nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。

  c% |, F/ @9 v: b2 k一.准备工作
6 h0 H7 d$ j( S6 C
! B  d# Q# ?: v# _- W2 C. q- x1 g9 a' W系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0
2 r+ x% w, E8 s0 U, w& w( W+ d
1 X5 N+ n6 U, l4 e5 c" o" C# ftengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz

( ~& x5 I7 S, _4 L0 `# E3 Imodsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
7 [; Q* b+ _% H0 ~! [' h( X6 M
OWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs

依赖关系：
tengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：
# l1 G+ w9 @$ c5 ]0 C+ H& g% |3 J$ U
yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
modsecurty依赖的包：pcre httpd-devel libxml2 apr

& {, P  `/ e* ~' q9 wyum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
二.启用standalone模块并编译
3 L; E* q/ I% x% x/ y
下载modsecurity for nginx 解压，进入解压后目录执行：

+ E' S+ P: }% H! ^" m; U./autogen.sh
6 w1 R4 ~) t: I! t./configure --enable-standalone-module --disable-mlogc
  Q* ~; Y0 ]: n0 gmake
三.nginx添加modsecurity模块

在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：
6 f% G7 I3 a: S$ |
./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
5 `" g' Z9 e7 fmake && make install
4 r/ g- e/ ?5 H0 s+ c四.添加规则

modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。
6 V( o$ w: D8 S, k- K
1.下载OWASP规则：
' g# N4 u8 b: |$ P" n2 b; u, `! h
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs

mv owasp-modsecurity-crs /opt/tengine/conf/
9 K1 Z( B8 d1 g/ y* W+ ^
* Q/ O( H$ T8 Ycd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
2 B3 p& c. L0 G. n3 ^2.启用OWASP规则：

复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。

5 \& I3 l3 h2 M$ {/ b: g' k编辑modsecurity.conf 文件，将SecRuleEngine设置为 on

owasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。

, {; T9 g2 d4 h9 d$ ]# L* K; T9 FInclude owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
% F) z0 V+ F6 d* Y" IInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
* D1 A+ h% D1 O; n& wInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
  M9 a9 x4 Y) ~# BInclude owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
五.配置nginx

1 t! W3 J* \' M0 d在需要启用modsecurity的主机的location下面加入下面两行即可：

4 r& ~4 {% b9 I* C. U6 J; D; G- uModSecurityEnabled on;  
( s8 ]6 p- N/ P$ d! y: rModSecurityConfig modsecurity.conf;
2 D& ^: I4 q' s( O下面是两个示例配置，php虚拟主机：

6 M. A$ V9 D0 I" d/ j! {& t+ o2 X$ Qserver {
      listen      80;
      server_name 52os.net www.52os.net;
     
      location ~ \.php$ {
* ~! B( [4 q1 z, `      ModSecurityEnabled on;  
5 ]! ]+ ^9 N/ B% u- T      ModSecurityConfig modsecurity.conf;
3 `& ~7 A' ]( P3 E' j
      root /web/wordpress;
) ]0 P  i/ C9 b      index index.php index.html index.htm;
; L3 o. ~2 K' l7 d; a4 w8 e  
8 i6 V) p1 p. ~- f      fastcgi_pass   127.0.0.1:9000;
, K* A) u) k( N9 y8 G: x      fastcgi_index  index.php;
. G4 y6 `+ l, e7 a      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
! ^/ [7 f/ p1 v+ O; f; F; V- i. j      include        fastcgi_params;
      }
  x6 V( H8 K& {6 K  }
upstream负载均衡：
; v: ~& X3 N8 F- ~# C. |
upstream 52os.net {
    server 192.168.1.100:8080;
    server 192.168.1.101:8080 backup;
) J- j6 \: P( {& V# ]}

server {
- X$ Z) c( G$ K+ y' {listen 80;
/ d0 G; G. _1 [+ d* sserver_name 52os.net www.52os.net;

location / {
& r' G4 U; u2 q    ModSecurityEnabled on;  
: T4 }) p$ i9 Z) D8 O5 f    ModSecurityConfig modsecurity.conf;  
6 F' f/ z% D& r6 X& M* `8 R
" @% f9 z( C; E0 U4 e7 @7 W        proxy_pass http://online;
        proxy_redirect         off;
( b. o( B" R$ i- e9 z. R' X        proxy_set_header Host $host;
4 s" x4 o/ u/ y# Y* s        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
3 \6 l( L/ Z; V& i9 x8 W5 f; w}
六.测试

我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：
3 c, c2 l0 H$ S, X; o0 o( }0 G
7 k, x, }  C; }6 C. _<?php
; o+ r& k; E+ S$ J    phpinfo();   
( U) ~; l$ i) m+ H. A6 K  M2 ]?>
在浏览器中访问：
) u/ D7 ~; v! l6 U% s3 G* N
: Q. {$ i1 E6 h# t4 q) c2 Phttp://www.52os.net/phpinfo.php?id=1 正常显示。
http://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
http://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
说明sql注入和xss已经被过滤了
5 A( }" Q/ w5 y) r( J
- X2 M# g( W# e: N4 ]* d1 ?" B) F七、安装过程中排错
1 r+ v: |7 ]1 t$ {" a( d
1.缺少APXS会报错
8 ]& M* Z: G7 d) g$ U7 T
2 N1 }7 T; ]. m1 G( f, k' [8 R. Econfigure: looking for Apache module support via DSO through APXS
& g7 W" `4 W# m1 D+ dconfigure: error: couldn't find APXS
) x3 n, p* i" @8 g- a/ b# D! @apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
( _' r( ^5 I3 o5 a- s: I解决方法：

yum install httpd-devel
2.没有pcre

/ J( F' x/ C+ G" M. _# Dconfigure: *** pcre library not found.
configure: error: pcre library is required
* a* c+ t" |8 _* y& _& F" Z! a/ b. s1 x3 ^解决方法：

- r' e  u) }% Q1 B* d7 I/ xyum install pcre pcre-devel
3.没有libxml2


configure: *** xml library not found.
configure: error: libxml2 is required
  I$ A2 @( s! e- P% d解决方法：
. w% P* E# `1 E1 L# M
yum install  libxml2 libxml2-devel
& e* A1 `* Q  I& V& ~" ?8 _4.执行 /opt/tengine/sbin/nginx -m 时有警告
! W3 T0 F  h8 y2 \1 _' V
Tengine version: Tengine/2.1.0 (nginx/1.6.2)
- e: X8 {' k! ?7 y0 Hnginx: [warn] ModSecurity: Loaded APR do not match with compiled!
& i6 [$ N9 b* V6 g8 ^4 m原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log
7 l$ z/ p% b# v4 X
1 r/ _. U; P4 j( l9 N) P2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
- A! U. i1 W& m2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
4 Q7 U4 s* U$ y; p9 b' |2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
+ z2 j% i/ P- J$ i8 z+ E2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
解决方法，移除低版本的APR (1.3.9)
9 e: m; ^' q  }$ [4 z* C! G
yum remove apr
' @# g+ C$ ^% D8 [) n+ t5 T3 l5.Error.log中有: Audit log: Failed to lock global mutex

2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
, h& v6 @- X: n1 N! a+ Y1 dglobal mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
0 Y- K2 g) a% |3 B- ]" J  |解决方法：
编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：

SecAuditLogDirMode 0777
% F" S8 s' y) W; f" zSecAuditLogFileMode 0550
3 ?# u0 _# j2 I( x( l- o" d, ISecAuditLogStorageDir /var/log/modsecurity
, d/ @: D$ F4 D2 u& P' O! WSecAuditLogType Concurrent
' D& O; k* }% _* l$ g, }参考文章：
  Z$ q0 @& h: P+ X/ N, _https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
http://drops.wooyun.org/tips/2614