nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。

一.准备工作

系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0

tengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz

modsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
( D5 \# x: J2 |' n( Q" E$ A+ S
OWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs

依赖关系：
( b/ E) P! r  ~) F1 J/ Gtengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：

5 e6 j) l, N- G- _' F0 ?yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
, V8 G8 Z% k0 d; Wmodsecurty依赖的包：pcre httpd-devel libxml2 apr

' P, t( C- I0 A+ Eyum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
. Q' w6 [: U+ e. H二.启用standalone模块并编译
" z9 w. L" V* N, Z* T
" W4 s0 j! t5 V* l# ~下载modsecurity for nginx 解压，进入解压后目录执行：

./autogen.sh
./configure --enable-standalone-module --disable-mlogc
" T6 Z* H( w. I# n* M5 w0 Nmake
; G2 b5 W/ Q& g) n0 A, M# U0 Y三.nginx添加modsecurity模块
! i% }0 h# O) t1 Z
& c" X: S- Q" ]在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：

./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
4 _3 T1 I/ ]" U/ ]make && make install
四.添加规则
- y  o" t. A1 Q+ T" A4 @) u' n
. O5 u" }+ F' Umodsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。

1.下载OWASP规则：

0 K! o& R$ _# \git clone https://github.com/SpiderLabs/owasp-modsecurity-crs
) t4 x) h# T+ r; z! z, O" f
mv owasp-modsecurity-crs /opt/tengine/conf/
' [7 z9 P7 J+ n# v6 f6 A6 y
cd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
( ^' ?& w' _( B7 ?3 U8 H2.启用OWASP规则：
7 x( B0 f. Y1 X; v9 r3 w7 I
: ^' R! y9 ^4 }  {4 |3 N- t$ C: e复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。
6 `- y2 `/ d$ o7 x* G8 a
0 L2 V5 p/ c; e+ E, O$ `编辑modsecurity.conf 文件，将SecRuleEngine设置为 on

5 H! s7 H/ e4 Iowasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。

Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
) b, c  \9 a. x. ^  a9 Q7 NInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
Include owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
% y! O$ d4 r; ~1 [. A" x+ O. E五.配置nginx
; m! f6 w. q+ ~% `+ J$ h
在需要启用modsecurity的主机的location下面加入下面两行即可：
; u  c- w# A% F& w$ R
ModSecurityEnabled on;  
ModSecurityConfig modsecurity.conf;
下面是两个示例配置，php虚拟主机：

9 I" m4 }& I6 J8 D' P  jserver {
      listen      80;
. H8 i! O7 K! m6 n. g7 D      server_name 52os.net www.52os.net;
     
1 b( f  s4 w: Z( S5 w; d      location ~ \.php$ {
6 W  E& s: Z* y9 x/ ^8 F      ModSecurityEnabled on;  
      ModSecurityConfig modsecurity.conf;

, k" b/ R7 e# u! g      root /web/wordpress;
      index index.php index.html index.htm;
  
& k. y! k6 I; ]      fastcgi_pass   127.0.0.1:9000;
+ v/ Q' \) F/ `$ q* Y' w! N; {      fastcgi_index  index.php;
9 y! t0 n9 c. S+ v# {  d      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
( x2 H5 M1 O3 P# d2 v4 M5 K      include        fastcgi_params;
      }
  }
  r! R5 m7 O4 R) Nupstream负载均衡：

upstream 52os.net {
    server 192.168.1.100:8080;
    server 192.168.1.101:8080 backup;
}

* Z1 b; v; G; A: F/ V! {% Lserver {
listen 80;
server_name 52os.net www.52os.net;
2 j( b9 C+ w$ F* {' h+ V4 \& T
location / {
    ModSecurityEnabled on;  
& [3 o3 m' z) @  l3 T* w    ModSecurityConfig modsecurity.conf;  

: E4 V0 X4 [7 D; Q9 E/ a        proxy_pass http://online;
        proxy_redirect         off;
5 O3 `1 B& U1 n* ]+ H6 s! v5 U        proxy_set_header Host $host;
4 a4 K: W: ^; S) r7 A7 `        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
3 a5 y% V2 \. P: g+ k$ u    }
6 T8 I7 L' p: ~0 U0 B- M}
( ^! L; J6 Q- O% Y0 F5 u5 k六.测试
# H5 K  C; j, Z; N7 I. E) }" W
$ N! ?5 Y& o+ X" Q我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：
& c) P2 K9 C& H' M
% I% I- u5 \' w: ^( Y/ X<?php
2 L8 Q& C7 k: `7 c7 q    phpinfo();   
+ r+ k5 Q# K- u2 ~?>
3 w( F, X- ^0 d, Y* ~在浏览器中访问：
  M6 U0 r1 ~) _2 s& H: O
http://www.52os.net/phpinfo.php?id=1 正常显示。
  B4 K  \& @- y4 Y. b) chttp://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
5 C! [; I* ]9 q& ?$ P2 z! bhttp://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
说明sql注入和xss已经被过滤了
# `' ]  a3 R4 ?  r  y. Q& |
. a8 D- T* E: ?: L8 P0 K- M$ P七、安装过程中排错

8 o5 _7 c  t4 @+ l$ }1.缺少APXS会报错
' U$ Y! s( I) i, t$ ^
configure: looking for Apache module support via DSO through APXS
configure: error: couldn't find APXS
# e4 ]3 r$ {6 N, D" X" @( wapxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
8 X1 u- N9 ~) b* M+ d  K7 t解决方法：
: Y( w, l6 }2 q: J
yum install httpd-devel
+ J% i$ `2 Z4 j4 y- Q& w" x  [2 O2.没有pcre

! o$ ^, k" _$ Y* }( j4 oconfigure: *** pcre library not found.
. ^& \0 R5 _; }, j) t7 u' M; Jconfigure: error: pcre library is required
7 y5 p: E9 g: u' f% s9 g. ^* ?$ u解决方法：
0 ^6 a. k5 _0 n( \' a% @2 D( |
6 u! _' I( q* y6 Syum install pcre pcre-devel
3.没有libxml2
* g* p+ R' G$ _% b( y1 J4 f
- f2 Y' h  ?! h( L$ G4 e5 Q
) G# ~0 V4 _# [1 A. l! fconfigure: *** xml library not found.
% B! n7 q& d0 x/ \9 lconfigure: error: libxml2 is required
' N: y" ^. J  m/ E9 b解决方法：
2 s8 j' z3 s7 f1 P* n
yum install  libxml2 libxml2-devel
% D: W6 a# j  P4.执行 /opt/tengine/sbin/nginx -m 时有警告

2 c$ b0 N5 z. |* o7 w4 r  `& h) |Tengine version: Tengine/2.1.0 (nginx/1.6.2)
: F; z, P, b# f1 ynginx: [warn] ModSecurity: Loaded APR do not match with compiled!
0 B, d1 L0 U5 Q" P8 l原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log
' T. K" V! R3 o& [0 H0 }7 C' f
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
6 j9 n* ~  Q1 }# X' }2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
  d/ `0 C" Q8 q/ z7 c6 z6 X% c  z2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
+ d8 t% j/ `# `3 B0 C解决方法，移除低版本的APR (1.3.9)

- {" F/ Z/ c1 K$ K" k/ o% u& wyum remove apr
5 G" o$ |% b4 F8 i7 m% u( Y5.Error.log中有: Audit log: Failed to lock global mutex
% |) U3 F& `1 `; i0 G
2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
解决方法：
% N1 c+ j( M6 n) q0 U' N编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
9 s' M; Q' |$ a9 \9 ~: J& ^3 _- }# Y
SecAuditLogDirMode 0777
SecAuditLogFileMode 0550
SecAuditLogStorageDir /var/log/modsecurity
SecAuditLogType Concurrent
! q* o5 h+ q; d4 |$ \% I参考文章：
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
  p4 {" c  t7 l, p! lhttp://drops.wooyun.org/tips/2614