nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。
" x/ c! k1 y$ Y4 x
一.准备工作

) ]; l9 P' Q2 A. L  f系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0

tengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz

6 ?7 C$ i) o9 Lmodsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

OWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs
3 W0 P, [% }3 n) Z
依赖关系：
tengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：

yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
' u0 f+ r9 h4 ~3 f( C. Qmodsecurty依赖的包：pcre httpd-devel libxml2 apr

# g' x) v7 d7 N- f) ^: _yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
二.启用standalone模块并编译

% s& |. O3 q( R9 E8 t下载modsecurity for nginx 解压，进入解压后目录执行：

4 |2 z" y" C* l; g./autogen.sh
) j, f& j, g- w./configure --enable-standalone-module --disable-mlogc
make
三.nginx添加modsecurity模块

在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：
3 H* d' H+ `* l; Y6 T4 z2 w; U
, d: v6 H/ m+ D. S6 e# B./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
make && make install
9 U# n/ R/ Y7 ?% z; z+ k7 |- x四.添加规则

modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。
9 d% Q4 k% B4 Z4 `; ?" w  R+ @5 g
; S8 P: ~. ]. `2 \3 D6 s1.下载OWASP规则：
$ m/ s7 I! h, J# |! m4 N
4 t5 Z; v  H. L3 m: dgit clone https://github.com/SpiderLabs/owasp-modsecurity-crs

mv owasp-modsecurity-crs /opt/tengine/conf/

: [. J' E0 o8 @! ?, Z/ q8 e. ^cd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
2.启用OWASP规则：

复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。
7 ^% w7 C& S7 z. ~
! l3 f+ d/ O3 d- n% i2 W编辑modsecurity.conf 文件，将SecRuleEngine设置为 on
+ ~& X) v0 q' v
2 o0 p1 G1 c( p- a& q5 b6 d/ ~owasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。
; Y+ F* l( f) a0 K( C* r
Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
- Q: D, H" l/ rInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
: k  L4 A2 e& U2 Q  wInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
% Z! `3 B- z: ~8 X" u, I1 `) M/ GInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
  c( k9 p5 g0 q2 c9 IInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
4 _: O" S/ B$ O$ EInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
Include owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
五.配置nginx

在需要启用modsecurity的主机的location下面加入下面两行即可：

ModSecurityEnabled on;  
ModSecurityConfig modsecurity.conf;
3 V( ]; M" ]) z- a5 M4 G下面是两个示例配置，php虚拟主机：

1 x; L; q7 z+ V6 pserver {
3 _  i; m. k8 o& v( S. W  E- w      listen      80;
8 }0 I/ ]/ e; L6 A% R- Z      server_name 52os.net www.52os.net;
$ l0 k+ ?+ A, m2 w     
3 v6 Z; Z! |' v3 {      location ~ \.php$ {
      ModSecurityEnabled on;  
      ModSecurityConfig modsecurity.conf;
$ g- y; F2 |1 V4 |5 |& M
      root /web/wordpress;
      index index.php index.html index.htm;
( y; W, p! s# n! }; T; E  
      fastcgi_pass   127.0.0.1:9000;
      fastcgi_index  index.php;
# Q* o2 F; u3 {  t# S# X4 g      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
      include        fastcgi_params;
      }
  }
upstream负载均衡：
& B2 W$ w8 P5 U7 u) F  i2 o* b( x6 x
5 C2 E5 q. b& a+ H  F4 V( Q! nupstream 52os.net {
    server 192.168.1.100:8080;
5 D  o9 H# K+ U4 [+ r( r    server 192.168.1.101:8080 backup;
7 l$ ~5 ~3 x5 ]0 }) i}

) u: v. k7 O0 o/ B/ C" Oserver {
listen 80;
server_name 52os.net www.52os.net;
( X6 _' p" L" z! p  r" g
) k6 ~$ L# i. @8 N8 y+ O( ilocation / {
    ModSecurityEnabled on;  
2 _7 m( n; E" s. B    ModSecurityConfig modsecurity.conf;  

        proxy_pass http://online;
% k+ e0 K; ^5 I$ o& t6 `$ U        proxy_redirect         off;
' l( f  E& Q7 K9 P$ d        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
' O8 ]! r$ j& @* Z% D! \" a$ d        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
, A( d6 a- ?- e7 }0 t! p9 m) R& T    }
' f5 \: C; O. ]1 V}
六.测试

3 ~$ u0 F5 q- Z9 n# k我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：

<?php
' c" V4 `, r& {7 j0 k6 L6 i    phpinfo();   
?>
( V: c  l0 _' u5 C8 d9 j/ Q* _在浏览器中访问：

, W9 b& X* u6 s; v( k/ ghttp://www.52os.net/phpinfo.php?id=1 正常显示。
http://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
http://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
说明sql注入和xss已经被过滤了

七、安装过程中排错

1.缺少APXS会报错
3 ^0 `+ K, q: n) m) W3 T, ?7 A' \
3 h, m: u8 w5 u, Uconfigure: looking for Apache module support via DSO through APXS
configure: error: couldn't find APXS
apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
, p9 x. ?$ \3 L+ q2 P2 h4 j解决方法：

6 B2 q' T. N" jyum install httpd-devel
2.没有pcre
+ c0 [' }& B4 ]9 K, i
4 w! R& `4 u, q0 f  Wconfigure: *** pcre library not found.
3 R8 k0 P$ y1 p- |$ b2 g+ f: E7 Uconfigure: error: pcre library is required
! n  \  `* Z. |解决方法：
5 [3 M( L1 Z) z8 R- ~
yum install pcre pcre-devel
/ |' _$ g, {% Q0 F, a( V& [% ]3.没有libxml2

% i. C0 J% \5 \- W: d4 P  b+ c
7 X# c1 ^: C2 X8 G. h. ~! r0 tconfigure: *** xml library not found.
configure: error: libxml2 is required
2 j" T3 \6 v/ M% `解决方法：
2 [" Q! ~* v, _+ }
yum install  libxml2 libxml2-devel
. V5 m  a2 k( {: M$ A; J4.执行 /opt/tengine/sbin/nginx -m 时有警告
  ~  M. ^8 F6 Q( |& H
/ R* Q! m7 T, qTengine version: Tengine/2.1.0 (nginx/1.6.2)
6 G/ j" u, T" k( T$ L. X0 Knginx: [warn] ModSecurity: Loaded APR do not match with compiled!
1 m$ E  d* |* x5 |原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log
, A* q5 H* N7 A4 ~9 C* @& E
5 M" X" R! y1 F- \5 c+ S" Y  F2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
, K% I# Q0 c2 H! U8 f2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
5 S, S2 K) ]. p2 q8 g- V2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
  a7 b5 N8 @* E. A0 g2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
5 G3 }. u8 Q: J5 @' E8 q6 ?2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
7 C# ~* a, b& i解决方法，移除低版本的APR (1.3.9)
, E$ A4 H  [% |5 l
yum remove apr
5.Error.log中有: Audit log: Failed to lock global mutex
/ _" j' `% r7 l+ T( H' I9 ~
! m, a( o2 S  n; R+ W1 P2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
0 k% {; U: F" ^+ B5 |global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
解决方法：
+ e0 e& P6 H/ \% S) |& d编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
! ]$ ^/ ^* ?1 B( B# \' }
) R8 {! C% Q, W2 J6 oSecAuditLogDirMode 0777
/ {# T/ ]2 |* g1 J& Z* X) |+ VSecAuditLogFileMode 0550
, r1 v. \7 W5 q( A( rSecAuditLogStorageDir /var/log/modsecurity
SecAuditLogType Concurrent
$ w& w* K  W1 k+ R参考文章：
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
- G) g3 S' H" l1 ]& D5 O& Uhttp://drops.wooyun.org/tips/2614