nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。
( R3 ^( p+ @7 ]0 x- J% I. [' U
一.准备工作

系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0
4 X* x$ n. x$ p" X
# E- {+ B( r( t/ L% Xtengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz
* U$ Y  e5 m- S) w! t  N
modsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

6 Z/ ~3 C5 s0 T2 k, L7 \- k3 I9 r( }OWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs

8 y% P# U& ]1 Y4 |3 J( n3 P# f& h依赖关系：
! n7 |/ B  p, Z% c  H, x  Stengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：
5 B4 x7 |( |' [$ ]* m' M, u
% T5 K3 {8 W3 V9 b6 C" c6 ^8 L" ^yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
- D7 U6 |3 u9 q! r7 K1 G4 mmodsecurty依赖的包：pcre httpd-devel libxml2 apr

yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
) C  i8 ?; [' v, \6 }二.启用standalone模块并编译
' f, ~# |. w% x9 ~2 M) T
下载modsecurity for nginx 解压，进入解压后目录执行：

./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
  t$ V' {: Z& g# }2 k/ W  G; ?9 S7 |三.nginx添加modsecurity模块
. Z: x4 i3 x7 z: K# E; y% o  d
& n( m/ R( F6 m) v; D( t1 J在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：
  y8 d6 |0 D5 |0 H  k9 B
& [5 H/ w: _% y2 U5 F  N) U./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
+ `  }/ @  G+ h8 M& n! imake && make install
四.添加规则

modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。
# R3 g: Z* J8 K
; l! i3 s' Y, P) i/ g# w1.下载OWASP规则：

, k4 `+ ^; v+ L+ l2 igit clone https://github.com/SpiderLabs/owasp-modsecurity-crs
7 O' n' ~- h- K1 |8 }9 t
mv owasp-modsecurity-crs /opt/tengine/conf/
1 o. F/ t: ^& {6 B. Z0 M
cd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
- c0 b' y6 Z6 J3 P2.启用OWASP规则：
- d$ U2 T* f9 z6 s
复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。

8 e. l/ \/ G- ~# U- I编辑modsecurity.conf 文件，将SecRuleEngine设置为 on

. y4 H/ P* L% q, _& qowasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。

Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
3 a1 W; f6 S; M2 ^Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
4 E  p6 U# e- T/ w1 P0 lInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
5 }" x* Y4 b. N1 f1 C8 KInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
Include owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
五.配置nginx
9 v9 W0 o6 o" _2 k
在需要启用modsecurity的主机的location下面加入下面两行即可：

ModSecurityEnabled on;  
ModSecurityConfig modsecurity.conf;
下面是两个示例配置，php虚拟主机：
9 c. e- ?3 M8 Y. t# \
0 H/ u- M0 S4 |server {
      listen      80;
      server_name 52os.net www.52os.net;
# s' w! |4 q$ V9 n% @  S. ~  |     
' }9 a9 t9 F" }8 g: p8 T( j* K      location ~ \.php$ {
( `9 r+ V6 m. b$ z% b7 i      ModSecurityEnabled on;  
- B3 D) }3 R% `/ b! O4 b6 T      ModSecurityConfig modsecurity.conf;

      root /web/wordpress;
( U8 }2 L+ C& v8 X: f' [      index index.php index.html index.htm;
% H8 ?2 j- V8 j- ~: y. ]  
+ G# z! f; w5 J+ n+ o      fastcgi_pass   127.0.0.1:9000;
      fastcgi_index  index.php;
      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
      include        fastcgi_params;
9 |, K0 x) {: {' b      }
4 b: T$ f2 Y% ~  }
2 j5 u& \( E* Wupstream负载均衡：
& |) N2 P4 ?# g, H1 ^! A
upstream 52os.net {
, B7 k& k. b" w+ W$ Q$ ^    server 192.168.1.100:8080;
. [0 n" P) `6 H% e2 M: k3 W! s    server 192.168.1.101:8080 backup;
6 Y( q: T; X( t}
) o& H) t: L# k+ D" K) o% q  j
9 x, A7 M+ B4 v, }server {
listen 80;
server_name 52os.net www.52os.net;

" F( t/ c3 i3 q1 N- w) K2 @; ulocation / {
6 e* L; }3 d  k  i    ModSecurityEnabled on;  
    ModSecurityConfig modsecurity.conf;  
" e4 n2 e% D% v; k2 z- j
  T" Q8 s& ^, H- k7 v: n5 ?& i  S        proxy_pass http://online;
: g7 e( k8 v! x- K5 ~0 w) h        proxy_redirect         off;
' Q2 L7 H7 _4 e- L        proxy_set_header Host $host;
: |% t( r1 E1 r, ^        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
六.测试

我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：

<?php
    phpinfo();   
+ E3 X" u0 u! Z* |  j2 i0 v* g3 q?>
- g  i, c- E' h0 G9 U* ]/ o: C在浏览器中访问：
" P: T' P8 P  ~0 q+ L6 X
* G& y0 u7 K8 y2 H/ p6 bhttp://www.52os.net/phpinfo.php?id=1 正常显示。
$ l* f- H+ z) v. w- X9 M+ K3 @http://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
% O' ^& T1 U* s: N1 {3 ~http://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
+ F- f& ]8 g: l9 y8 S; m说明sql注入和xss已经被过滤了
) a# B# h5 A; {0 l, d
( V" B* Q8 P6 E9 G) ?七、安装过程中排错

& m8 j; X- C- @( X1.缺少APXS会报错
" }: l1 l+ C- b0 \# Z" e
7 @$ k' c/ |; }% @7 A/ a7 b1 uconfigure: looking for Apache module support via DSO through APXS
: m7 T# J& b% h' K  ~1 i' ?; R: Wconfigure: error: couldn't find APXS
apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
解决方法：

yum install httpd-devel
, o" T' Y* c. w% o0 W2.没有pcre
% d, Y, `2 [" g  w& h( ^- _
configure: *** pcre library not found.
5 \& X' T  ^- z( j9 _7 F1 yconfigure: error: pcre library is required
解决方法：
0 s# N8 {: j* o$ X
yum install pcre pcre-devel
3 f, U$ [+ v# O% y9 m" Q2 P3.没有libxml2

( B" R5 i0 v0 G) }# w7 Z; ~
* Z% C$ a* f# ^; [/ A" B9 q' Econfigure: *** xml library not found.
* |& _. |) T" [) l% `4 Sconfigure: error: libxml2 is required
解决方法：

5 S6 H" J9 A4 @" i7 A1 v' Cyum install  libxml2 libxml2-devel
2 l- K( r9 _2 F+ a4.执行 /opt/tengine/sbin/nginx -m 时有警告

Tengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
, }! p% W7 I6 `, z. F原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log

2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
解决方法，移除低版本的APR (1.3.9)
/ g: b) i' C" ^3 C8 I7 O7 b1 T
; d  U5 N# }' A/ y2 V3 Y2 cyum remove apr
. d' n0 M5 Q7 R2 W7 Z5.Error.log中有: Audit log: Failed to lock global mutex
+ F6 P3 C( {# j. E$ N  e. J' C6 S
& \3 e9 o7 K& ~5 E  b2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
解决方法：
编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
5 O' ?# V- K% M4 B( F2 C/ _
SecAuditLogDirMode 0777
SecAuditLogFileMode 0550
% ]; t$ M  c/ VSecAuditLogStorageDir /var/log/modsecurity
SecAuditLogType Concurrent
0 ^( M1 e0 G5 \9 R& c参考文章：
* E8 g7 ^% l' }: `: J( x  G. shttps://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
http://drops.wooyun.org/tips/2614