Installeer NGINX met ModSecurity op CentOS 6

• Stap 1: de vereisten installeren
• Stap 2: ModSecurity / NGINX configureren
• Stap 3: PHP-FPM en NGINX starten

In dit artikel zal ik uitleggen hoe je een LEMP-stack kunt bouwen die wordt beschermd door ModSecurity. ModSecurity is een open-source firewall voor webtoepassingen die handig is om te beschermen tegen injecties, PHP-aanvallen en meer. Lees verder als u NGINX met ModSecurity wilt instellen.

Voor alle stappen in dit artikel is root-toegang vereist.

Stap 1: de vereisten installeren

Als u nog niet actief bent als rootgebruiker, escaleer uzelf dan:

/bin/su

We hebben een compiler nodig, dus voer het volgende uit om er zeker van te zijn:

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools' 

Om NGINX te kunnen installeren, hebben we eerst het pakket nodig. Download het pakket:

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

We hebben ook het PHP-pakket nodig voor onze stapel.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

Aangezien we ModSecurity installeren, pakken we de bron en downloaden deze:

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

Nu, untar / unzip de bestanden.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz   

Vervolgens installeren we ModSecurity.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

Nu we aan alle vereisten hebben voldaan, gaan we NGINX installeren. De volgende set opdrachten is voor de installatie van NGINX en ModSecurity.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

Laten we nu de MySQL-server installeren.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

Voor de mysql_secure_installationopdracht:

• Druk op enter bij de eerste stap van de installatiewizard.
• Typ Y wanneer daarom wordt gevraagd of er een nieuw MySQL-rootwachtwoord moet worden ingesteld.
• Typ een nieuw wachtwoord, bevestig door het nogmaals te typen.
• Druk op Y om anonieme gebruikers te verwijderen, verbied root-toegang op afstand tot MySQL door nogmaals op Y te drukken.
• Druk nog een keer op Y om de testdatabase / gebruiker te verwijderen.
• Druk ten slotte op Y om uw wijzigingen op te slaan.

Een laatste ding om te installeren, en dat is PHP. In dit artikel installeren we PHP vanaf de bron.

Voer de bronmap voor PHP in.

cd /usr/src/php-5.6.16

Configureer nu PHP. De volgende argumenten in de ./configureopdracht zijn aanwezig, zodat u applicaties zoals WordPress kunt uitvoeren.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

Installeer PHP-FPM voor NGINX:

yum install -y php-fpm

We moeten PHP-FPM bovenop PHP zelf installeren omdat NGINX zelf niet rechtstreeks met PHP integreert. In plaats daarvan geeft NGINX PHP-verwerking door aan PHP-FPM om onze scripts uit te voeren.

Goed gedaan! Je hebt de voorwaarden geïnstalleerd.

Stap 2: ModSecurity / NGINX configureren

Laten we beginnen met het bouwen van een ModSecurity-regelset. ModSecurity doet niets alleen totdat u het configureert.

Pak de OWASP-regelset van hun website:

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

Nadat je de regelset hebt gedownload, combineren we de standaardconfiguratie met de basisregels.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

In theorie zou dit moeten beschermen tegen de meeste webexploits. De plug-ins / code die u installeert, moeten echter ook worden gecontroleerd, want hoewel ModSecurity een uitstekende beveiligingsmaatregel is, is het niet kogelvrij.

Maak een directory op /var/www:

mkdir /var/www

En een map voor uw virtuele host:

mkdir /var/www/yourwebsite.com

Voeg ten slotte het volgende toe aan uw NGINX-configuratie op /usr/local/nginx/conf/nginx.conf. Zorg ervoor dat u deze configuratie toevoegt voordat het laatste }symbool voorkomt .

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

Stap 3: PHP-FPM en NGINX starten

Deze stap is vrij eenvoudig - u hoeft alleen maar de volgende opdrachten uit te voeren.

service php-fpm start
/usr/sbin/nginx

Gefeliciteerd! Je hebt je eerste website opgezet met NGINX beschermd door ModSecurity. Bezoek hun officiële site voor meer informatie over ModSecurity .