本文主要介绍ModSecurity v3.0.x在CentOS+Nginx环境下的安装、WAF规则文件配置、以及防御效果的验证,因此对于Nginx仅进行简单化安装。
请注意,个人目前并不建议在Nginx上使用ModSecurity v3.*的版本,原因如下:
1、ModSecurity v2版本中的部分指令在ModSecurity v3版本中目前并不支持;
2、相较于ModSecurity v2,ModSecurity v3会导致Nginx的并发性能大幅下降,详细数据可参见CentOS下对安装不同ModSecurity版本的Nginx的并发性能测试结果。
最新结论(20220114):请使用ModSecurity V3版本与Nginx配合使用,勿在Nginx使用ModSecurity V2版本,虽然V3版本有上述问题,但V2版本与Nginx存在兼容问题,且目前官方团队明确表示不会进行修复。
服务器操作系统:CentOS-7-x86_64-DVD-1810.iso;
一、安装相关依赖工具
yum install -y git wget epel-release yum install -y gcc-c++ flex bison yajl yajl-devel curl-devel curl GeoIP-devel doxygen zlib-devel pcre-devel pcre2-devel lmdb-devel libxml2-devel ssdeep-devel lua-devel libtool autoconf automake
二、安装Modsecurity
cd /usr/local #git clone https://github.com/SpiderLabs/ModSecurity #cd ModSecurity #git checkout -b v3/master origin/v3/master #git submodule init #git submodule update #sh build.sh #./configure #make #make install #2024年4月7日更新,由于直接git clone高版本会在make时出现错误,因此改为直接下载tar包进行安装 wget --no-check-certificate https://github.com/owasp-modsecurity/ModSecurity/releases/download/v3.0.12/modsecurity-v3.0.12.tar.gz tar -zxvf modsecurity-v3.0.12.tar.gz cd /usr/local/modsecurity-v3.0.12 ./configure make -j4 make install
三、安装nginx与ModSecurity-nginx
cd /usr/local git clone https://github.com/SpiderLabs/ModSecurity-nginx wget http://nginx.org/download/nginx-1.16.1.tar.gz tar -xvzf nginx-1.16.1.tar.gz cd /usr/local/nginx-1.16.1 ./configure --add-module=/usr/local/ModSecurity-nginx make make install
四、测试效果
启动nginx
/usr/local/nginx/sbin/nginx
模拟攻击,测试未启动ModSecurity时的访问效果,访问URL为:http://服务器IP/?param=%22%3E%3Cscript%3Ealert(1);%3C/script%3E
效果如下:
五、最后配置:
创建用于存在配置文件的文件夹
mkdir /usr/local/nginx/conf/modsecurity
将modsecurity安装包中的modsecurity.conf-recommended复制到/usr/local/nginx/conf/modsecurity,并重命名为modsecurity.conf;
将modsecurity安装包中的unicode.mapping复制到/usr/local/nginx/conf/modsecurity;
下载规则文件压缩包,解压后复制crs-setup.conf.example到/usr/local/nginx/conf/modsecurity/下并重命名为crs-setup.conf;
复制rules文件夹到/usr/local/nginx/conf/modsecurity/下,同时修改REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example与RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example两个文件的文件名,将".example"删除,可将自己写的规则放置于此两个文件中;
编辑nginx.conf
在http或server节点中添加以下内容(在http节点添加表示全局配置,在server节点添加表示为指定网站配置):
modsecurity on; modsecurity_rules_file /usr/local/nginx/conf/modsecurity/modsecurity.conf;
编辑modsecurity.conf
SecRuleEngine DetectionOnly改为SecRuleEngine On
同时添加以下内容:
Include /usr/local/nginx/conf/modsecurity/crs-setup.conf Include /usr/local/nginx/conf/modsecurity/rules/*.conf
六、重新加载Nginx测试效果
/usr/local/nginx/sbin/nginx -s reload
七、其他补充
如果要确保ModSecurity v3.0.3在记录审计日志时保存请求体,SecAuditLogParts需要添加配置C,而不是IJ,否则审计日志将无法记录请求体
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
