כיצד להתקין ולהגדיר את תצורת ModSecurity ב- Nginx

שרת אינטרנט Nginx משמש יותר מ 30% של אתר ברחבי העולם וצומח.


בהתחשב בעליה באיומי האינטרנט המקוונים, האתגר עבור מהנדס הרשת הוא להכיר היטב את הקשיחות ואבטחת Nginx.

nginx-נתח שוק

Nginx ידועה בביצועים שלה ושרת / פרוקסי קל משקל ומשמשת באתרים העמוסים ביותר.

  • Pinterest.com
  • Reddit.com
  • WordPress.com
  • Stackoverflow.com
  • Mail.ru

אם אתה מארח את יישומי האינטרנט שלך ב- Nginx ודואג לאבטחה, אחד הדברים הראשונים שתרצה ליישם הוא חומת אש של יישומי אינטרנט (WAF).

Mod Security הוא קוד פתוח WAF על ידי Trustwave SpiderLabs והועמד לזמין עבור Nginx בשנת 2012.

במדריך זה אסביר כיצד לעשות זאת הורד, להתקין ו להגדיר אבטחת mod עם Nginx.

ההפגנה הבאה מתבצעת ב- CentOS המתארח אצל DigitalOcean.

אם אתה חדש ב- Nginx, אני ממליץ לקחת את זה כמובן יסודי.

הורד את Nginx ו- ModSecurity

אתה יכול להוריד את ה- nginx ישירות בשרת שלך או במחשב המקומי שלך ואז להעביר אותו.

  • הורד את הגרסה האחרונה מקישור למטה

http://nginx.org/en/download.html

  • אם אתה מוריד ישירות לשרת אז תוכל להשתמש בווגט כמפורט להלן

ווגט http://nginx.org/download/nginx-1.9.15.tar.gz

  • חלץ אותם באמצעות פקודת gunzip

gunzip -c nginx-1.9.15.tar.gz | זפת xvf –

  • תראה את התיקיה החדשה שנוצרה

drwxr-xr-x 8 1001 1001 4096 19 אפריל 12:02 nginx-1.9.15

  • הורד את הגרסה האחרונה של Mod Security מהקישור למטה

https://www.modsecurity.org/download.html

  • אתה יכול להשתמש בפקודות שלהלן מהשרת ישירות

ווגט https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz
gunzip -c modsecurity-2.9.1.tar.gz | זפת xvf –

בואו נתקין אותם

התקן את Nginx עם Mod Security

חשוב לקמפל Nginx וקוד מקור אבטחה למוד.

  • היכנס לשרת וודא שיש לך הרשאת שורש.

פתק: אם אתה עושה בשרת חדש לגמרי ייתכן שיהיה עליך להתקין את הספריות הבאות.

יאם להתקין gcc להפוך automake autoconf libtool pcre pcre-devel libxml2 libxml2-devel תלתל curl-devel httpd-devel

ראשון, בואו נאסוף אבטחת מצב. לך ל modsecurity-2.9.1 תיקיה והשתמש בפקודות שלהלן.

./ config – אפשרות לבניית מודול עצמאי
עשה

הבא, התקן Nginx עם אבטחת mod

./ config – – add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
עשה
לבצע התקנה

זה מסכם ש- Nginx מותקן באמצעות Mod Security והגיע הזמן להגדיר אותה.

הגדר תצורת אבטחה עם Nginx

עותק modsecurity.conf-מומלץ & unicode.mapping קובץ מתיקייה שחולצה של קוד המקור של ModSecurity שהורדת למעלה לתיקיית conf-nginx. אתה יכול גם להשתמש בפקודת החיפוש.

מצא / שם את modsecurity.conf-מומלץ
מצא / שם את unicode.mapping
[[מוגן בדוא”ל] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/modsecurity.conf- מומלץ / usr / local / nginx / conf /
[[מוגן בדוא”ל] conf] # cp /opt/nginx/binary/modsecurity-2.9.1/ unicode.mapping / usr / local / nginx / conf /
[[מוגן בדוא”ל] conf] #

בואו לשנות את שמו modsecurity.conf-מומלץ ל modsecurity.conf

mv modsecurity.conf-מומלץ modsecurity.conf

  • קח גיבוי של קובץ nginx.conf
  • פתח את הקובץ nginx.conf והוסף הבא תחת “מיקום /” הנחיה

ModSecurityEnabled בתאריך;
ModSecurityConfig modsecurity.conf;

אז זה אמור להיראות כך

מקום / {
ModSecurityEnabled בתאריך;
ModSecurityConfig modsecurity.conf;
}

כעת, Mod Security משולב ב- Nginx. הפעל מחדש את ה- Nginx כדי להבטיח שהוא יופיע ללא שגיאה.

בואו נאמת …

ישנן שתי שיטות אפשריות לאשר ש- Nginx מורכב עם Mod Security.

ראשון…

רשמו את המודול הידור באמצעות –V עם קובץ הפעלה nginx.

[[מוגן בדוא”ל] sbin] # ./ nginx -V
גרסת nginx: nginx / 1.9.15
נבנה על ידי gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC)
הגדרת טיעונים: – add-module = .. / modsecurity-2.9.1 / nginx / modsecurity
[[מוגן בדוא”ל] sbin] #

שני …

עבור אל תיקיית יומני והצג את קובץ השגיאה, אתה אמור לראות את הדברים הבאים

2016/05/21 21:54:51 [הודעה] 25352 # 0: ModSecurity עבור nginx (STABLE) /2.9.1 (http://www.modsecurity.org/) הוגדר.
2016/05/21 21:54:51 [הודעה] 25352 # 0: ModSecurity: APR גרסה מורכבת ="1.3.9"; גרסה טעונה ="1.3.9"
2016/05/21 21:54:51 [הודעה] 25352 # 0: ModSecurity: גרסת PCRE מורכבת ="7.8 "; גרסה טעונה ="7.8 2008-09-05"
2016/05/21 21:54:51 [הודעה] 25352 # 0: ModSecurity: LIBXML גרסה מורכבת ="2.7.6"

זה מסכם שהגדרת בהצלחה את ModSecurity עם Nginx.

כברירת מחדל, התצורה במצב גילוי בלבד, פירוש הדבר שהיא לא תבצע שום פעולה ותגן על יישומי האינטרנט שלך.

במאמר הבא שלי הסברתי כיצד לקבוע את התצורה של מערך הכללים של OWASP ולאפשר אבטחת Mod להגנה מפני פגיעויות באבטחה באינטרנט..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map