كيفية تثبيت ModSecurity لـ Nginx على CentOS 7 و Debian 8 و Ubuntu 16.04

• المتطلبات الأساسية
• الخطوة 1: تحديث النظام
• الخطوة 2: تثبيت التبعيات
• الخطوة 3: تجميع ModSecurity
• الخطوة 4: تجميع Nginx
• الخطوة 4: تكوين ModSecurity و Nginx
• الخطوة 5: اختبار ModSecurity

ModSecurity عبارة عن وحدة جدار حماية لتطبيقات الويب مفتوحة المصدر (WAF) رائعة لحماية Apache و Nginx و IIS من مختلف الهجمات السيبرانية التي تستهدف نقاط الضعف المحتملة في مختلف تطبيقات الويب

في هذه المقالة ، سنقوم بتثبيت وتكوين ModSecurity لـ Nginx على CentOS 7 و Debian 8 و Ubuntu 16.04.

المتطلبات الأساسية

• ل يصل إلى تاريخ تركيب سينت أو إس 7، 8 ديبيان أو أوبونتو 16.04 64 بت.
• تسجيل الدخول باسم root.

الخطوة 1: تحديث النظام

باتباع هذا الدليل ، قم بتحديث Kernel وحزم الخادم الخاص بك إلى أحدث إصدار متوفر.

الخطوة 2: تثبيت التبعيات

قبل أن تتمكن من تجميع Nginx و ModSecurity بنجاح ، تحتاج إلى تثبيت العديد من حزم البرامج على النحو التالي.

أ) في CentOS 7:

yum groupinstall -y "Development Tools"
yum install -y httpd httpd-devel pcre pcre-devel libxml2 libxml2-devel curl curl-devel openssl openssl-devel
shutdown -r now

ب) في دبيان 8 أو أوبونتو 16.04:

apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf

الخطوة 3: تجميع ModSecurity

نظرًا للعديد من حالات عدم الاستقرار التي تم الإبلاغ عنها في ModSecurity لفرع Nginx الرئيسي ، في الوقت الحالي ، يوصى رسميًا باستخدام أحدث إصدار من nginx_refactoringالفرع كلما أمكن ذلك.

تنزيل nginx_refactoringفرع ModSecurity لـ Nginx:

cd /usr/src
git clone -b nginx_refactoring https://github.com/SpiderLabs/ModSecurity.git

ترجمة ModSecurity:

أ) في CentOS 7:

cd ModSecurity
sed -i '/AC_PROG_CC/a\AM_PROG_CC_C_O' configure.ac
sed -i '1 i\AUTOMAKE_OPTIONS = subdir-objects' Makefile.am
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make

ملاحظة: sedيتم استخدام الأمرين أعلاه لمنع رسائل التحذير عند استخدام إصدارات automake الأحدث.

ب) في دبيان 8 أو أوبونتو 16.04:

cd ModSecurity
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make

الخطوة 4: تجميع Nginx

قم بتنزيل وإلغاء أرشفة أحدث إصدار ثابت من Nginx Nginx 1.10.3في وقت كتابة هذا التقرير:

cd /usr/src
wget https://nginx.org/download/nginx-1.10.3.tar.gz
tar -zxvf nginx-1.10.3.tar.gz && rm -f nginx-1.10.3.tar.gz

أ) في CentOS 7:

أولاً ، تحتاج إلى إنشاء مستخدم nginxمخصص ومجموعة مخصصة nginxلـ Nginx:

groupadd -r nginx
useradd -r -g nginx -s /sbin/nologin -M nginx

ثم قم بتجميع Nginx أثناء تمكين وحدات ModSecurity و SSL:

cd nginx-1.10.3/
./configure --user=nginx --group=nginx --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install

تعديل المستخدم الافتراضي لـ Nginx:

sed -i "s/#user  nobody;/user nginx nginx;/" /usr/local/nginx/conf/nginx.conf

ب) في دبيان 8 أو أوبونتو 16.04:

أولاً ، يجب عليك استخدام المستخدم www-dataالحالي والمجموعة الموجودة www-data.

ثم قم بتجميع Nginx أثناء تمكين وحدات ModSecurity و SSL:

cd nginx-1.10.3/
./configure --user=www-data --group=www-data --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install

تعديل المستخدم الافتراضي لـ Nginx:

sed -i "s/#user  nobody;/user www-data www-data;/" /usr/local/nginx/conf/nginx.conf

بعد تثبيت Nginx بنجاح ، ستكون الملفات ذات الصلة موجودة في:

nginx path prefix: "/usr/local/nginx"
nginx binary file: "/usr/local/nginx/sbin/nginx"
nginx modules path: "/usr/local/nginx/modules"
nginx configuration prefix: "/usr/local/nginx/conf"
nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
nginx pid file: "/usr/local/nginx/logs/nginx.pid"
nginx error log file: "/usr/local/nginx/logs/error.log"
nginx http access log file: "/usr/local/nginx/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"

يمكنك اختبار التثبيت باستخدام:

/usr/local/nginx/sbin/nginx -t

إذا لم يحدث أي خطأ ، يجب أن يكون الناتج:

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

لراحتك ، يمكنك إعداد ملف وحدة systemd لـ Nginx:

cat <<EOF>> /lib/systemd/system/nginx.service
[Service]
Type=forking
ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
KillStop=/usr/local/nginx/sbin/nginx -s stop

KillMode=process
Restart=on-failure
RestartSec=42s

PrivateTmp=true
LimitNOFILE=200000

[Install]
WantedBy=multi-user.target
EOF

للمضي قدمًا ، يمكنك بدء / إيقاف / إعادة تشغيل Nginx على النحو التالي:

systemctl start nginx.service
systemctl stop nginx.service
systemctl restart nginx.service

الخطوة 4: تكوين ModSecurity و Nginx

4.1 تكوين Nginx:

vi /usr/local/nginx/conf/nginx.conf

ابحث عن المقطع التالي ضمن http {}المقطع:

location / {
    root   html;
    index  index.html index.htm;
}

أدخل الأسطر أدناه في location / {}المقطع:

ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;

يجب أن تكون النتيجة النهائية:

location / {
    ModSecurityEnabled on;
    ModSecurityConfig modsec_includes.conf;
    #proxy_pass http://localhost:8011;
    #proxy_read_timeout 180s;
    root   html;
    index  index.html index.htm;
}

احفظ واخرج:

:wq!

ملاحظة: إن تكوين Nginx أعلاه هو مجرد نموذج للتكوين لاستخدام Nginx كخادم ويب بدلاً من وكيل عكسي. إذا كنت تستخدم Nginx كخادم وكيل عكسي ، فقم بإزالة #الحرف في آخر سطرين وقم بإجراء التعديلات المناسبة لهما.

4.2 إنشاء ملف باسم /usr/local/nginx/conf/modsec_includes.conf:

cat <<EOF>> /usr/local/nginx/conf/modsec_includes.conf
include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/*.conf
EOF

ملاحظة: سيطبق التكوين أعلاه جميع قواعد OWASP ModSecurity الأساسية في owasp-modsecurity-crs/rules/الدليل. إذا كنت تريد تطبيق القواعد الانتقائية فقط ، يجب عليك إزالة include owasp-modsecurity-crs/rules/*.confالسطر ، ثم تحديد القواعد الدقيقة التي تحتاجها بعد الخطوة 4.5.

4.3 استيراد ملفات تكوين ModSecurity:

cp /usr/src/ModSecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/ModSecurity/unicode.mapping /usr/local/nginx/conf/

4.4 تعديل /usr/local/nginx/conf/modsecurity.confالملف:

sed -i "s/SecRuleEngine DetectionOnly/SecRuleEngine On/" /usr/local/nginx/conf/modsecurity.conf

4.5 إضافة ملفات OWASP ModSecurity CRS (مجموعة القواعد الأساسية):

cd /usr/local/nginx/conf
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd owasp-modsecurity-crs
mv crs-setup.conf.example crs-setup.conf
cd rules
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

الخطوة 5: اختبار ModSecurity

ابدأ Nginx:

systemctl start nginx.service

افتح المنفذ 80 للسماح بالوصول الخارجي:

أ) في CentOS 7:

firewall-cmd --zone=public --permanent --add-service=http
firewall-cmd --reload

ب) في دبيان 8:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
touch /etc/iptables
iptables-save > /etc/iptables

ج) في أوبونتو 16.04:

ufw allow OpenSSH
ufw allow 80
ufw default deny
ufw enable    

قم بتوجيه متصفح الويب الخاص بك إلى:

http://203.0.113.1/?param="><script>alert(1);</script>

استخدام grepلجلب رسائل الخطأ كما يلي:

grep error /usr/local/nginx/logs/error.log

يجب أن يتضمن الإخراج العديد من رسائل الخطأ التي تشبه:

2017/02/15 14:07:54 [error] 10776#0: [client 104.20.23.240] ModSecurity: Warning. detected XSS using libinjection. [file "/usr/local/nginx/conf/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "56"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data:  found within ARGS:param: \x22><script>alert(1);</script>"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"] [hostname ""] [uri "/index.html"] [unique_id "ATAcAcAkucAchGAcPLAcAcAY"]

هذا هو. كما ترى ، قامت وحدة ModSecurity بنجاح بتسجيل هذا الهجوم وفقًا لسياسة الإجراء الافتراضية الخاصة بها. إذا كنت ترغب في تقديم المزيد من الإعدادات المخصصة، يرجى مراجعة وتحرير /usr/local/nginx/conf/modsecurity.confو /usr/local/nginx/conf/owasp-modsecurity-crs/crs-setup.confالملفات.