Cara Memasang ModSecurity untuk Nginx pada CentOS 7, Debian 8, dan Ubuntu 16.04

• Prasyarat
• Langkah 1: Perbarui sistem
• Langkah 2: Instal dependensi
• Langkah 3: Kompilasi ModSecurity
• Langkah 4: Kompilasi Nginx
• Langkah 4: Konfigurasikan ModSecurity dan Nginx
• Langkah 5: Uji ModSecurity

ModSecurity adalah modul firewall aplikasi web open source (WAF) yang bagus untuk melindungi Apache, Nginx, dan IIS dari berbagai serangan dunia maya yang menargetkan kerentanan potensial di berbagai aplikasi web

Pada artikel ini, kita akan menginstal dan mengkonfigurasi ModSecurity untuk Nginx pada CentOS 7, Debian 8, dan Ubuntu 16.04.

Prasyarat

• Sebuah up-to-date instalasi CentOS 7, Debian 8, atau Ubuntu 16.04 64-bit.
• Masuk sebagai root.

Langkah 1: Perbarui sistem

Dengan mengikuti panduan ini , perbarui Kernel dan Paket server Anda ke versi terbaru yang tersedia.

Langkah 2: Instal dependensi

Sebelum Anda berhasil mengompilasi Nginx dan ModSecurity, Anda perlu menginstal beberapa paket perangkat lunak sebagai berikut.

a) Pada CentOS 7:

yum groupinstall -y "Development Tools"
yum install -y httpd httpd-devel pcre pcre-devel libxml2 libxml2-devel curl curl-devel openssl openssl-devel
shutdown -r now

b) Pada Debian 8 atau Ubuntu 16.04:

apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf

Langkah 3: Kompilasi ModSecurity

Karena beberapa ketidakstabilan yang dilaporkan pada ModSecurity untuk cabang utama Nginx, untuk saat ini, disarankan untuk menggunakan versi nginx_refactoringcabang terbaru jika memungkinkan.

Unduh nginx_refactoringcabang ModSecurity untuk Nginx:

cd /usr/src
git clone -b nginx_refactoring https://github.com/SpiderLabs/ModSecurity.git

Kompilasi ModSecurity:

a) Pada CentOS 7:

cd ModSecurity
sed -i '/AC_PROG_CC/a\AM_PROG_CC_C_O' configure.ac
sed -i '1 i\AUTOMAKE_OPTIONS = subdir-objects' Makefile.am
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make

Catatan: kedua sedperintah di atas digunakan untuk mencegah pesan peringatan saat menggunakan versi automake yang lebih baru.

b) Pada Debian 8 atau Ubuntu 16.04:

cd ModSecurity
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make

Langkah 4: Kompilasi Nginx

Unduh dan hapus pengarsipan rilis stabil terbaru dari Nginx yang Nginx 1.10.3saat ini ditulis:

cd /usr/src
wget https://nginx.org/download/nginx-1.10.3.tar.gz
tar -zxvf nginx-1.10.3.tar.gz && rm -f nginx-1.10.3.tar.gz

a) Pada CentOS 7:

Pertama, Anda perlu membuat pengguna khusus nginxdan grup khusus nginxuntuk Nginx:

groupadd -r nginx
useradd -r -g nginx -s /sbin/nologin -M nginx

Kemudian kompilasi Nginx sambil mengaktifkan modul ModSecurity dan SSL:

cd nginx-1.10.3/
./configure --user=nginx --group=nginx --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install

Ubah pengguna default Nginx:

sed -i "s/#user  nobody;/user nginx nginx;/" /usr/local/nginx/conf/nginx.conf

b) Pada Debian 8 atau Ubuntu 16.04:

Pertama, Anda harus menggunakan pengguna yang ada www-datadan grup yang ada www-data.

Kemudian kompilasi Nginx sambil mengaktifkan modul ModSecurity dan SSL:

cd nginx-1.10.3/
./configure --user=www-data --group=www-data --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install

Ubah pengguna default Nginx:

sed -i "s/#user  nobody;/user www-data www-data;/" /usr/local/nginx/conf/nginx.conf

Setelah Nginx berhasil diinstal, file terkait akan berlokasi di:

nginx path prefix: "/usr/local/nginx"
nginx binary file: "/usr/local/nginx/sbin/nginx"
nginx modules path: "/usr/local/nginx/modules"
nginx configuration prefix: "/usr/local/nginx/conf"
nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
nginx pid file: "/usr/local/nginx/logs/nginx.pid"
nginx error log file: "/usr/local/nginx/logs/error.log"
nginx http access log file: "/usr/local/nginx/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"

Anda dapat menguji instalasi dengan:

/usr/local/nginx/sbin/nginx -t

Jika tidak ada yang salah, outputnya harus:

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

Untuk kenyamanan Anda, Anda dapat mengatur file unit systemd untuk Nginx:

cat <<EOF>> /lib/systemd/system/nginx.service
[Service]
Type=forking
ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
KillStop=/usr/local/nginx/sbin/nginx -s stop

KillMode=process
Restart=on-failure
RestartSec=42s

PrivateTmp=true
LimitNOFILE=200000

[Install]
WantedBy=multi-user.target
EOF

Ke depan, Anda dapat memulai / menghentikan / memulai kembali Nginx sebagai berikut:

systemctl start nginx.service
systemctl stop nginx.service
systemctl restart nginx.service

Langkah 4: Konfigurasikan ModSecurity dan Nginx

4.1 Konfigurasi Nginx:

vi /usr/local/nginx/conf/nginx.conf

Temukan segmen berikut dalam http {}segmen:

location / {
    root   html;
    index  index.html index.htm;
}

Masukkan garis di bawah ini ke dalam location / {}segmen:

ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;

Hasil akhirnya harus:

location / {
    ModSecurityEnabled on;
    ModSecurityConfig modsec_includes.conf;
    #proxy_pass http://localhost:8011;
    #proxy_read_timeout 180s;
    root   html;
    index  index.html index.htm;
}

Simpan dan keluar:

:wq!

Catatan: Konfigurasi Nginx di atas hanya contoh konfigurasi untuk menggunakan Nginx sebagai server web daripada proxy terbalik. Jika Anda menggunakan Nginx sebagai proxy terbalik, hapus #karakter di dua baris terakhir dan buat modifikasi yang sesuai dengannya.

4.2 Buat file dengan nama /usr/local/nginx/conf/modsec_includes.conf:

cat <<EOF>> /usr/local/nginx/conf/modsec_includes.conf
include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/*.conf
EOF

Catatan: Konfigurasi di atas akan menerapkan semua Aturan Inti Modsecurity OWASP di owasp-modsecurity-crs/rules/direktori. Jika Anda hanya ingin menerapkan aturan selektif, Anda harus menghapus include owasp-modsecurity-crs/rules/*.confbaris, dan kemudian menentukan aturan yang tepat yang Anda butuhkan setelah langkah 4.5.

4.3 Impor file konfigurasi ModSecurity:

cp /usr/src/ModSecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/ModSecurity/unicode.mapping /usr/local/nginx/conf/

4.4 Memodifikasi /usr/local/nginx/conf/modsecurity.conffile:

sed -i "s/SecRuleEngine DetectionOnly/SecRuleEngine On/" /usr/local/nginx/conf/modsecurity.conf

4.5 Tambahkan file OWASP ModSecurity CRS (Core Rule Set):

cd /usr/local/nginx/conf
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd owasp-modsecurity-crs
mv crs-setup.conf.example crs-setup.conf
cd rules
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

Langkah 5: Uji ModSecurity

Mulai Nginx:

systemctl start nginx.service

Buka port 80 untuk memungkinkan akses luar:

a) Pada CentOS 7:

firewall-cmd --zone=public --permanent --add-service=http
firewall-cmd --reload

b) Pada Debian 8:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
touch /etc/iptables
iptables-save > /etc/iptables

c) Di Ubuntu 16.04:

ufw allow OpenSSH
ufw allow 80
ufw default deny
ufw enable    

Arahkan browser web Anda ke:

http://203.0.113.1/?param="><script>alert(1);</script>

Gunakan grepuntuk mengambil pesan kesalahan sebagai berikut:

grep error /usr/local/nginx/logs/error.log

Keluaran harus mencakup beberapa pesan kesalahan yang mirip dengan:

2017/02/15 14:07:54 [error] 10776#0: [client 104.20.23.240] ModSecurity: Warning. detected XSS using libinjection. [file "/usr/local/nginx/conf/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "56"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data:  found within ARGS:param: \x22><script>alert(1);</script>"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"] [hostname ""] [uri "/index.html"] [unique_id "ATAcAcAkucAchGAcPLAcAcAY"]

Itu dia. Seperti yang Anda lihat, modul ModSecurity telah berhasil mencatat serangan ini sesuai dengan kebijakan tindakan standarnya. Jika Anda ingin membuat lebih banyak pengaturan khusus, harap tinjau dan edit /usr/local/nginx/conf/modsecurity.confserta /usr/local/nginx/conf/owasp-modsecurity-crs/crs-setup.conffile dengan cermat .