如何在CentOS 7上安装Oxwall
Oxwall是一个开源社交网络软件平台,可用于免费构建自定义社交网站(SNS)。在这篇文章中,
如何在CentOS 7,Debian 8和Ubuntu 16.04上为Nginx安装ModSecurity
ModSecurity是一个开放源代码Web应用程序防火墙(WAF)模块,非常适合保护Apache,Nginx和IIS免受针对各种Web应用程序中潜在漏洞的各种网络攻击。
在本文中,我们将在CentOS 7,Debian 8和Ubuntu 16.04上为Nginx安装和配置ModSecurity。
先决条件
- 一个向上最新安装的CentOS 7,8的Debian,或Ubuntu 16.04 64位的。
- 以身份登录
root。
步骤1:更新系统
按照本指南,将服务器的内核和软件包更新为最新的可用版本。
步骤2:安装依赖项
在成功编译Nginx和ModSecurity之前,您需要按照以下步骤安装几个软件包。
a)在CentOS 7上:
yum groupinstall -y "Development Tools"
yum install -y httpd httpd-devel pcre pcre-devel libxml2 libxml2-devel curl curl-devel openssl openssl-devel
shutdown -r now
b)在Debian 8或Ubuntu 16.04上:
apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf
步骤3:编译ModSecurity
由于ModSecurity for Nginx master分支上报告了一些不稳定性,因此,目前官方建议尽可能使用该nginx_refactoring分支的最新版本。
下载nginx_refactoringModSecurity for Nginx 的分支:
cd /usr/src
git clone -b nginx_refactoring https://github.com/SpiderLabs/ModSecurity.git
编译ModSecurity:
a)在CentOS 7上:
cd ModSecurity
sed -i '/AC_PROG_CC/a\AM_PROG_CC_C_O' configure.ac
sed -i '1 i\AUTOMAKE_OPTIONS = subdir-objects' Makefile.am
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
注意:sed当使用较新的automake版本时,以上两个命令用于防止出现警告消息。
b)在Debian 8或Ubuntu 16.04上:
cd ModSecurity
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
步骤4:编译Nginx
Nginx 1.10.3在撰写本文时,下载并取消存档Nginx的最新稳定版本:
cd /usr/src
wget https://nginx.org/download/nginx-1.10.3.tar.gz
tar -zxvf nginx-1.10.3.tar.gz && rm -f nginx-1.10.3.tar.gz
a)在CentOS 7上:
首先,您需要为Nginx 创建一个专用用户nginx和一个专用组nginx:
groupadd -r nginx
useradd -r -g nginx -s /sbin/nologin -M nginx
然后在启用ModSecurity和SSL模块的同时编译Nginx:
cd nginx-1.10.3/
./configure --user=nginx --group=nginx --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
修改Nginx的默认用户:
sed -i "s/#user nobody;/user nginx nginx;/" /usr/local/nginx/conf/nginx.conf
b)在Debian 8或Ubuntu 16.04上:
首先,您应该使用现有用户www-data和现有组www-data。
然后在启用ModSecurity和SSL模块的同时编译Nginx:
cd nginx-1.10.3/
./configure --user=www-data --group=www-data --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
修改Nginx的默认用户:
sed -i "s/#user nobody;/user www-data www-data;/" /usr/local/nginx/conf/nginx.conf
成功安装Nginx之后,相关文件将位于:
nginx path prefix: "/usr/local/nginx"
nginx binary file: "/usr/local/nginx/sbin/nginx"
nginx modules path: "/usr/local/nginx/modules"
nginx configuration prefix: "/usr/local/nginx/conf"
nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
nginx pid file: "/usr/local/nginx/logs/nginx.pid"
nginx error log file: "/usr/local/nginx/logs/error.log"
nginx http access log file: "/usr/local/nginx/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"
您可以使用以下方法测试安装:
/usr/local/nginx/sbin/nginx -t
如果一切正常,输出应为:
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
为了您的方便,您可以为Nginx设置一个systemd单位文件:
cat <<EOF>> /lib/systemd/system/nginx.service
[Service]
Type=forking
ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
KillStop=/usr/local/nginx/sbin/nginx -s stop
KillMode=process
Restart=on-failure
RestartSec=42s
PrivateTmp=true
LimitNOFILE=200000
[Install]
WantedBy=multi-user.target
EOF
继续前进,您可以按照以下步骤启动/停止/重启Nginx:
systemctl start nginx.service
systemctl stop nginx.service
systemctl restart nginx.service
步骤4:配置ModSecurity和Nginx
4.1配置Nginx
vi /usr/local/nginx/conf/nginx.conf
在细分中找到以下http {}细分:
location / {
root html;
index index.html index.htm;
}
将以下各行插入到该location / {}段中:
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
最终结果应为:
location / {
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
root html;
index index.html index.htm;
}
保存并退出:
:wq!
注意:上面的Nginx配置只是用于将Nginx用作Web服务器而不是反向代理的示例配置。如果您将Nginx用作反向代理,请删除#最后两行中的字符并对其进行适当的修改。
4.2创建一个名为/usr/local/nginx/conf/modsec_includes.conf:
cat <<EOF>> /usr/local/nginx/conf/modsec_includes.conf
include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/*.conf
EOF
注意:上面的配置将应用目录中的所有OWASP ModSecurity核心规则owasp-modsecurity-crs/rules/。如果只想应用选择性规则,则应删除include owasp-modsecurity-crs/rules/*.conf行,然后在步骤4.5之后指定所需的确切规则。
4.3导入ModSecurity配置文件:
cp /usr/src/ModSecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/ModSecurity/unicode.mapping /usr/local/nginx/conf/
4.4修改/usr/local/nginx/conf/modsecurity.conf文件:
sed -i "s/SecRuleEngine DetectionOnly/SecRuleEngine On/" /usr/local/nginx/conf/modsecurity.conf
4.5添加OWASP ModSecurity CRS(核心规则集)文件:
cd /usr/local/nginx/conf
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd owasp-modsecurity-crs
mv crs-setup.conf.example crs-setup.conf
cd rules
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
步骤5:测试ModSecurity
启动Nginx:
systemctl start nginx.service
打开端口80以允许外部访问:
a)在CentOS 7上:
firewall-cmd --zone=public --permanent --add-service=http
firewall-cmd --reload
b)在Debian 8上:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
touch /etc/iptables
iptables-save > /etc/iptables
c)在Ubuntu 16.04上:
ufw allow OpenSSH
ufw allow 80
ufw default deny
ufw enable
将您的网络浏览器指向:
http://203.0.113.1/?param="><script>alert(1);</script>
使用grep如下获取错误信息:
grep error /usr/local/nginx/logs/error.log
输出应包含多个错误消息,它们类似于:
2017/02/15 14:07:54 [error] 10776#0: [client 104.20.23.240] ModSecurity: Warning. detected XSS using libinjection. [file "/usr/local/nginx/conf/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "56"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data: found within ARGS:param: \x22><script>alert(1);</script>"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"] [hostname ""] [uri "/index.html"] [unique_id "ATAcAcAkucAchGAcPLAcAcAY"]
而已。如您所见,ModSecurity模块已根据其默认操作策略成功记录了此攻击。如果您要进行更多的自定义设置,请仔细检查并编辑/usr/local/nginx/conf/modsecurity.conf和/usr/local/nginx/conf/owasp-modsecurity-crs/crs-setup.conf归档。
如何在CentOS 7上设置vsFTPd
FTP是用于通过Internet传输文件的有用协议,本指南将向您展示如何设置vsFTPd(非常安全的文件传输协议守护程序)o
使用Nethogs监视网络带宽使用情况
在本教程中,我们将介绍在CentOS 6x x64上安装和使用nethogs的过程。nethogs是一种网络监视工具,它允许Networ
如何在CentOS 7上安装BoltWire CMS
使用其他系统?简介BoltWire是一个用PHP编写的免费,轻量级的内容管理系统。与大多数其他内容管理人员相比
在CentOS 6上设置SA-MP San Andreas多人服务器
欢迎来到另一个Vultr教程。在这里,您将学习如何安装和运行SAMP服务器。本指南是为CentOS 6编写的。先决条件
使用Etckeeper进行/ etc的版本控制
简介/ etc /目录在Linux系统运行中起着至关重要的作用。其原因是因为几乎每个系统配置
如何在CentOS 7上安装Microweber
使用其他系统?Microweber是一个开放源代码的拖放式CMS和在线商店。Microweber源代码托管在GitHub上。本指南将向您展示
如何在CentOS 7上安装SonarQube
使用其他系统?SonarQube是用于质量系统开发的开源工具。它是用Java编写的,并且支持多个数据库。它提供
如何在CentOS 7上使用Mosh进行远程服务器管理
使用其他系统?Mosh是Mobile Shell的缩写,是一种新兴的远程终端应用程序,旨在提供更好的连接和使用
如何在CentOS 7上安装MoinMoin
MoinMoin是一个使用Python编写的基于文件系统的开源Wiki引擎。如今,MoinMoin已广泛用于开源社区。许多供应商
在CentOS 7上安装H2O Web服务器
H2O是新一代HTTP服务器,它对所有当前使用的Web服务器都具有出色的,功能齐全的HTTP / 2实现。使用H2O作为您的Web服务器
如何在Debian,CentOS和FreeBSD上使用Sudo
在Linux和Unix系统管理员中,使用sudo用户访问服务器并在root级执行命令是一种非常普遍的做法。使用泡沫
如何在Ubuntu 16.10上安装Countly Analytics
使用其他系统?Countly是一个开源Web /移动分析和营销平台。它具有许多用于从Web收集数据的功能
如何在CentOS 7上安装MODX CMS和Nginx
MODX是一个用PHP编写的免费开放源内容管理系统。它使用MySQL或MariaDB来存储其数据库。MODX专为满足以下条件的企业而设计:
如何在CentOS 7 LAMP VPS上安装Lychee 3.1相册
使用其他系统?Lychee 3.1相册是一种简单,灵活,免费和开源的照片管理工具,可在VPS服务器上运行。安装
如何在CentOS 7上安装ERPNext开源ERP
使用其他系统?ERP或企业资源计划是用于管理核心业务流程的企业应用程序套件。ERPNext是免费的
如何在CentOS 7 LAMP VPS上安装Paste 2.1
使用其他系统?Paste 2.1是一个简单,灵活,免费和开源的pastebin应用程序,用于存储代码,文本等。最初是
如何在CentOS 7上安装Seafile Server
使用其他系统?Seafile(社区版本)是一个免费和开源的文件同步和共享解决方案,类似于ownCloud。机智
如何在CentOS 7上安装Kolab组件
使用其他系统?Kolab Groupware是一个免费的基于Web的开源组件软件。它的功能包括电子邮件通信,事件
如何在CentOS 7 LAMP VPS上安装Omeka Classic 2.4 CMS
使用其他系统?Omeka Classic 2.4 CMS是一个免费的开源数字发布平台和用于共享数字内容的内容管理系统(CMS)
AI 能否應對越來越多的勒索軟件攻擊?
勒索軟件攻擊呈上升趨勢,但人工智能能否幫助應對最新的計算機病毒?AI 是答案嗎?在這裡閱讀知道是 AI 布恩還是禍根
ReactOS:這是 Windows 的未來嗎?
ReactOS,一個開源和免費的操作系統,這裡有最新版本。它能否滿足現代 Windows 用戶的需求並打倒微軟?讓我們更多地了解這種老式但更新的操作系統體驗。
通過 WhatsApp 桌面應用程序 24*7 保持聯繫
Whatsapp 終於為 Mac 和 Windows 用戶推出了桌面應用程序。現在您可以輕鬆地從 Windows 或 Mac 訪問 Whatsapp。適用於 Windows 8+ 和 Mac OS 10.9+
人工智能如何將流程自動化提升到新的水平?
閱讀本文以了解人工智能如何在小型公司中變得流行,以及它如何增加使它們成長並為競爭對手提供優勢的可能性。
macOS Catalina 10.15.4 補充更新引發的問題多於解決
最近,Apple 發布了 macOS Catalina 10.15.4 補充更新以修復問題,但似乎該更新引起了更多問題,導致 mac 機器變磚。閱讀這篇文章以了解更多信息
大數據的13個商業數據提取工具
大數據的13個商業數據提取工具
什麼是日誌文件系統,它是如何工作的?
我們的計算機以稱為日誌文件系統的有組織的方式存儲所有數據。這是一種有效的方法,可以讓計算機在您點擊搜索時立即搜索和顯示文件。 https://wethegeek.com/?p=94116&preview=true
技術奇點:人類文明的遙遠未來?
隨著科學的快速發展,接管了我們的大量工作,我們陷入無法解釋的奇點的風險也在增加。閱讀,奇點對我們意味著什麼。
洞察 26 種大數據分析技術:第 1 部分
洞察 26 種大數據分析技術:第 1 部分
2021 年人工智能對醫療保健的影響
過去幾十年,醫療保健領域的人工智能取得了巨大飛躍。因此,醫療保健中人工智能的未來仍在日益增長。