nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。
1 m# h; d5 q- N
! J1 K) G/ c. q! Q: ^3 {6 ?6 F一.准备工作

系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0

/ e0 F3 }; o) q5 X) i, a$ Atengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz

modsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

OWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs
# X) r4 l) f% H% A
依赖关系：
% H1 u3 g) k/ U: U* Vtengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：

' E8 B/ n# o5 q" Fyum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
2 r+ B- W/ j$ f0 r, F1 ?4 hmodsecurty依赖的包：pcre httpd-devel libxml2 apr

yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
) `; s# A: y' ~& H二.启用standalone模块并编译

下载modsecurity for nginx 解压，进入解压后目录执行：

! s$ E; S- h1 Y) D./autogen.sh
./configure --enable-standalone-module --disable-mlogc
" P6 p0 X% G" G! b% Bmake
( m5 p2 d: ~) U" F9 w: c三.nginx添加modsecurity模块
$ O, U+ h+ |2 A
: \9 w5 f, L! T0 l在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：

./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
6 F0 a1 }4 N" A( Z' }7 ]make && make install
0 c. R* Q' R7 f" M1 z四.添加规则
1 o& M0 W( q8 W9 }' X" {+ e
5 {$ o' {1 x# @" q0 z' \modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。
. N0 R* i7 D# |
1.下载OWASP规则：
' l% u7 l: p% \7 x
6 j1 C3 L4 M! t# mgit clone https://github.com/SpiderLabs/owasp-modsecurity-crs
& k1 Z: H2 N% Q/ \
& L- ^) B& X9 T: ]/ q( g9 z& `mv owasp-modsecurity-crs /opt/tengine/conf/

cd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
  e( M% Q) z! w$ T4 Q( A& M9 s1 t2.启用OWASP规则：
: m1 v+ i9 ?3 ]" p$ ^
复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。
1 Z/ n( H1 U9 w
编辑modsecurity.conf 文件，将SecRuleEngine设置为 on
# L, h) Q; x+ F' c) N7 t
owasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。

$ p* L$ F7 I: J. {; _- uInclude owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
2 O% K" H) X5 q2 g  x* h. f0 XInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
0 j( \; E* v  FInclude owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
五.配置nginx
6 ~- u0 F% k6 ~0 D  P- @/ a- S
在需要启用modsecurity的主机的location下面加入下面两行即可：
" e+ O7 c5 T% ]7 x! |2 }( m9 A
ModSecurityEnabled on;  
9 V; S& F& F% U8 \6 b; D2 i3 JModSecurityConfig modsecurity.conf;
下面是两个示例配置，php虚拟主机：
. p. F1 D9 i! I5 S
$ i8 D( M4 r+ R4 Dserver {
      listen      80;
3 _' [& a6 N) i      server_name 52os.net www.52os.net;
     
/ i, ]; z: {2 }* U9 Q" z1 b      location ~ \.php$ {
      ModSecurityEnabled on;  
! A& M9 a' s( w& A/ T5 G! s      ModSecurityConfig modsecurity.conf;

$ d, ~, I; G' Y/ R/ S      root /web/wordpress;
% V4 t8 j( a; O      index index.php index.html index.htm;
  
, x) k* _  q3 c. P: G      fastcgi_pass   127.0.0.1:9000;
  R" l& q2 p4 \9 y. d9 t8 S      fastcgi_index  index.php;
      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
      include        fastcgi_params;
9 _. O$ A; |6 e* e      }
  }
upstream负载均衡：
& ~/ h! F3 G1 [
upstream 52os.net {
    server 192.168.1.100:8080;
    server 192.168.1.101:8080 backup;
0 P; m% s% [9 @) k3 X4 Y}

server {
; A, L9 w/ i6 mlisten 80;
server_name 52os.net www.52os.net;
  h3 e3 {5 g7 b8 x* u( F
5 ?, M8 S; e, dlocation / {
9 U3 ~3 V& e% y5 g2 c4 h    ModSecurityEnabled on;  
8 h  D5 c( d- x3 c8 J+ m/ A( f- ?$ s    ModSecurityConfig modsecurity.conf;  

5 A+ _% L' z7 H' @$ Z        proxy_pass http://online;
        proxy_redirect         off;
        proxy_set_header Host $host;
7 s" s7 T' O  Q% |        proxy_set_header X-Real-IP $remote_addr;
# D" f0 `+ c5 a9 w+ j/ I9 ^' y3 C        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
+ }* q& E$ g, w: S    }
7 ~# `: o! c' S' X+ u) j}
; _& J; L/ q6 `2 [  m六.测试

! ]" \) z$ n7 k, Y1 Y$ z我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：
6 R1 |3 {7 \7 O/ s$ K+ |- P
  ^1 i+ N0 |  Z0 g6 F<?php
    phpinfo();   
+ L2 Z3 D5 @9 G1 q# S; w& w% U+ s?>
- f1 }2 W& Y0 s; E在浏览器中访问：

7 [6 J4 _( s  ]1 p# ]http://www.52os.net/phpinfo.php?id=1 正常显示。
3 b! A' I- [) K4 ^http://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
" O8 c( ?" @$ N  ehttp://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
" n" K5 R' P0 _8 B说明sql注入和xss已经被过滤了
( f# o7 ]! M2 M% e  w' ~) E5 g8 P
! D: ^! m8 B; v! [. g七、安装过程中排错
  c( q  n2 N' ]9 d% w
1.缺少APXS会报错
. u8 o4 a6 i+ a' G- U* ^0 ]
configure: looking for Apache module support via DSO through APXS
: ]' k& y' z" X. }5 ?7 k9 Dconfigure: error: couldn't find APXS
/ B8 w+ ^& k' v3 x" p( e/ ~apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
解决方法：

yum install httpd-devel
/ r) U2 {' D/ v# G6 l# J2.没有pcre

9 C' a: v% I  @; ]  Cconfigure: *** pcre library not found.
configure: error: pcre library is required
, w- n* O# {  w/ b( W/ H9 A解决方法：

$ H7 q+ B- T2 Lyum install pcre pcre-devel
3.没有libxml2

0 y# L: ~' z* N' [
configure: *** xml library not found.
configure: error: libxml2 is required
# Y3 \/ k0 W1 p% N( K6 g解决方法：
8 d5 T- V5 r" r* t" r2 ^0 B
yum install  libxml2 libxml2-devel
' Y# b* L. o7 d) j2 w( ~" T4.执行 /opt/tengine/sbin/nginx -m 时有警告
$ w# `1 E$ A5 C5 K% I' u( ~' M; L
$ _  `5 X% i( t$ @8 }3 cTengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
) B& U1 C9 g# W# d3 t原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log

2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
: w  @/ r" v2 e& i+ u2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
+ |' V& K: g' `% q2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
  f" f+ U$ D/ M8 g- U3 w  T2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
解决方法，移除低版本的APR (1.3.9)
5 g# k" @# W+ x- c7 L
yum remove apr
5.Error.log中有: Audit log: Failed to lock global mutex
+ y, y4 Q8 x- \8 s$ h: O0 n# j! l
$ A7 d; J- w0 \+ z  B2 z" ]9 M2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
解决方法：
/ B! F; [. ^" `1 q编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
" r2 F+ S8 B; n# n* m' r7 `
SecAuditLogDirMode 0777
SecAuditLogFileMode 0550
$ Q8 X* n* I1 r: t7 Q- G4 V+ @1 u7 GSecAuditLogStorageDir /var/log/modsecurity
- D- t! d" T$ c2 ^6 }SecAuditLogType Concurrent
参考文章：
/ q- y4 [/ V( O5 O7 Yhttps://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
6 @% H, E0 J3 v' l8 P5 ]http://drops.wooyun.org/tips/2614