nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。

一.准备工作

0 Y5 j; F' w6 r, `2 Q3 z& T* x8 g系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0
/ x5 ~% |2 y$ Y( B" ]$ {/ k0 {# F! A
- h  C: ?# _9 o+ ftengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz

5 {" l/ i, l; V. k; r/ Amodsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

3 R8 {6 J5 }- G  m% OOWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs
$ }6 b7 C4 m, r& k& }- k
依赖关系：
tengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：
6 ?1 l2 j: E4 q
yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
" y" ?3 _" R9 ~0 I" s6 m, `modsecurty依赖的包：pcre httpd-devel libxml2 apr
2 t- f# \- }3 L( t% k2 ]  }; s
yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
二.启用standalone模块并编译
8 f7 ?) z) [% `  N4 w
下载modsecurity for nginx 解压，进入解压后目录执行：
% V- r& c$ ^& Q0 q, O
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
& p9 r) v+ @8 s/ i' F- Tmake
) m- ?$ J2 A- ?0 l3 I; L7 N) D! F三.nginx添加modsecurity模块

在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：

./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
5 ]3 r* ?  e& M* M& Fmake && make install
# O2 ]/ k/ }9 Y6 z  j四.添加规则

modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。
, O9 Y7 W" z6 n% R( m9 K
1.下载OWASP规则：
# {7 {' G& Z' M# A3 _. R
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs

mv owasp-modsecurity-crs /opt/tengine/conf/

. a4 _" `, ]2 E7 E! n' y. ycd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
& V$ B' w! V& v! p2.启用OWASP规则：
5 Q! V: f. D8 G5 A' g" G
复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。
+ n' m& \6 b+ x3 [. }8 C# @0 o" }
5 N; J2 w- o4 u1 t编辑modsecurity.conf 文件，将SecRuleEngine设置为 on
  P- o" w. h0 N( k/ W) a
" Z( y6 x% g: m" M( X3 Jowasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。
& D. a) ^* \8 b2 ]6 q
& m& [9 S1 n2 m) `) uInclude owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
7 X  A$ P7 v% r) g) w  N6 ?! KInclude owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
五.配置nginx
8 O. }9 Z5 g% _6 t
在需要启用modsecurity的主机的location下面加入下面两行即可：
+ H: ]  x& ^0 \& f! j! ]) z
6 i, u4 F1 ~8 ], ?% NModSecurityEnabled on;  
ModSecurityConfig modsecurity.conf;
下面是两个示例配置，php虚拟主机：

server {
5 X6 G: o7 @- g8 D0 K- w: s. {      listen      80;
; v" T6 |! d9 \+ @/ w6 v) w: f      server_name 52os.net www.52os.net;
% q; ^" ?2 R2 g3 q: Z: y/ v" B     
      location ~ \.php$ {
; s5 D3 o0 P8 P5 o7 R; @, t      ModSecurityEnabled on;  
      ModSecurityConfig modsecurity.conf;

. Z7 i' s7 j! b0 ^: u1 I$ D8 z      root /web/wordpress;
      index index.php index.html index.htm;
5 \% @$ k- l6 U% z  i2 K* N" E  
( p8 L' B) p+ o# a. U      fastcgi_pass   127.0.0.1:9000;
5 F' q+ g/ U4 w+ R3 M      fastcgi_index  index.php;
      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
: Q5 \4 G: W" Q$ d) _5 Q. C      include        fastcgi_params;
5 @! [8 M* x2 b4 a: ~      }
, |) v2 k- e+ L: P; k9 w  }
upstream负载均衡：

0 o7 F) b, B* x3 y/ e8 ^upstream 52os.net {
    server 192.168.1.100:8080;
    server 192.168.1.101:8080 backup;
. y( }& W1 }/ }8 A}

server {
listen 80;
server_name 52os.net www.52os.net;

location / {
    ModSecurityEnabled on;  
    ModSecurityConfig modsecurity.conf;  

        proxy_pass http://online;
9 E+ r, `% m, I+ F1 `        proxy_redirect         off;
; _* ^+ F- t) b! l; v2 }+ @' H+ [        proxy_set_header Host $host;
/ R9 ?) K* K8 f% K0 h( e! T        proxy_set_header X-Real-IP $remote_addr;
2 K; n5 Q: e9 |- I8 }$ [+ z- A        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
6 r7 Z% k0 c+ ^! U( L/ z    }
}
六.测试
1 D8 \. z5 P2 {9 _
我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：

<?php
: H. b6 B% X( G) H* k    phpinfo();   
) K8 S- [5 Y7 ~" h: w4 ??>
( \5 C" w1 A8 b. J$ ~在浏览器中访问：

http://www.52os.net/phpinfo.php?id=1 正常显示。
http://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
http://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
1 `8 B( H) X8 a7 K$ ]. L- T说明sql注入和xss已经被过滤了
1 W/ o2 T& G) N3 s3 }" T) a
' ~* [- x2 s' Z8 @9 o七、安装过程中排错

1.缺少APXS会报错

5 e- Y. y8 a# A! O: M2 n+ @- @9 Econfigure: looking for Apache module support via DSO through APXS
configure: error: couldn't find APXS
: _& U; m$ \- N, f/ b" x4 n7 c$ l' Aapxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
解决方法：
9 R& m4 j7 M5 F# c# h+ Y
yum install httpd-devel
; i: e) j0 u7 M% l( m2.没有pcre
& r8 a1 K/ q' g8 a2 |
configure: *** pcre library not found.
configure: error: pcre library is required
解决方法：
3 j! P5 K% O3 E
yum install pcre pcre-devel
3.没有libxml2
3 O: U' B. O3 o3 C9 r* C

- b! o) z1 G7 i: zconfigure: *** xml library not found.
" R" R2 m% w, B; H# ^& d  n* x# F* jconfigure: error: libxml2 is required
# _7 s% I+ e; W- b- B解决方法：

, C3 l% _  F1 E0 U+ P5 h6 Pyum install  libxml2 libxml2-devel
; Y1 M) b+ {8 R+ O' C4.执行 /opt/tengine/sbin/nginx -m 时有警告
0 U: W6 m# R; q4 E1 {% y
6 D7 d* L: S, l4 v9 oTengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log
4 p# h& ?: D/ c, O& ]
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
5 I( [) N# Z; N4 e2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
  Y& d# y: d( f2 I2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
% ]! O6 c5 \1 l* v) C" S解决方法，移除低版本的APR (1.3.9)

0 I8 ?, n) s( p/ O3 y% j' w+ Uyum remove apr
5.Error.log中有: Audit log: Failed to lock global mutex

2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
. ~' U5 I) p# r" R: z. n$ Q2 y解决方法：
' l: t* y0 e, J1 k. w编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
& z9 W# O% B; A  K7 y) B' a
SecAuditLogDirMode 0777
! x  h6 b* q( D3 U' u' E/ ?SecAuditLogFileMode 0550
SecAuditLogStorageDir /var/log/modsecurity
! s4 g; k6 R9 W; s5 qSecAuditLogType Concurrent
/ E; _/ V" F3 z9 f) K: u) `4 n参考文章：
! @/ E1 C; J  M; `0 \4 qhttps://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
: O' a1 l5 ?9 Z* a8 F$ Khttp://drops.wooyun.org/tips/2614