ModSecurity原本是Apache上的一款开源WAF模块,可以有效的增强Web安全性。目前已经支持Nginx和IIS,配合Nginx的灵活和高效可以打造成生产级的WAF,是保护和审核Web安全的利器。
; V/ a6 v" _) v. {' D. a* L* V( ~& k& ?: `
' J5 _$ W( H' q* y在这篇文章中,我们将学习配置ModSecurity与OWASP的核心规则集。' F. V# \* o6 ?6 ~8 B& r6 J
* `8 u1 P# ~! D) X q: |7 x d1 B; J* f3 Q
什么是ModSecurity' q* s$ |9 F# t
ModSecurity是一个入侵侦测与防护引擎,它主要是用于Web应用程序,所以也被称为Web应用程序防火墙(WAF)。它可以作为Web服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Web Application 的安全性和保护Web application以避免遭受来自已知与未知的攻击。
5 H! c, L/ q% r! F* f# K
c6 \, Q7 P0 S1 I( [) |
# V$ @$ q3 _ r7 D( T' T" CModSecurity计划是从2002年开始,后来由Breach Security Inc.收购,但Breach Security Inc.允诺ModSecurity仍旧为Open Source,并开放源代码给大家使用。最新版的ModSecurity开始支持核心规则集(Core Rule Set),CRS可用于定义旨在保护Web应用免受0day及其它安全攻击的规则。. T* L* W: G8 C: i. _: y5 c
7 a, |0 G- w6 T; F, Z+ x" C7 D7 ?" o6 ~! d& S0 i
ModSecurity还包含了其他一些特性,如并行文本匹配、Geo IP解析和信用卡号检测等,同时还支持内容注入、自动化的规则更新和脚本等内容。此外,它还提供了一个面向Lua语言的新的API,为开发者提供一个脚本平台以实现用于保护Web应用的复杂逻辑。
7 }9 [1 Y) Q) ?# K f
# C, J1 i( { D2 X. H, q& l% j7 ^3 A# D% g- v8 I
官网: https://www.modsecurity.org/; H9 _! A! _0 \5 f
9 }1 m2 f, C/ ?/ Z" N* J S
: x( d# L, }# X; w
什么是OWASP CRS0 o& R# v) D2 w5 \
OWASP是一个安全社区,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS)。ModSecurity之所以强大就在于OWASP提供的规则,我们可以根据自己的需求选择不同的规则,也可以通过ModSecurity手工创建安全过滤器、定义攻击并实现主动的安全输入验证。/ N# Z5 u, X% W9 S- J. J$ d) J
! T; p4 {) J4 G$ n3 O, C
, A1 s) }; T/ hModSecurity核心规则集(CRS)提供以下类别的保护来防止攻击。
& ]3 [3 B5 J! u
5 S5 ~% L& U% x3 c, @2 n
; V1 y% \0 `6 c* \, T/ V" uHTTP Protection(HTTP防御)* O. I, X/ O" ?$ g6 Z6 ?
HTTP协议和本地定义使用的detectsviolations策略。, s3 a+ W, | L2 d% u- h" U
1 H% G! n$ ]8 u2 n8 V/ ^2 W0 O
( v2 {: J8 T) {# O
Real-time Blacklist Lookups(实时黑名单查询)
5 @" q7 Y& n( t% z利用第三方IP名单。
1 B+ G; @2 m! q% }( p0 h2 q& G ?" u2 x" J
2 @) q9 V6 D0 B1 q+ F1 }4 c" G
HTTP Denial of Service Protections(HTTP的拒绝服务保护)
1 B @' C6 E5 B' _9 e# y! G5 d4 L4 e防御HTTP的洪水攻击和HTTP Dos攻击。& ]% A* x7 @4 I4 G
2 t/ \( I; Q4 Q1 a& }5 S8 |; ^1 t0 q7 k+ T+ W
Common Web Attacks Protection(常见的Web攻击防护)8 G$ ]8 m& Q/ }+ y' y+ W1 c
检测常见的Web应用程序的安全攻击。+ A) x$ u5 @+ o# T& m
1 M' ]0 f! u* |0 r; Z6 m7 J) A/ M9 |5 y5 f
Automation Detection(自动化检测)5 h0 P o: _# h ?# u! H& b
检测机器人,爬虫,扫描仪和其他表面恶意活动。
; s" C, A d. {. R w) p; b, F8 A' j( t6 `4 z$ R
1 [2 A/ J _% E) |9 vIntegration with AV Scanning for File Uploads(文件上传防病毒扫描)
4 y" l: e9 g+ o& P检测通过Web应用程序上传的恶意文件。
/ s5 Z; q5 Q5 a( S6 t+ Q' y
- h9 Q3 I! t3 p8 ^/ I
/ f7 S) O: g- c: k8 c8 w3 yTracking Sensitive Data(跟踪敏感数据)
1 H1 o5 ~" M& ^; A. ^# H% b% c信用卡通道的使用,并阻止泄漏。
' N4 ~/ i2 S G9 g% w, u% W( E- F% }. M1 U* V. W
G* i, U8 Q5 @5 FTrojan Protection(木马防护)
' K+ ~7 \& W+ p* V2 _) K检测访问木马。
. d( ^8 F) C0 {3 o/ @: m8 P6 ^8 I
) D! _& y V+ F; y, y. i
|, _3 g; u: m P4 p- Z [ A. hIdentification of Application Defects(应用程序缺陷的鉴定)
9 l9 i1 W& |3 z* p2 ?, b6 ^2 ?检测应用程序的错误配置警报。8 T" F# |8 S1 z
7 P, R- h# |- D2 h! K7 j0 O! `
2 `6 u- W7 ~; a) x2 M5 w5 h' @ ]Error Detection and Hiding(错误检测和隐藏)
/ |4 L- l; }2 r! f, ]检测伪装服务器发送错误消息。
$ ~0 q) N" J% n
, F' {$ g# j. F
1 ^4 y- u- @( P- p7 p& k Z安装ModSecurity# `$ @9 e+ W' Q+ {
软件基础环境准备( |% _) @6 w3 q" K
下载对应软件包, f& Z) _% L% s9 y% o4 `5 R! e1 D3 }
$ cd /root
; `# M( M2 E/ Y: p% C$ wget 'http://nginx.org/download/nginx-1.9.2.tar.gz'
5 F4 X! D. Y9 m3 Q3 O3 h$ wget -O modsecurity-2.9.1.tar.gz https://github.com/SpiderLabs/ModSecurity/releases/download/v2.9.1/modsecurity-2.9.1.tar.gz' o7 w2 ~; V/ C8 h
安装Nginx和ModSecurity依赖包
, c) I7 I, S" F: OCentos/RHEL
8 G3 [ k! E& `5 v6 \! A1 Q2 ~
* O( Y8 r1 o2 B$ `/ k: e5 l( E6 U4 P; Z J* l
$ yum install httpd-devel apr apr-util-devel apr-devel pcre pcre-devel libxml2 libxml2-devel zlib zlib-devel openssl openssl-devel8 y" k6 K7 C/ Y2 v
Ubuntu/Debian
; V: N R9 V2 C2 O7 G* g7 F( J2 n* r# `3 b* u0 t: Z
0 V6 `6 T5 B4 A, u! C! f, [- I: g$ apt-get install libreadline-dev libncurses5-dev libssl-dev perl make build-essential git libpcre3 libpcre3-dev libtool autoconf apache2-dev libxml2 libxml2-dev libcurl4-openssl-dev g++ flex bison curl doxygen libyajl-dev libgeoip-dev dh-autoreconf libpcre++-dev8 i( N0 P0 K0 V3 V. x2 U
编译安装ModSecurity
6 M! }# N% R* j9 oNginx加载ModSecurity模块有两种方式:一种是编译为Nginx静态模块,一种是通过ModSecurity-Nginx Connector加载动态模块。- X2 k9 J( f9 t) ^
\: M- L: j" n! s4 T8 f; H4 r& N2 \3 f6 }8 F: T& B
方法一:编译为Nginx静态模块
4 o3 I; \& w, R; l. U# t( ?0 Q1 ^5 I7 S: P4 W6 u7 y
: J4 }9 U. S% [* L' z6 S% Y
编译为独立模块(modsecurity-2.9.1)( [; Q: z/ T% ]) k/ Z. D! j7 G% a. f
$ tar xzvf modsecurity-2.9.1.tar.gz4 T! q% R3 X+ H' u% k G
$ cd modsecurity-2.9.1/
3 O& J$ H K) `' V |# h$ ./autogen.sh; r# n/ m6 O4 V7 ]7 q, {* }
$ ./configure --enable-standalone-module --disable-mlogc
1 V0 X+ I3 P5 y$ S3 G4 _4 p0 O$ make: i+ m$ O, j7 s$ m) O# {& m9 ^
编译安装Nginx并添加ModSecurity模块
& c- d- |: h: I/ b: p: l: e3 R$ tar xzvf nginx-1.9.2.tar.gz. ~) N- `# p7 D7 O2 h7 ~, e6 J' V
$ cd nginx-1.9.2
+ i( C9 l: j- U. j# R8 q, L$ ./configure --add-module=/root/modsecurity-2.9.1/nginx/modsecurity/$ x0 N. j( K9 Z. E+ F" _2 ~8 ?9 I. _
$ make && make install
4 u: Q* y b+ X方法二:编译通过ModSecurity-Nginx Connector加载的动态模块 I/ t& H8 C% d- D" g; O: p" |: Z
' k# c1 G$ X' d" z7 s/ k* j8 y1 f. X1 x0 ?1 C7 R4 {) P" P
编译LibModSecurity(modsecurity-3.0)% j* u$ i2 _, ~( u7 k) ^
$ cd /root
: b( K7 r! s3 U* O$ git clone https://github.com/SpiderLabs/ModSecurity& U0 S3 j( Y& H; A5 d7 B2 P" O
$ cd ModSecurity
3 J. L8 t) U- O$ git checkout -b v3/master origin/v3/master5 `3 ~) x1 [* l1 l, y6 ?5 i
$ sh build.sh
# F1 _" T8 i% s- ?, r. _$ git submodule init
|4 J( E$ i V* S3 t/ E" @: W$ git submodule update
% s/ P2 ~- w$ a+ Q2 e" \$ ./configure, n3 H4 J; ]4 w8 X* r4 |
$ make
, X- @) w( u3 g5 g9 e$ make install- K2 H) |9 a2 S! u8 |) c
LibModSecurity会安装在 /usr/local/modsecurity/lib 目录下。1 o- m; l0 F+ l2 l8 A3 M( j1 Z
! J# `) l) V2 N- z# r2 j! y( X3 y+ j8 p, u9 X
$ ls /usr/local/modsecurity/lib+ `! ~+ q+ T' G0 [1 Y4 F
libmodsecurity.a libmodsecurity.la libmodsecurity.so libmodsecurity.so.3 libmodsecurity.so.3.0.07 Y% K, K/ ~+ V, A8 J
编译安装Nginx并添加ModSecurity-Nginx Connector模块8 p/ I5 B" Y* r5 w, F8 T+ _- ~: k
使用ModSecurity-Nginx模块来连接LibModSecurity
+ |/ p* [# a2 l
9 I/ i9 {' d4 z) v+ ^ {$ h0 b* V0 y( j3 C) H7 e
$ cd /root5 x& a# w3 d: d4 h: E
$ git clone https://github.com/SpiderLabs/ModSecurity-nginx.git modsecurity-nginx
~& O% e7 Q7 z' c% w$ tar xzvf nginx-1.9.2.tar.gz! H, G+ P$ o |4 m( }+ l
$ cd nginx-1.9.2
# V" i" P) l* ]$ ./configure --add-module=/root/modsecurity-nginx
+ Y1 D& f/ y4 X" }% E$ make, m& O+ W* r3 A) `/ |
$ make && make install% Q* o; `! V% x' C& g, S
添加OWASP规则* f c) w1 |2 _+ I1 M6 W$ D- p
ModSecurity倾向于过滤和阻止Web危险,之所以强大就在于规则。OWASP提供的规则是社区志愿者维护的被称为核心规则CRS,规则可靠强大,当然也可以自定义规则来满足各种需求。
- A5 \: r. P- A M
7 C% d0 V! p. F/ f3 v% h! W
! e) p# x& U- O6 c2 F9 l9 J1 z2 x: \4 P& u下载OWASP规则并生成配置文件5 Z! v- N1 B. y9 d
$ git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git/ v3 _& S/ J. q b3 |* t
$ cp -rf owasp-modsecurity-crs /usr/local/nginx/conf/
' q7 {, l1 L% x/ X1 p$ cd /usr/local/nginx/conf/owasp-modsecurity-crs
& _( H n* y: N( J$ cp crs-setup.conf.example crs-setup.conf
2 H% `, @ a- W) ~- F$ M配置OWASP规则, M z( i; O0 N% F3 X
编辑crs-setup.conf文件
! [. B5 j. Z o3 X' F. q
9 t; ]+ o: T1 b8 X \
8 _) m' M. I6 Y0 k; O! F+ S$ sed -ie 's/SecDefaultAction "phase:1,log,auditlog,pass"/#SecDefaultAction "phase:1,log,auditlog,pass"/g' crs-setup.conf2 f \* r& C( a9 S0 w: A O# A
$ sed -ie 's/SecDefaultAction "phase:2,log,auditlog,pass"/#SecDefaultAction "phase:2,log,auditlog,pass"/g' crs-setup.conf1 a" G5 `4 k! x# X
$ sed -ie 's/#.*SecDefaultAction "phase:1,log,auditlog,deny,status:403"/SecDefaultAction "phase:1,log,auditlog,deny,status:403"/g' crs-setup.conf7 w2 l, m" [! ]8 K7 f( ^3 d
$ sed -ie 's/# SecDefaultAction "phase:2,log,auditlog,deny,status:403"/SecDefaultAction "phase:2,log,auditlog,deny,status:403"/g' crs-setup.conf
% y c1 ^( p+ e+ c% d默认ModSecurity不会阻挡恶意连接,只会记录在Log里。修改SecDefaultAction选项,默认开启阻挡。. t- z5 l- ?2 J
9 U; h" r$ r7 `; V
% [6 v4 W5 h) J, L
启用ModSecurity模块和CRS规则
* F# X5 j1 E4 O( J复制ModSecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到Nginx的conf目录下,并将modsecurity.conf-recommended重新命名为modsecurity.conf。
, j* w4 M- Q: J! f7 m& {: I
4 C/ w& {/ ]6 s% e* U2 I- u1 u' h5 Y0 y y) z8 I
modsecurity.conf-recommended是ModSecurity工作的主配置文件。默认情况下,它带有.recommended扩展名。要初始化ModSecurity,我们就要重命名此文件。9 W8 L" y6 ]: a- g9 E
7 f$ o, T' \' w* p, q* V7 U
, U( C, I# c: j/ J9 f1 W: A; d$ cd /root/modsecurity-2.9.1/+ c+ m# O) C" S4 z1 |9 E0 n
$ cp modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf 0 \; q) n8 Y2 W9 s1 c# ?; X& ]
$ cp unicode.mapping /usr/local/nginx/conf/
) M. Q* Y r% j8 |3 Z, p) a将SecRuleEngine设置为On,默认值为DetectOnly即为观察模式,建议大家在安装时先默认使用这个模式,规则测试完成后在设置为On,避免出现对网站、服务器某些不可知的影响。. d0 G2 _- D @
* Z- v9 z9 H: H4 r+ |) X9 d- v0 ~8 Y
$ vim /usr/local/nginx/conf/modsecurity.conf( w, S$ d O" U+ l
SecRuleEngine On
( r, M f/ }- m; c. G8 Q+ lModSecurity中几个常用配置说明:
' v9 ~) d0 d; @ [4 W
+ u$ |; I- g3 W3 ]" e9 w3 J$ v7 s* Y% J& A" \
1.SecRuleEngine:是否接受来自ModSecurity-CRS目录下的所有规则的安全规则引擎。因此,我们可以根据需求设置不同的规则。要设置不同的规则有以下几种。SecRuleEngine On:将在服务器上激活ModSecurity防火墙,它会检测并阻止该服务器上的任何恶意攻击。SecRuleEngine Detection Only:如果设置这个规则它只会检测到所有的攻击,并根据攻击产生错误,但它不会在服务器上阻止任何东西。SecRuleEngine Off:这将在服务器上上停用ModSecurity的防火墙。 V% T6 [9 d! N1 y! Q, m6 b
; b) O2 d# p) s9 n- l' w; T9 m
9 v+ r9 f& q& x6 W1 e
2.SecRequestBodyAccess:它会告诉ModSecurity是否会检查请求,它起着非常重要的作用。它只有两个参数ON或OFF。
9 I9 ^( U% {: ]" h& T7 l z7 L: y! y# G6 m# \
& Z7 v( w8 i6 Z* y3.SecResponseBodyAccess:如果此参数设置为ON,然后ModeSecurity可以分析服务器响应,并做适当处理。它也有只有两个参数ON和Off,我们可以根据求要进行设置。
4 J3 f- P8 z1 |8 V# J
* B! B5 M( k6 L$ ^
/ h/ I8 b1 P ~- u4 _4.SecDataDir:定义ModSecurity的工作目录,该目录将作为ModSecurity的临时目录使用。
6 q1 Y: {0 R& @2 l- x+ X; P0 W
. d: D5 [" l1 k. {
& W$ b4 Q+ l) o6 |# t: F" k- t在 owasp-modsecurity-crs/rules 下有很多定义好的规则,将需要启用的规则用Include指令添加进来就可以了。- {$ m% F6 R, }3 m# |7 c+ l
_- v7 \7 P% t; [+ t1 n& f, u5 y2 y/ M7 q3 P* v* ]2 w
3.x版本CRS
2 M0 ]( p- L, r4 A- _! ]8 {$ cd /usr/local/nginx/conf/owasp-modsecurity-crs
) v6 Z0 s# l: D7 K2 L- s5 x. g# 生成例外排除请求的配置文件
6 x7 m$ P* _3 P& o7 Q$ cp rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf0 ^2 {3 X' n9 B% z4 L- n% F/ a
$ cp rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
. \8 m; x8 h) ^$ cp rules/*.data /usr/local/nginx/conf( f5 O/ P! L$ s* A+ e* P& A# ^. a
为了保持modsecurity.conf简洁,这里新建一个modsec_includes.conf文件,内容为需要启用的规则。
; E5 ~. g9 Y) l9 ]
' C* P8 _. |: W+ M7 x+ M
& ~' T0 ^, v2 k" T$ H$ vim /usr/local/nginx/conf/modsec_includes.conf
* t0 g" W% C7 a5 B9 _6 L; s- l( ?- p
[Bash shell] 纯文本查看 复制代码 include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
include owasp-modsecurity-crs/rules/REQUEST-901-INITIALIZATION.conf
Include owasp-modsecurity-crs/rules/REQUEST-903.9002-WORDPRESS-EXCLUSION-RULES.conf
include owasp-modsecurity-crs/rules/REQUEST-905-COMMON-EXCEPTIONS.conf
include owasp-modsecurity-crs/rules/REQUEST-910-IP-REPUTATION.conf
include owasp-modsecurity-crs/rules/REQUEST-911-METHOD-ENFORCEMENT.conf
include owasp-modsecurity-crs/rules/REQUEST-912-DOS-PROTECTION.conf
include owasp-modsecurity-crs/rules/REQUEST-913-SCANNER-DETECTION.conf
include owasp-modsecurity-crs/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf
include owasp-modsecurity-crs/rules/REQUEST-921-PROTOCOL-ATTACK.conf
include owasp-modsecurity-crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf
include owasp-modsecurity-crs/rules/REQUEST-931-APPLICATION-ATTACK-RFI.conf
include owasp-modsecurity-crs/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf
include owasp-modsecurity-crs/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf
include owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf
include owasp-modsecurity-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf
include owasp-modsecurity-crs/rules/REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf
include owasp-modsecurity-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-950-DATA-LEAKAGES.conf
include owasp-modsecurity-crs/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf
include owasp-modsecurity-crs/rules/RESPONSE-952-DATA-LEAKAGES-JAVA.conf
include owasp-modsecurity-crs/rules/RESPONSE-953-DATA-LEAKAGES-PHP.conf
include owasp-modsecurity-crs/rules/RESPONSE-954-DATA-LEAKAGES-IIS.conf
include owasp-modsecurity-crs/rules/RESPONSE-959-BLOCKING-EVALUATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-980-CORRELATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
3 X% D9 o3 [- p( F
注:考虑到可能对主机性能上的损耗,可以根据实际需求加入对应的漏洞的防护规则即可。
. d: v5 ^6 t+ v( F- ~$ i
: W1 S6 _2 q) G0 ~
1 J2 p' }( m+ ]8 C! e配置Nginx支持Modsecurity
5 x- w; G/ |1 ]: N5 H启用Modsecurity
5 y1 C& D8 j( R/ h0 V使用静态模块加载的配置方法
) b/ U9 V# S* [$ i O在需要启用Modsecurity的主机的location下面加入下面两行即可:
; j& A' V3 [6 B) y$ _
: E! x3 ?6 k2 e4 X; ?4 j+ K2 ^5 L* ]" O
ModSecurityEnabled on;' B0 f. e8 k8 F5 K, V4 u- {$ N
ModSecurityConfig modsec_includes.conf;6 E7 i' l! w" w
修改Nginx配置文件,在需要启用Modsecurity的location开启Modsecurity。0 g/ T* N2 t( g/ z1 e
0 b$ L; e8 i1 s2 S. y3 |7 Q9 Y9 u1 [" f5 q& Z# d
$ vim /usr/local/nginx/conf/nginx.conf+ K1 K% [* o' @. r5 ?5 I9 C+ I+ i
! R5 N3 n. ^* S. [: e) V e% k) G- K3 l. y6 P
server {
+ Q! K* ]' i# U9 ]+ q0 Q0 T: w listen 80;/ ^6 D |, R1 z
server_name example.com;
, u5 `% i; k. o# b8 w- I) v
1 M8 E: ^! L4 b8 a! I& O Y: V/ U8 O- o4 g
location / {8 p* ?4 Z% x7 F+ U3 T# W
ModSecurityEnabled on;4 p/ K# R3 x6 y( W0 _
ModSecurityConfig modsec_includes.conf;
. k0 v4 [# v6 H4 d/ X, @ root html;
1 w1 x; T3 o# L7 G/ e index index.html index.htm;" e& p/ @8 z4 O0 Z* R! `; M% e
}+ G U0 `7 N0 E/ C1 J5 h, ?* ?
}
4 a3 U. G, b& K3 E0 a9 A+ K使用动态模块加载的配置方法5 c3 V2 A9 s% S% r- B
在需要启用Modsecurity的主机的location下面加入下面两行即可:
- D" c0 |, ^, o* Y- C# O+ h3 f, U" V' X: w6 x5 v. n8 o4 Q4 q4 \
5 Q$ w5 N q$ M/ Y8 @7 c! i5 ]modsecurity on;
$ p& r$ \1 D- a8 c9 Emodsecurity_rules_file modsec_includes.conf;0 N( k) L8 v- G( r$ e4 F5 N( @" M3 o
修改Nginx配置文件,在需要启用Modsecurity的location开启Modsecurity。" a2 H1 d/ l$ B' \: T
2 o& g$ R2 _5 j+ z) T# z7 e8 s$ \/ O
( ~% d2 ^: W. `' w+ J$ vim /usr/local/nginx/conf/nginx.conf
( @3 l5 A: M( G1 x) b( }6 K e) h- S1 [! r- y* s9 ~+ a
' E* e X% c! ?1 k6 j' h2 Oserver {
! @) H- k+ V* {" [ listen 80;
% ^7 s. F0 x0 M; o$ c* u server_name localhost mike.hi-linux.com;, t$ G( C9 Y* |! K& p
access_log /var/log/nginx/yourdomain.log;
0 J2 z/ a: t/ R" O* R' r, C8 c2 y$ o: d
7 I+ R5 H1 B+ @7 ^' V1 `& h. o. ^: k location / {
& _% g& C" B2 z6 _; D) v& n% ^0 n' L, G: y
, I9 ~* T( b) C modsecurity on;
1 H( @" d# M) V modsecurity_rules_file modsec_includes.conf;) r- J/ I+ i3 J4 g" \
root html;; u; U6 o# E+ W9 ~
index index.html index.htm;& |+ z* L$ y0 S, D( U/ z: j7 Y
}6 A& e( K$ S0 j; d9 v5 U
}3 a: }9 q: N# A- v( y- N( N
验证Nginx配置文件! h" r* Y4 d# U/ x/ n: L) r
$ /usr/local/nginx/sbin/nginx -t1 e3 Q! F0 M! b6 T1 v0 g
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok- s& P6 P7 G4 _8 g- P9 O' ?* Q
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful, |# O) v: ^) L% T
启动Nginx
0 P" t2 T2 K. Q* t! q( p+ J$ /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
" A4 u1 i6 ]* V2 \
+ E* X( S, i% S2 L8 X测试Modsecurity ModSecurity现在已经成功配置了OWASP的规则。现在我们将测试对一些最常见的Web应用攻击。来测试ModSecurity是否挡住了攻击。这里我们启用了XSS和SQL注入的过滤规则,下面的例子中不正常的请求会直接返回403。 在浏览器中访问默认首页,会看到Nginx默认的欢迎页: [/url] 这时我们在网址后面自己加上正常参数,例如: 。同样会看到Nginx默认的欢迎页: [url=http://img.colabug.com/2017/06/842f48f203c6c2cd30144f29b57af97a.png] 接下来,我们在前面正常参数的基础上再加上 ,整个请求变成: [/url] 就会看到Nginx返回403 Forbidden的信息了,说明Modsecurity成功拦截了此请求。再来看一个的例子,同样会被Modsecurity拦截。 [url=http://img.colabug.com/2017/06/246ce28e95310a32f791893d4f5c55ca.png] 查看Modsecurity日志 [url=http://img.colabug.com/2017/06/ae44dcb58b8a4a0ea761317e398b3101.png][/url] 所有命中规则的外部攻击均会存在modsec_audit.log,用户可以对这个文件中记录进行审计。Log文件位置在modsecurity.conf中SecAuditLog选项配置,Linux默认在 /var/log/modsec_audit.log 。 $ cat /usr/local/nginx/conf/modsecurity.confSecAuditLog /var/log/modsec_audit.logModsecurity主要是规则验证(验证已知漏洞),Nginx下还有另一个功能强大的WAF模块Naxsi。Naxsi最大特点是可以设置学习模式,抓取您的网站产生必要的白名单,以避免误报!Naxsi不依赖于预先定义的签名,Naxsi能够战胜更多复杂/未知/混淆的攻击模式。
% i, V- ?. `/ q+ G! l7 g; I |
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2017-10-19 17:34:51
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡