ModSecurity原本是Apache上的一款开源WAF模块,可以有效的增强Web安全性。目前已经支持Nginx和IIS,配合Nginx的灵活和高效可以打造成生产级的WAF,是保护和审核Web安全的利器。
; G: F; Z! R' F3 O! W9 s
& @5 _6 i2 u* ]/ V
: i9 ~$ w o X0 _% O2 K在这篇文章中,我们将学习配置ModSecurity与OWASP的核心规则集。
, k1 |2 I7 Z) @- o. q, R V. |! ]- u+ }5 |
, m: `. m2 \4 p2 E7 w% \/ M( }什么是ModSecurity
6 R7 c+ R4 D& O+ RModSecurity是一个入侵侦测与防护引擎,它主要是用于Web应用程序,所以也被称为Web应用程序防火墙(WAF)。它可以作为Web服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Web Application 的安全性和保护Web application以避免遭受来自已知与未知的攻击。% w/ | ?( D9 C' ?- P
% ~( y6 w* Q8 a7 V
# x+ @# H' Y f" f3 ?" ^3 KModSecurity计划是从2002年开始,后来由Breach Security Inc.收购,但Breach Security Inc.允诺ModSecurity仍旧为Open Source,并开放源代码给大家使用。最新版的ModSecurity开始支持核心规则集(Core Rule Set),CRS可用于定义旨在保护Web应用免受0day及其它安全攻击的规则。: C7 w0 k( S4 ]3 V+ U
S& n* w" Q8 h" B
& C$ v/ p( e* ?5 hModSecurity还包含了其他一些特性,如并行文本匹配、Geo IP解析和信用卡号检测等,同时还支持内容注入、自动化的规则更新和脚本等内容。此外,它还提供了一个面向Lua语言的新的API,为开发者提供一个脚本平台以实现用于保护Web应用的复杂逻辑。
! B9 b4 _( x# }7 b4 a& o4 D1 p5 d* V3 \# r- ?
5 J8 Y6 l3 k* a% n H官网: https://www.modsecurity.org/7 c: r& @5 [; Z
. ?- ]- z1 \ J7 ?. E; z
& A, D8 R7 \/ @" I$ x5 }; @
什么是OWASP CRS* ^( y# R! u$ \ V: o1 a- m- m$ Z
OWASP是一个安全社区,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS)。ModSecurity之所以强大就在于OWASP提供的规则,我们可以根据自己的需求选择不同的规则,也可以通过ModSecurity手工创建安全过滤器、定义攻击并实现主动的安全输入验证。4 q- J3 w9 V' A7 I2 K4 S
) `/ ]1 Z/ P! a1 E
$ x2 ~1 f) ^% {5 L9 C0 x4 N3 fModSecurity核心规则集(CRS)提供以下类别的保护来防止攻击。- l9 \6 T* F6 k/ |. `. ?( ^! {9 h
0 P2 A: w9 Y( j8 {6 x2 S* f
' B8 E+ e+ \* v0 N9 z) n' b7 O
HTTP Protection(HTTP防御), |- f& B7 N$ \- W4 O9 N0 E+ J f
HTTP协议和本地定义使用的detectsviolations策略。7 w# T2 @, G% r) F* q
5 h$ w8 Z) C0 _2 N3 J! g3 i/ B9 ]7 k: j% M! J. ~5 g2 H
Real-time Blacklist Lookups(实时黑名单查询)
7 T3 e$ _$ i7 B2 [1 S7 G% ~利用第三方IP名单。
. d, i' h/ M1 {3 f* W
6 o+ `1 _5 _8 r0 L$ X, z8 z+ m2 g2 s: d3 o
HTTP Denial of Service Protections(HTTP的拒绝服务保护)
. Y" o6 R O6 \/ S( V4 m q防御HTTP的洪水攻击和HTTP Dos攻击。2 t4 b! R, t. ]/ u: b) q
; l4 u# q6 T O2 [
- X2 E. g" w) A% ?, {Common Web Attacks Protection(常见的Web攻击防护)1 u, C2 Z: @4 P1 o M7 O
检测常见的Web应用程序的安全攻击。8 K) e' @" J0 @
" Q; D, I# A; T! ]! H$ E) I3 O
Automation Detection(自动化检测)) @0 x9 {( e W' ?
检测机器人,爬虫,扫描仪和其他表面恶意活动。8 C0 {3 x7 ~5 q
) n2 }; n5 r, S
0 o$ e _% P. ]+ V7 SIntegration with AV Scanning for File Uploads(文件上传防病毒扫描), k d/ h% s2 @- l+ k" O' K
检测通过Web应用程序上传的恶意文件。# Z, N8 `* B- K0 w+ Y
2 o6 m) K+ M$ {& Y) b! a- ^
1 ?& p% N! e) ]Tracking Sensitive Data(跟踪敏感数据)
$ }3 x5 |, H( R( Y信用卡通道的使用,并阻止泄漏。# Y% O8 o( W. I+ Y2 c
+ p0 t$ |& H' H# i4 D. X2 A
' x8 ~8 u1 l7 \3 C( FTrojan Protection(木马防护)
$ f) Q t0 g4 Z, B检测访问木马。
3 V% u' n* e2 v6 y" B5 z# U, w% Q5 C- T( w" ?
( \0 a; N, k5 V$ S
Identification of Application Defects(应用程序缺陷的鉴定)
+ I( x- P5 i; W检测应用程序的错误配置警报。: K, S# ^) h! s% l. Y) k
6 b9 ^6 q, x4 Y( g
% c+ `2 \; j8 L" {Error Detection and Hiding(错误检测和隐藏)2 N3 [1 y' s) P8 } u4 ?
检测伪装服务器发送错误消息。
: Z$ }3 u1 S) I9 t7 p$ s
+ J4 _. k9 ?8 P& x
5 N% @) E$ p6 c+ B g安装ModSecurity
5 C1 X# [% b5 l. Y( r6 W软件基础环境准备( u1 p+ N+ w; T8 g' A& ^/ F
下载对应软件包7 I! Q( A7 M( Y8 h8 q
$ cd /root
" f, j9 M0 ^& l p7 @% i$ wget 'http://nginx.org/download/nginx-1.9.2.tar.gz'
4 X6 K) d9 s7 b7 q$ wget -O modsecurity-2.9.1.tar.gz https://github.com/SpiderLabs/ModSecurity/releases/download/v2.9.1/modsecurity-2.9.1.tar.gz) Z6 Y3 Y7 q( o( N
安装Nginx和ModSecurity依赖包
% G% L8 f+ q. H, K) `Centos/RHEL! S* |0 ?" j( S. U
6 v( T1 U! n8 ]5 u# s
( q( n1 { y4 u' n* ]9 ~$ yum install httpd-devel apr apr-util-devel apr-devel pcre pcre-devel libxml2 libxml2-devel zlib zlib-devel openssl openssl-devel
0 F& Z# F5 J/ Q+ O$ xUbuntu/Debian- J' r2 @3 `; h* B& t/ F
: x0 X( H8 N# h; w6 |: f) c
4 U8 \* r1 {" L" i0 T2 o$ apt-get install libreadline-dev libncurses5-dev libssl-dev perl make build-essential git libpcre3 libpcre3-dev libtool autoconf apache2-dev libxml2 libxml2-dev libcurl4-openssl-dev g++ flex bison curl doxygen libyajl-dev libgeoip-dev dh-autoreconf libpcre++-dev- m6 v' h9 l- r1 d( o( M% J
编译安装ModSecurity
, H! U8 C; f7 x, Z: H3 MNginx加载ModSecurity模块有两种方式:一种是编译为Nginx静态模块,一种是通过ModSecurity-Nginx Connector加载动态模块。
; t# s1 @ I1 y3 @* h+ {+ t0 t, A
: O9 e& o- S- H/ T4 D& d$ E* S* z- u0 S3 |' @ [. n
方法一:编译为Nginx静态模块
2 R: p( ?0 m& k- T
$ v& o& b' a0 L Y: ^. `' _9 o) y, C8 e$ G; y$ m
编译为独立模块(modsecurity-2.9.1)% _4 }6 ?$ }# }9 X7 I" \, {
$ tar xzvf modsecurity-2.9.1.tar.gz
: J j/ N- j# P: c: W% i6 Y. \# ^$ cd modsecurity-2.9.1/' Q9 w z9 o; A& l+ s2 K
$ ./autogen.sh
, q* G5 V0 @" ^( ?: P8 A1 ^$ ./configure --enable-standalone-module --disable-mlogc. `% {1 Z# S! j3 A$ G
$ make3 p2 d1 b @6 i6 N
编译安装Nginx并添加ModSecurity模块2 ^6 `" F6 ] x/ O8 Q
$ tar xzvf nginx-1.9.2.tar.gz
: _/ ^2 j; n e) A9 A$ cd nginx-1.9.2; G- b% i( A" b) }, K5 [' ?
$ ./configure --add-module=/root/modsecurity-2.9.1/nginx/modsecurity/
5 |2 N! N" h/ R$ D7 k9 C$ make && make install6 Z- P1 t k2 l. G5 F
方法二:编译通过ModSecurity-Nginx Connector加载的动态模块
$ G3 W: f2 {7 c1 B& d
: M) ?8 m$ d2 F4 }( i, F6 ^- k8 C/ _) `7 N5 b! L. j* _! i- M, {
编译LibModSecurity(modsecurity-3.0)# ]4 b& Z- C, w. g6 T* S
$ cd /root
U% p G. a: z( |! `$ git clone https://github.com/SpiderLabs/ModSecurity
& N5 ~2 @5 }! _) X$ cd ModSecurity# A8 h$ a. W! R1 n- f& a
$ git checkout -b v3/master origin/v3/master- R+ {1 h+ c2 M6 T9 T" P' Q7 M- P
$ sh build.sh+ h2 n; ~- c- V. r! t7 U: w8 n9 Z7 g
$ git submodule init" C( Q& U6 C2 L- k1 @
$ git submodule update
# C0 {& U* t6 Q. y' q( ?. a8 n$ ./configure6 M1 p% k- r# N) @
$ make
* | X2 [ T+ \) c: B$ make install) G+ u$ `1 w% c" C6 \
LibModSecurity会安装在 /usr/local/modsecurity/lib 目录下。
5 O I6 b; I) r" x& {% u0 ]0 t; c3 q# o2 @* |
$ y2 b8 n9 b4 B8 M+ i
$ ls /usr/local/modsecurity/lib; e' l/ x$ S+ U8 H, n* k3 Q
libmodsecurity.a libmodsecurity.la libmodsecurity.so libmodsecurity.so.3 libmodsecurity.so.3.0.0# c0 N- q( e+ r' F4 A
编译安装Nginx并添加ModSecurity-Nginx Connector模块) o: o1 Q R) Y" J6 ~
使用ModSecurity-Nginx模块来连接LibModSecurity
2 ~( n7 r( a- |& v
4 C: x( o' u3 e( e9 B3 {3 Y
' W5 U6 x' P: }! s' p& ~- a$ cd /root% k1 _+ z# E( C4 ~ b1 X) \( J
$ git clone https://github.com/SpiderLabs/ModSecurity-nginx.git modsecurity-nginx( l+ F4 v% h4 k E _) V8 [( w
$ tar xzvf nginx-1.9.2.tar.gz$ m; B6 M* b5 v
$ cd nginx-1.9.2
8 ]9 i6 r7 ^# C8 Z$ S- E# Z+ ~$ ./configure --add-module=/root/modsecurity-nginx
k# G8 h% Y% y3 p" h- }$ make
# H# L* p" ^: `% x, P$ make && make install* |' z+ a" c _0 u! p' n. q
添加OWASP规则
* Q' o3 a. h* X C: QModSecurity倾向于过滤和阻止Web危险,之所以强大就在于规则。OWASP提供的规则是社区志愿者维护的被称为核心规则CRS,规则可靠强大,当然也可以自定义规则来满足各种需求。+ H, S- I. [6 N4 c6 ~
/ _3 V/ |# L+ o |; G: ]$ o: W- Y/ y
% S2 y8 C1 q& \/ I" H! S6 _下载OWASP规则并生成配置文件7 c3 o/ a* q L' w) T3 U' h% g
$ git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
' \, W9 U* u& R) w `& { v; D$ cp -rf owasp-modsecurity-crs /usr/local/nginx/conf/9 L3 q" k% N5 d7 h6 m
$ cd /usr/local/nginx/conf/owasp-modsecurity-crs! O- \% M# x8 @" O
$ cp crs-setup.conf.example crs-setup.conf
1 h0 R4 T9 u4 A, v8 b! D+ y配置OWASP规则
2 s* t3 P) c6 J# m$ u) H编辑crs-setup.conf文件! w! O- w$ ], ~7 }8 h
2 ]9 n" J+ y6 K
. I$ A$ @: d; Q% M$ a c$ sed -ie 's/SecDefaultAction "phase:1,log,auditlog,pass"/#SecDefaultAction "phase:1,log,auditlog,pass"/g' crs-setup.conf
4 i) e" q7 j7 Q5 D. L$ sed -ie 's/SecDefaultAction "phase:2,log,auditlog,pass"/#SecDefaultAction "phase:2,log,auditlog,pass"/g' crs-setup.conf" c' D0 @2 r$ E D y( c% v2 J
$ sed -ie 's/#.*SecDefaultAction "phase:1,log,auditlog,deny,status:403"/SecDefaultAction "phase:1,log,auditlog,deny,status:403"/g' crs-setup.conf
/ Z. k4 q: Z7 r' N+ J/ d- O$ sed -ie 's/# SecDefaultAction "phase:2,log,auditlog,deny,status:403"/SecDefaultAction "phase:2,log,auditlog,deny,status:403"/g' crs-setup.conf
g. g. \* d) y2 d6 o$ L默认ModSecurity不会阻挡恶意连接,只会记录在Log里。修改SecDefaultAction选项,默认开启阻挡。
1 A. {1 h. y6 I3 e5 \3 M5 c* H, B% A- \ {
Q1 q$ b5 p- ~% e6 x6 m# {. E
启用ModSecurity模块和CRS规则
' ?7 ^8 C) y$ n$ I( U' ^复制ModSecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到Nginx的conf目录下,并将modsecurity.conf-recommended重新命名为modsecurity.conf。7 e0 `. { @; Z: Q' }7 \
2 o1 N* I- {5 m$ F; |: ^5 F
* s4 q# Y( f& t8 a+ I; jmodsecurity.conf-recommended是ModSecurity工作的主配置文件。默认情况下,它带有.recommended扩展名。要初始化ModSecurity,我们就要重命名此文件。& o# Z: j* Y9 e9 c* o; O0 d9 K
5 ~* C$ A& Y7 B5 i: v+ z3 z
7 a& U4 y9 L, ?4 {7 j$ cd /root/modsecurity-2.9.1/$ t% }; X1 f& l
$ cp modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
1 a% a( _- G2 i$ F$ cp unicode.mapping /usr/local/nginx/conf/
- h7 k/ R, ?, }2 e. o9 r/ ]将SecRuleEngine设置为On,默认值为DetectOnly即为观察模式,建议大家在安装时先默认使用这个模式,规则测试完成后在设置为On,避免出现对网站、服务器某些不可知的影响。2 |( t, G8 ^0 P4 e
- F2 V m# K V. f$ ]
, s4 c p% Q: K* a+ P0 u& I4 U2 f$ vim /usr/local/nginx/conf/modsecurity.conf% T8 ^, i/ ]8 C7 v0 a
SecRuleEngine On
6 \8 l S* b% BModSecurity中几个常用配置说明:' M" B& T x$ Y1 W! d/ K
Y2 C) m+ P! u$ C+ }9 a- p
, O& K1 w; [' A1.SecRuleEngine:是否接受来自ModSecurity-CRS目录下的所有规则的安全规则引擎。因此,我们可以根据需求设置不同的规则。要设置不同的规则有以下几种。SecRuleEngine On:将在服务器上激活ModSecurity防火墙,它会检测并阻止该服务器上的任何恶意攻击。SecRuleEngine Detection Only:如果设置这个规则它只会检测到所有的攻击,并根据攻击产生错误,但它不会在服务器上阻止任何东西。SecRuleEngine Off:这将在服务器上上停用ModSecurity的防火墙。
! A7 A6 K8 Y2 k8 L+ l1 J: M4 y, F% i, f1 k0 n* I( k( p G- d' \* b
9 d1 g1 F2 l) T- S; E6 t& A4 C2.SecRequestBodyAccess:它会告诉ModSecurity是否会检查请求,它起着非常重要的作用。它只有两个参数ON或OFF。4 O) v5 u. n2 M2 O% [0 \
: ?2 @) ~ D, T# a
$ U! U( _4 Y5 ~+ ~) e0 T& [
3.SecResponseBodyAccess:如果此参数设置为ON,然后ModeSecurity可以分析服务器响应,并做适当处理。它也有只有两个参数ON和Off,我们可以根据求要进行设置。
' C& B4 e# I7 h |5 p$ @( C/ t+ P% n4 Z7 y0 R8 A/ t# t
5 T5 \( o! [3 }/ w$ K, @4.SecDataDir:定义ModSecurity的工作目录,该目录将作为ModSecurity的临时目录使用。$ _$ \1 p& `3 ^3 W8 Y2 |
4 |4 D% @, {1 f; R9 J6 Z4 q
2 R4 U% L1 d/ K8 @
在 owasp-modsecurity-crs/rules 下有很多定义好的规则,将需要启用的规则用Include指令添加进来就可以了。5 Z O- W/ d6 E3 Y3 u, q! r
; O. y1 `" f h
$ m2 n% D% b% M: b9 Q3.x版本CRS9 C$ ^2 ?$ j) }8 Z6 ^8 ]. y
$ cd /usr/local/nginx/conf/owasp-modsecurity-crs
9 ^, D o( q+ c$ b# v* i# 生成例外排除请求的配置文件
% g! y8 M+ B9 P# k0 T$ cp rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf( c7 [5 t5 ~, D' C% d& X
$ cp rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
4 ]0 g: X4 y9 @- ^0 M a$ cp rules/*.data /usr/local/nginx/conf+ q" A h0 Y' @' Y
为了保持modsecurity.conf简洁,这里新建一个modsec_includes.conf文件,内容为需要启用的规则。* O" ~& g) G, ~
" T5 R. i8 ^1 h; t4 N
' M G& k- J$ V, a$ vim /usr/local/nginx/conf/modsec_includes.conf
% z5 J; B0 Y5 k! R, V8 U
7 Y: q4 b m& ?6 C0 F( l' Z1 Y[Bash shell] 纯文本查看 复制代码 include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
include owasp-modsecurity-crs/rules/REQUEST-901-INITIALIZATION.conf
Include owasp-modsecurity-crs/rules/REQUEST-903.9002-WORDPRESS-EXCLUSION-RULES.conf
include owasp-modsecurity-crs/rules/REQUEST-905-COMMON-EXCEPTIONS.conf
include owasp-modsecurity-crs/rules/REQUEST-910-IP-REPUTATION.conf
include owasp-modsecurity-crs/rules/REQUEST-911-METHOD-ENFORCEMENT.conf
include owasp-modsecurity-crs/rules/REQUEST-912-DOS-PROTECTION.conf
include owasp-modsecurity-crs/rules/REQUEST-913-SCANNER-DETECTION.conf
include owasp-modsecurity-crs/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf
include owasp-modsecurity-crs/rules/REQUEST-921-PROTOCOL-ATTACK.conf
include owasp-modsecurity-crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf
include owasp-modsecurity-crs/rules/REQUEST-931-APPLICATION-ATTACK-RFI.conf
include owasp-modsecurity-crs/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf
include owasp-modsecurity-crs/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf
include owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf
include owasp-modsecurity-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf
include owasp-modsecurity-crs/rules/REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf
include owasp-modsecurity-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-950-DATA-LEAKAGES.conf
include owasp-modsecurity-crs/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf
include owasp-modsecurity-crs/rules/RESPONSE-952-DATA-LEAKAGES-JAVA.conf
include owasp-modsecurity-crs/rules/RESPONSE-953-DATA-LEAKAGES-PHP.conf
include owasp-modsecurity-crs/rules/RESPONSE-954-DATA-LEAKAGES-IIS.conf
include owasp-modsecurity-crs/rules/RESPONSE-959-BLOCKING-EVALUATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-980-CORRELATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
9 i& Q0 Q! D% ]) ~0 z' H5 ?% z+ N! \! n# S& a* q% d, G5 c1 {, }
注:考虑到可能对主机性能上的损耗,可以根据实际需求加入对应的漏洞的防护规则即可。
" G% v0 |5 ~$ G3 _
7 _- J; Q3 j4 ?/ S) L7 n& |( y& a; x$ o
配置Nginx支持Modsecurity4 l6 R" `' j, |+ M( z0 ^" Y* r( q
启用Modsecurity2 Y! y( O, Z# i* [0 m
使用静态模块加载的配置方法. Y) X% I( d# o! C' q* L
在需要启用Modsecurity的主机的location下面加入下面两行即可:) S0 s" |2 G8 Z7 T/ }1 c6 Y- G$ Q( Y
" L6 [3 b. t) ]
s* b/ w! f ?% ]; ZModSecurityEnabled on;
! F+ i/ I- [# P( q2 G0 z9 n% pModSecurityConfig modsec_includes.conf;
. q; E: E: G( }& D修改Nginx配置文件,在需要启用Modsecurity的location开启Modsecurity。
6 ?4 I: L+ G% u9 U0 Z7 T0 V, ~% n3 h- ?+ n/ h7 E* @- w6 T
. W9 j1 Y; f; Q$ vim /usr/local/nginx/conf/nginx.conf
: F; @- G8 T3 {- }" w! l4 q' a# d( t* |# m, T
* m" d( ~& z# R4 q' G$ D0 m$ tserver {, ]# h. ]2 { [ K& J6 n
listen 80;7 h, R9 n3 p T+ R5 X) q0 l
server_name example.com;
' n/ i: W% a) V ^" F8 H* c- I$ S2 t& m2 J% E: _ K
- d3 B" G l# u) d- F+ f* d location / {4 @% {# A4 \0 {
ModSecurityEnabled on;6 z: X. ~5 ~: j; U3 F
ModSecurityConfig modsec_includes.conf;! g5 x) b4 ^7 ?6 o! v3 K0 z
root html;
5 }; m6 [1 z2 b+ ^. q index index.html index.htm;
) z/ z. h5 f5 F/ N/ s }
9 n: Y, J% ?3 H! k3 k+ @9 m) N4 b1 l}2 Y5 E6 `, A' k5 f6 L* G
使用动态模块加载的配置方法 @8 b3 u8 R* I6 ^" F5 r/ ]5 f) a' t
在需要启用Modsecurity的主机的location下面加入下面两行即可:
2 _4 p% Z# R z+ O+ p; @2 N" D
7 R1 B) ?9 |: @: P' Q
- |' j$ O" @6 mmodsecurity on;7 W: X( a& [7 F @; Q
modsecurity_rules_file modsec_includes.conf;
6 \: O8 L' P5 l0 l修改Nginx配置文件,在需要启用Modsecurity的location开启Modsecurity。" G. o* f8 S7 C4 U( f
& y; N2 R6 @$ Y/ G# K1 l- n, Q
4 C$ r8 V/ A1 c3 u$ vim /usr/local/nginx/conf/nginx.conf
7 V) p6 t3 w3 G& k: s* S. s
" G: U1 e/ N& _# q# W
? P, w. g0 ?. N- oserver {
0 q) \: [: y! G: ^5 c listen 80;. o! }+ S% x. p% j( D" F
server_name localhost mike.hi-linux.com;: ^8 ?1 B% \! f, h( }4 C6 k$ k
access_log /var/log/nginx/yourdomain.log;
8 Y6 a5 k, N4 M! I- [' Q: H1 F. W8 K
" W7 m2 [) ]( W [" i
location / {# e$ D' T2 E8 a8 \8 x; E& g/ \
: i, v+ c# h8 s- O2 h8 }
6 v9 l3 L. V, p3 E3 F9 ]
modsecurity on;
$ W# i/ y" v ~: p8 q modsecurity_rules_file modsec_includes.conf;* d5 _- R- b: i% O5 y+ B$ ^0 m3 ]
root html;5 B" g% X% O% G) D/ t( ^
index index.html index.htm;
# r: W1 M& z/ g& R4 L}
, q* A% Y3 d' P+ c+ q+ `/ ]}* _0 j- {1 T! a$ x- J# O
验证Nginx配置文件
1 Y0 y3 r% R( b9 M; o9 P$ /usr/local/nginx/sbin/nginx -t
m) O4 Q5 d, x7 ~* Q% [nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok. d- [, c% g- G! [' z
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
/ Y V8 N% H5 Q& o) ~! m4 l启动Nginx- n: p) a$ Z5 x: c& g
$ /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
2 A/ w5 ^0 y' Y" {1 @3 a. z# q3 @
2 `$ z0 O+ D% v |9 _: V测试Modsecurity ModSecurity现在已经成功配置了OWASP的规则。现在我们将测试对一些最常见的Web应用攻击。来测试ModSecurity是否挡住了攻击。这里我们启用了XSS和SQL注入的过滤规则,下面的例子中不正常的请求会直接返回403。 在浏览器中访问默认首页,会看到Nginx默认的欢迎页: [/url] 这时我们在网址后面自己加上正常参数,例如: 。同样会看到Nginx默认的欢迎页: [url=http://img.colabug.com/2017/06/842f48f203c6c2cd30144f29b57af97a.png] 接下来,我们在前面正常参数的基础上再加上 ,整个请求变成: [/url] 就会看到Nginx返回403 Forbidden的信息了,说明Modsecurity成功拦截了此请求。再来看一个的例子,同样会被Modsecurity拦截。 [url=http://img.colabug.com/2017/06/246ce28e95310a32f791893d4f5c55ca.png] 查看Modsecurity日志 [url=http://img.colabug.com/2017/06/ae44dcb58b8a4a0ea761317e398b3101.png][/url] 所有命中规则的外部攻击均会存在modsec_audit.log,用户可以对这个文件中记录进行审计。Log文件位置在modsecurity.conf中SecAuditLog选项配置,Linux默认在 /var/log/modsec_audit.log 。 $ cat /usr/local/nginx/conf/modsecurity.confSecAuditLog /var/log/modsec_audit.logModsecurity主要是规则验证(验证已知漏洞),Nginx下还有另一个功能强大的WAF模块Naxsi。Naxsi最大特点是可以设置学习模式,抓取您的网站产生必要的白名单,以避免误报!Naxsi不依赖于预先定义的签名,Naxsi能够战胜更多复杂/未知/混淆的攻击模式。 8 y- K7 z4 P r7 ]
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2017-10-19 17:34:51
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡