nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。
- F7 A1 r" ~% A* ]' m
( U- M0 _# j, F; O' }一.准备工作
4 A9 q* f0 K+ E4 H8 n: t* [0 j0 e
系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0

/ m" X  \5 w! b) itengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz
. D& F6 `: E! p) p% m; r$ I
modsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
( N; {4 @  `; b8 _" \3 u& l
) [& o- w- S( t! F1 u% }, bOWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs
3 u1 [* m  }- ~% f7 e
) ]( e1 @" ]- ^5 G  G依赖关系：
$ r, }( N3 i9 q4 X4 y" ]2 etengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：
+ f# g* F3 Y0 J) k) i- Z  [
$ c& K8 \9 I" u8 f) M; B8 ~yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
modsecurty依赖的包：pcre httpd-devel libxml2 apr
7 f6 {8 X& M/ l1 P& U
2 _: i+ [5 e9 M4 ryum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
* X% b9 J! U7 G; u. ^1 {/ w二.启用standalone模块并编译
1 e9 F6 y7 u* |: T; K0 x0 b
$ o: f/ u0 C6 [+ O下载modsecurity for nginx 解压，进入解压后目录执行：
3 R4 U  L$ a7 Z
. g1 U% [5 N; v( G5 D! S' C./autogen.sh
6 w9 {* _. c' d9 `' U./configure --enable-standalone-module --disable-mlogc
+ V; R% l! i' u* m, `9 ?7 v8 Smake
. u2 ]7 b6 o$ ^3 q三.nginx添加modsecurity模块
' |, K' L$ j& H9 ~" y
在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：
; w0 V' R! P7 Y2 N' g0 e/ z- C
./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
make && make install
# V, X3 v$ Y" `+ P: a四.添加规则

modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。

1.下载OWASP规则：

git clone https://github.com/SpiderLabs/owasp-modsecurity-crs

0 p9 d! u! P- Xmv owasp-modsecurity-crs /opt/tengine/conf/
& B. i9 G& p  I% P
cd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
2.启用OWASP规则：

复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。
; `7 \! t  }# u6 a5 o! V7 p
1 G8 s- s9 s! d# W" Z0 O- O+ m- f4 _编辑modsecurity.conf 文件，将SecRuleEngine设置为 on

  X) ]5 Y4 J8 ~3 n8 rowasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。
: _4 M2 \9 n/ K$ `( N- A
2 s! l, s. ]* X5 DInclude owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
) y. A7 Y* }* ]/ s+ g* YInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
! R& _( s' V# _4 ]& {Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
! h' `! K) c1 u$ ?8 N4 R9 J1 [  BInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
; J% L8 S; k7 |: N" J, D- rInclude owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
五.配置nginx
* k% u8 @  n5 B. M3 X* {% p5 @& f
在需要启用modsecurity的主机的location下面加入下面两行即可：
5 B/ w7 u7 K6 @% t& Z* P
ModSecurityEnabled on;  
1 i8 n9 U6 c, kModSecurityConfig modsecurity.conf;
0 k% P0 I* f- N1 M5 u- Q& Y下面是两个示例配置，php虚拟主机：
# [7 D* W$ ]' G0 T  R
& ^- U0 J- x6 C3 @0 Nserver {
      listen      80;
2 W# X! c2 Q0 k8 @      server_name 52os.net www.52os.net;
: P" p3 t, ]8 a6 i9 ?1 Y( q     
6 I5 O$ S, k8 c8 M      location ~ \.php$ {
      ModSecurityEnabled on;  
6 q9 q/ i7 ~: p! S+ {5 i      ModSecurityConfig modsecurity.conf;

      root /web/wordpress;
      index index.php index.html index.htm;
& D2 p( [, u- e; q7 w* t  
      fastcgi_pass   127.0.0.1:9000;
9 k: [: f3 a/ e# ?5 F      fastcgi_index  index.php;
# P# V- L7 b6 I! U      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
6 Q1 [# k  h9 S/ K      include        fastcgi_params;
4 R5 e4 F# I  ^8 a# N7 ^      }
: {( K  l- k. o6 V; y  }
0 q. b3 a: f2 g, G  A) Zupstream负载均衡：

upstream 52os.net {
    server 192.168.1.100:8080;
    server 192.168.1.101:8080 backup;
( }5 }6 W% S! i: P}
" o- U0 H8 H4 {1 j$ E- k! }+ \$ E
server {
listen 80;
server_name 52os.net www.52os.net;

location / {
% Z, X! ]/ A% M# r; g! E% B    ModSecurityEnabled on;  
, Q" L8 `/ @  Z1 D8 c. G    ModSecurityConfig modsecurity.conf;  

        proxy_pass http://online;
        proxy_redirect         off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
. [! s! v# E# L& M+ F    }
}
# p8 t$ Z; `$ A* _% F六.测试

3 J6 g4 l! I, ~# \, V5 [$ N- \  j, s! V我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：

<?php
    phpinfo();   
0 h9 N; Y3 X% e# {- h?>
在浏览器中访问：
# |+ U/ s, V: S) Y* e
5 P4 w) E/ r4 o2 g" \7 T% [http://www.52os.net/phpinfo.php?id=1 正常显示。
http://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
4 d  B8 j# _/ J( Mhttp://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
说明sql注入和xss已经被过滤了

, T/ c! P  K7 h1 W# _七、安装过程中排错
% T+ G; }* ^, y3 |( Z
1.缺少APXS会报错
" l: ^1 o, v% m& Y( J
configure: looking for Apache module support via DSO through APXS
configure: error: couldn't find APXS
apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
解决方法：

yum install httpd-devel
; K) v1 F+ w. M2.没有pcre

; m' v: I( ^! S& @7 ?6 t% j* h0 R# o3 Qconfigure: *** pcre library not found.
: f) b: }8 Q6 tconfigure: error: pcre library is required
* p3 |5 L6 a) C6 v: U5 ?解决方法：
. [% h3 O  a; v
: f% t/ b0 }. G5 ?2 k1 Ayum install pcre pcre-devel
3.没有libxml2
* c1 x( h4 M' J5 ]' ~
, z# r+ x+ h0 @# b8 |" l- a$ l
9 N& R2 a9 n! `configure: *** xml library not found.
& T& [# J/ B; ^5 d- B. Econfigure: error: libxml2 is required
解决方法：
: ?* P) X( f7 ?) L6 z$ Z* x' g- b
yum install  libxml2 libxml2-devel
4.执行 /opt/tengine/sbin/nginx -m 时有警告
2 R7 T' l+ I4 ~, {& x
4 C- O) B$ w( u2 K8 |% @7 tTengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
2 A& d+ ^! E* ?6 s3 a( N原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log
3 D  P' t( c% D4 }
" t' V* K0 H6 E- I. \4 O' \2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
" s! p0 }! @+ A' [6 D* I5 B  E2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
4 d/ R# I6 V8 h, U/ e8 `& _2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
7 ]% o0 A' j: D. i2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
解决方法，移除低版本的APR (1.3.9)
4 }* {( s% d% x7 p8 V9 ]
yum remove apr
$ g, w  P( F" K! Z! T, w+ @# _5.Error.log中有: Audit log: Failed to lock global mutex
: V. h* z- y' I- Y% }+ v& `
2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
4 m! p+ H, Q5 b& i解决方法：
" N/ H7 x/ R# O编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
* w6 @$ B* V; R; }  Q  m! C
4 q5 K* p) i: t( C2 ^1 t0 f! Y) a6 ~SecAuditLogDirMode 0777
SecAuditLogFileMode 0550
2 f! R7 V8 p: i# q2 G! A5 r* f9 XSecAuditLogStorageDir /var/log/modsecurity
, F! o+ m. b. f6 `% iSecAuditLogType Concurrent
参考文章：
  i3 o/ v6 B' v6 whttps://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
http://drops.wooyun.org/tips/2614