nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。
: z1 |: M, B3 N6 C: Y7 c3 _
一.准备工作

4 {  q5 ^. V; y  m7 @! m+ I系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0

tengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz

modsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

OWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs
! d1 H, z% {1 `
' S6 J: r2 ^* x依赖关系：
- e  q1 T; I$ f8 I$ Atengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：

yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
; E8 Y% Z, `7 @5 H& b" Z9 Zmodsecurty依赖的包：pcre httpd-devel libxml2 apr
. Y% e$ y; b* @9 s& [( m
( h6 U' V* G$ uyum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
( j: Z1 s* U5 z5 A0 {2 ]二.启用standalone模块并编译
. A; d1 Z  o7 [
! _% _. W) {6 V3 x( D- x下载modsecurity for nginx 解压，进入解压后目录执行：
8 y) O8 P' z1 J" R4 ^+ i
./autogen.sh
8 h8 ?6 k! g, ]* {) _4 v./configure --enable-standalone-module --disable-mlogc
make
三.nginx添加modsecurity模块
6 ?5 b+ V2 S5 D' _4 Y
, `; F: F9 R$ u! g! F在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：

./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
make && make install
9 P' Y, B3 ^6 q/ n. W四.添加规则

modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。

  o2 t  O, i' r) j/ I1.下载OWASP规则：

git clone https://github.com/SpiderLabs/owasp-modsecurity-crs
$ {( m( U8 w  J/ s; j
mv owasp-modsecurity-crs /opt/tengine/conf/

cd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
2.启用OWASP规则：

; i9 o+ l- p" v) J' B复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。

编辑modsecurity.conf 文件，将SecRuleEngine设置为 on
+ \4 Y5 t& A5 E6 u
owasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。

Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
9 z/ d# G+ a- e3 hInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
% E2 e0 e5 I4 O  O, \$ X0 |& K" eInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
Include owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
, t1 T0 r% w6 w8 I" N3 R# x五.配置nginx

在需要启用modsecurity的主机的location下面加入下面两行即可：

ModSecurityEnabled on;  
ModSecurityConfig modsecurity.conf;
- }8 ^# S; t! ?0 S: {0 i下面是两个示例配置，php虚拟主机：

server {
0 d: G' t% `8 i$ u7 \% A      listen      80;
6 u; e$ w* ^' C      server_name 52os.net www.52os.net;
     
- ]8 A% ?3 ~# L4 @3 E5 z7 s      location ~ \.php$ {
; }- d$ F  ^3 u; V      ModSecurityEnabled on;  
+ E4 w9 t( V8 {+ l* c, L3 x# }      ModSecurityConfig modsecurity.conf;
) b% H& B4 S" o+ R, e6 g
      root /web/wordpress;
# x" Q* u$ @0 X) B* e      index index.php index.html index.htm;
' y: i3 C- G# q6 V  q! t, I" T  
      fastcgi_pass   127.0.0.1:9000;
      fastcgi_index  index.php;
9 O3 E5 s# {. d3 G* L      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
      include        fastcgi_params;
/ F: B/ C/ L1 t3 j! f, A. o% _      }
  }
3 c6 N2 W6 Y" s+ q5 i7 _' Z+ U! cupstream负载均衡：
, d; k) d: Z0 A) I: n9 X
) F9 F# R0 j* w6 \6 h- wupstream 52os.net {
    server 192.168.1.100:8080;
& w( Y' _9 D6 b' q    server 192.168.1.101:8080 backup;
5 X3 V7 v+ z8 J3 F/ ]}
% L- _* X3 [7 [  }2 Q: U
4 y( w# S' N& K  h5 n) mserver {
listen 80;
% `6 c8 X( S' t0 B& H. kserver_name 52os.net www.52os.net;
4 B3 w' ~( O+ V! F+ l
location / {
3 S* S( H' e& [* J% d+ A    ModSecurityEnabled on;  
    ModSecurityConfig modsecurity.conf;  
. d9 \5 d. ^% p; a9 W' U/ c) `
        proxy_pass http://online;
        proxy_redirect         off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
* t- G( b1 W; \4 |$ B        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
* k' \" d+ g. }1 I$ o, I7 N}
六.测试
; ~( F- X# y; ~! E1 t* Z
; ]" ^! P3 w. c5 T( }+ g我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：
) i9 q- o0 I' }6 a+ X+ v
$ N! ~0 \1 e/ l7 m( u& W! G<?php
! a9 u: ], d* {: C# _0 \  f    phpinfo();   
1 R1 A3 D0 e. c$ j+ a  M0 t?>
在浏览器中访问：

2 k: Q  u! O; ?2 ~http://www.52os.net/phpinfo.php?id=1 正常显示。
; W3 z6 s2 }' ahttp://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
# f- R- B" a9 A+ f$ ^. Fhttp://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
/ h2 m5 @: \, d1 V, ~/ m/ G说明sql注入和xss已经被过滤了
2 Z/ }( ~3 H& H6 {* l0 M" P
七、安装过程中排错

1.缺少APXS会报错
! J  z( [. z7 D
# k6 K9 F& P! M% `configure: looking for Apache module support via DSO through APXS
: |& X8 E3 }. q/ S- Y$ rconfigure: error: couldn't find APXS
apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
解决方法：

yum install httpd-devel
9 i7 h+ L, o8 Z' P: z& f2.没有pcre
" t" w$ A  P0 }$ `+ G2 c4 r/ t
8 S) N. `# U1 B+ Z; C* s( J! fconfigure: *** pcre library not found.
0 q4 _& B. t2 jconfigure: error: pcre library is required
# }: L# i+ o0 J# H/ {1 Z解决方法：
" y1 A- `- m6 b! M6 v7 _! q2 d
yum install pcre pcre-devel
3.没有libxml2


configure: *** xml library not found.
configure: error: libxml2 is required
; A- R- u% e! a* ^# Z解决方法：
$ o- A# k6 a4 O- l3 Y/ S
: [2 R1 y$ e9 Z5 B" R5 p! r7 r# Ayum install  libxml2 libxml2-devel
4.执行 /opt/tengine/sbin/nginx -m 时有警告
9 `  ~1 q& }" h2 x3 f, y
Tengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log

$ u6 }2 _; ^( K1 S2 ^9 ^2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
; i7 l/ @) r/ w7 ?4 ~3 o2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
' F2 d% S9 e  z/ j7 ]- `2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
, K( B  R# x- j4 N2 |; c2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
: B" z9 Y! A& }- g" v- h9 ]2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
解决方法，移除低版本的APR (1.3.9)
8 v% S' b' W* f# E- ~7 R& y( ?
4 y$ B3 y1 j3 ^8 i5 G3 D7 tyum remove apr
5.Error.log中有: Audit log: Failed to lock global mutex
; _8 g. a" _& u- ^
2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
解决方法：
. k, m8 H. s* w3 {3 y& j编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
$ g7 |+ w, h5 G/ O  h
  C' N$ j& b/ s: Q; vSecAuditLogDirMode 0777
SecAuditLogFileMode 0550
$ l3 X# V7 r& ]" MSecAuditLogStorageDir /var/log/modsecurity
SecAuditLogType Concurrent
# c) |* q8 N( V- O* {参考文章：
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
+ G& p( h4 \3 q& hhttp://drops.wooyun.org/tips/2614