Skonfiguruj NGINX z ModSecurity na CentOS 6

Krok 1: Instalowanie wymagań wstępnych
Krok 2: Konfiguracja ModSecurity / NGINX
Krok 3: Uruchomienie PHP-FPM i NGINX

W tym artykule wyjaśnię, jak zbudować stos LEMP chroniony przez ModSecurity. ModSecurity to zapora sieciowa typu open source, która jest przydatna do ochrony przed wstrzyknięciami, atakami PHP i innymi. Jeśli chcesz skonfigurować NGINX za pomocą ModSecurity, czytaj dalej.

Wszystkie kroki w tym artykule wymagają dostępu do konta root.

Krok 1: Instalowanie wymagań wstępnych

Jeśli jeszcze nie działasz jako użytkownik root, eskaluj się:

/bin/su

Potrzebujemy kompilatora, dlatego wykonaj następujące czynności, aby się upewnić:

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools'

Aby zainstalować NGINX, musimy najpierw uzyskać pakiet. Pobierz pakiet:

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

Będziemy również wymagać pakietu PHP dla naszego stosu.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

Ponieważ instalujemy ModSecurity, pobierzemy źródło i pobierzmy:

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

Teraz rozpakuj / rozpakuj pliki.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz

Następnie zainstalujemy ModSecurity.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

Po uzyskaniu wszystkich wymagań wstępnych zainstalujmy NGINX. Poniższy zestaw poleceń dotyczy instalacji NGINX i ModSecurity.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

Teraz zainstalujmy serwer MySQL.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

Dla mysql_secure_installationpolecenia:

Naciśnij Enter na pierwszym etapie kreatora instalacji.
Wpisz Y po wyświetleniu monitu, czy należy ustawić nowe hasło root MySQL.
Wpisz nowe hasło, potwierdź, wpisując je ponownie.
Naciśnij klawisz Y, aby usunąć anonimowych użytkowników, nie zezwalaj na zdalny dostęp root do MySQL, naciskając ponownie klawisz Y.
Naciśnij Y ostatni raz, aby usunąć testową bazę danych / użytkownika.
Na koniec naciśnij Y, aby zapisać zmiany.

Ostatnia rzecz do zainstalowania, a to PHP. W tym artykule zainstalujemy PHP ze źródła.

Wpisz katalog źródłowy dla PHP.

cd /usr/src/php-5.6.16

Teraz skonfiguruj PHP. Następujące argumenty w ./configurepoleceniu służą do uruchamiania aplikacji takich jak WordPress.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

Zainstaluj PHP-FPM dla NGINX:

yum install -y php-fpm

Musimy zainstalować PHP-FPM na samym PHP, ponieważ sama NGINX nie integruje się bezpośrednio z PHP. Zamiast tego NGINX przekazuje przetwarzanie PHP do PHP-FPM w celu wykonania naszych skryptów.

Dobra robota! Zainstalowano wymagania wstępne.

Krok 2: Konfiguracja ModSecurity / NGINX

Zacznijmy od zbudowania zestawu reguł ModSecurity. ModSecurity sam nic nie robi, dopóki go nie skonfigurujesz.

Pobierz zestaw reguł OWASP z ich strony internetowej:

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

Po pobraniu zestawu reguł połączymy domyślną konfigurację z regułami podstawowymi.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

Teoretycznie powinno to chronić przed większością exploitów sieciowych. Jednak zainstalowane wtyczki / kod powinny również zostać poddane audytowi, ponieważ chociaż ModSecurity jest doskonałym środkiem bezpieczeństwa, nie jest kuloodporny.

Utwórz katalog w /var/www:

mkdir /var/www

I katalog dla twojego wirtualnego hosta:

mkdir /var/www/yourwebsite.com

Na koniec dołącz następujące elementy do konfiguracji NGINX znajdującej się pod adresem /usr/local/nginx/conf/nginx.conf. Pamiętaj o dołączeniu tej konfiguracji przed pojawieniem się ostatniego }symbolu.

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

Krok 3: Uruchomienie PHP-FPM i NGINX

Ten krok jest dość prosty - wystarczy wykonać następujące polecenia.

service php-fpm start
/usr/sbin/nginx

Gratulacje! Skonfigurowałeś swoją pierwszą stronę z NGINX chronionym przez ModSecurity. Więcej informacji na temat ModSecurity można znaleźć na ich oficjalnej stronie .

Tags: #CentOS #Linux Guides #Security #Web Servers

Comment *

Name *

Website

Jak zainstalować Anchor CMS na CentOS 7 LAMP VPS

Używasz innego systemu? Anchor CMS to bardzo prosty i niezwykle lekki, darmowy i otwarty system zarządzania treścią (CMS) Blog Engine, który

Jak zaktualizować CentOS 7, Ubuntu 16.04 i Debian 8

Podczas konfigurowania nowego serwera Linux zaleca się aktualizację jądra systemu i innych pakietów do najnowszej stabilnej wersji. W tym artykule

Skonfiguruj klaster RethinkDB w CentOS 7

Wprowadzenie RethinkDB to baza danych NoSQL, która przechowuje dane jako dokumenty JSON. Ma bardzo intuicyjny język zapytań i funkcje powszechnie dostępne

Skonfiguruj Magento na CentOS 6

Niezależnie od tego, czy chcesz umieścić zapasy sklepów online, czy po prostu prosty sklep z akcesoriami technicznymi, Magento jest doskonałym rozwiązaniem dla eCommerce online. Ten artykuł

Jak zainstalować i skonfigurować OrientDB Community Edition na CentOS 7

OrientDB to wielomodowy model open source NoSQL DBMS nowej generacji. Dzięki obsłudze wielu modeli danych, OrientDB może zapewnić większą funkcjonalność i elastyczność

Jak zainstalować Neos CMS na CentOS 7

Neos to innowacyjny system zarządzania treścią typu open source, który doskonale nadaje się do tworzenia i edytowania treści online. Z myślą o autorach i redaktorach, Neo

Jak zainstalować Vtiger CRM Open Source Edition na CentOS 7

Vtiger CRM to popularna aplikacja do zarządzania relacjami z klientami, która może pomóc przedsiębiorstwom zwiększyć sprzedaż, zapewnić obsługę klienta i zwiększyć zyski. ja

Jak zainstalować MaraDNS na CentOS 6

MaraDNS to lekki, ale solidny program serwera DNS typu open source. W porównaniu z innymi aplikacjami tego samego rodzaju, takimi jak ISC BIND, PowerDNS i djbdns

Instalowanie Netdata na CentOS 7

Używasz innego systemu? Netdata jest wschodzącą gwiazdą w dziedzinie monitorowania wskaźników systemowych w czasie rzeczywistym. W porównaniu z innymi narzędziami tego samego rodzaju, Netdata:

Jak zainstalować Starbound Server na CentOS 7

Używasz innego systemu? W tym samouczku wyjaśnię, jak skonfigurować serwer Starbound na CentOS 7. Wymagania wstępne Musisz mieć tę grę na sobie

Clustering RabbitMQ na CentOS 7

RabbitMQ to broker komunikatów typu open source, który obsługuje AMQP, STOMP i inne technologie komunikacyjne. Jest szeroko stosowany w aplikacjach dla przedsiębiorstw

Skonfiguruj SA-MP San Andreas Multiplayer Server na CentOS 6

Witamy w innym samouczku Vultr. Tutaj dowiesz się, jak zainstalować i uruchomić serwer SAMP. Ten przewodnik został napisany dla CentOS 6. Wymagania wstępne Będziesz potrzebował

Zainstaluj Elgg na CentOS 7

Używasz innego systemu? Elgg to silnik sieci społecznościowych typu open source, który umożliwia tworzenie środowisk społecznościowych, takich jak kampusowe sieci społecznościowe

Jak zainstalować serwer RStudio na CentOS 7

RStudio Server to internetowa wersja RStudio, która jest serią narzędzi zaprojektowanych w celu ułatwienia kodowania przy użyciu języka programowania R. W thi

Instalowanie Bolt CMS na CentOS 7

Bolt to open source CMS napisany w PHP. Kod źródłowy Bolts jest hostowany na GitHub. Ten przewodnik pokaże Ci, jak zainstalować Bolt CMS na nowym CentOS 7 Vult

Jak zainstalować Elasticsearch na instancji serwera Vultr CentOS 7

Elasticsearch to popularny wyszukiwarka pełnotekstowa i silnik analityczny typu open source. Dzięki swojej wszechstronności, skalowalności i łatwości użytkowania, Elasticsearch jest szeroko rozpowszechniony

Wdróż Kubernetes za pomocą Kubeadm na CentOS 7

Omówienie Ten artykuł ma na celu pomóc ci w szybkim uruchomieniu klastra Kubernetes z kubeadm. W tym przewodniku zostaną wdrożone dwa serwery

Sails.js należy skonfigurować do programowania w CentOS 7

Używasz innego systemu? Wprowadzenie Sails.js to framework MVC dla Node.js, podobny do Ruby on Rails. Umożliwia tworzenie nowoczesnych aplikacji wer

Jak zainstalować PufferPanel (bezpłatny panel sterowania Minecraft) na CentOS 7

Wprowadzenie W tym samouczku zainstaluj PufferPanel na naszym Vultr VPS. PufferPanel to otwarty, darmowy panel kontrolny do zarządzania tobą

Lepsze narzędzia monitorowania dla Ubuntu i CentOS

Wprowadzenie Systemy Linux są domyślnie dostarczane z narzędziami do monitorowania, takimi jak top, df i du, które pomagają monitorować procesy i miejsce na dysku. Często jednak są

Funkcjonalności warstw architektury referencyjnej Big Data

Przeczytaj blog, aby w najprostszy sposób poznać różne warstwy w architekturze Big Data i ich funkcjonalności.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Chcesz zobaczyć rewolucyjne wynalazki Google i jak te wynalazki zmieniły życie każdego człowieka dzisiaj? Następnie czytaj na blogu, aby zobaczyć wynalazki Google.

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Whatsapp w końcu uruchomił aplikację Desktop dla użytkowników komputerów Mac i Windows. Teraz możesz łatwo uzyskać dostęp do Whatsapp z systemu Windows lub Mac. Dostępne dla Windows 8+ i Mac OS 10.9+

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

Energia jądrowa jest zawsze pogardzana, nigdy jej nie szanujemy z powodu przeszłych wydarzeń, ale nie zawsze jest zła. Przeczytaj post, aby dowiedzieć się więcej na ten temat.

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Koncepcja autonomicznych samochodów, które wyjadą na drogi za pomocą sztucznej inteligencji, to marzenie, które mamy już od jakiegoś czasu. Ale pomimo kilku obietnic nigdzie ich nie widać. Przeczytaj ten blog, aby dowiedzieć się więcej…

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Wzrasta liczba ataków ransomware, ale czy sztuczna inteligencja może pomóc w radzeniu sobie z najnowszym wirusem komputerowym? Czy AI jest odpowiedzią? Przeczytaj tutaj, wiedz, że sztuczna inteligencja jest zmorą lub zgubą

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

Sztuczna inteligencja nie jest dla ludzi nową nazwą. Ponieważ sztuczna inteligencja jest włączona do każdego strumienia, jednym z nich jest opracowywanie narzędzi zwiększających ludzką wydajność i dokładność. Skorzystaj z tych niesamowitych narzędzi uczenia maszynowego i uprość swoje codzienne zadania.

Wgląd w 26 technik analizy Big Data: część 2

Zawsze potrzebujemy Big Data Analytics do efektywnego zarządzania danymi. W tym artykule omówiliśmy kilka technik analizy Big Data. Sprawdź ten artykuł.

Ataki DDOS: krótki przegląd

Czy jesteś również ofiarą ataków DDOS i nie masz pewności co do metod zapobiegania? Przeczytaj ten artykuł, aby rozwiązać swoje pytania.