nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。
4 W2 Z) m( r& }1 z: T! Q8 o. L
一.准备工作

系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0

tengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz
1 t0 P) N+ l, G; p
modsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
* d7 }, |" P/ J0 Q  R8 ~( w& M
3 |3 ]: ?- ~4 x7 ~, r; hOWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs
- W$ K5 {& d0 L2 D0 W
" f1 S8 U2 o9 [依赖关系：
tengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：
- V- p0 E. k. ~
yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
modsecurty依赖的包：pcre httpd-devel libxml2 apr

yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
  y, F( P9 [  z  |0 j8 l1 P二.启用standalone模块并编译

下载modsecurity for nginx 解压，进入解压后目录执行：
. u1 W, q! e5 x9 Y" \# u% s, {
./autogen.sh
: M2 |/ t* R1 o4 `8 n$ P% V5 T9 _./configure --enable-standalone-module --disable-mlogc
& ]) r5 v! M# h. e7 U5 emake
& `1 [' h: ~; {2 S* L) u% s三.nginx添加modsecurity模块
; t& W8 a! x; j
在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：
1 S# Q6 L( E6 Q
./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
+ O5 N9 L; J) r: c3 Gmake && make install
四.添加规则

9 Y$ q/ g! R2 X& Z( J2 E) _modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。

9 Y& Q2 @+ l, k# [) r( O4 O% H/ E1.下载OWASP规则：

) a) V1 V  O) G0 zgit clone https://github.com/SpiderLabs/owasp-modsecurity-crs
. T/ g  E) b7 L- R0 `' `$ y
mv owasp-modsecurity-crs /opt/tengine/conf/

cd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
7 ^1 Q3 o1 E) J4 ~9 \9 p. h2.启用OWASP规则：
  A  d1 j" F0 O$ `# [" a9 ~7 p
复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。

5 r4 M- `# Z5 ?编辑modsecurity.conf 文件，将SecRuleEngine设置为 on
) [9 a; R5 O0 P0 ?, `
. h5 D* w+ k* o1 J6 u! iowasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。
" K4 D& g# \! H  W& G1 L
Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
! W8 M9 D1 z" L5 JInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
Include owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
1 d' ^& g1 ]1 q) v8 [五.配置nginx

% }. J; M; I1 j- G8 T6 v在需要启用modsecurity的主机的location下面加入下面两行即可：

ModSecurityEnabled on;  
ModSecurityConfig modsecurity.conf;
下面是两个示例配置，php虚拟主机：

server {
. k5 J2 s) K0 ?- N+ R      listen      80;
      server_name 52os.net www.52os.net;
     
      location ~ \.php$ {
  r, e0 P$ i$ e+ F      ModSecurityEnabled on;  
      ModSecurityConfig modsecurity.conf;
7 o. h, w9 k3 |! S) `
      root /web/wordpress;
" E$ s" y8 s- ]9 D- x: z9 V6 ^# j. o      index index.php index.html index.htm;
& ?  v, |8 y- W/ ~& i% [  
# v" e; \8 ^: ?      fastcgi_pass   127.0.0.1:9000;
      fastcgi_index  index.php;
  y9 s8 O5 U2 @      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
      include        fastcgi_params;
* ?% T; V! J+ B$ I      }
. N( g) J2 B- @+ z6 H$ X3 e1 P  }
3 P1 z8 M" h+ v8 gupstream负载均衡：

6 j' c  Z  U) I2 Fupstream 52os.net {
9 `$ V2 J7 W; \0 S: a# _$ z    server 192.168.1.100:8080;
! h# h; o% a5 W* j: d$ d( ]7 J. d    server 192.168.1.101:8080 backup;
}

6 i+ ^, B+ @: O3 M: V/ [( P; w# C4 Kserver {
5 L: z3 m- s! w/ @* Plisten 80;
server_name 52os.net www.52os.net;

location / {
    ModSecurityEnabled on;  
    ModSecurityConfig modsecurity.conf;  
( s9 K0 z% B4 `
        proxy_pass http://online;
9 s0 U3 q) ~# f. V% z9 q7 x        proxy_redirect         off;
6 m0 y, G* |! D& r. x        proxy_set_header Host $host;
! M, n' u, H. d        proxy_set_header X-Real-IP $remote_addr;
( z8 w# x$ \, J/ y# Y! W9 S$ F; X        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
4 Q0 d0 ^  j0 `" G1 j: ^7 ]}
六.测试
3 h5 B! R8 `/ G6 w- w
我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：
% n* p* m# r  J4 S( l. |! U
<?php
    phpinfo();   
% w$ M% t! X- d" }0 f( W?>
在浏览器中访问：

http://www.52os.net/phpinfo.php?id=1 正常显示。
& Y! s; L5 R9 X9 E) z  Thttp://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
. z1 _9 X- U" `) m( khttp://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
说明sql注入和xss已经被过滤了

( z' e! j3 x# P6 n3 u' i七、安装过程中排错
% C& }3 \* Y. d4 ?& U! c: `# a
6 h( j8 ?* _) i# [1.缺少APXS会报错
9 F' w4 Y. @/ a5 \0 x6 O- R
" N$ L2 d# \# bconfigure: looking for Apache module support via DSO through APXS
. t( d6 s' I% C: q: Rconfigure: error: couldn't find APXS
0 o1 T+ g1 P2 Z: \apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
- ?2 f9 n! R" F; c. H) q解决方法：
8 C# x/ q+ ^4 @! S+ M* X4 s
1 [0 G& _' ~% z! y5 _. L1 pyum install httpd-devel
* T9 t$ d3 y  d9 |9 K( X+ o9 h1 u$ Q2.没有pcre

& m$ j+ {( \2 ~2 W0 a; i1 H3 fconfigure: *** pcre library not found.
configure: error: pcre library is required
- X) t2 N  |) X解决方法：
7 D* x) W6 K2 t) i8 Z0 e& j4 Y
$ i: C! K% d. Q' ?( m$ ]( ?' ^8 m" pyum install pcre pcre-devel
- R9 \+ M' z6 G, ~+ n1 I3.没有libxml2
! [( V! ?0 ^# ^' N
6 `5 R- X4 Q3 G* O/ q
configure: *** xml library not found.
0 _& c/ `% R% e5 G( Xconfigure: error: libxml2 is required
7 |2 ^$ {; r8 K; w5 t$ u+ X解决方法：
8 Z' Z. @/ x7 d* S. d
yum install  libxml2 libxml2-devel
/ S5 y) W8 l' m, |( h4.执行 /opt/tengine/sbin/nginx -m 时有警告
$ d# k2 o' k, n9 d. S
Tengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log
- `+ ]" _5 d. j$ g2 p
- L2 W# e0 Z! g: J6 K/ q1 Q5 f" S( X- m+ E2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
, F! p  R+ i/ i% P2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
1 y6 k  u" g1 D+ v" d2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
" w1 Y- c5 n) T! L1 ?  y( W* u- `解决方法，移除低版本的APR (1.3.9)

yum remove apr
5.Error.log中有: Audit log: Failed to lock global mutex

2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
2 K) i& H8 j) t; L4 h1 D; a$ aglobal mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
  i9 E$ U  d4 f& a6 d4 h1 s6 p, X解决方法：
编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
4 Q2 D" i: r! l  [7 L
  ^2 h) u0 G( F0 e$ q8 |SecAuditLogDirMode 0777
SecAuditLogFileMode 0550
SecAuditLogStorageDir /var/log/modsecurity
0 \, i; P/ ?3 h1 W: U. B2 ySecAuditLogType Concurrent
参考文章：
( B/ |, I9 L1 ^$ bhttps://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
. l1 D& _3 ^: W9 C3 Z0 o( Rhttp://drops.wooyun.org/tips/2614