Sediakan NGINX dengan ModSecurity di CentOS 6

• Langkah 1: Memasang prasyarat
• Langkah 2: Mengkonfigurasi ModSecurity / NGINX
• Langkah 3: Memulakan PHP-FPM dan NGINX

Dalam artikel ini, saya akan menerangkan cara membina timbunan LEMP yang dilindungi oleh ModSecurity. ModSecurity adalah firewall aplikasi web sumber terbuka yang berguna untuk melindungi daripada suntikan, serangan PHP, dan banyak lagi. Sekiranya anda ingin menyediakan NGINX dengan ModSecurity, teruskan membaca.

Semua langkah dalam artikel ini memerlukan akses root.

Langkah 1: Memasang prasyarat

Sekiranya anda belum berjalan sebagai pengguna root, naikkan diri anda:

/bin/su

Kami memerlukan penyusun, jadi laksanakan perkara berikut untuk memastikan:

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools' 

Untuk memasang NGINX, kita perlu mendapatkan pakej terlebih dahulu. Muat turun pakej:

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

Kami juga memerlukan pakej PHP untuk timbunan kami.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

Oleh kerana kami memasang ModSecurity, kami akan mengambil sumbernya dan memuat turunnya:

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

Sekarang, buka / buka zip fail.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz   

Kemudian, kami akan memasang ModSecurity.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

Setelah memperoleh semua prasyarat, mari pasang NGINX. Set perintah berikut adalah untuk pemasangan NGINX dan ModSecurity.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

Sekarang, mari pasang pelayan MySQL.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

Untuk mysql_secure_installationarahan:

• Tekan enter pada langkah pertama wizard pemasangan.
• Ketik Y apabila diminta jika kata laluan root MySQL baru harus ditetapkan.
• Taip kata laluan baru, sahkan dengan menaipnya sekali lagi.
• Tekan Y untuk membuang pengguna tanpa nama, tidak membenarkan akses root jauh ke MySQL dengan menekan Y sekali lagi.
• Tekan Y untuk kali terakhir untuk membuang pangkalan data / pengguna ujian.
• Terakhir, tekan Y untuk menyimpan perubahan anda.

Satu perkara terakhir untuk dipasang, dan itu PHP. Dalam artikel ini, kami akan memasang PHP dari sumber.

Masukkan direktori sumber untuk PHP.

cd /usr/src/php-5.6.16

Sekarang, konfigurasikan PHP. Argumen berikut dalam ./configurearahan ada sehingga anda dapat menjalankan aplikasi seperti WordPress.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

Pasang PHP-FPM untuk NGINX:

yum install -y php-fpm

Kita perlu memasang PHP-FPM di atas PHP itu sendiri kerana NGINX sendiri tidak berintegrasi langsung dengan PHP. Sebaliknya, NGINX meneruskan pemprosesan PHP ke PHP-FPM untuk melaksanakan skrip kami.

Syabas! Anda telah memasang prasyarat.

Langkah 2: Mengkonfigurasi ModSecurity / NGINX

Mari mulakan dengan membina set peraturan ModSecurity. ModSecurity tidak melakukan apa-apa sehingga anda mengkonfigurasinya.

Dapatkan peraturan OWASP dari laman web mereka:

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

Selepas anda memuat turun set peraturan, kami akan menggabungkan konfigurasi lalai dengan peraturan asas.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

Secara teori, ini harus melindungi daripada kebanyakan eksploitasi web. Walau bagaimanapun, plugin / kod yang anda pasang juga harus diaudit, kerana sementara ModSecurity adalah langkah keselamatan yang sangat baik, ia tidak kalis peluru.

Buat direktori di /var/www:

mkdir /var/www

Dan direktori untuk hos maya anda:

mkdir /var/www/yourwebsite.com

Akhirnya, tambahkan yang berikut ke konfigurasi NGINX anda yang terletak di /usr/local/nginx/conf/nginx.conf. Pastikan anda menambahkan konfigurasi ini sebelum berlakunya }simbol terakhir .

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

Langkah 3: Memulakan PHP-FPM dan NGINX

Langkah ini cukup mudah - yang harus anda lakukan adalah melaksanakan perintah berikut.

service php-fpm start
/usr/sbin/nginx

Tahniah! Anda telah menyediakan laman web pertama anda dengan NGINX dilindungi oleh ModSecurity. Untuk membaca lebih lanjut mengenai ModSecurity, lawati laman web rasmi mereka .