nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。
. O# d9 u! F% [; i( C
# u. @7 _$ k" |, p3 |一.准备工作
. u; ^# |% r2 e$ z* u  z& r
5 i9 ]% O' x6 b8 `) ~系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0
# I& p. i) u$ u8 H
2 X4 b* a  }" I- A5 _  p* R1 Q8 a- otengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz
' c. ]1 P# v' g
modsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
: D( w) w% ^, i( H# n, l
7 {: W+ p; R/ ^2 K4 c( BOWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs

依赖关系：
9 J, e9 X8 p6 {2 |, Qtengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：

5 ^# g; K; F/ ^# W# ~, K% Yyum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
modsecurty依赖的包：pcre httpd-devel libxml2 apr
4 e3 h7 z5 L: ^2 Q. D
1 z3 c4 \( t% X% Uyum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
二.启用standalone模块并编译

下载modsecurity for nginx 解压，进入解压后目录执行：

./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
三.nginx添加modsecurity模块

在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：
% f9 ~5 ~+ {) {. o
./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
make && make install
四.添加规则
. R3 c/ x, Q1 a
modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。

1.下载OWASP规则：

- f0 G; p1 O3 |git clone https://github.com/SpiderLabs/owasp-modsecurity-crs
2 M4 X* D) y# t
mv owasp-modsecurity-crs /opt/tengine/conf/
* G, k0 z0 T5 R: O) R
cd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
2.启用OWASP规则：
" @8 n" F% C$ g2 ?3 `
  N  X7 i2 Z1 h1 b) Y1 ?4 {复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。

编辑modsecurity.conf 文件，将SecRuleEngine设置为 on
1 x2 `9 P; m  n
9 C3 `1 U6 o. P% I0 f9 s- Yowasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。
. v' n4 r# T: @4 L! @
Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
6 G7 O" ?. i' \0 sInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
* J  D2 |! \$ M6 n. D1 s" jInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
* G( \( }- t4 ~, U  e3 L: d- pInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
# N% a: r" l; P: X: ]  e6 E9 Y, v1 QInclude owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
五.配置nginx

) Y! [0 ]2 S$ l/ j/ _在需要启用modsecurity的主机的location下面加入下面两行即可：
3 J# M' y7 J2 _/ _) h5 L! p
1 Z5 w4 Z1 J$ f0 w+ c3 BModSecurityEnabled on;  
% |, d. A4 b- _% S0 cModSecurityConfig modsecurity.conf;
下面是两个示例配置，php虚拟主机：

server {
      listen      80;
7 i. k) W; z; s& m+ u( n      server_name 52os.net www.52os.net;
     
4 T4 D& y+ U0 a      location ~ \.php$ {
& b- w  E! a% _' {8 _- n      ModSecurityEnabled on;  
5 G& F9 y# b8 x8 E5 X) r      ModSecurityConfig modsecurity.conf;
6 h8 w1 p7 V6 m2 a
, I3 a4 U2 i, Z4 x* b& u0 E      root /web/wordpress;
      index index.php index.html index.htm;
  
; Z3 U* k1 c8 o) z5 t" @      fastcgi_pass   127.0.0.1:9000;
      fastcgi_index  index.php;
      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
      include        fastcgi_params;
      }
  }
upstream负载均衡：

upstream 52os.net {
' N$ a: j  Y$ s& S    server 192.168.1.100:8080;
& P( B: O2 T1 ]  Y    server 192.168.1.101:8080 backup;
9 b2 p+ {( }' A. S1 [}

+ h9 E3 @& C- n9 h0 h6 lserver {
listen 80;
& N( s3 D7 L5 v4 |  D* Bserver_name 52os.net www.52os.net;
" G7 g8 s( f" h( j. v
) {  D! S$ I5 l! q& Y  [location / {
5 P4 J  r& j: u7 W/ p+ U, A; M, ]    ModSecurityEnabled on;  
    ModSecurityConfig modsecurity.conf;  

9 P3 d7 A: U3 [* @. I        proxy_pass http://online;
        proxy_redirect         off;
3 E& a- A( b0 G1 h        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
; U: ?8 x; U6 `- o* h& V2 F        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
: n( E2 p+ F! X( X0 L. ?* d& O4 b}
3 o" l+ b/ }. R, i) _六.测试
' \2 y$ p8 |2 D$ u
* o, c5 z' B% ]/ u/ G* {我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：
7 `; `  Y3 @8 ^# j
4 |- }3 K' N- d<?php
4 O$ R5 J% \$ R( `3 x    phpinfo();   
?>
在浏览器中访问：
0 G8 [$ M$ W  r
http://www.52os.net/phpinfo.php?id=1 正常显示。
$ g, F2 c0 M$ s* F1 t" ~! lhttp://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
) I9 k# \# ?4 `" O# \http://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
说明sql注入和xss已经被过滤了

; _& H/ P3 n5 Z; g; E% u! _6 t七、安装过程中排错

0 ]. {8 z! [8 j) p9 c7 F0 Y1.缺少APXS会报错
( c& V/ Q1 u4 S) k$ i+ t- S  O
. L: S% O' T5 [  D) Econfigure: looking for Apache module support via DSO through APXS
configure: error: couldn't find APXS
% w' g0 Z! Y4 @" F& Uapxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
解决方法：
+ v4 e$ _: d4 i; t
yum install httpd-devel
2.没有pcre
; S6 {8 j9 B6 {$ w
( w3 q, X% P* ]& S" s  P: ?configure: *** pcre library not found.
configure: error: pcre library is required
解决方法：
4 b, R7 i; O) U! F
. `) ~- M& T- Q5 ryum install pcre pcre-devel
- J+ ^$ a8 h. U6 v3 @3.没有libxml2
' ]! [" ^, V0 ~& M$ U

+ `8 P6 d* \7 `( [3 m  V: |9 Pconfigure: *** xml library not found.
' |. O; D. g6 m+ |configure: error: libxml2 is required
, F- G2 d% `- @解决方法：
' D) r* m  y: ?
yum install  libxml2 libxml2-devel
$ X* H0 y# t; O. a4.执行 /opt/tengine/sbin/nginx -m 时有警告
  Z1 O% h- B" o& J
1 I2 E4 j! H: @% ^) }Tengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log
0 @& A. T0 y5 Y5 r- ^
+ ?+ R" d* U) l" F2 g8 i2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
+ Z* u. W# F& O0 _: e2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
$ f2 o% B+ ?& V9 Q$ a2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
% y0 G" I; j9 Z9 N1 T1 p0 K- |* y$ n2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
. x: P4 e# z$ `0 e/ `% V' R解决方法，移除低版本的APR (1.3.9)

yum remove apr
5.Error.log中有: Audit log: Failed to lock global mutex

2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
) s3 n- K  u$ Z. jglobal mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
0 [7 e4 G6 J) U/ s8 ~% y! c2 z解决方法：
编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
* O8 |. z5 v% X1 L/ D
SecAuditLogDirMode 0777
9 r4 R4 W- c: S& q% h, H& j. [$ ^SecAuditLogFileMode 0550
1 f7 B3 l- Y: B8 ]! B. K* vSecAuditLogStorageDir /var/log/modsecurity
8 s8 ~+ n2 x/ F* ~( T3 JSecAuditLogType Concurrent
参考文章：
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
. F9 O% v8 j3 {- m' n% G: chttp://drops.wooyun.org/tips/2614