nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。
1 I6 I: ^& y$ ?, |$ {, Z
" E1 z! v2 k( Z& M! s4 E4 |, \( C一.准备工作
5 o& \) `# e4 c1 Z; c8 t+ z  p
系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0
/ V% i7 r+ ^* h0 s5 Z- m7 Y6 i
+ E% \4 {" h9 N5 i! ^: etengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz

3 }; i( t6 S) g) emodsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
/ V% b- r6 Y/ f
OWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs

依赖关系：
tengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：
2 U: J' e) l7 Q5 z' q7 {" P
yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
modsecurty依赖的包：pcre httpd-devel libxml2 apr
+ A7 l6 D% |* Z3 R' C
yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
! {% C+ v0 t' V* c0 U+ a$ A: Q# j  Z二.启用standalone模块并编译

/ n+ W( j3 A8 K* x  R) q1 p下载modsecurity for nginx 解压，进入解压后目录执行：

./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
5 M! n; H0 M1 H: E$ i: v三.nginx添加modsecurity模块

在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：

./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
4 J- ]1 @0 m- v+ t' [$ Z' ~make && make install
" [7 V+ Q% p0 j$ d( g2 t四.添加规则
+ R' K0 \1 e8 S9 K8 r" \
modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。

1.下载OWASP规则：

git clone https://github.com/SpiderLabs/owasp-modsecurity-crs
8 z* L" Y1 Y8 s, K% J  k6 J6 p
mv owasp-modsecurity-crs /opt/tengine/conf/

cd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
% \4 X3 ~  r3 _, c/ }8 W2.启用OWASP规则：
. F0 c& S2 ~* q- p8 \; r3 h- }
复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。
! O, M; I) H% j7 o8 u/ R
2 s; e1 |" O, m: l9 {4 C编辑modsecurity.conf 文件，将SecRuleEngine设置为 on

owasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。
+ t, O' _3 R# _8 @+ C
Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
+ y& Z, m: J- X9 [5 l, Q1 r: u, ]- V; b* wInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
# M2 G1 L; p: @3 b8 SInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
+ d; Z0 {: o& h( ^Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
+ C* \- a3 X$ C$ O2 R, q" LInclude owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
五.配置nginx
  c! ~+ I5 a3 ?
在需要启用modsecurity的主机的location下面加入下面两行即可：

ModSecurityEnabled on;  
ModSecurityConfig modsecurity.conf;
/ L) I9 D. l1 v. d3 d下面是两个示例配置，php虚拟主机：
  x, \1 W2 \" Q$ Q2 W
server {
      listen      80;
2 G; H% J, I" e5 k' o      server_name 52os.net www.52os.net;
     
      location ~ \.php$ {
% a+ M/ s: o2 h" S- A      ModSecurityEnabled on;  
  Z' {- b9 V  _9 n2 V8 j      ModSecurityConfig modsecurity.conf;
4 J$ _/ c, g1 I1 d9 ?1 [! u% w; E
4 q- I  v3 Z* Z6 I      root /web/wordpress;
- }1 a* i1 h4 p4 P# I# |      index index.php index.html index.htm;
  
      fastcgi_pass   127.0.0.1:9000;
4 M( R; e) ^9 u; O      fastcgi_index  index.php;
8 C- `4 R3 s# Q* X" ^3 f      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
! _& R1 B4 E5 x" ~$ U- h      include        fastcgi_params;
% c) O" ?0 g$ x) P; E      }
$ Q$ k, W( Y, ^  }
upstream负载均衡：

2 m, G. [6 k8 D* N5 n3 xupstream 52os.net {
0 l- l9 L$ A$ X3 d5 r% _/ w+ M    server 192.168.1.100:8080;
    server 192.168.1.101:8080 backup;
( h- G+ [5 N( p7 c4 h}
( l2 `# E7 J7 T- b$ e7 X
6 q) ~$ ?, x+ U* B7 j. ?server {
; u7 y) r1 w0 k8 j0 |listen 80;
server_name 52os.net www.52os.net;

location / {
    ModSecurityEnabled on;  
    ModSecurityConfig modsecurity.conf;  

" G0 K' U* ^* y1 I        proxy_pass http://online;
) k1 ^- {* n; Q: w3 j( Y1 |5 e* T( {7 C        proxy_redirect         off;
        proxy_set_header Host $host;
, t2 i/ p. |: a- Q        proxy_set_header X-Real-IP $remote_addr;
* ]/ V' [% U' U* G, K7 ?        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
$ h- j4 T. m5 H3 d7 q! }) [5 j" c}
六.测试
4 V6 `$ ~; p! D% T* j
我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：

<?php
    phpinfo();   
8 ]; b7 ^. X# u5 ~5 Z) v?>
在浏览器中访问：

) y1 Z! E% J# hhttp://www.52os.net/phpinfo.php?id=1 正常显示。
http://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
  x! L/ b1 s+ h. \& L* Lhttp://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
说明sql注入和xss已经被过滤了
8 q" j2 g# _- {% R5 _3 G; V
七、安装过程中排错
8 x6 L$ U* _! A. @
1.缺少APXS会报错
+ x- ?: [! `; f- I3 k
configure: looking for Apache module support via DSO through APXS
9 I3 ^8 O/ f6 V) e# M% x# V9 s3 Mconfigure: error: couldn't find APXS
3 M$ m2 ^. n6 O  F: _% v/ [apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
) ^) d$ F% }8 s! v" i: k! d. ?解决方法：

yum install httpd-devel
2.没有pcre

3 N1 P" g* q! W7 uconfigure: *** pcre library not found.
configure: error: pcre library is required
解决方法：
* K# C% j1 V* s9 G& t! h( ?
yum install pcre pcre-devel
3.没有libxml2

2 ]( M2 D- w- B' ?5 c  G- t
2 J4 Z/ w4 I: g/ Pconfigure: *** xml library not found.
configure: error: libxml2 is required
解决方法：
+ Z& v9 E; c: n: [2 b2 @% o
& H: k+ G' Y4 V0 F$ k  Z1 Hyum install  libxml2 libxml2-devel
4.执行 /opt/tengine/sbin/nginx -m 时有警告

Tengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log

& n7 y7 d1 o. e3 ^# y8 g7 X% e  F2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
. C7 a3 j3 t' O- R4 u2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
. f4 P5 P. K: p& |7 S+ @2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
( ]+ P: G1 @  V0 b' Y9 R2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
, M. k1 q, U5 v" R( i2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
解决方法，移除低版本的APR (1.3.9)
; S, E8 p$ X" c* r; x# J/ W
- k; [, f# c& h! Z) Hyum remove apr
) D9 _  V: m) C3 j9 `2 u5.Error.log中有: Audit log: Failed to lock global mutex
3 C1 d6 r- E4 s) r) i6 u
2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
global mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
解决方法：
' `/ U6 Q1 I! T  p7 A; _. e7 Z编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
( j4 L2 }' D) ?. r. i: d3 K
. |& p. r& L- r( F# t# h* eSecAuditLogDirMode 0777
SecAuditLogFileMode 0550
SecAuditLogStorageDir /var/log/modsecurity
$ L- m! ~( Z. Z) b& A" x# SSecAuditLogType Concurrent
3 B8 H' U' i: d( `  H参考文章：
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
http://drops.wooyun.org/tips/2614