nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。

) N% b7 h. ]) B  I8 [. g一.准备工作

6 r: H: H) w1 c# s: X; g! u( i系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0

+ z4 a2 Z+ {) \( L# Q5 \; `5 j/ |tengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz
( ?' S8 a0 L! Z; N1 I2 x
/ B) U" K) {# ?: O* k' vmodsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
0 O* E( b8 p% t. ?% }7 V: a
OWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs
. G  c3 r0 C5 L9 h6 W, [7 B% l' g; h
依赖关系：
  z+ o: g5 F3 a5 K& ~; Q& btengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：

6 |1 |$ r8 g# C8 H7 C, y. k( Gyum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
- F2 O. ]8 P' M6 s2 Amodsecurty依赖的包：pcre httpd-devel libxml2 apr

# }& g8 A. w. Gyum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
1 z$ g3 f( `4 ?二.启用standalone模块并编译
4 R. N5 `$ e! y# z* {0 Y% n- i
下载modsecurity for nginx 解压，进入解压后目录执行：

./autogen.sh
./configure --enable-standalone-module --disable-mlogc
: F* O+ w3 d% a8 o; w+ k; u2 e2 Jmake
8 [( }- J* a9 m4 c! \7 |8 M三.nginx添加modsecurity模块
  a- c( G! W. ]( l
在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：
! L- d$ l3 \3 S1 n
1 x! Z3 ?# |/ P3 b4 A./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
! U' o9 ?& A) V4 [make && make install
; o3 i/ I  |2 w. F四.添加规则

+ o: b0 q8 |( p+ b0 x1 L$ c0 m. Mmodsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。
0 U; a* w! b! d% M- S
( P' L7 j; x& y9 f. x) s( L' Y1.下载OWASP规则：
7 p) W. p6 H" d
( N+ v# s3 V6 \- N) cgit clone https://github.com/SpiderLabs/owasp-modsecurity-crs

5 [: V$ N3 }: a+ I9 X; L# hmv owasp-modsecurity-crs /opt/tengine/conf/

( m" s3 T9 ?8 \/ _: Qcd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
2.启用OWASP规则：
" a7 {. q! d% v: n9 R
复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。
7 ^3 P, X. i/ N& @
编辑modsecurity.conf 文件，将SecRuleEngine设置为 on

: h7 O" M& W$ S9 x2 C9 |owasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。

Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
  w2 f- R. d$ \* V; S7 B# c" ?6 qInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
; z5 I3 V, Z6 f( HInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
Include owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
五.配置nginx
. V2 a  D# H+ D
+ `2 X; S' ^* a, _& N" H: n$ L在需要启用modsecurity的主机的location下面加入下面两行即可：

ModSecurityEnabled on;  
8 v- Q$ x5 e' M) L9 [ModSecurityConfig modsecurity.conf;
下面是两个示例配置，php虚拟主机：

server {
7 G7 \. ?; P& U, N5 |9 B6 P4 B$ g2 Y# O      listen      80;
" q0 f3 X, ~- x) i      server_name 52os.net www.52os.net;
     
" d; u1 v8 Z) _4 L, p6 S      location ~ \.php$ {
      ModSecurityEnabled on;  
: _' c; m) u4 J2 p- V' v5 @8 a      ModSecurityConfig modsecurity.conf;

% x; @0 A8 X' m' P/ ]8 B; I      root /web/wordpress;
      index index.php index.html index.htm;
  
      fastcgi_pass   127.0.0.1:9000;
      fastcgi_index  index.php;
+ y/ w# [6 z/ W      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
      include        fastcgi_params;
6 L/ E3 Z5 ~7 }+ g1 `6 S      }
  }
4 ^0 `# k1 l% E: v! Z% K5 r6 _0 Dupstream负载均衡：
1 B! P1 ^. ]. x2 C- L& q+ F; s
8 z* ?! \3 W; kupstream 52os.net {
    server 192.168.1.100:8080;
& E! U& t- \8 ~0 {) I    server 192.168.1.101:8080 backup;
}

0 _$ Q( i4 k0 z( B3 A$ T9 v# oserver {
listen 80;
  f$ O; o2 _0 L* e9 d0 ]9 u' @; r& Kserver_name 52os.net www.52os.net;

0 [0 B- W" W8 q: c" j5 `+ plocation / {
6 _* S1 H: @* H' s  i/ m- I    ModSecurityEnabled on;  
# V, q" Y/ }! q$ S    ModSecurityConfig modsecurity.conf;  

/ _6 @# \8 e. A  l7 C, [8 V        proxy_pass http://online;
        proxy_redirect         off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
$ K  x5 s9 M7 x6 N  P}
. }( Q6 {0 [3 H. D  P7 O1 n5 y六.测试
/ o- M% y  x, z0 e. o& x
6 S! q# X! \8 G1 W# C" V- c9 m: [我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：

<?php
7 H5 C' B! }, }8 X    phpinfo();   
?>
" _& L+ ~' p6 r/ I0 u% A: F2 |: j. C在浏览器中访问：

http://www.52os.net/phpinfo.php?id=1 正常显示。
http://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
http://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
! K$ u2 h1 }  Z0 Y说明sql注入和xss已经被过滤了
' \) I1 C3 A4 e$ K# W
: X7 ^8 @9 F8 \5 f* g/ ^" U七、安装过程中排错
5 ]7 W9 h% S3 m8 a
8 l" b3 c$ S' `9 A  D* H1.缺少APXS会报错
- M/ Q3 p( n! z6 k8 t9 M. R
  ^( c- x% J3 \. _: r1 d4 r. {configure: looking for Apache module support via DSO through APXS
1 R4 C/ ~( |' lconfigure: error: couldn't find APXS
apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
& ^: T8 N8 e$ j5 }解决方法：

yum install httpd-devel
, ^, x3 Y* C6 h9 ?5 c* k! o: F* j2.没有pcre
# v2 t+ L3 I. {8 j1 B$ `
configure: *** pcre library not found.
4 g1 J' I6 H$ w( l2 N& U. ?! |configure: error: pcre library is required
8 p1 E* h! {/ J: K. G解决方法：
1 o5 k8 P8 d3 P+ Q8 v/ s' W) R
yum install pcre pcre-devel
" K, c( X8 V! R8 k5 X3.没有libxml2

7 G$ l* Q' P; K! k9 G
configure: *** xml library not found.
configure: error: libxml2 is required
: U6 x" Z3 W+ T- y7 X6 T" s解决方法：

yum install  libxml2 libxml2-devel
4.执行 /opt/tengine/sbin/nginx -m 时有警告

Tengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
/ V& d4 G. n3 g3 j9 }4 ~原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log

3 Q, A+ f$ J0 G5 ]2 h3 J6 _2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
( W$ O, d5 C* t* |) I) P' u" X2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
  r2 |- ]* n: c8 x/ s& E- C2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
解决方法，移除低版本的APR (1.3.9)
6 j, @6 |5 O3 m4 P
yum remove apr
1 A+ T2 ^# ]: a5.Error.log中有: Audit log: Failed to lock global mutex

1 Q) o& u$ c; ~+ x( @" G8 x3 {$ w5 Y2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
3 J1 ?# z! Z: c0 C解决方法：
编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：

* v0 o% V2 @" n2 cSecAuditLogDirMode 0777
7 |7 t) [" h+ |; l/ MSecAuditLogFileMode 0550
7 E+ f& c% Q% C8 q  ?+ C; |& P* r, kSecAuditLogStorageDir /var/log/modsecurity
SecAuditLogType Concurrent
, r5 W5 D' D3 y+ c2 ^! N- e, h参考文章：
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
http://drops.wooyun.org/tips/2614