Configure NGINX con ModSecurity en CentOS 6

• Paso 1: instalación de los requisitos previos
• Paso 2: Configuración de ModSecurity / NGINX
• Paso 3: Inicio de PHP-FPM y NGINX

En este artículo, explicaré cómo construir una pila LEMP protegida por ModSecurity. ModSecurity es un firewall de aplicación web de código abierto que es útil para proteger contra inyecciones, ataques PHP y más. Si desea configurar NGINX con ModSecurity, continúe leyendo.

Todos los pasos de este artículo requieren acceso de root.

Paso 1: instalación de los requisitos previos

Si aún no se está ejecutando como usuario root, escale usted mismo:

/bin/su

Necesitamos un compilador, así que ejecute lo siguiente para asegurarse:

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools' 

Para instalar NGINX, primero debemos obtener el paquete. Descargue el paquete:

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

También necesitaremos el paquete PHP para nuestra pila.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

Como estamos instalando ModSecurity, tomaremos la fuente y la descargaremos:

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

Ahora, descomprima / descomprima los archivos.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz   

Luego, instalaremos ModSecurity.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

Ahora que hemos obtenido todos los requisitos previos, instalemos NGINX. El siguiente conjunto de comandos son para la instalación de NGINX y ModSecurity.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

Ahora, instalemos el servidor MySQL.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

Para el mysql_secure_installationcomando:

• Presiona enter en el primer paso del asistente de instalación.
• Escriba Y cuando se le solicite si se debe establecer una nueva contraseña de root de MySQL.
• Escriba una nueva contraseña, confirme escribiéndola nuevamente.
• Presione Y para eliminar usuarios anónimos, no permita el acceso raíz remoto a MySQL presionando Y nuevamente.
• Presione Y por última vez para eliminar la base de datos / usuario de prueba.
• Por último, presione Y para guardar sus cambios.

Una última cosa para instalar, y eso es PHP. En este artículo, instalaremos PHP desde la fuente.

Ingrese el directorio de origen para PHP.

cd /usr/src/php-5.6.16

Ahora, configura PHP. Los siguientes argumentos en el ./configurecomando están ahí para que pueda ejecutar aplicaciones como WordPress.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

Instale PHP-FPM para NGINX:

yum install -y php-fpm

Necesitamos instalar PHP-FPM sobre PHP porque NGINX no se integra directamente con PHP. En cambio, NGINX pasa el procesamiento de PHP a PHP-FPM para ejecutar nuestros scripts.

¡Buen trabajo! Has instalado los requisitos previos.

Paso 2: Configuración de ModSecurity / NGINX

Comencemos construyendo un conjunto de reglas ModSecurity. ModSecurity no hace nada por sí solo hasta que lo configure.

Tome el conjunto de reglas OWASP de su sitio web:

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

Después de descargar el conjunto de reglas, combinaremos la configuración predeterminada con las reglas básicas.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

En teoría, esto debería proteger contra la mayoría de los exploits web. Sin embargo, los complementos / código que instale también deben ser auditados, porque si bien ModSecurity es una excelente medida de seguridad, no es a prueba de balas.

Cree un directorio en /var/www:

mkdir /var/www

Y un directorio para su host virtual:

mkdir /var/www/yourwebsite.com

Finalmente, agregue lo siguiente a su configuración NGINX ubicada en /usr/local/nginx/conf/nginx.conf. Asegúrese de agregar esta configuración antes de que aparezca el último }símbolo.

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

Paso 3: Inicio de PHP-FPM y NGINX

Este paso es bastante sencillo: todo lo que tiene que hacer es ejecutar los siguientes comandos.

service php-fpm start
/usr/sbin/nginx

¡Felicidades! Ha configurado su primer sitio web con NGINX protegido por ModSecurity. Para más información sobre ModSecurity, visite su sitio oficial .