nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。

一.准备工作

4 J# _" }* ~# k系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0
" \8 _  r; H- n& K
tengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz

- x1 ^3 Q2 @, T9 e' ^  h) Omodsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
. J" ]0 O' Y# u1 Y
7 y* O. f' U. m+ ]OWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs

$ A* l( D7 }- r; |! h依赖关系：
tengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：
# a) ?6 e/ v6 w8 \
yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
modsecurty依赖的包：pcre httpd-devel libxml2 apr
. }. J; B3 Y) `+ I- t! u
! N! e5 `. V$ y. Z; j) ~  I9 ~9 Q; syum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
% i! Y1 ~) s! g) a2 h3 g  k二.启用standalone模块并编译
) w0 e5 X; j8 f. T
) N; l  l; B6 T4 u下载modsecurity for nginx 解压，进入解压后目录执行：
/ P6 S2 x0 V; o( ?
, Q4 C/ o+ D0 i6 K3 }  X8 Y./autogen.sh
./configure --enable-standalone-module --disable-mlogc
  ?; t7 [4 L% |& J! Dmake
7 P  b) l1 k3 u) H6 u% S$ R% R三.nginx添加modsecurity模块
0 a( u1 H9 O6 ^" c% G
$ U- k8 u8 o# r4 C) J8 Y0 f. _在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：

./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
make && make install
# f/ ^5 ?+ D( m, p7 ?9 R四.添加规则
1 f# @; ~- g1 ?! M7 q/ ?, I
modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。
! r& w- c4 I2 V% ]3 M) I8 B
: D, M0 b1 C1 y1 b1.下载OWASP规则：

git clone https://github.com/SpiderLabs/owasp-modsecurity-crs

mv owasp-modsecurity-crs /opt/tengine/conf/

1 k) {& d+ i5 \& e: \; w6 Acd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
2.启用OWASP规则：

/ s1 ~$ f) `. ~复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。

编辑modsecurity.conf 文件，将SecRuleEngine设置为 on
5 C$ a% n$ q9 g( v
owasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。
( S. ~1 R; b  V/ j9 r% @
Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
+ h* i/ g! |: d0 d- [Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
. K  a, j& g' R. n/ fInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
7 I0 e/ |# Y+ K* b  eInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
Include owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
( B! P  N0 D' H0 q7 l! O. l; I4 ]五.配置nginx

在需要启用modsecurity的主机的location下面加入下面两行即可：
( n+ G; S* n+ Y* u( Z' q4 ^1 j
ModSecurityEnabled on;  
ModSecurityConfig modsecurity.conf;
% V7 M. a* Q% ?% i9 J# N下面是两个示例配置，php虚拟主机：

server {
      listen      80;
      server_name 52os.net www.52os.net;
% L, p$ Y+ R4 O8 A3 `     
: }% Y* R9 U( `+ M/ S      location ~ \.php$ {
" R% P3 F0 K) a) F- F- x      ModSecurityEnabled on;  
, i2 p1 R; I& h      ModSecurityConfig modsecurity.conf;

  g- U! Q4 f. ]; F! U      root /web/wordpress;
6 h/ d/ {3 E  w      index index.php index.html index.htm;
5 x  o# K5 b" o+ d+ s  
6 C+ W) |6 h) |) p& o      fastcgi_pass   127.0.0.1:9000;
      fastcgi_index  index.php;
      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
3 X' O- ~7 L% w      include        fastcgi_params;
      }
+ X+ z$ n6 o  c2 f. g  }
upstream负载均衡：

upstream 52os.net {
3 b$ ?8 V* `' l* [    server 192.168.1.100:8080;
    server 192.168.1.101:8080 backup;
}
# }  E9 d# f- {" `
& n6 k; N5 g# K' @; T* Qserver {
, V! t3 k( \' `, i/ {+ [' ~0 F# S/ glisten 80;
server_name 52os.net www.52os.net;

  n, h0 f, J1 ?) J+ \; x5 Slocation / {
    ModSecurityEnabled on;  
    ModSecurityConfig modsecurity.conf;  
2 |3 H6 g7 ^0 l) `
        proxy_pass http://online;
- g2 O* S6 O8 I( b6 y        proxy_redirect         off;
# n. n2 O- b$ u1 E2 ^        proxy_set_header Host $host;
. d, n+ I; L7 p* V* x        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
7 e# n' g$ h# s) N    }
}
六.测试

5 O$ o$ ?: \: R6 G" S0 V, b8 s我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：
, V5 Z( J+ J" ]
+ M; e  \0 U8 H+ [& @: B3 n<?php
, ~# g! U/ L8 p( ?1 R    phpinfo();   
?>
. K$ q4 N1 I. T) J在浏览器中访问：

http://www.52os.net/phpinfo.php?id=1 正常显示。
9 ]- _6 M" E: O  i5 Q% q$ ~( W& J: P) fhttp://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
http://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
说明sql注入和xss已经被过滤了
; U3 a6 h6 z$ \1 s4 I
! q" P. _9 j/ @* ]) \: L) D! X  K七、安装过程中排错
: P( o* Q; k8 J5 {
( D# |9 y! L  E3 g1.缺少APXS会报错

' O8 a9 y8 h, z3 R$ Fconfigure: looking for Apache module support via DSO through APXS
configure: error: couldn't find APXS
apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
# V+ Q& d$ A' U解决方法：
0 F! n) y! e! k, h- {- X; y
yum install httpd-devel
2.没有pcre

configure: *** pcre library not found.
configure: error: pcre library is required
: P2 d' L' }5 E8 m解决方法：
  ?1 J* @2 [4 C+ h9 f
yum install pcre pcre-devel
) [7 B* a6 ?# W5 H2 |* {! v3.没有libxml2


configure: *** xml library not found.
configure: error: libxml2 is required
3 V6 q! O% m) F& v6 N) Q解决方法：
# s( N8 T: j9 h) N! F. e
yum install  libxml2 libxml2-devel
2 O$ r  V9 n! Z4.执行 /opt/tengine/sbin/nginx -m 时有警告
4 q3 U( s& {/ }7 k* r+ O9 I) a
9 q9 M8 G& U  T5 ]4 A5 r) jTengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
* h: E* V8 u+ s原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log

: N- g9 M# m) [: u' J2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
3 a# C8 L3 e/ k' v8 J! D1 y& K2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
. ]. S4 E0 T- @* ?  M2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
% [; m, t0 l; q0 z2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
解决方法，移除低版本的APR (1.3.9)

6 o3 I+ `' F+ @7 m2 P  J, [yum remove apr
6 W. b: i  w5 c3 a' u0 _5.Error.log中有: Audit log: Failed to lock global mutex
! o5 g7 G7 C4 x! N
2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
4 O+ n4 K* H7 m4 B解决方法：
# d7 {& B1 Z' F& R; U: g8 P" |编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
& Q3 ?+ I* _3 _+ H
& A7 X1 q3 |( {% W4 e" B- {+ aSecAuditLogDirMode 0777
SecAuditLogFileMode 0550
SecAuditLogStorageDir /var/log/modsecurity
SecAuditLogType Concurrent
$ n5 ]( O+ R) c1 H* V2 y参考文章：
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
http://drops.wooyun.org/tips/2614