nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。

( x2 i* B& V1 M/ ]: ^0 V一.准备工作
$ \  q3 Y) @3 F
系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0

: s4 F, `- i# _tengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz
" v% |+ M3 h4 m# z
0 P# z$ `4 ~+ ]+ L; xmodsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
' y  F4 M, V; G: P, k
OWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs
* E* V* ~3 J5 t. N7 [! Q, z! b6 b
  o/ ]( A- O2 F+ y6 F: x6 @8 F# P依赖关系：
tengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：
2 ^) l8 {- a- a& j( h9 g. {- `* q9 v
yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
0 T) u$ B* F, \6 n# U9 Rmodsecurty依赖的包：pcre httpd-devel libxml2 apr
) T( Z" m4 }9 E/ R
yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
二.启用standalone模块并编译
+ j9 f+ E+ b+ s2 b
1 F4 m/ L4 {& E' g9 p下载modsecurity for nginx 解压，进入解压后目录执行：
# _; d* }9 t0 f* m3 L
./autogen.sh
( y# }4 ?0 g8 z./configure --enable-standalone-module --disable-mlogc
make
三.nginx添加modsecurity模块
+ o$ O5 h% d- p
! z- A" W( S% G: w) R# @在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：
; l% m8 J8 m5 O; ~. l5 o
2 _( ^0 f) s2 n' F0 t; c./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
; L3 b) X8 O$ _# L4 b$ cmake && make install
$ Q) o& P- g9 f+ \% D四.添加规则
  j& D6 P) q) \" H
modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。

4 l% K0 V9 B. m, K1.下载OWASP规则：
  }8 {  a% b, `% B( Z  N; \
, T4 }3 o9 W, K0 h. _git clone https://github.com/SpiderLabs/owasp-modsecurity-crs
3 d2 }3 I* Q/ J; ~: ]/ _3 d
- e( A0 j  Y/ m, V) wmv owasp-modsecurity-crs /opt/tengine/conf/

cd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
2.启用OWASP规则：

复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。

( K$ @6 s, n6 F4 u- R编辑modsecurity.conf 文件，将SecRuleEngine设置为 on

owasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。
9 ?4 Y" k* _0 I. Z* D* P
Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
- I8 b. M$ b& NInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
$ \( l' D) t: K% m! ZInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
* J$ f/ ?& C2 F. ZInclude owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
6 g" T' F: I4 |3 r, F  H五.配置nginx

1 B# d5 l8 j; \" \' Z0 G在需要启用modsecurity的主机的location下面加入下面两行即可：
6 M$ _1 H$ L0 H; z( u+ E
% t$ s5 q& ^" JModSecurityEnabled on;  
ModSecurityConfig modsecurity.conf;
& h) ]4 O$ G' f3 R下面是两个示例配置，php虚拟主机：

' L4 U& }0 W% Wserver {
      listen      80;
      server_name 52os.net www.52os.net;
7 V, i2 p# y0 O$ h     
      location ~ \.php$ {
      ModSecurityEnabled on;  
- V* x! @2 N: T, O4 s! V% ]6 X      ModSecurityConfig modsecurity.conf;

      root /web/wordpress;
2 e! v# R; M* n+ w8 E      index index.php index.html index.htm;
* b1 J5 S$ v1 P( g0 r  
      fastcgi_pass   127.0.0.1:9000;
      fastcgi_index  index.php;
      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
      include        fastcgi_params;
7 L4 Z* O4 V) `( I$ s      }
" `. x0 [; e) ?  }
! D6 [* w* X& k. I2 ]# {, wupstream负载均衡：

! h; s7 B/ J/ ~8 G6 b# o/ wupstream 52os.net {
4 S, U' f  m5 d- m$ }. P7 Y    server 192.168.1.100:8080;
, H8 O) }) K: t" X( u0 j# y    server 192.168.1.101:8080 backup;
* d: Y% ^* l6 S4 s}

server {
listen 80;
3 h# v! `# Z. q- R/ Z1 @server_name 52os.net www.52os.net;
) `1 B( X' s2 n' N. H
8 S* N5 A% B! |0 q7 M' t: d% ilocation / {
8 {2 R3 p( m. ?- Z7 i  \, F$ \    ModSecurityEnabled on;  
: {+ w" l- L4 v* n" d) b# b    ModSecurityConfig modsecurity.conf;  

* Q( U9 P, O6 B  b9 }3 l        proxy_pass http://online;
        proxy_redirect         off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
* ]1 a7 Q; K* i9 C( ]7 i5 N3 B        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
, E$ v2 K1 r% U! q' M}
& m8 _3 h- M8 n+ Z: _5 P: |六.测试

我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：

<?php
    phpinfo();   
3 e( K2 C# K+ L) _?>
+ |$ C+ S" |) O3 k4 Y# ]在浏览器中访问：
( n6 m& q8 W- R2 H
4 q; Q: w2 L7 whttp://www.52os.net/phpinfo.php?id=1 正常显示。
http://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
http://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
: A; G' {: m! ^3 \说明sql注入和xss已经被过滤了
' H9 c8 o5 n8 w" b2 e5 X
" b6 o6 |" a. e0 r# h七、安装过程中排错
7 \( F0 ^8 X2 e' \% o7 h" \' H
, X) j# P' S) Z6 i3 q5 k5 `+ G1.缺少APXS会报错

: L% l# I( b4 H( Wconfigure: looking for Apache module support via DSO through APXS
configure: error: couldn't find APXS
% O+ }2 i  {9 l) ^apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
解决方法：
, f9 v+ q! c7 @3 N' y/ ?
yum install httpd-devel
  l8 y7 w' X8 K2 y% V- V# \2.没有pcre
1 P! J7 H9 Y" \
configure: *** pcre library not found.
configure: error: pcre library is required
; I  E  q0 ^4 k+ K/ `' M1 ?解决方法：
& s* v5 o; e9 @+ p$ J  u
8 M0 K2 _; u% e# ^* w% x% y, L  pyum install pcre pcre-devel
$ U0 ?0 E! a  ^3.没有libxml2


! e/ C9 ?% x% Uconfigure: *** xml library not found.
6 |, |$ j$ `* F6 lconfigure: error: libxml2 is required
0 s. {: u' l! m解决方法：
6 y$ |7 V7 Y  _/ N
2 a0 D4 D+ z- o$ d3 Tyum install  libxml2 libxml2-devel
; t' P5 V4 ~7 j' s0 S/ {8 o! [1 j9 k4.执行 /opt/tengine/sbin/nginx -m 时有警告

! t! @$ E8 n* u3 ~Tengine version: Tengine/2.1.0 (nginx/1.6.2)
  c% H# o: G& G5 n( h+ \. {nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log

" s$ W3 z0 d1 Z# C, K8 i2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
) D. J5 ^; y: J$ d2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
3 L7 `. k/ b2 @2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
; a2 M0 _: Y% Q& V$ k5 K2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
. V6 z) B) ^3 U# B7 S& {8 l解决方法，移除低版本的APR (1.3.9)
% I( h; G1 G, U9 W2 ]0 V: k
2 h0 h% S: C& ?. [9 Iyum remove apr
5.Error.log中有: Audit log: Failed to lock global mutex
$ n( [3 Y) G2 B4 S( {- g3 `/ d
2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
解决方法：
# g/ F( D' Y# Y编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
7 U9 p, q  h$ U1 o+ R3 M) m8 K. S; V
SecAuditLogDirMode 0777
SecAuditLogFileMode 0550
$ S6 r, x8 A" OSecAuditLogStorageDir /var/log/modsecurity
8 k+ `! n; Q$ E$ ]) h% p8 Z  _% aSecAuditLogType Concurrent
参考文章：
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
http://drops.wooyun.org/tips/2614