نحوه نصب Anchor CMS بر روی یک VPS Fedora 26 LAMP
با استفاده از یک سیستم متفاوت؟ Anchor CMS یک سیستم مدیریت محتوا (CMS) بسیار ساده و بسیار سبک ، بسیار آزاد و آزاد است.
نحوه نصب ModSecurance برای Nginx در CentOS 7 ، Debian 8 و Ubuntu 16.04
ModSecurance یک ماژول فایروال برنامه وب منبع باز (WAF) است که برای محافظت از Apache ، Nginx و IIS در برابر حملات سایبری مختلف که آسیب پذیری های احتمالی را در برنامه های مختلف وب هدف قرار می دهد بسیار عالی است.
در این مقاله ، ما ModSecurance را برای Nginx در CentOS 7 ، Debian 8 و Ubuntu 16.04 نصب و پیکربندی خواهیم کرد.
پیش نیازها
- تا به تاریخ نصب و راه اندازی لینوکس 7، دبیان 8، یا اوبونتو 16.04 64 بیتی.
- ورود به عنوان
root.
مرحله 1: سیستم را به روز کنید
پس از این راهنما ، هسته و بسته های سرور خود را به آخرین نسخه موجود به روز کنید.
مرحله 2: وابستگی ها را نصب کنید
قبل از اینکه بتوانید Nginx و ModSecurance را با موفقیت کامپایل کنید ، باید چندین بسته نرم افزاری را به شرح زیر نصب کنید.
الف) در CentOS 7:
yum groupinstall -y "Development Tools"
yum install -y httpd httpd-devel pcre pcre-devel libxml2 libxml2-devel curl curl-devel openssl openssl-devel
shutdown -r now
b) در Debian 8 یا Ubuntu 16.04:
apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf
مرحله 3: کامپایل ModSecurance
با توجه به چندین ناپایداری که در مورد ModSecurance برای شعبه استاد نگینکس گزارش شده است ، در حال حاضر به طور رسمی توصیه می شود nginx_refactoringهر زمان ممکن از آخرین نسخه شعبه استفاده کنید.
nginx_refactoringشعبه ModSecurance را برای Nginx بارگیری کنید :
cd /usr/src
git clone -b nginx_refactoring https://github.com/SpiderLabs/ModSecurity.git
کامپایل ModSecurance:
الف) در CentOS 7:
cd ModSecurity
sed -i '/AC_PROG_CC/a\AM_PROG_CC_C_O' configure.ac
sed -i '1 i\AUTOMAKE_OPTIONS = subdir-objects' Makefile.am
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
توجه: دو sedدستور فوق برای جلوگیری از پیام های هشدار دهنده هنگام استفاده از نسخه های جدیدتر خودکار استفاده می شود.
b) در Debian 8 یا Ubuntu 16.04:
cd ModSecurity
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
مرحله 4: Nginx را کامپایل کنید
آخرین نسخه پایدار Nginx که Nginx 1.10.3در زمان نوشتن است را بارگیری و غیرفعال کنید :
cd /usr/src
wget https://nginx.org/download/nginx-1.10.3.tar.gz
tar -zxvf nginx-1.10.3.tar.gz && rm -f nginx-1.10.3.tar.gz
الف) در CentOS 7:
ابتدا باید یک کاربر اختصاصی nginxو یک گروه اختصاصی nginxبرای Nginx ایجاد کنید:
groupadd -r nginx
useradd -r -g nginx -s /sbin/nologin -M nginx
سپس Nginx را همزمان با فعال کردن ماژول های ModSecurance و SSL وارد کنید:
cd nginx-1.10.3/
./configure --user=nginx --group=nginx --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
کاربر پیش فرض Nginx را تغییر دهید:
sed -i "s/#user nobody;/user nginx nginx;/" /usr/local/nginx/conf/nginx.conf
b) در Debian 8 یا Ubuntu 16.04:
ابتدا باید از کاربر موجود www-dataو گروه موجود استفاده کنید www-data.
سپس Nginx را همزمان با فعال کردن ماژول های ModSecurance و SSL وارد کنید:
cd nginx-1.10.3/
./configure --user=www-data --group=www-data --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
کاربر پیش فرض Nginx را تغییر دهید:
sed -i "s/#user nobody;/user www-data www-data;/" /usr/local/nginx/conf/nginx.conf
با نصب موفقیت آمیز Nginx ، پرونده های مرتبط در این قسمت قرار دارند:
nginx path prefix: "/usr/local/nginx"
nginx binary file: "/usr/local/nginx/sbin/nginx"
nginx modules path: "/usr/local/nginx/modules"
nginx configuration prefix: "/usr/local/nginx/conf"
nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
nginx pid file: "/usr/local/nginx/logs/nginx.pid"
nginx error log file: "/usr/local/nginx/logs/error.log"
nginx http access log file: "/usr/local/nginx/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"
می توانید نصب را تست کنید:
/usr/local/nginx/sbin/nginx -t
اگر چیزی پیش نیاید ، خروجی باید باشد:
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
برای راحتی شما می توانید یک فایل واحد سیستمیک را برای Nginx تنظیم کنید:
cat <<EOF>> /lib/systemd/system/nginx.service
[Service]
Type=forking
ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
KillStop=/usr/local/nginx/sbin/nginx -s stop
KillMode=process
Restart=on-failure
RestartSec=42s
PrivateTmp=true
LimitNOFILE=200000
[Install]
WantedBy=multi-user.target
EOF
با حرکت به جلو ، می توانید Nginx را به شرح زیر شروع یا متوقف کنید / راه اندازی مجدد کنید:
systemctl start nginx.service
systemctl stop nginx.service
systemctl restart nginx.service
مرحله 4: پیکربندی ModSecurance و Nginx
4.1 پیکربندی Nginx:
vi /usr/local/nginx/conf/nginx.conf
بخش زیر را در این http {}بخش پیدا کنید:
location / {
root html;
index index.html index.htm;
}
خطوط زیر را در location / {}قسمت قرار دهید:
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
نتیجه نهایی باید باشد:
location / {
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
root html;
index index.html index.htm;
}
ذخیره نموده و خارج شوید:
:wq!
توجه: پیکربندی Nginx در بالا فقط یک پیکربندی نمونه برای استفاده از Nginx به عنوان یک وب سرور است تا یک پروکسی معکوس. اگر از Nginx به عنوان یک پروکسی معکوس استفاده می کنید ، #شخصیت را در دو سطر آخر حذف کرده و اصلاحات مناسبی را برای آنها انجام دهید.
4.2 یک پرونده با نام ایجاد کنید /usr/local/nginx/conf/modsec_includes.conf:
cat <<EOF>> /usr/local/nginx/conf/modsec_includes.conf
include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/*.conf
EOF
توجه: پیکربندی فوق کلیه قوانین OWASP ModSecurance Core را در owasp-modsecurity-crs/rules/دایرکتوری اعمال می کند. اگر می خواهید فقط قوانین انتخابی را اعمال کنید ، باید include owasp-modsecurity-crs/rules/*.confخط را بردارید و بعد از مرحله 4.5 قوانین دقیق مورد نیاز خود را تعیین کنید.
4.3 وارد کردن پرونده های پیکربندی ModSecurance:
cp /usr/src/ModSecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/ModSecurity/unicode.mapping /usr/local/nginx/conf/
4.4 تغییر /usr/local/nginx/conf/modsecurity.confپرونده:
sed -i "s/SecRuleEngine DetectionOnly/SecRuleEngine On/" /usr/local/nginx/conf/modsecurity.conf
4.5 پرونده های OWASP ModSecurance CRS (مجموعه قانون اصلی) اضافه کنید:
cd /usr/local/nginx/conf
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd owasp-modsecurity-crs
mv crs-setup.conf.example crs-setup.conf
cd rules
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
مرحله 5: تست ModSecurance
Nginx را شروع کنید:
systemctl start nginx.service
بندر 80 را باز کنید تا دسترسی خارجی داشته باشید:
الف) در CentOS 7:
firewall-cmd --zone=public --permanent --add-service=http
firewall-cmd --reload
b) در دبیان 8:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
touch /etc/iptables
iptables-save > /etc/iptables
ج) در اوبونتو 16.04:
ufw allow OpenSSH
ufw allow 80
ufw default deny
ufw enable
مرورگر وب خود را به این موارد نشان دهید:
http://203.0.113.1/?param="><script>alert(1);</script>
استفاده از grepبه بهانه پیام های خطا شرح زیر است:
grep error /usr/local/nginx/logs/error.log
خروجی باید شامل چندین پیام خطایی باشد که شبیه به:
2017/02/15 14:07:54 [error] 10776#0: [client 104.20.23.240] ModSecurity: Warning. detected XSS using libinjection. [file "/usr/local/nginx/conf/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "56"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data: found within ARGS:param: \x22><script>alert(1);</script>"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"] [hostname ""] [uri "/index.html"] [unique_id "ATAcAcAkucAchGAcPLAcAcAY"]
خودشه. همانطور که می بینید ، ماژول ModSecurance مطابق با خط مشی اقدام پیش فرض خود ، این حمله را با موفقیت ثبت کرده است. اگر می خواهید مطمئن تنظیمات سفارشی بیشتر، لطفا به دقت بررسی و ویرایش /usr/local/nginx/conf/modsecurity.confو /usr/local/nginx/conf/owasp-modsecurity-crs/crs-setup.confفایل های.
اشتراک NFS را در Debian تنظیم کنید
NFS یک سیستم فایل مبتنی بر شبکه است که به رایانه ها اجازه می دهد تا از طریق شبکه رایانه ای به فایلها دسترسی پیدا کنند. این راهنما توضیح می دهد که چگونه می توانید پوشه ها را روی NF قرار دهید
نحوه بروزرسانی CentOS 7 ، Ubuntu 16.04 و Debian 8
هنگام راه اندازی سرور جدید لینوکس ، به روزرسانی سیستم های هسته و سایر بسته ها تا آخرین نسخه پایدار یک روش توصیه شده است. در این مقاله
نحوه نصب بستر سبد خرید LiteCart در اوبونتو 16.04
LiteCart یک بستر سبد خرید آزاد و منبع باز است که به زبان های PHP ، jQuery و HTML 5 نوشته شده است. این نرم افزار ساده ، سبک و با کاربرد آسان است.
نحوه نصب Matomo Analytics در Fedora 28
با استفاده از یک سیستم متفاوت؟ Matomo (سابقا پیویک) یک بستر تحلیلی منبع باز است ، یک جایگزین باز برای Google Analytics. منبع Matomo میزبان o
یک سرور TeamTalk را در لینوکس تنظیم کنید
TeamTalk یک سیستم کنفرانس است که به کاربران امکان می دهد مکالمات صوتی / تصویری با کیفیت بالا ، چت متنی ، انتقال فایل ها و صفحه های به اشتراک بگذارند. من
با استفاده از کلید SSH خود برای ورود به کاربران غیر ریشه استفاده کنید
Vultr یک ویژگی را فراهم می کند که به شما امکان می دهد با ایجاد یک نمونه جدید ، کلیدهای SSH را از قبل نصب کنید. این اجازه می دهد تا به کاربر root دسترسی داشته باشید ، با این حال ، th
نحوه نصب انجمن NodeBB در FreeBSD 12
با استفاده از یک سیستم متفاوت؟ NodeBB یک نرم افزار انجمن مبتنی بر Node.js است. از سوکت های وب برای تعامل فوری و اعلامیه های زمان واقعی استفاده می کند. NodeB
نحوه نصب Ranger Terminal File Manager در لینوکس
رنجر یک مدیر فایل مبتنی بر خط فرمان است که دارای کلیدهای اتصال VI است. این برنامه یک رابط لعنتی مینیمالیستی و زیبا با نمای سلسله مراتب فهرست ارائه می دهد
نصب و راه اندازی ZNC در اوبونتو
ZNC یک پیشرانه پیشرفته شبکه IRC است که تمام وقت بهم متصل می شود تا مشتری IRC بتواند بدون از دست دادن جلسه گپ قطع یا وصل شود.