nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。
6 e9 v4 q# s# k" v0 u5 U" g) R( Y
一.准备工作
/ e8 V! L9 V; M% J1 U
* C# B, t$ g# w! [) G: y系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0
  O# P0 _$ S$ }# e9 i; a
tengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz
$ u  z8 y% F  f/ c: i9 c
modsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
6 Q5 p  u. w! X0 ^
OWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs

+ @+ ]8 C# e, c" |1 a依赖关系：
) u  ?& }0 a) ]  b4 C+ {$ k3 ^tengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：

yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
2 i8 S- l" D1 u8 _1 ~3 Cmodsecurty依赖的包：pcre httpd-devel libxml2 apr
9 s# x$ Y0 K1 s1 R& v, E5 e
yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
二.启用standalone模块并编译

下载modsecurity for nginx 解压，进入解压后目录执行：
4 k6 S# V7 I- G& X6 x3 j. e1 G
% D% D& _3 b2 c0 s8 T./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
; [" Q+ B- V/ n, O" N' f三.nginx添加modsecurity模块
9 n% L. J; Y1 l% Y8 c- o
& j2 u6 E5 s/ n% x* m在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：

5 R# d3 {7 u* w: I: I./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
) F6 ]$ Z+ X, u: m+ N8 o/ c" p$ Nmake && make install
# c+ T2 l' |/ u7 O2 ~% Q; t四.添加规则
, H$ c9 g4 S4 T: v6 L1 C
modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。

1.下载OWASP规则：

git clone https://github.com/SpiderLabs/owasp-modsecurity-crs
9 V+ p% O- Y* a
mv owasp-modsecurity-crs /opt/tengine/conf/
, }, P; k) [3 y' w. K
* u0 N6 @  g5 Y! U" ecd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
2.启用OWASP规则：
  @& A7 I7 i) q! u3 N2 t6 F
复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。
3 o- f) m* b* p* j) \
/ r: h5 {* u8 J/ ], W( L编辑modsecurity.conf 文件，将SecRuleEngine设置为 on
- ~1 _& W0 d: T6 t/ K: E6 [
owasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。
8 f" X4 \0 \! d! G; M$ M) z5 a
1 h' I5 ]3 v0 rInclude owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
: v& l  C/ k% v6 \Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
! u$ u, v6 h; ]1 ~Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
Include owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
% A0 x+ i) k8 t$ t( u( W五.配置nginx

" K! I8 q( A5 A2 M/ r3 E( H8 F8 f% P在需要启用modsecurity的主机的location下面加入下面两行即可：
( B4 N  j, X. Q- L/ ~
ModSecurityEnabled on;  
2 o+ Y- W4 V) l+ I; ^ModSecurityConfig modsecurity.conf;
下面是两个示例配置，php虚拟主机：

/ [4 l9 p7 R& M; d5 J" jserver {
8 {( `1 w2 _: h3 k4 Y. e8 a2 n      listen      80;
      server_name 52os.net www.52os.net;
7 e4 c) [$ p! y% s5 e2 k     
) W* d  m) z! t& ?2 t      location ~ \.php$ {
      ModSecurityEnabled on;  
      ModSecurityConfig modsecurity.conf;

      root /web/wordpress;
      index index.php index.html index.htm;
  
- F& o6 a9 N9 O- v! \( w- p      fastcgi_pass   127.0.0.1:9000;
" ]6 k  `0 a. ]$ s6 \) T5 U8 \      fastcgi_index  index.php;
      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
      include        fastcgi_params;
, B! b3 l* ]! e5 M      }
; L" q8 T! w9 P+ i8 s5 \/ W0 H  }
& l7 K! D/ B! ~4 R( `) ?9 B* {upstream负载均衡：
3 l( K% Y, g6 w9 l5 C
& S! e- O$ h* I! e* }upstream 52os.net {
, w9 F0 o( H3 b9 P* G9 v! ?* b    server 192.168.1.100:8080;
% G5 x2 T, S! G, u    server 192.168.1.101:8080 backup;
}
6 K5 c. R9 f  R; {3 ?
# N# B' m# w9 h, h0 gserver {
listen 80;
5 L* N  F% Z4 f( fserver_name 52os.net www.52os.net;

location / {
% L1 c* m6 L5 [- S( \6 j; j    ModSecurityEnabled on;  
, F: p# S+ k- ~) u$ @    ModSecurityConfig modsecurity.conf;  
( t1 W. n6 r, G6 p7 o4 ]
        proxy_pass http://online;
        proxy_redirect         off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
六.测试
4 v/ l: M" m0 p+ S4 Y: F
我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：

<?php
' V( }. m6 {. `- K/ N" B4 l8 J    phpinfo();   
?>
在浏览器中访问：
  c( w* D0 D- @) z: A
4 R# n- z9 P$ xhttp://www.52os.net/phpinfo.php?id=1 正常显示。
http://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
* |9 Y7 W$ `0 I( O$ m, m% z& s. ]http://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
说明sql注入和xss已经被过滤了
* W& B* P3 x5 k5 k/ z+ h+ F: ]
, o/ c6 K5 ?% i' [. H* }七、安装过程中排错
- t' K& A& M/ \5 h
1.缺少APXS会报错

9 M* m2 G" F6 K+ `2 n$ A3 oconfigure: looking for Apache module support via DSO through APXS
& p6 Y4 m* m9 [* Nconfigure: error: couldn't find APXS
; w' c1 l' v1 ~* W/ b( Dapxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
/ W5 A8 h) t4 |7 G0 Z( g2 f解决方法：
+ }( E9 V6 R* y, X" d6 C
yum install httpd-devel
2.没有pcre

configure: *** pcre library not found.
% \+ Q7 s! q5 F$ @" _6 S7 M3 f8 Xconfigure: error: pcre library is required
解决方法：

yum install pcre pcre-devel
" \4 R. i7 [* x! _  k6 \3 G3.没有libxml2


configure: *** xml library not found.
configure: error: libxml2 is required
3 [3 ~! V  z/ J# F0 ~- R4 t0 V4 V解决方法：

yum install  libxml2 libxml2-devel
4.执行 /opt/tengine/sbin/nginx -m 时有警告

Tengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
% r1 y8 ^, L$ G$ V% T* N原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log
1 u8 b8 v0 N! O( b& y$ O6 S& _
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
* l6 S7 J( ]/ n7 J/ w$ i. D* q2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
7 }& y" m+ ]0 l1 ?7 p# z- `/ \2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
7 p0 o1 W3 h# C$ D, y* V  O* h  ~2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
' ^# [9 V! j( j& j( }2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
. v$ S4 V% }# ]" K, g( ~1 f2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
解决方法，移除低版本的APR (1.3.9)

: P" @- i" p" O; ~- M  n5 J6 X0 \9 Ryum remove apr
' p4 p% \& {/ ^2 |: P" e: a5.Error.log中有: Audit log: Failed to lock global mutex
  W1 n# w+ L7 T- U6 K
. U6 a% `; s- x* e9 E$ P* q2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
解决方法：
$ G) t0 w! O8 ]" g编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：

SecAuditLogDirMode 0777
8 m0 D" N9 Y9 C# J" R# ySecAuditLogFileMode 0550
SecAuditLogStorageDir /var/log/modsecurity
  N2 m! D. R/ ^( a4 QSecAuditLogType Concurrent
参考文章：
" x# ^. l% k4 {+ q$ l  ihttps://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
2 h( _6 }* b1 Z6 u$ G& x0 Thttp://drops.wooyun.org/tips/2614