp-modsecurity-crs/rules 下有很多定义好的规则,将需要启用的规则用Include指令添加进来就可以了。3 v! m" c7 j0 o+ w" q
+ {7 b* w1 i! j; W0 i+ H% O6 N# r2 f
3.x版本CRS
4 y' D7 L; ?0 _ L$ cd /usr/local/nginx/conf/owasp-modsecurity-crs+ _( X5 K8 v9 m, c) M) [
# 生成例外排除请求的配置文件
$ M2 B y; q/ z% y) p# D$ cp rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
, { P6 N' C9 r( m: c) [# U* b) \$ cp rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
7 O& D+ `- A* Z. R a/ I$ cp rules/*.data /usr/local/nginx/conf
' G( R c- M" A. P" H! }为了保持modsecurity.conf简洁,这里新建一个modsec_includes.conf文件,内容为需要启用的规则。+ m8 A: t f! u( u$ `# I
: g6 y4 {; p! }9 b" M* O. E
, W, Z; X( `1 C" B5 q/ b' T
$ vim /usr/local/nginx/conf/modsec_includes.conf
5 ^( k! Q3 j9 X; ]4 m% f& k: x
! i e Q O7 I. F7 } i[Bash shell] 纯文本查看 复制代码 include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
include owasp-modsecurity-crs/rules/REQUEST-901-INITIALIZATION.conf
Include owasp-modsecurity-crs/rules/REQUEST-903.9002-WORDPRESS-EXCLUSION-RULES.conf
include owasp-modsecurity-crs/rules/REQUEST-905-COMMON-EXCEPTIONS.conf
include owasp-modsecurity-crs/rules/REQUEST-910-IP-REPUTATION.conf
include owasp-modsecurity-crs/rules/REQUEST-911-METHOD-ENFORCEMENT.conf
include owasp-modsecurity-crs/rules/REQUEST-912-DOS-PROTECTION.conf
include owasp-modsecurity-crs/rules/REQUEST-913-SCANNER-DETECTION.conf
include owasp-modsecurity-crs/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf
include owasp-modsecurity-crs/rules/REQUEST-921-PROTOCOL-ATTACK.conf
include owasp-modsecurity-crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf
include owasp-modsecurity-crs/rules/REQUEST-931-APPLICATION-ATTACK-RFI.conf
include owasp-modsecurity-crs/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf
include owasp-modsecurity-crs/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf
include owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf
include owasp-modsecurity-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf
include owasp-modsecurity-crs/rules/REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf
include owasp-modsecurity-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-950-DATA-LEAKAGES.conf
include owasp-modsecurity-crs/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf
include owasp-modsecurity-crs/rules/RESPONSE-952-DATA-LEAKAGES-JAVA.conf
include owasp-modsecurity-crs/rules/RESPONSE-953-DATA-LEAKAGES-PHP.conf
include owasp-modsecurity-crs/rules/RESPONSE-954-DATA-LEAKAGES-IIS.conf
include owasp-modsecurity-crs/rules/RESPONSE-959-BLOCKING-EVALUATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-980-CORRELATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
4 }2 H" w8 `0 n( g$ o
注:考虑到可能对主机性能上的损耗,可以根据实际需求加入对应的漏洞的防护规则即可。) R# f& y: G+ C% x2 u+ R
7 u* h6 k8 b3 z4 c: {; S
% O9 @) p5 r/ t" c/ N6 b3 d
配置Nginx支持Modsecurity; V. n) {% r: t+ B7 d7 Q: r
启用Modsecurity
' x5 a2 J, R+ c( P! V( w( P: W使用静态模块加载的配置方法' G' [3 x) E) w6 }; I- o% C' {
在需要启用Modsecurity的主机的location下面加入下面两行即可:
3 W g! T& q4 Z. Q! O3 P B: J( c* }1 w$ Z- Z
# \6 T3 F% s }: V! A$ r! \. vModSecurityEnabled on;
5 M5 \4 j+ k/ k, m aModSecurityConfig modsec_includes.conf;
' r3 x7 t, S6 l# o# ~! J$ l修改Nginx配置文件,在需要启用Modsecurity的location开启Modsecurity。: ]+ u/ s" I8 z( C# \: B
6 H2 k8 D; r5 @" I7 c0 _; g
% a+ C( z& b1 _' O2 Y$ vim /usr/local/nginx/conf/nginx.conf' {% O4 \. J. Q q, P; P$ U
! ^5 ]& M5 O$ e) K8 Z! f
. ~+ X% _ t$ _& K) Iserver {7 d5 z6 D' c' c$ y1 u8 Y5 F1 W9 A. a
listen 80;
8 ], j0 r0 C6 R# r server_name example.com;
* k- x# X3 @/ U( W- B& @- a: c1 I0 x t2 L
. k2 U, G" {3 U1 f2 o
location / {
; y, ?+ V% o# N5 F7 F ModSecurityEnabled on;6 {' T! N* \9 C! \& ?
ModSecurityConfig modsec_includes.conf;5 o4 L' w. x5 E) i# U
root html;
1 }/ G5 h5 N+ a& Q1 o% j index index.html index.htm;/ V/ R& d9 `. J9 P8 Q4 s0 N) H
}
1 R% Q% U: g- n* H* m. b1 M' k}, z% y# u! O" b6 W% j( `; w
使用动态模块加载的配置方法" p( T$ X: s4 S1 b C6 w4 \
在需要启用Modsecurity的主机的location下面加入下面两行即可:' v6 G" N) Y( H; R5 }) N
( k% B1 W2 |1 @8 ^$ C
8 M3 t+ R9 }8 b6 q7 V- N' n Y% Smodsecurity on;4 r( o+ R7 u- _$ D& H) Z! R+ ^
modsecurity_rules_file modsec_includes.conf;
9 b$ H. A: G5 L3 r$ W3 A修改Nginx配置文件,在需要启用Modsecurity的location开启Modsecurity。
3 m( r0 J1 x1 j3 S; S' g0 c2 m0 r. Z: e7 X/ n3 Q8 r2 O
- H% B% P% G+ P: Q! I
$ vim /usr/local/nginx/conf/nginx.conf
. o2 Y2 _& W) d4 H0 R* _# l3 J7 {. i3 b
3 M" \4 N$ ?/ }3 v/ Z
server {
( U: N+ t% i. f1 x+ h& h8 r0 x& b listen 80;) o$ V8 Z( K: C1 R; W* }* q
server_name localhost mike.hi-linux.com;+ q5 F- N4 v, a7 H3 I3 {
access_log /var/log/nginx/yourdomain.log;
( N$ X: {! i$ k4 r- A1 B
+ X. e3 d2 ]+ y4 _3 n
$ p7 U) |( v2 o+ }8 p location / {' @) O+ `8 _4 ?* g/ X
1 x9 l' j8 a$ E4 n8 O6 s
+ w3 O( L( K3 D. Q modsecurity on;
5 [. j3 S' Y1 Z. ~, U0 x modsecurity_rules_file modsec_includes.conf;( g2 s: q' X8 K) Q. T
root html;# Y9 _- h' n5 u n2 H2 `# s
index index.html index.htm;
6 o8 J2 n" a" Q}
' ?3 y& V3 |# G8 z- }}
6 g, a2 V0 \# ]7 a; v& _2 ~验证Nginx配置文件6 k6 x' N/ @9 Y9 _ s# ]9 v
$ /usr/local/nginx/sbin/nginx -t
" v6 \) A0 q! P$ u8 ?. z) o% snginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
2 c2 y% ]" \! k" s! L- Q4 znginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
_% W! _4 u( p* ]2 v3 r. q启动Nginx) X' t% B- W$ V% D o4 }+ T; Q
$ /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
' y ]8 k* |+ L- i8 h+ y) w9 Q" z' o9 G1 |7 `" M, y2 b/ ^
测试Modsecurity ModSecurity现在已经成功配置了OWASP的规则。现在我们将测试对一些最常见的Web应用攻击。来测试ModSecurity是否挡住了攻击。这里我们启用了XSS和SQL注入的过滤规则,下面的例子中不正常的请求会直接返回403。 在浏览器中访问默认首页,会看到Nginx默认的欢迎页: [/url] 这时我们在网址后面自己加上正常参数,例如: 。同样会看到Nginx默认的欢迎页: [url=http://img.colabug.com/2017/06/842f48f203c6c2cd30144f29b57af97a.png] 接下来,我们在前面正常参数的基础上再加上 ,整个请求变成: [/url] 就会看到Nginx返回403 Forbidden的信息了,说明Modsecurity成功拦截了此请求。再来看一个的例子,同样会被Modsecurity拦截。 [url=http://img.colabug.com/2017/06/246ce28e95310a32f791893d4f5c55ca.png] 查看Modsecurity日志 [url=http://img.colabug.com/2017/06/ae44dcb58b8a4a0ea761317e398b3101.png][/url] 所有命中规则的外部攻击均会存在modsec_audit.log,用户可以对这个文件中记录进行审计。Log文件位置在modsecurity.conf中SecAuditLog选项配置,Linux默认在 /var/log/modsec_audit.log 。 $ cat /usr/local/nginx/conf/modsecurity.confSecAuditLog /var/log/modsec_audit.logModsecurity主要是规则验证(验证已知漏洞),Nginx下还有另一个功能强大的WAF模块Naxsi。Naxsi最大特点是可以设置学习模式,抓取您的网站产生必要的白名单,以避免误报!Naxsi不依赖于预先定义的签名,Naxsi能够战胜更多复杂/未知/混淆的攻击模式。 0 h f8 p$ G& x z8 y3 Z [, r: J' M$ u
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2017-10-19 17:34:51
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡