技术教程 · 2020年2月18日 0

在CentOS 8上使用Nginx安装LibModsecurity Web应用程序防火墙

LibModSecurity是一个免费的开放源代码Web应用程序防火墙,可用于保护Nginx服务器免受各种类型的网络攻击。它带有一个核心规则集,包括SQL注入,跨站点脚本,木马等。它通过OWASP ModSecurity Core规则集实时监视HTTP流量并与漏洞进行斗争来工作。它可以与Apache,Nginx和IIS一起使用,并且还与Debian,Ubuntu和CentOS兼容。

在本教程中,我们将向您展示如何在CentOS 8上下载和编译具有Nginx支持的LibModSecurity。

要求

  • 运行CentOS的服务器8。
  • 在服务器上配置了root密码。

入门

在开始之前,请使用以下命令将服务器更新为最新版本:
dnf update
服务器更新后,请重新启动以应用更改。

安装所需的存储库和依赖项

首先,在系统上安装EPEL和REMI存储库。您可以使用以下命令安装它们:
dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
dnf install https://rpms.remirepo.net/enterprise/remi-release-8.rpm

接下来,使用以下命令安装所有必需的依赖项:
dnf install gcc-c++ flex bison yajl curl-devel zlib-devel pcre-devel autoconf automake git curl make libxml2-devel pkgconfig libtool httpd-devel redhat-rpm-config wget openssl openssl-devel nano
一旦安装了所有软件包,就可以使用PowerTool存储库安装其他依赖项:
dnf --enablerepo=PowerTools install doxygen yajl-devel
接下来,通过运行以下命令,使用REMI存储库安装GeoIP:
dnf --enablerepo=remi install GeoIP-devel
一旦安装了所有软件包,就可以继续进行下一步。

下载并编译LibModsecurity

首先,您将需要下载LibModsecurity源并将其在您的系统上编译。为此,将目录更改为/ opt并从Git存储库下载最新版本的LibModsecurity:
cd /opt/
git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity

接下来,将目录更改为ModSecurity并使用以下命令下载libInjection代码:
cd ModSecurity
git submodule init
git submodule update

接下来,使用以下命令配置LibModsecurity:
./build.sh
./configure

最后,使用以下命令编译并安装LibModSecurity:
make
make install

至此,您的系统上已经安装了LibModsecurity。现在,您可以继续安装具有LibModsecurity支持的Nginx。

下载并编译具有LibModsecurity支持的Nginx

首先,您需要为Nginx创建一个系统用户和组。您可以使用以下命令创建它:
useradd -r -M -s /sbin/nologin -d /usr/local/nginx nginx
接下来,您将需要下载Nginx并使用LibModsecurity支持对其进行编译。

为此,请首先使用以下命令从Git存储库下载ModSecurity-nginx连接器:
cd /opt
git clone https://github.com/SpiderLabs/ModSecurity-nginx.git

接下来,使用以下命令下载最新的Nginx稳定版本:
wget http://nginx.org/download/nginx-1.17.6.tar.gz
下载后,使用以下命令解压缩下载的文件:
tar -xvzf nginx-1.17.6.tar.gz
接下来,更改Nginx目录,并使用以下命令对其进行配置:
cd nginx-1.17.6
./configure --user=nginx --group=nginx --with-pcre-jit --with-debug --with-http_ssl_module --with-http_realip_module --add-module=/opt/ModSecurity-nginx

接下来,使用以下命令安装Nginx:
make
make install

至此,已经为Nginx安装了LibModsecurity支持。现在,您可以继续配置Nginx。

将Nginx与ModSecurity配置

首先,您需要将示例ModSecurity配置文件从Nginx源目录复制到Nginx配置目录。

您可以使用以下命令复制它们:
cp /opt/ModSecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /opt/ModSecurity/unicode.mapping /usr/local/nginx/conf/

接下来,使用以下命令创建Nginx二进制文件到/ usr / sbin /路径的符号链接:
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/
接下来,使用以下命令创建Nginx日志目录:
mkdir /var/log/nginx
接下来,使用以下命令打开Nginx配置文件:
nano /usr/local/nginx/conf/nginx.conf
进行以下更改:
user nginx;
worker_processes 1;
pid /run/nginx.pid;
events {
worker_connections 1024;
}

http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
server {
listen 80;
server_name your-server-ip;
modsecurity on;
modsecurity_rules_file /usr/local/nginx/conf/modsecurity.conf;
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
location / {
root html;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
}
完成后保存并关闭文件。然后,使用以下命令检查Nginx是否存在语法错误:
nginx -t
您应该看到以下输出:
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
至此,已经配置了Nginx。您可以继续为Nginx创建systemd服务文件。

为Nginx创建系统服务文件

接下来,您将需要创建一个systemd文件来管理Nginx服务。您可以使用以下命令创建它:
nano /etc/systemd/system/nginx.service
添加以下行:
[Unit]
Description=The nginx server
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
PIDFile=/run/nginx.pid
ExecStartPre=/usr/bin/rm -f /run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t
ExecStart=/usr/sbin/nginx
ExecReload=/bin/kill -s HUP $MAINPID
KillSignal=SIGQUIT
TimeoutStopSec=5
KillMode=mixed
PrivateTmp=true

[Install]
WantedBy=multi-user.target
完成后保存并关闭文件。然后,使用以下命令重新加载systemd守护程序:
systemctl daemon-reload
接下来,启动Nginx服务,并使用以下命令使其在系统重启后启动:
systemctl start nginx
systemctl enable --now nginx

您应该看到以下输出:
Created symlink /etc/systemd/system/multi-user.target.wants/nginx.service → /etc/systemd/system/nginx.service.
接下来,使用以下命令验证Nginx服务:
systemctl status nginx
您应该看到以下输出:
? nginx.service – The nginx HTTP and reverse proxy server
Loaded: loaded (/etc/systemd/system/nginx.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2019-12-30 10:20:01 EST; 41s ago
Process: 17730 ExecStart=/usr/sbin/nginx (code=exited, status=0/SUCCESS)
Process: 17728 ExecStartPre=/usr/sbin/nginx -t (code=exited, status=0/SUCCESS)
Process: 17727 ExecStartPre=/usr/bin/rm -f /run/nginx.pid (code=exited, status=0/SUCCESS)
Main PID: 17732 (nginx)
Tasks: 2 (limit: 6102)
Memory: 5.0M
CGroup: /system.slice/nginx.service
??17732 nginx: master process /usr/sbin/nginx
??17733 nginx: worker process

Dec 30 10:20:00 nginx systemd[1]: Starting The nginx HTTP and reverse proxy server…
Dec 30 10:20:00 nginx nginx[17728]: nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
Dec 30 10:20:00 nginx nginx[17728]: nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
Dec 30 10:20:01 nginx systemd[1]: nginx.service: Failed to parse PID from file /run/nginx.pid: Invalid argument
Dec 30 10:20:01 nginx systemd[1]: Started The nginx HTTP and reverse proxy server.
至此,Nginx已经启动并运行。现在,您可以继续配置ModSecurity。

配置模式安全性

默认情况下,ModSecurity设置为仅检测模式。因此,您将需要打开ModSecurity规则引擎。您可以通过编辑文件modsecurity.conf来实现:
nano /usr/local/nginx/conf/modsecurity.conf
找到以下行:
仅SecRuleEngine检测

并且,将其替换为以下行:
SecRuleEngine On
还找到以下行:
/var/log/modsec_audit.log
并且,将其替换为以下行:
/var/log/nginx/modsec_audit.log
完成后保存并关闭文件。

接下来,使用以下命令从Git存储库下载最新版本的ModSecurity Core规则集:
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git /usr/local/nginx/conf/owasp-crs
下载完成后,使用以下命令重命名CRS示例配置文件:
mv /usr/local/nginx/conf/owasp-crs/crs-setup.conf.example /usr/local/nginx/conf/owasp-crs/crs-setup.conf
接下来,通过编辑文件/usr/local/nginx/conf/modsecurity.conf,将ModeSecurity配置为使用这些规则:
nano /usr/local/nginx/conf/modsecurity.conf
在文件末尾添加以下行:
Include owasp-crs/crs-setup.conf
Include owasp-crs/rules/*.conf
完成后保存并关闭文件。然后,重新启动Nginx服务以实现更改:
systemctl restart nginx

测试ModSecurity

现在已安装和配置ModSecurity。现在该测试它是否正常工作了。

要针对命令注入测试ModSecurity,请打开Web浏览器,然后输入URL http://localhost/index.html?exec = / bin / bash。您应该在以下页面中看到403 Forbidden错误:

测试ModSecurity

要测试针对CSS攻击的ModSecurity,请打开您的终端并运行以下命令:
curl http://localhost/?q="><script>alert(1)</script>"
您应该获得以下输出:
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.17.6</center>
</body>
</html>

结论

恭喜你!您已经使用Nginx成功下载并编译了LibModSecurity。现在可以保护您的服务器免受各种攻击。

原文地址:https://www.howtoforge.com/install-and-configure-libmodsecurity-with-nginx-on-centos-8/