nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。
9 z* f! x, C3 \/ r
一.准备工作

1 }# C2 K0 w" D: H, g, q; a系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0
1 [. i; S+ r" E4 `
tengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz
# ~! s" x7 \& ^) R: b" ~+ I
  _! m& T) u( J0 H& Dmodsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz
/ f) m( R: g( @  Q4 z, ]; _+ S8 d
( O2 g4 _' V% C. `; l5 dOWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs
6 f% S7 P5 |+ B8 L
* n1 h+ x0 K8 z" n, N依赖关系：
tengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：
1 f+ K; s- {" I& ?5 I) |
yum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
modsecurty依赖的包：pcre httpd-devel libxml2 apr

yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
二.启用standalone模块并编译
. c3 k% v3 U2 F2 s1 }9 ^
下载modsecurity for nginx 解压，进入解压后目录执行：
) I/ L1 W3 L  P; Q1 F4 m( N
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
* M6 Q# T7 j4 ?+ G  _三.nginx添加modsecurity模块

0 E* e+ i( S  l( `- o在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：
/ r' J* K6 D4 w) a1 k! M
- L; _* p1 N; E4 F4 ~./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
make && make install
" E! B: W, q1 b* ?2 g" c四.添加规则
1 e0 i* S, }/ g5 c9 Q: x% L% z! |
modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。
1 J" A! a' d; q! W- {, M/ _+ n  ~) W
1.下载OWASP规则：

3 E' Y0 Y! A/ bgit clone https://github.com/SpiderLabs/owasp-modsecurity-crs
2 K, D2 P6 j- q+ T
. J  ~9 L8 V3 d0 h+ }2 L5 R3 y% f5 Zmv owasp-modsecurity-crs /opt/tengine/conf/
0 t5 f1 _8 J" t& g
2 U+ G( U+ H; Y( Scd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
2.启用OWASP规则：
# b& E) F; |6 H, l$ x( l8 h- ^
$ n, _5 t/ e4 e1 n复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。

. K" Y' I) k1 U9 n% h. g编辑modsecurity.conf 文件，将SecRuleEngine设置为 on

' p  ]$ H& I* |- `7 F7 D; s( ?3 bowasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。

Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
; l9 v( Y5 w/ q+ q% s, {Include owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
9 S/ f  i7 ?' X1 D. d$ v! r/ gInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
0 @- E8 Y9 \! f* `& \) i- |Include owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
五.配置nginx
( X" j& u$ n- A$ `
; R( o3 _/ }1 z' k5 v' Z在需要启用modsecurity的主机的location下面加入下面两行即可：
* j2 Z+ ~8 `7 m" B! J
ModSecurityEnabled on;  
# g" }. h6 d+ M/ @1 RModSecurityConfig modsecurity.conf;
* H, j" a8 f3 K下面是两个示例配置，php虚拟主机：

server {
      listen      80;
      server_name 52os.net www.52os.net;
     
      location ~ \.php$ {
      ModSecurityEnabled on;  
. D1 g3 {: h* L% S      ModSecurityConfig modsecurity.conf;

      root /web/wordpress;
7 }. O" j8 B( A; T1 l9 ~7 O* {' \0 k      index index.php index.html index.htm;
  
- M& M. X# Q/ f8 G& W1 m8 v2 L      fastcgi_pass   127.0.0.1:9000;
      fastcgi_index  index.php;
* W# b/ F; r2 r& ^4 T+ `      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
* g/ X8 T  e7 b. X      include        fastcgi_params;
      }
  }
upstream负载均衡：
/ t4 W. c+ X4 {* Z
! C% t5 M: U3 `- Jupstream 52os.net {
    server 192.168.1.100:8080;
' P; \( R0 v# l    server 192.168.1.101:8080 backup;
' f0 [) d  A2 e3 s# p/ {; t$ [}
" M( p/ U9 X7 ^9 c
server {
( L/ j. l0 ]# ulisten 80;
server_name 52os.net www.52os.net;
( t) }5 E( j0 f
& U1 s) l  L1 T6 s8 Flocation / {
3 @1 }# l" p: e' Z% I    ModSecurityEnabled on;  
3 u* \, W: Y( p8 r    ModSecurityConfig modsecurity.conf;  

5 k" K# U: ^6 n) Y        proxy_pass http://online;
        proxy_redirect         off;
! _/ T& x$ I) d; D0 j: z        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
4 r$ y. |4 i- |; Q" E1 y}
- j! u) R/ f; X* p2 h! Y3 D六.测试

( `( W* w6 F2 S' @+ G8 T我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：
8 r# v" V3 f5 `; @+ ]$ T/ w+ @
<?php
    phpinfo();   
?>
  h4 G! D6 @7 P9 U9 D* [/ b在浏览器中访问：

http://www.52os.net/phpinfo.php?id=1 正常显示。
7 J: u6 L% Z% t: y8 vhttp://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
http://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
& Q1 _+ [6 Y, \说明sql注入和xss已经被过滤了
8 H( P# L: g; N
' g6 e+ |4 Z8 s( a# B- U) w2 p七、安装过程中排错
! }8 c0 P' ~0 i3 F$ ~
* W+ _+ Y" _$ I; P+ D# m/ I2 Q" s1.缺少APXS会报错

configure: looking for Apache module support via DSO through APXS
configure: error: couldn't find APXS
* ?( x, m  i; |0 U) z5 Iapxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
解决方法：

yum install httpd-devel
2.没有pcre

configure: *** pcre library not found.
+ c* U+ t6 |  Y% \& Wconfigure: error: pcre library is required
解决方法：

yum install pcre pcre-devel
3.没有libxml2
: B- m0 m3 i) C8 y# e9 ?" B$ `

configure: *** xml library not found.
configure: error: libxml2 is required
解决方法：

yum install  libxml2 libxml2-devel
  O+ D9 g/ Y) G; ?% c4.执行 /opt/tengine/sbin/nginx -m 时有警告
  r$ |7 V3 F2 h  m; ]' X- T. [! w
Tengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
, |  g$ ?' V: y9 a! X- K$ {/ e原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log
. T2 x/ n( C5 b# g; }, w( B
! p. p" |0 \, @% @/ A2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
& w4 W( w0 u! u8 m! h# G" S2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
$ }5 U) I, A" o. @0 g5 Q2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
3 j( N5 b" }" z. l解决方法，移除低版本的APR (1.3.9)

$ ?- g+ q0 @: |' }! }yum remove apr
5.Error.log中有: Audit log: Failed to lock global mutex
* E/ o" G3 \5 L7 F
2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
* O& P4 f/ ]7 \- \4 hglobal mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
解决方法：
8 f# W+ W  _3 }! T$ P* A( `编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
% l' \* Y2 y9 u( h, g  `# {5 n
6 w+ A2 }8 j5 X& q  {# Z% oSecAuditLogDirMode 0777
7 s1 ?* B/ |; L, Q. V6 nSecAuditLogFileMode 0550
; z% T9 M; t9 x: OSecAuditLogStorageDir /var/log/modsecurity
SecAuditLogType Concurrent
# h; O; N2 n1 z7 H$ y0 J3 d参考文章：
2 O( d5 S/ o2 U2 i4 mhttps://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
& u# l& m4 v* Chttp://drops.wooyun.org/tips/2614