CentOS 6에서 ModSecurity를 ​​사용하여 NGINX 설정

• 1 단계 : 필수 구성 요소 설치
• 2 단계 : ModSecurity / NGINX 구성
• 3 단계 : PHP-FPM 및 NGINX 시작

이 기사에서는 ModSecurity로 보호되는 LEMP 스택을 빌드하는 방법을 설명합니다. ModSecurity는 인젝션, PHP 공격 등을 방지하는 데 유용한 오픈 소스 웹 응용 프로그램 방화벽입니다. ModSecurity를 ​​사용하여 NGINX를 설정하려면 계속 읽으십시오.

이 기사의 모든 단계에는 루트 액세스 권한이 필요합니다.

1 단계 : 필수 구성 요소 설치

아직 루트 사용자로 실행하고 있지 않은 경우 자신을 에스컬레이션하십시오.

/bin/su

컴파일러가 필요하므로 다음을 실행하여 확인하십시오.

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools' 

NGINX를 설치하려면 먼저 패키지를 얻어야합니다. 패키지를 다운로드하십시오 :

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

스택에 PHP 패키지도 필요합니다.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

ModSecurity를 ​​설치하고 있으므로 소스를 가져 와서 다운로드하십시오.

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

이제 파일을 압축 해제 / 압축 해제하십시오.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz   

그런 다음 ModSecurity를 ​​설치합니다.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

모든 필수 구성 요소를 얻었으므로 이제 NGINX를 설치하겠습니다. 다음 명령 세트는 NGINX 및 ModSecurity 설치를위한 것입니다.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

이제 MySQL 서버를 설치하자.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

에 대한 mysql_secure_installation명령

• 설치 마법사의 첫 번째 단계에서 Enter 키를 누르십시오.
• 새 MySQL 루트 비밀번호를 설정해야하는지 묻는 메시지가 표시되면 Y를 입력하십시오.
• 새 비밀번호를 입력하고 다시 입력하여 확인하십시오.
• 익명 사용자를 제거하려면 Y를 누르고 Y를 다시 눌러 MySQL에 대한 원격 루트 액세스를 허용하지 않습니다.
• 테스트 데이터베이스 / 사용자를 제거하려면 마지막으로 Y를 누르십시오.
• 마지막으로 Y를 눌러 변경 사항을 저장하십시오.

마지막으로 설치해야 할 것은 PHP입니다. 이 기사에서는 소스에서 PHP를 설치합니다.

PHP의 소스 디렉토리를 입력하십시오.

cd /usr/src/php-5.6.16

이제 PHP를 설정하십시오. ./configure명령에 다음과 같은 인수 가 있으므로 WordPress와 같은 응용 프로그램을 실행할 수 있습니다.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

NGINX 용 PHP-FPM을 설치하십시오 :

yum install -y php-fpm

NGINX 자체는 PHP와 직접 통합되지 않기 때문에 PHP 자체 위에 PHP-FPM을 설치해야합니다. 대신 NGINX는 PHP 처리를 PHP-FPM으로 전달하여 스크립트를 실행합니다.

잘 했어! 필수 구성 요소를 설치했습니다.

2 단계 : ModSecurity / NGINX 구성

ModSecurity 규칙 세트를 작성하여 시작해 봅시다. ModSecurity는 사용자가 구성 할 때까지 자체적으로 아무 작업도 수행하지 않습니다.

웹 사이트에서 OWASP 규칙 세트를 가져옵니다.

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

규칙 세트를 다운로드하면 기본 구성과 기본 구성이 결합됩니다.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

이론적으로 이것은 대부분의 웹 익스플로잇으로부터 보호해야합니다. 그러나 ModSecurity는 훌륭한 보안 수단이지만 방탄하지 않기 때문에 설치 한 플러그인 / 코드도 감사해야합니다.

에 디렉토리를 작성하십시오 /var/www.

mkdir /var/www

가상 호스트의 디렉토리 :

mkdir /var/www/yourwebsite.com

마지막으로에 위치한 NGINX 구성에 다음을 추가하십시오 /usr/local/nginx/conf/nginx.conf. 마지막 }기호 가 발생하기 전에이 구성을 추가하십시오 .

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

3 단계 : PHP-FPM 및 NGINX 시작

이 단계는 매우 간단합니다. 다음 명령을 실행하기 만하면됩니다.

service php-fpm start
/usr/sbin/nginx

축하합니다! ModSecurity가 보호하는 NGINX로 첫 번째 웹 사이트를 설정했습니다. ModSecurity에 대한 자세한 내용은 공식 사이트를 방문 하십시오 .