ModSecurity
在Ubuntu和Nginx上安装,nginx版本为1.14.0。
安装需要包
apt-get install -y apt-utils autoconf automake build-essential git libcurl4-openssl-dev libgeoip-dev liblmdb-dev libpcre++-dev libtool libxml2-dev libyajl-dev pkgconf wget zlib1g-dev
下载编译ModSecurity 3.0源代码
git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity
进入目录运行编译
./build.sh
git submodule init
git submodule update
./configure
make
make install
如果出现fatal: No names found, cannot describe anything.
,是可以忽略的。
ModSecurity连接器
下载连接器代码
git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git
根据已安装的nginx版本安装需要的nginx原代码
wget http://nginx.org/download/nginx-1.14.0.tar.gz
tar zxvf nginx-1.14.0.tar.gz
需要把连接器编译为动态模块到nginx中,到nginx目录下,其中的编译命令根据nginx -V
来决定。
./configure --with-compat --add-dynamic-module=../ModSecurity-nginx
make modules
mkdir /etc/nginx/modules
cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules/
PS:运行nginx -t
测试nginx运行,如果出现报错ModSecurity二进制文件不匹配,则可能是nginx版本验证不匹配,那就需要源码编译安装nginx,同时把ModSecurity一起编译。
加载nginx动态模块
编译完成后的动态模块需要到配置文件中启动加载,修改配置文件/etc/nginx/nginx.conf
中
load_module /etc/nginx/modules/ngx_http_modsecurity_module.so;
启用和测试规则
安装Spiderlabs的规则
mkdir /etc/nginx/modsec
wget -P /etc/nginx/modsec/ https://raw.githubusercontent.com/SpiderLabs/ModSecurity/v3/master/modsecurity.conf-recommended
mv /etc/nginx/modsec/modsecurity.conf-recommended /etc/nginx/modsec/modsecurity.conf
把ModSecurity中的unicode.mapping文件复制到以上目录
cp ModSecurity/unicode.mapping /etc/nginx/modsec
修改配置文件,其中配置部分被注释,需要安需要启用。
SecRuleEngine DetectionOnly #仅检测恶意流量,改为on为丢弃恶意流量
添加owasp的规则,在nginx下创建目录
mkdir owasp-modsecurity-crs
cd owasp-modsecurity-crs
wget https://github.com/coreruleset/coreruleset/archive/v3.3.0.tar.gz
mv crs-setup.conf.example crs-setup.conf
mv rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
在modsec中修改modsecurity.conf,添加配置文件,同时把rules目录下的配置文件添加进去
Include /etc/nginx/modsec/owasp-modsecurity-crs/coreruleset-3.3.0/crs-setup.conf
Include /etc/nginx/modsec/owasp-modsecurity-crs/coreruleset-3.3.0/rules/*.conf
在nginx配置文件中添加此配置
vi sites-enabled/default
server {
listen 80;
modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/modsecurity.conf;
}
可以到crs配置文件中找到对应的规则来启用,比如如下启用id为900240的后缀文件检测
C:\Users\user>curl http://192.168.120.142/admin.db
<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.14.0</center>
</body>
</html>
默认情况下会拦截常见的web攻击,比如
C:\Users\user>curl http://192.168.120.142/admin.php?id=1%20and%201=1
<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.14.0</center>
</body>
</html>
配置新的conf文件
如果默认的规则文件不符合需求,获取由于其他原因需要添加规则。先看一个普通的规则是怎么样的
SecRule REQUEST_FILENAME "@endsWith /wp-login.php" \
"id:1003,\
phase:2,\
pass,\
nolog,\
ctl:ruleRemoveTargetByTag=OWASP_CRS;ARGS:pwd"
相当于在wp-login.php页面中,禁用对参数pwd的拦截检查。其中的格式是
SecRule VARIABLES OPERATOR ACTIONS
VARIABLES :代表HTTP包中的标识项,规定了安全规则针对的对象。
OPERATOR:代表操作符,一般用来定义安全规则的匹配条件。
ACTIONS:代表响应动作,一般用来定义数据包被规则命中后的响应动作。
比如,我们打算写一个只允许特定IP访问的路径。这时候需要两条规则来判断,需要chain
来连接动作。把它保存到上面crs配置文件路径。重启nginx
SecRule REQUEST_FILENAME "@endsWith /login.php" \
"id:91002,\
phase:1,\
pass,\
nolog,\
deny,\
chain"
SecRule REMOTE_ADDR "!@ipMatch 192.168.120.1" \
"t:none"
配置文档参考:http://www.modsecurity.cn/chm/ConfigurationDirectives.html
VeryNginx
VeryNginx 基于 lua_nginx_module(openrestry)
开发。 集成在 Nginx 中运行,扩展了 Nginx 本身的功能,并提供了友好的 Web 交互界面。本质上这并不是一个WAF,只是openrestry的界面化。但是可以通过界面化的配置规则来实现waf的功能。
https://github.com/alexazhou/VeryNginx
一键配置
克隆 VeryNginx 仓库到本地, 然后进入仓库目录,执行以下命令
python install.py install
即可一键安装 VeryNginx 和 以及依赖的 OpenResty,可以先修改其中的版本为新版本地址再安装。
手动安装
手动安装,需要本地的nginx有openrestry,所以先安装。
apt-get install libreadline-dev libpcre3-dev libssl-dev perl
wget https://openresty.org/download/openresty-1.17.8.2.tar.gz
./configure -j2
make -j2
sudo make install
export PATH=/usr/local/openresty/bin:$PATH
这时候会把openrestry加入快捷命令,如果直接执行openrestry将开启自带的nginx。
再来安装verynginx
python install.py install verynginx
在nginx的配置文件中添加以下规则,需要配置到不同的地方。
include /opt/verynginx/verynginx/nginx_conf/in_external.conf; #http外部
include /opt/verynginx/verynginx/nginx_conf/in_http_block.conf; #http内部
include /opt/verynginx/verynginx/nginx_conf/in_server_block.conf; #server内部
在地址/verynginx/index_zh.html
下即可访问到页面。
默认的账号密码都是verynginx
/ verynginx
。添加规则的方式比modsecurity简单,但自带的规则过于简单,需要自己添加规则。
已有的规则可以参考:https://github.com/unixhot/waf
JxWaf
https://github.com/jx-sec/jxwaf
jxwaf(锦衣盾)是一款开源WEB应用防火墙,分为客户端和服务端,客户端也是openrestry开发而来。
服务端安装
采用私有化部署
docker run -d -p 80:80 jxwaf/jxwaf-server:latest
拉取后,访问地址邮箱验证码随便填写,注册账号在全局配置页面获取”api key”和”api password”
客户端安装
git clone https://github.com/jx-sec/jxwaf.git
cd jxwaf
sh install_waf.sh
在下载的文件内:
cd tools
python jxwaf_init.py --api_key=xxxx --api_password=xxxx --waf_server=http://192.168.1.1
/opt/jxwaf/nginx/sbin/nginx
在网站管理中添加对应的域名和IP端口
Janusec
可多节点布置的应用网关。https://github.com/Janusec/janusec
wget https://www.janusec.com/download/janusec-latest.tar.gz
tar zxf ./janusec-latest.tar.gz
cd janusec-0.9.9
./install.sh
此处选择的是1,主节点。默认安装的路径为 /usr/local/janusec/
由于需要postgresql
sudo apt-get install postgresql postgresql-client
sudo -i -u postgres
create user janusec with password 'janusec';
create database janusec owner janusec;
grant all on database janusec to janusec;
\q
然后编辑 /usr/local/janusec/config.json
,尝试开启waf
systemctl start janusec
设置中管理太台监听设置为true,则使用http:9080端口,此处修改为false,直接在目录janusec-admin/
默认用户名:admin
,默认口令:J@nusec123
。在应用管理中添加IP端口信息即可。