nginx waf防火墙之Modsecurity
创始人
2024-06-03 10:04:08
0

waf防火墙可以拦截一些非法请求,毕竟谁都不能保证自己的代码没有bug.

参考文档:Compilation recipes for v3.x · SpiderLabs/ModSecurity Wiki · GitHub

本次安装环境:Centos8 Stream

本次使用为nginx  1.22.1版本

本次安装方式为动态库安装及加载

主要实现功能:仅允许境内访问,拦截自动跳转,频率访问限制

1.配置powertools源,并安装依赖环境

 a.新增repo文件 /etc/yum.repos.d/powertools.repo   内容如下

vim /etc/yum.repos.d/powertools.repo
[powertools1]
name=Extra Packages for Enterprise Linux $releasever - $basearch
baseurl=https://mirrors.aliyun.com/centos/8-stream/PowerTools/x86_64/os/
enabled=1
gpgcheck=0

b.安装依赖环境

dnf install -y gcc-c++ flex bison yajl yajl-devel curl-devel curl GeoIP-devel doxygen zlib-devel lmdb lmdb-devel libxml2 libxml2-devel ssdeep ssdeep-devel lua lua-devel

2.安装ModSecurity

cd /opt/
git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity
cd ModSecurity
git submodule init
git submodule update
./build.sh
./configure  --with-lmdb # ip地域访问模块
make -j 4
make install

3.下载 ModSecurity-nginx 连接器

cd /opt/
git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git

 4.安装NGINX服务

centos8 stream 默认的nginx 是1.14版本,需要重置一下版本,安装目前最新版

dnf module reset nginx -y 
dnf module enable nginx:1.22 -y 
dnf remove nginx -y   # 如果有老版本nginx,建议卸载安装最新版本
dnf install nginx -y 

5.编译waf动态库 

cd /opt/
wget http://nginx.org/download/nginx-1.22.1.tar.gz
tar zxvf nginx-1.22.1.tar.gz
cd nginx-1.22.1
sudo ./configure --with-compat --add-dynamic-module=../ModSecurity-nginx
sudo make modules
mkdir  -pv /etc/nginx/modules
\cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules/

6.配置NGINX

a.在nginx.conf 添加如下配置 

load_module "/etc/nginx/modules/ngx_http_modsecurity_module.so";

 b.配置规则

mkdir /etc/nginx/conf.d/modsecurity
cp /opt/ModSecurity/modsecurity.conf-recommended /etc/nginx/conf.d/modsecurity/modsecurity.conf
cp /opt/ModSecurity/unicode.mapping /etc/nginx/conf.d/modsecurity/unicode.mapping
cd /opt/
wget https://github.com/coreruleset/coreruleset/archive/v3.3.4.tar.gz
tar xvf v3.3.4.tar.gz 
cd coreruleset-3.3.4/
cp -a rules /etc/nginx/conf.d/modsecurity/
cp crs-setup.conf.example /etc/nginx/conf.d/modsecurity/crs-setup.conf

c.启用waf拦截,在nginx.conf配置文件 http 块内加入配置【在http节点添加表示全局配置,在server节点添加表示为指定网站配置】

modsecurity on;
modsecurity_rules_file /etc/nginx/conf.d/modsecurity/modsecurity.conf;

d.编辑 modsecurity.conf

vim /etc/nginx/conf.d/modsecurity/modsecurity.conf

将下面字段修改如下

SecRuleEngine DetectionOnly 改为 SecRuleEngine On

同时添加以下内容:

Include /etc/nginx/conf.d/modsecurity/crs-setup.conf
Include /etc/nginx/conf.d/modsecurity/rules/*.conf

e.自定义规则

#可将自己写的规则放置于此两个文件中
cd /etc/nginx/conf.d/modsecurity/rules/
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

7.拦截指定区域ip

 a.该地理位置拦截需要用到 geoip 库,下载该ip库:https://download.csdn.net/download/ly1358152944/87575813

或者自己去官方下载: https://www.maxmind.com/en/accounts/387514/geoip/downloads

 

mkdir -pv /etc/nginx/conf.d/modsecurity/geoip/# 并将下载好的文件解压,将文件 GeoLite2-Country.mmdb 放到该目录中

b.修改配置文件  /etc/nginx/conf.d/modsecurity/crs-setup.conf 在 713行左右,添加如下内容

SecGeoLookupDB /etc/nginx/conf.d/modsecurity/geoip/GeoLite2-Country.mmdb

c.配置自定义规则,修改文件  /etc/nginx/conf.d/modsecurity/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf

#将以下规则,复制到文件中,规则id如与自己编写的规则ID冲突,直接更改即可:
SecRule REMOTE_ADDR "@geoLookup" "chain,id:22,deny,phase:1,log,msg:'Non-China IP address'"
SecRule GEO:COUNTRY_CODE "!@rx CN|HK|TW|MO"


上规则表示,仅允许中国的IP地址进行访问,其他国家的IP地址若访问网站,则直接阻断。

之所以同时使用CN、HK、TW、MO,是因为在ISO 3166-1标准中,CN仅代表中国内地,不包含港澳台,因此在此直接将港澳台的代码添加其中,如果只希望中国内地的IP地址进行访问,复制以下规则即可:

SecRule REMOTE_ADDR "@geoLookup" "chain,id:22,deny,phase:1,log,msg:'Non-CN IP address'"
SecRule GEO:COUNTRY_CODE "!@rx CN"
SecMarker "END-BEFORE-RULE-EXCLUSIONS"  # 该配置为规则结束,应位于配置最底部  

8.访问速率限制

【nginx 通过自带的limit 模块进行限制】Module ngx_http_limit_req_module

9.自动跳转页面

需要设置默认的拦截跳转规则,在 /etc/nginx/conf.d/modsecurity/crs-setup.conf 修改如下配置,大约100行左右

SecDefaultAction "phase:1,deny,log,noauditlog,status:302,redirect:http://cdn.hiheyin.    com/intercept.html?url=%{REQUEST_URI}&intercept_domain=%{request_headers.host}"SecDefaultAction "phase:2,deny,log,noauditlog,status:302,redirect:http://cdn.hiheyin.    com/intercept.html?url=%{REQUEST_URI}&intercept_domain=%{request_headers.host}"

intercept.html 内容如下:



访问被拦截





Warning:


当前的操作可能包含恶意代码,可能会对网站造成安全威胁,已被服务器防火墙拦截。



当访问带有异常参数的时候,会出现下面错误

 在服务器的 /var/log/modsec_audit.log 可以查看详细拦截日志

相关内容

热门资讯

安卓4.4系统tv软件,探索安... 亲爱的读者们,你是否曾为家里的电视屏幕增添一些智能的魔力而烦恼?别担心,今天我要给你带来一个超级实用...
安卓系统的研究人物,安卓系统发... 你知道吗?在科技飞速发展的今天,安卓系统可是占据了智能手机市场的大半壁江山。而在这片广阔的天地里,有...
山寨苹果刷会安卓系统,安卓系统... 你知道吗?在科技圈里,总有一些让人眼前一亮的小秘密。今天,我要给你揭秘一个关于山寨苹果刷安卓系统的神...
安卓系统新用户登录,畅享智能生... 你刚刚入手了一台全新的安卓手机,是不是有点小激动呢?别急,别急,让我来给你详细介绍一下安卓系统新用户...
安卓8.0系统推荐版本,体验流... 你有没有发现,手机系统更新换代的速度简直就像小孩子的成长一样快?这不,安卓8.0系统已经悄悄地来到了...
安卓系统怎么分享位置吗,一键操... 你是不是也有过这样的经历:和朋友约好见面,却因为找不到对方而急得团团转?别担心,今天就来教你怎么在安...
安卓系统更新加速器,畅享极速升... 你有没有发现,手机更新系统的时候总是慢吞吞的,让人等得心痒痒?别急,今天就来给你安利一款神器——安卓...
百答系统和安卓系统区别,差异解... 你有没有想过,为什么你的手机里装了那么多应用,却还是觉得信息不够全面?其实,这背后的大脑——操作系统...
安卓锁系统设置软件,软件设置与... 手机里的秘密可多了去了,是不是有时候你也会觉得,这手机里的信息要是被别人看到了可怎么办呢?别担心,今...
安卓电视u盘游戏系统,轻松畅享... 你有没有想过,家里的安卓电视也能玩上那些刺激的电脑游戏呢?没错,就是那种让你一玩就停不下来的游戏!今...
挂载安卓系统为读写权限,读写权... 你有没有想过,你的手机里那些神奇的安卓系统,竟然可以赋予某些应用读写权限?这听起来是不是有点像科幻电...
安卓12系统怎么打补丁,保障设... 亲爱的安卓用户们,你是否也遇到了系统卡顿、bug频发的小烦恼呢?别急,今天就来给你支个招——安卓12...
客厅电脑用安卓系统好吗,体验智... 亲爱的读者,你是不是在为客厅电脑选择操作系统而烦恼呢?安卓系统,这个我们日常手机上常见的操作系统,是...
安卓系统能看访客记录,轻松查看... 你有没有想过,你的安卓手机里藏着一个小秘密?没错,就是访客记录!是的,你没听错,你的手机里竟然能查看...
印度安卓系统电脑推荐,性能卓越... 你有没有想过,在印度这片神奇的土地上,用一台安卓系统电脑会是怎样的体验呢?想象阳光洒在泰姬陵的白色大...
安卓系统合作公司,安卓系统合作... 你知道吗?在科技的世界里,安卓系统可是个超级明星呢!它不仅拥有庞大的用户群体,还吸引了一大批合作公司...
苹果表有安卓系统时间,时间同步... 你有没有发现,最近苹果表也开始支持安卓系统了?没错,就是那个一直以封闭著称的苹果,竟然也开始拥抱安卓...
原生安卓系统裁剪图片,原生安卓... 你有没有发现,用原生安卓系统拍照,有时候拍出来的照片分辨率超高,但就是有点大,想裁剪却不知道怎么操作...
安卓系统蓝牙开关APP,安卓系... 你有没有遇到过这种情况:手机里的安卓系统蓝牙开关总是让人摸不着头脑?有时候想开蓝牙,却找不到开关在哪...
安卓系统能登录ios系统王者吗... 你有没有想过,安卓系的手机能不能登录iOS系统的王者荣耀呢?这可是个让人好奇不已的问题哦!毕竟,两个...