nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。
/ b0 {+ H! W9 ~! ]: H
一.准备工作

7 `  i: ^: Y0 n, Z7 w2 j系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0
0 ?7 A: ]1 u; t9 m
tengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz
% h% X7 l' ^/ f" b( D: t3 y
) s: T" w$ C, L9 o  Emodsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

OWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs
7 y; ]% T  _: a# V! `! P& a
3 r6 [0 \% i4 K; A% \9 o依赖关系：
tengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：
7 e- |* Q& H2 ~4 b  L" k# t$ T
yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
. M  a, D" y3 {modsecurty依赖的包：pcre httpd-devel libxml2 apr

yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
) M1 N2 n- }& h* k* m  F: d二.启用standalone模块并编译
- U3 t* e1 n0 P: D  N3 f
4 ]8 t; d+ P" X; w( C, v6 B; D下载modsecurity for nginx 解压，进入解压后目录执行：

: Q1 W0 ~+ R- `  c7 e- A/ H9 H( ]' T./autogen.sh
, A1 V$ o& P$ t" V, U& x./configure --enable-standalone-module --disable-mlogc
make
' q& ~/ u; n, I# b2 D三.nginx添加modsecurity模块

在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：
% |# F$ G) C+ V- r6 ^
7 q) E6 B0 D  x9 w8 ~6 q+ H  g./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
make && make install
3 v$ s1 g$ [! A4 ?/ [/ O5 |四.添加规则

: Q7 m% L& U3 J# e, |modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。

& _6 E. m" M4 @- C1 A3 @1.下载OWASP规则：

git clone https://github.com/SpiderLabs/owasp-modsecurity-crs

mv owasp-modsecurity-crs /opt/tengine/conf/
, Q# U5 S* b! a0 k4 J, {
$ l: Y- H$ b/ e6 K9 V" qcd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
2.启用OWASP规则：

复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。
/ R* x3 M1 c3 T* t4 B6 L: k9 ^4 Y) B
编辑modsecurity.conf 文件，将SecRuleEngine设置为 on

owasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。
4 S4 h4 o6 s' N3 p
Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
- Q6 j' u' a$ _3 z7 QInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
. _: U4 T6 g- w0 ]% B# ]# IInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
/ L. ]; X+ K5 F1 `& H  MInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
Include owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
* [6 S& g8 `8 B1 X五.配置nginx

, V# O5 X- K' s7 O在需要启用modsecurity的主机的location下面加入下面两行即可：
3 r- T# c& [3 y% ~
ModSecurityEnabled on;  
8 ^4 @- F9 `5 Y2 S' z' |( Z& _ModSecurityConfig modsecurity.conf;
下面是两个示例配置，php虚拟主机：

4 `. w4 \2 a9 u2 p3 Zserver {
      listen      80;
      server_name 52os.net www.52os.net;
     
      location ~ \.php$ {
      ModSecurityEnabled on;  
" `0 ~. _# e  H* t      ModSecurityConfig modsecurity.conf;

, R' K3 ?; I* k" y/ e      root /web/wordpress;
      index index.php index.html index.htm;
" l* s0 l3 Y1 O  
      fastcgi_pass   127.0.0.1:9000;
      fastcgi_index  index.php;
6 @$ T  U3 D% z+ R/ |, t1 p      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
5 z1 ?" T) ?& v" v* J      include        fastcgi_params;
! X4 J7 Q7 o& R% X+ Q      }
  }
. ]0 p7 h( F5 d- ]* u9 m- b% ~upstream负载均衡：
) g8 Z: M3 v) R  q& u& w$ w
upstream 52os.net {
    server 192.168.1.100:8080;
    server 192.168.1.101:8080 backup;
}

server {
listen 80;
/ u4 ^6 r- M5 v, h4 y* M! L4 G) \server_name 52os.net www.52os.net;

location / {
' l: u3 [3 X5 z) @% N    ModSecurityEnabled on;  
    ModSecurityConfig modsecurity.conf;  

3 O8 Q9 I3 D. l  ^5 t% M& {/ S$ E        proxy_pass http://online;
' z8 u. V  d& g8 x( V        proxy_redirect         off;
% L/ X  }# p0 T. q  r        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
% c6 h, Q$ I0 i( L  t9 r# p}
! c, [$ d- Q. @( \8 F$ W$ ?: {. R六.测试

9 F- G- ^, p* V1 N% H我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：
; ~/ H) g5 l2 _1 B9 ?' `* |
<?php
    phpinfo();   
?>
! G  [3 Z$ A% r) o; o- w! c" J6 C& ^在浏览器中访问：
/ D9 o  M( O+ w8 ]. V* W( r# O
http://www.52os.net/phpinfo.php?id=1 正常显示。
! ?6 Q  D$ a9 n1 e. ]7 o- yhttp://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
http://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
说明sql注入和xss已经被过滤了
& v6 L$ e$ Q0 U. n, R
+ a+ }6 t6 s" b七、安装过程中排错

1.缺少APXS会报错
, Y; O' |1 W! j5 J2 M- F3 B' C+ ^
7 s8 W- U, B+ w. B- sconfigure: looking for Apache module support via DSO through APXS
configure: error: couldn't find APXS
" V2 c- h$ Q) f" a. U1 n* wapxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
% b1 K' v" c7 b1 a& M' H' x9 E8 B解决方法：

yum install httpd-devel
, M  [6 k; a0 \  J2.没有pcre

( m' ]" D+ b8 w2 c! @2 J. fconfigure: *** pcre library not found.
2 T- N: ~7 L, d9 {( d1 }+ z6 S' rconfigure: error: pcre library is required
解决方法：
( ^5 s4 E: J6 a  s3 k7 Q: M
" W- }7 `/ [) _7 g8 g. E- d$ G: A! Myum install pcre pcre-devel
* e5 J, r3 g$ w: A( C" X% s3.没有libxml2

/ [! e- k5 m6 |' b/ @6 D5 p4 y1 Z
configure: *** xml library not found.
% L+ }) }2 Q$ b! b4 _* c. B2 Z* iconfigure: error: libxml2 is required
# _; Y8 M. J+ p# z解决方法：
/ I' b6 K1 K- z2 j7 h5 A  z
yum install  libxml2 libxml2-devel
, C. y' X2 ^' M2 |% `/ O0 x2 P4.执行 /opt/tengine/sbin/nginx -m 时有警告
7 u9 ?0 M* l- \, @  q. i
Tengine version: Tengine/2.1.0 (nginx/1.6.2)
# p8 s* P- ^2 e& f& i9 Inginx: [warn] ModSecurity: Loaded APR do not match with compiled!
原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log
+ N3 Q+ [1 Y) j# x+ b3 t
" k1 f. S; n9 N5 c- W9 {7 a2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
" s! C, h& p: P- z7 v4 v2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
; ]  [/ Q& g$ W9 `5 g4 }$ E2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
; E' m6 k0 Z( P. R2 K2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
" N' c1 K! j& p3 m6 F解决方法，移除低版本的APR (1.3.9)
9 k4 y8 j+ k1 ~# `- g1 {* n  f
yum remove apr
* a+ T5 S9 E+ i7 F5.Error.log中有: Audit log: Failed to lock global mutex

4 g- y  n1 o  w. `0 A2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
解决方法：
编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：

. \7 t7 ~# u. `: Q; bSecAuditLogDirMode 0777
) h; n$ I- t* G; v) vSecAuditLogFileMode 0550
% `! l# H& K5 x2 B5 U6 VSecAuditLogStorageDir /var/log/modsecurity
6 D/ Y- _+ V! J9 W* w3 a; PSecAuditLogType Concurrent
" @; z4 B. e7 |% z5 N, Z参考文章：
  ~( t8 n" K" p! z$ M+ Thttps://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
http://drops.wooyun.org/tips/2614