CentOS 7, Debian 8, और Ubuntu 16.04 पर Nginx के लिए ModSecurity कैसे स्थापित करें

• आवश्यक शर्तें
• चरण 1: सिस्टम को अपडेट करें
• चरण 2: निर्भरता स्थापित करें
• चरण 3: संकलन मोडसुरिटी
• चरण 4: संकलन Nginx
• चरण 4: मॉडसिटी और नेग्नेक्स को कॉन्फ़िगर करें
• चरण 5: परीक्षण मोडसुरिटी

ModSecurity एक खुला स्रोत वेब अनुप्रयोग फ़ायरवॉल (WAF) मॉड्यूल है जो अपाचे, नग्नेक्स और IIS को विभिन्न साइबर हमलों से बचाने के लिए बहुत अच्छा है जो विभिन्न वेब अनुप्रयोगों में संभावित कमजोरियों को लक्षित करते हैं।

इस लेख में, हम CentOS 7, Debian 8 और Ubuntu 16.04 पर Nginx के लिए ModSecurity स्थापित और कॉन्फ़िगर करेंगे।

आवश्यक शर्तें

• एक अप-टू-डेट CentOS 7, डेबियन 8 या उबंटू 16.04 64-बिट की स्थापना।
• लॉग इन के रूप में root।

चरण 1: सिस्टम को अपडेट करें

इस गाइड के बाद , अपने सर्वर के कर्नेल और संकुल को नवीनतम उपलब्ध संस्करण में अद्यतन करें।

चरण 2: निर्भरता स्थापित करें

इससे पहले कि आप Nginx और ModSecurity को सफलतापूर्वक संकलित कर सकें, आपको निम्नानुसार कई सॉफ्टवेयर पैकेजों को स्थापित करने की आवश्यकता है।

क) सेंटो 7 पर:

yum groupinstall -y "Development Tools"
yum install -y httpd httpd-devel pcre pcre-devel libxml2 libxml2-devel curl curl-devel openssl openssl-devel
shutdown -r now

बी) डेबियन 8 या उबंटू 16.04 पर:

apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf

चरण 3: संकलन मोडसुरिटी

Nginx मास्टर शाखा के लिए ModSecurity पर रिपोर्ट की गई कई अस्थिरताओं के कारण, वर्तमान में, nginx_refactoringजब भी संभव हो शाखा के नवीनतम संस्करण का उपयोग करने की आधिकारिक तौर पर सिफारिश की जाती है।

nginx_refactoringNginx के लिए ModSecurity की शाखा डाउनलोड करें :

cd /usr/src
git clone -b nginx_refactoring https://github.com/SpiderLabs/ModSecurity.git

संकलन मोडसुरिटी:

क) सेंटो 7 पर:

cd ModSecurity
sed -i '/AC_PROG_CC/a\AM_PROG_CC_C_O' configure.ac
sed -i '1 i\AUTOMAKE_OPTIONS = subdir-objects' Makefile.am
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make

नोट: sedऊपर दिए गए दो आदेशों का उपयोग नए स्वचालित संस्करण का उपयोग करते समय चेतावनी संदेशों को रोकने के लिए किया जाता है।

बी) डेबियन 8 या उबंटू 16.04 पर:

cd ModSecurity
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make

चरण 4: संकलन Nginx

डाउनलोड करें और Nginx के नवीनतम स्थिर रिलीज Nginx 1.10.3को लिख दें जो लेखन के समय है:

cd /usr/src
wget https://nginx.org/download/nginx-1.10.3.tar.gz
tar -zxvf nginx-1.10.3.tar.gz && rm -f nginx-1.10.3.tar.gz

क) सेंटो 7 पर:

सबसे पहले, आपको Nginx के लिए एक समर्पित उपयोगकर्ता nginxऔर एक समर्पित समूह बनाने की आवश्यकता है nginx:

groupadd -r nginx
useradd -r -g nginx -s /sbin/nologin -M nginx

फिर ModSecurity और SSL मॉड्यूल को सक्षम करते हुए Nginx संकलित करें:

cd nginx-1.10.3/
./configure --user=nginx --group=nginx --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install

Nginx के डिफ़ॉल्ट उपयोगकर्ता को संशोधित करें:

sed -i "s/#user  nobody;/user nginx nginx;/" /usr/local/nginx/conf/nginx.conf

बी) डेबियन 8 या उबंटू 16.04 पर:

सबसे पहले, आपको मौजूदा उपयोगकर्ता www-dataऔर मौजूदा समूह का उपयोग करना चाहिए www-data।

फिर ModSecurity और SSL मॉड्यूल को सक्षम करते हुए Nginx संकलित करें:

cd nginx-1.10.3/
./configure --user=www-data --group=www-data --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install

Nginx के डिफ़ॉल्ट उपयोगकर्���ा को संशोधित करें:

sed -i "s/#user  nobody;/user www-data www-data;/" /usr/local/nginx/conf/nginx.conf

Nginx सफलतापूर्वक स्थापित होने के बाद, संबंधित फाइलें यहां स्थित होंगी:

nginx path prefix: "/usr/local/nginx"
nginx binary file: "/usr/local/nginx/sbin/nginx"
nginx modules path: "/usr/local/nginx/modules"
nginx configuration prefix: "/usr/local/nginx/conf"
nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
nginx pid file: "/usr/local/nginx/logs/nginx.pid"
nginx error log file: "/usr/local/nginx/logs/error.log"
nginx http access log file: "/usr/local/nginx/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"

आप के साथ स्थापना का परीक्षण कर सकते हैं:

/usr/local/nginx/sbin/nginx -t

अगर कुछ भी गलत नहीं होता है, तो आउटपुट होना चाहिए:

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

अपनी सुविधा के लिए, आप Nginx के लिए एक सिस्टम यूनिट फ़ाइल सेटअप कर सकते हैं:

cat <<EOF>> /lib/systemd/system/nginx.service
[Service]
Type=forking
ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
KillStop=/usr/local/nginx/sbin/nginx -s stop

KillMode=process
Restart=on-failure
RestartSec=42s

PrivateTmp=true
LimitNOFILE=200000

[Install]
WantedBy=multi-user.target
EOF

आगे बढ़ते हुए, आप Nginx को इस प्रकार शुरू / बंद / फिर से कर सकते हैं:

systemctl start nginx.service
systemctl stop nginx.service
systemctl restart nginx.service

चरण 4: मॉडसिटी और नेग्नेक्स को कॉन्फ़िगर करें

4.1 Nginx कॉन्फ़िगर करें:

vi /usr/local/nginx/conf/nginx.conf

खंड के भीतर निम्नलिखित खंड खोजें http {}:

location / {
    root   html;
    index  index.html index.htm;
}

location / {}खंड में नीचे की पंक्तियाँ डालें :

ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;

अंतिम परिणाम होना चाहिए:

location / {
    ModSecurityEnabled on;
    ModSecurityConfig modsec_includes.conf;
    #proxy_pass http://localhost:8011;
    #proxy_read_timeout 180s;
    root   html;
    index  index.html index.htm;
}

सेव करके छोड़ो:

:wq!

नोट: ऊपर Nginx कॉन्‍फ़िगरेशन केवल Nginx को एक रिवर्स सर्वर के बजाय एक वेब सर्वर के रूप में उपयोग करने के लिए एक नमूना कॉन्‍फ़िगर है। यदि आप Nginx को एक रिवर्स प्रॉक्सी के रूप में उपयोग कर रहे हैं, तो #अंतिम दो पंक्तियों में वर्ण को हटा दें और उनके लिए उपयुक्त संशोधन करें।

4.2 नाम की एक फ़ाइल बनाएँ /usr/local/nginx/conf/modsec_includes.conf:

cat <<EOF>> /usr/local/nginx/conf/modsec_includes.conf
include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/*.conf
EOF

नोट: उपर्युक्त विन्यास owasp-modsecurity-crs/rules/निर्देशिका में सभी OWASP मोडसिक्योरिटी कोर नियम लागू करेगा । यदि आप केवल चयनात्मक नियमों को लागू करना चाहते हैं, तो आपको include owasp-modsecurity-crs/rules/*.confलाइन को हटा देना चाहिए , और फिर चरण 4.5 के बाद आपको सटीक नियमों को निर्दिष्ट करना होगा।

4.3 आयात मोडसुरिटी कॉन्फ़िगरेशन फ़ाइलें:

cp /usr/src/ModSecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/ModSecurity/unicode.mapping /usr/local/nginx/conf/

4.4 /usr/local/nginx/conf/modsecurity.confफ़ाइल को संशोधित करें :

sed -i "s/SecRuleEngine DetectionOnly/SecRuleEngine On/" /usr/local/nginx/conf/modsecurity.conf

4.5 OWASP मोडसिक्योरिटी सीआरएस (कोर नियम सेट) फाइलें जोड़ें:

cd /usr/local/nginx/conf
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd owasp-modsecurity-crs
mv crs-setup.conf.example crs-setup.conf
cd rules
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

चरण 5: परीक्षण मोडसुरिटी

Nginx शुरू करें:

systemctl start nginx.service

बाहर का उपयोग करने की अनुमति देने के लिए ओपन पोर्ट 80:

क) सेंटो 7 पर:

firewall-cmd --zone=public --permanent --add-service=http
firewall-cmd --reload

बी) डेबियन 8 पर:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
touch /etc/iptables
iptables-save > /etc/iptables

c) उबंटू में 16.04:

ufw allow OpenSSH
ufw allow 80
ufw default deny
ufw enable    

अपना वेब ब्राउज़र इंगित करें:

http://203.0.113.1/?param="><script>alert(1);</script>

grepनिम्नानुसार त्रुटि संदेश लाने के लिए उपयोग करें :

grep error /usr/local/nginx/logs/error.log

आउटपुट में कई त्रुटि संदेश शामिल होने चाहिए जो निम्न के समान हैं:

2017/02/15 14:07:54 [error] 10776#0: [client 104.20.23.240] ModSecurity: Warning. detected XSS using libinjection. [file "/usr/local/nginx/conf/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "56"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data:  found within ARGS:param: \x22><script>alert(1);</script>"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"] [hostname ""] [uri "/index.html"] [unique_id "ATAcAcAkucAchGAcPLAcAcAY"]

बस। जैसा कि आप देख रहे हैं, The ModSecurity मॉड्यूल ने अपनी डिफ़ॉल्ट कार्रवाई नीति के अनुसार इस हमले को सफलतापूर्वक लॉग इन किया है। यदि आप अधिक कस्टम सेटिंग्स बनाना चाहते हैं, तो कृपया सावधानीपूर्वक समीक्षा करें /usr/local/nginx/conf/modsecurity.confऔर संपादित करें और /usr/local/nginx/conf/owasp-modsecurity-crs/crs-setup.confफ़ाइलें।