nginx配合modsecurity实现WAF功能

admin

modsecurity原本是Apache上的一款开源waf，可以有效的增强web安全性，目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。
/ t5 R4 S7 H: e' H( h) |7 m3 ?
3 U& f/ I3 K/ D; {一.准备工作
, Q  H. ]) H- J7 r' G4 o
系统：centos 6.5 64位、 tengine 2.1.0， modsecurity 2.8.0

( \  g0 n- i4 R3 S) M7 ?tengine ： http://tengine.taobao.org/download/tengine-2.1.0.tar.gz
! V0 p  i0 L* Z+ e- t  Y
modsecurity for Nginx: https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

1 m, L5 h7 J9 S! I8 ^( OOWASP规则集： https://github.com/SpiderLabs/owasp-modsecurity-crs

! `/ M4 t( m6 v% {* t/ p依赖关系：
tengine（nginx）依赖： pcre 、zlib、 openssl， 这三个包centos 6.5 系统源里都有：
% R4 \) e8 Q3 s
  T4 Y9 G( N% z9 Y( k7 R4 T) Wyum install zlib zlib-devel openssl openssl-devel  pcre pcre-devel
modsecurty依赖的包：pcre httpd-devel libxml2 apr

yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel
& B0 i/ ]0 ]: I1 o' ^4 i二.启用standalone模块并编译
4 y# C/ F5 [7 k, J
: y- F1 H+ v1 @4 R' P  [下载modsecurity for nginx 解压，进入解压后目录执行：
/ j: V' d( q- G* R
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
  [, Q) A" ]& }! o  Amake
三.nginx添加modsecurity模块

$ N; t: N6 b# G2 @, Q  [8 y3 X在编译standalone后，nginx编译时可以通过"--add-module"添加modsecurity模块：
' d. M3 T8 ~8 p# [
./configure --add-module=/root/modsecurity-2.8.0/nginx/modsecurity/  --prefix=/opt/tengine
1 V% }' z2 z* _# emake && make install
四.添加规则

. o5 l2 R" \3 N* |modsecurity倾向于过滤和阻止web危险，之所以强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，当然也可以自定义规则来满足各种需求。
# a( o9 [7 }8 t9 h& }
# l1 }' ^2 F' c( Z5 Z$ P6 I1.下载OWASP规则：

* H* S1 T& E8 R+ tgit clone https://github.com/SpiderLabs/owasp-modsecurity-crs

mv owasp-modsecurity-crs /opt/tengine/conf/
9 M4 A9 W1 N* q  d; E* A' H
6 E# X8 J  b5 _4 T. l) }! hcd /opt/tengine/conf/owasp-modsecurity-crs && mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
9 x3 `/ @( H! T& Y' k7 n2.启用OWASP规则：
! R! f5 u& a. l
复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。
  E- N) {9 S. }5 o9 a. `
编辑modsecurity.conf 文件，将SecRuleEngine设置为 on

owasp-modsecurity-crs下有很多存放规则的文件夹，例如base_rules、experimental_rules、optional_rules、slr_rules，里面的规则按需要启用，需要启用的规则使用Include进来即可。
* H  w1 w  N& D
Include owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
Include owasp-modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
7 G+ t+ y& B) N+ WInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
2 G' B( n! s' A3 R+ X% A7 `$ bInclude owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
8 q9 f/ C- C- T$ T- S. EInclude owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_dos_protection.conf
Include owasp-modsecurity-crs/experimental_rules/modsecurity_crs_11_brute_force.conf
Include owasp-modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf
* ^/ w* o% j+ D五.配置nginx

+ T8 L# J/ I1 x: n2 q8 G在需要启用modsecurity的主机的location下面加入下面两行即可：
' o, l: e8 L- L2 }! U, P
ModSecurityEnabled on;  
5 {$ ~% Y; A: {# p* y; rModSecurityConfig modsecurity.conf;
下面是两个示例配置，php虚拟主机：

server {
: ?" [$ O8 |' W/ o5 M  W& ~      listen      80;
      server_name 52os.net www.52os.net;
     
      location ~ \.php$ {
      ModSecurityEnabled on;  
      ModSecurityConfig modsecurity.conf;
# D  ]7 r/ M0 A, r  U: X1 r) ]
      root /web/wordpress;
) E9 Q& w/ R! x- o" b  m  E& W      index index.php index.html index.htm;
  
      fastcgi_pass   127.0.0.1:9000;
, V# i; V$ P3 q3 j/ g1 J5 {, z) P      fastcgi_index  index.php;
! b  G9 R8 {9 c8 t& b" [      fastcgi_param  SCRIPT_FILENAME  $Document_root$fastcgi_script_name;
      include        fastcgi_params;
# o+ J$ W" N3 y" k, k$ ]5 y      }
3 X) A) q: k, W0 r9 p  }
1 F, I" V1 ^% ]/ t2 aupstream负载均衡：
4 r$ T$ Q( e: J' `$ t8 u( g
upstream 52os.net {
! h$ ~0 G! q( f6 d% N4 H$ R2 Q4 Y* ]    server 192.168.1.100:8080;
" i1 N# p  V. H9 C9 i    server 192.168.1.101:8080 backup;
}

& E( e- f& l% o) J5 K$ eserver {
listen 80;
server_name 52os.net www.52os.net;
6 H; b; g* k7 y- [$ j6 L' ]
location / {
3 Y. O" w2 J; T9 q- G    ModSecurityEnabled on;  
/ |7 j0 \4 u5 e1 e. |' x0 T    ModSecurityConfig modsecurity.conf;  
8 b8 k& l7 Z) i7 R, Z! _# X
, C  I% W0 K, S- I        proxy_pass http://online;
        proxy_redirect         off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
6 q0 z  P6 B, Z# u' b        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
* G/ Z5 |. V, t# v8 }, L}
六.测试
  V4 {& b% ?! T4 D  b% U% D
* V9 D; w0 ?3 P* e" W+ y) z. N$ K+ x我们启用了xss和sql注入的过滤，不正常的请求会直接返回403。以php环境为例，新建一个phpinfo.php内容为：
1 _: p! L6 T- ^% l( Z* L( |9 B6 m
<?php
    phpinfo();   
?>
在浏览器中访问：

http://www.52os.net/phpinfo.php?id=1 正常显示。
5 e6 D( E/ M% Y' _% |9 D+ z4 J- whttp://www.52os.net/phpinfo.php?id=1 and 1=1  返回403。
http://www.52os.net/phpinfo.php?search=<scritp>alert('xss');</script>  返回403。
$ r8 w! C. ?3 \( V说明sql注入和xss已经被过滤了
8 h( Z; T/ g4 b+ p4 O# E, ^: m
七、安装过程中排错

1.缺少APXS会报错
0 ]0 b" P! b( r/ B+ R
configure: looking for Apache module support via DSO through APXS
configure: error: couldn't find APXS
2 O$ [- y: ]2 s5 E3 R! h& Iapxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象。
解决方法：
8 S7 W4 w8 J1 f% |' Q% Q& J
yum install httpd-devel
2.没有pcre

configure: *** pcre library not found.
configure: error: pcre library is required
! B6 t8 s! Y! j1 s: q( ~解决方法：

, c6 J" i1 s( H% _yum install pcre pcre-devel
3.没有libxml2
  U8 _' H; s# N9 Z( r0 @
  [8 ]$ Y4 L( Y
: w( A/ ~. R, @7 ?- e0 v0 F' \9 fconfigure: *** xml library not found.
/ b$ @/ F' n+ u, C$ u$ ^; A: sconfigure: error: libxml2 is required
解决方法：
) M) w* h2 K+ g# R4 `1 {1 q
, A- U/ Q* f- B: g$ X- M5 B7 t$ |yum install  libxml2 libxml2-devel
4.执行 /opt/tengine/sbin/nginx -m 时有警告

Tengine version: Tengine/2.1.0 (nginx/1.6.2)
nginx: [warn] ModSecurity: Loaded APR do not match with compiled!
5 f- _  |- z* k& t; j/ ?3 X/ @; [原因：modsecurity编译时和加载时的apr版本不一致造成的，并且会有以下error.log
1 R, e/ P. L+ w' K/ E, M+ V
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity for nginx (STABLE)/2.8.0 () configured.
) I7 Y" I: F0 X1 S& X! r2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: APR compiled version="1.5.0"; loaded     version="1.3.9"
2015/01/26 02:04:18 [warn] 29036#0: ModSecurity: Loaded APR do not match with compiled!
, y2 U5 U# w( o* J/ ?2 P: v2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
2015/01/26 02:04:18 [notice] 29036#0: ModSecurity: LIBXML compiled version="2.7.6"
2015/01/26 02:04:18 [notice] 29036#0: Status engine is currently disabled, enable it by set SecStatusEngine to On.
解决方法，移除低版本的APR (1.3.9)

; a/ p  E4 J' n) Q* O+ \9 f( _yum remove apr
- R9 Y- }( `' M/ R' I% {5.Error.log中有: Audit log: Failed to lock global mutex

  a& a6 u- \( R2 D3 O2015/01/26 04:15:42 [error] 61610#0: [client 10.11.15.161] ModSecurity: Audit log: Failed to lock     
8 f. @6 j& r) m9 _( D! xglobal mutex: Permission denied [hostname ""] [uri "/i.php"] [unique_id "AcAcAcAcAcAcAcA4DcA7AcAc"]
5 M8 x. Q' p$ n# i) S解决方法：
0 _/ E& u; ]5 B9 E+ ~- H* W编辑modsecurity.conf，注释掉默认的SecAuditLogType和SecAuditLog，添加以下内容：
! D2 C9 Y9 l6 S5 [, A
* C  N7 w/ v# j+ k6 A" ~( wSecAuditLogDirMode 0777
SecAuditLogFileMode 0550
/ {. _4 y# n# n$ t* ~; E8 g5 HSecAuditLogStorageDir /var/log/modsecurity
SecAuditLogType Concurrent
参考文章：
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#Installation_for_NGINX
http://drops.wooyun.org/tips/2614