Atur NGINX dengan ModSecurity pada CentOS 6

• Langkah 1: Memasang prasyarat
• Langkah 2: Mengkonfigurasi ModSecurity / NGINX
• Langkah 3: Memulai PHP-FPM dan NGINX

Pada artikel ini, saya akan menjelaskan cara membangun tumpukan LEMP yang dilindungi oleh ModSecurity. ModSecurity adalah firewall aplikasi web open-source yang berguna untuk melindungi terhadap suntikan, serangan PHP, dan banyak lagi. Jika Anda ingin mengatur NGINX dengan ModSecurity, lanjutkan membaca.

Semua langkah dalam artikel ini memerlukan akses root.

Langkah 1: Memasang prasyarat

Jika Anda belum menjalankan sebagai pengguna root, tingkatkan diri Anda:

/bin/su

Kami membutuhkan kompiler, jadi jalankan yang berikut untuk memastikan:

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools' 

Untuk menginstal NGINX, kita harus terlebih dahulu mendapatkan paket. Unduh paket:

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

Kami juga akan memerlukan paket PHP untuk tumpukan kami.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

Karena kami memasang ModSecurity, kami akan mengambil sumbernya dan mengunduhnya:

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

Sekarang, untar / unzip file.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz   

Kemudian, kami akan menginstal ModSecurity.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

Sekarang kita telah memperoleh semua prasyarat, mari kita instal NGINX. Serangkaian perintah berikut adalah untuk pemasangan NGINX dan ModSecurity.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

Sekarang, mari kita instal server MySQL.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

Untuk mysql_secure_installationperintah:

• Tekan enter pada langkah pertama panduan instalasi.
• Ketikkan Y saat diminta jika kata sandi root MySQL baru harus disetel.
• Ketikkan kata sandi baru, konfirmasikan dengan mengetiknya lagi.
• Tekan Y untuk menghapus pengguna anonim, larang akses root jarak jauh ke MySQL dengan menekan Y lagi.
• Tekan Y untuk terakhir kalinya untuk menghapus basis data / pengguna uji.
• Terakhir, tekan Y untuk menyimpan perubahan Anda.

Satu hal terakhir yang harus diinstal, dan itu PHP. Pada artikel ini, kita akan menginstal PHP dari sumber.

Masukkan direktori sumber untuk PHP.

cd /usr/src/php-5.6.16

Sekarang, konfigurasikan PHP. Argumen berikut dalam ./configureperintah ada sehingga Anda dapat menjalankan aplikasi seperti WordPress.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

Instal PHP-FPM untuk NGINX:

yum install -y php-fpm

Kita perlu menginstal PHP-FPM di atas PHP itu sendiri karena NGINX sendiri tidak terintegrasi langsung dengan PHP. Sebaliknya, NGINX meneruskan pemrosesan PHP ke PHP-FPM untuk mengeksekusi skrip kami.

Kerja bagus! Anda telah menginstal prasyarat.

Langkah 2: Mengkonfigurasi ModSecurity / NGINX

Mari kita mulai dengan membangun set aturan ModSecurity. ModSecurity tidak melakukan apa-apa sampai Anda mengkonfigurasinya.

Raih aturan OWASP yang ditetapkan dari situs web mereka:

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

Setelah mengunduh aturan yang ditetapkan, kami akan menggabungkan konfigurasi default dengan aturan dasar.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

Secara teori, ini harus melindungi terhadap sebagian besar eksploitasi web. Namun, plugins / kode yang Anda instal juga harus diaudit, karena sementara ModSecurity adalah langkah pengamanan yang sangat baik, itu bukan anti peluru.

Buat direktori di /var/www:

mkdir /var/www

Dan direktori untuk host virtual Anda:

mkdir /var/www/yourwebsite.com

Akhirnya, tambahkan yang berikut ini ke konfigurasi NGINX Anda yang berlokasi di /usr/local/nginx/conf/nginx.conf. Pastikan Anda menambahkan konfigurasi ini sebelum munculnya }simbol terakhir .

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

Langkah 3: Memulai PHP-FPM dan NGINX

Langkah ini cukup mudah - yang harus Anda lakukan adalah menjalankan perintah berikut.

service php-fpm start
/usr/sbin/nginx

Selamat! Anda telah mengatur situs web pertama Anda dengan NGINX yang dilindungi oleh ModSecurity. Untuk membaca lebih lanjut tentang ModSecurity, kunjungi situs resmi mereka .