Инсталирайте Plesk на CentOS 7
Използване на различна система? Plesk е собствен контролен панел за уеб хост, който позволява на потребителите да администрират своите лични и/или клиентски уебсайтове, бази данни
Как да инсталирате ModSecurity за Nginx на CentOS 7, Debian 8 и Ubuntu 16.04
ModSecurity е модул за защитна стена на уеб приложения (WAF) с отворен код, който е чудесен за защита на Apache, Nginx и IIS от различни кибератаки, насочени към потенциални уязвимости в различни уеб приложения
В тази статия ще инсталираме и конфигурираме ModSecurity за Nginx на CentOS 7, Debian 8 и Ubuntu 16.04.
Предпоставки
- Един в крак с времето монтаж на CentOS 7, Debian 8 или Ubuntu 16.04 64-битова версия.
- Влизане като
root.
Стъпка 1: Актуализирайте системата
Следвайки това ръководство , актуализирайте ядрото и пакетите на вашия сървър до най-новата налична версия.
Стъпка 2: Инсталирайте зависимости
Преди да можете да компилирате Nginx и ModSecurity успешно, трябва да инсталирате няколко софтуерни пакета, както следва.
а) На CentOS 7:
yum groupinstall -y "Development Tools"
yum install -y httpd httpd-devel pcre pcre-devel libxml2 libxml2-devel curl curl-devel openssl openssl-devel
shutdown -r now
б) На Debian 8 или Ubuntu 16.04:
apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf
Стъпка 3: Компилиране на ModSecurity
Поради няколко нестабилности, съобщени в ModSecurity за главен клон на Nginx, засега се препоръчва официално да се използва най-новата версия на nginx_refactoringклона, когато е възможно.
Изтеглете nginx_refactoringклона на ModSecurity за Nginx:
cd /usr/src
git clone -b nginx_refactoring https://github.com/SpiderLabs/ModSecurity.git
Компилиране на ModSecurity:
а) На CentOS 7:
cd ModSecurity
sed -i '/AC_PROG_CC/a\AM_PROG_CC_C_O' configure.ac
sed -i '1 i\AUTOMAKE_OPTIONS = subdir-objects' Makefile.am
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
Забележка: двете sedкоманди по-горе се използват за предотвратяване на предупредителни съобщения при използване на по-нови версии на automake.
б) На Debian 8 или Ubuntu 16.04:
cd ModSecurity
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
Стъпка 4: Компилиране на Nginx
Изтеглете и разархивирайте най-новата стабилна версия на Nginx, която е Nginx 1.10.3към момента на писане:
cd /usr/src
wget https://nginx.org/download/nginx-1.10.3.tar.gz
tar -zxvf nginx-1.10.3.tar.gz && rm -f nginx-1.10.3.tar.gz
а) На CentOS 7:
Първо, трябва да създадете специален потребител nginxи специална група nginxза Nginx:
groupadd -r nginx
useradd -r -g nginx -s /sbin/nologin -M nginx
След това компилирайте Nginx, като активирате ModSecurity и SSL модули:
cd nginx-1.10.3/
./configure --user=nginx --group=nginx --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
Променете потребителя по подразбиране на Nginx:
sed -i "s/#user nobody;/user nginx nginx;/" /usr/local/nginx/conf/nginx.conf
б) На Debian 8 или Ubuntu 16.04:
Първо, трябва да използвате съществуващия потребител www-dataи съществуващата група www-data.
След това компилирайте Nginx, като активирате ModSecurity и SSL модули:
cd nginx-1.10.3/
./configure --user=www-data --group=www-data --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
Променете потребителя по подразбиране на Nginx:
sed -i "s/#user nobody;/user www-data www-data;/" /usr/local/nginx/conf/nginx.conf
След като Nginx е инсталиран успешно, свързаните файлове ще се намират на:
nginx path prefix: "/usr/local/nginx"
nginx binary file: "/usr/local/nginx/sbin/nginx"
nginx modules path: "/usr/local/nginx/modules"
nginx configuration prefix: "/usr/local/nginx/conf"
nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
nginx pid file: "/usr/local/nginx/logs/nginx.pid"
nginx error log file: "/usr/local/nginx/logs/error.log"
nginx http access log file: "/usr/local/nginx/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"
можете да тествате инсталацията с:
/usr/local/nginx/sbin/nginx -t
Ако нищо не се обърка, изходът трябва да бъде:
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
За ваше удобство можете да настроите файл systemd за Nginx:
cat <<EOF>> /lib/systemd/system/nginx.service
[Service]
Type=forking
ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
KillStop=/usr/local/nginx/sbin/nginx -s stop
KillMode=process
Restart=on-failure
RestartSec=42s
PrivateTmp=true
LimitNOFILE=200000
[Install]
WantedBy=multi-user.target
EOF
Продължавайки напред, можете да стартирате/спирате/рестартирате Nginx, както следва:
systemctl start nginx.service
systemctl stop nginx.service
systemctl restart nginx.service
Стъпка 4: Конфигурирайте ModSecurity и Nginx
4.1 Конфигуриране на Nginx:
vi /usr/local/nginx/conf/nginx.conf
Намерете следния сегмент в рамките на http {}сегмента:
location / {
root html;
index index.html index.htm;
}
Поставете следните редове в location / {}сегмента:
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
Крайният резултат трябва да бъде:
location / {
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
root html;
index index.html index.htm;
}
Запазете и излезте:
:wq!
Забележка: Конфигурацията на Nginx по-горе е само примерна конфигурация за използване на Nginx като уеб сървър, а не като обратен прокси. Ако използвате Nginx като обратен прокси, премахнете #символа в последните два реда и направете съответните промени в тях.
4.2 Създайте файл с име /usr/local/nginx/conf/modsec_includes.conf:
cat <<EOF>> /usr/local/nginx/conf/modsec_includes.conf
include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/*.conf
EOF
Забележка: Конфигурацията по-горе ще приложи всички основни правила на OWASP ModSecurity в owasp-modsecurity-crs/rules/директорията. Ако искате да приложите само селективни правила, трябва да премахнете include owasp-modsecurity-crs/rules/*.confреда и след това да посочите точните правила, от които се нуждаете след стъпка 4.5.
4.3 Импортиране на конфигурационни файлове на ModSecurity:
cp /usr/src/ModSecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/ModSecurity/unicode.mapping /usr/local/nginx/conf/
4.4 Промяна на /usr/local/nginx/conf/modsecurity.confфайла:
sed -i "s/SecRuleEngine DetectionOnly/SecRuleEngine On/" /usr/local/nginx/conf/modsecurity.conf
4.5 Добавете OWASP ModSecurity CRS (набор от основни правила) файлове:
cd /usr/local/nginx/conf
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd owasp-modsecurity-crs
mv crs-setup.conf.example crs-setup.conf
cd rules
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
Стъпка 5: Тествайте ModSecurity
Стартирайте Nginx:
systemctl start nginx.service
Отворете порт 80, за да разрешите външен достъп:
а) На CentOS 7:
firewall-cmd --zone=public --permanent --add-service=http
firewall-cmd --reload
б) На Debian 8:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
touch /etc/iptables
iptables-save > /etc/iptables
в) На Ubuntu 16.04:
ufw allow OpenSSH
ufw allow 80
ufw default deny
ufw enable
Насочете уеб браузъра си към:
http://203.0.113.1/?param="><script>alert(1);</script>
Използвайте grepза извличане на съобщения за грешки, както следва:
grep error /usr/local/nginx/logs/error.log
Резултатът трябва да включва няколко съобщения за грешка, които са подобни на:
2017/02/15 14:07:54 [error] 10776#0: [client 104.20.23.240] ModSecurity: Warning. detected XSS using libinjection. [file "/usr/local/nginx/conf/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "56"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data: found within ARGS:param: \x22><script>alert(1);</script>"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"] [hostname ""] [uri "/index.html"] [unique_id "ATAcAcAkucAchGAcPLAcAcAY"]
Това е. Както виждате, модулът ModSecurity успешно регистрира тази атака в съответствие със своята политика за действие по подразбиране. Ако искате да направите повече потребителски настройки, моля, внимателно прегледайте и редактиране /usr/local/nginx/conf/modsecurity.confи /usr/local/nginx/conf/owasp-modsecurity-crs/crs-setup.confфайлове.
Как да инсталирате Squid Proxy на CentOS
Squid е популярна, безплатна програма за Linux, която ви позволява да създадете уеб прокси за препращане. В това ръководство ще видите как да инсталирате Squid на CentOS, за да ви обърне
Как да инсталирате Lighttpd (LLMP стек) на CentOS 6
Въведение Lighttpd е форк на Apache, чиято цел е да бъде много по-малко ресурсоемка. Той е лек, откъдето идва и името му, и е доста лесен за използване. Инсталирайте
Конфигуриране на статична мрежа и IPv6 на CentOS 7
VULTR наскоро направи промени от своя страна и вече всичко трябва да работи добре от кутията с активиран NetworkManager. Ако желаете да деактивирате
Промяна на Icinga2 за използване на модел главен/клиент на CentOS 6 или CentOS 7
Icinga2 е мощна система за наблюдение и когато се използва в модел главен-клиент, тя може да замени необходимостта от проверки на базата на NRPE. Главният клиент
Как да инсталирате Apache Cassandra 3.11.x на CentOS 7
Използване на различна система? Apache Cassandra е безплатна система за управление на база данни NoSQL с отворен код, която е проектирана да осигури мащабируемост, висока
Как да инсталирате Microweber на CentOS 7
Използване на различна система? Microweber е CMS и онлайн магазин с отворен код за плъзгане и пускане. Изходният код на Microweber се хоства на GitHub. Това ръководство ще ви покаже
Как да инсталирате Mattermost 4.1 на CentOS 7
Използване на различна система? Mattermost е самостоятелно хоствана алтернатива с отворен код на Slack SAAS услугата за съобщения. С други думи, с Mattermost, вие ca
Създаване на мрежа от сървъри на Minecraft с BungeeCord на Debian 8, Debian 9 или CentOS 7
Какво ви трябва Vultr VPS с поне 1 GB RAM. SSH достъп (с root/административни привилегии). Стъпка 1: Инсталиране на BungeeCord На първо място
Lets Encrypt на Plesk
Контролният панел на Plesk разполага с много приятна интеграция за Lets Encrypt. Lets Encrypt е един от единствените доставчици на SSL, които предоставят пълно сертификати
Позволява криптиране на cPanel
Lets Encrypt е сертифициращ орган, посветен на предоставянето на SSL сертификати безплатно. cPanel изгради чиста интеграция, така че вие и вашият клиент
Как да инсталирате Concrete5 на CentOS 7
Използване на различна система? Concrete5 е CMS с отворен код, който предлага много отличителни и полезни функции за подпомагане на редакторите при лесното създаване на съдържание и
Как да инсталирате табло за преглед на CentOS 7
Използване на различна система? Review Board е безплатен инструмент с отворен код за преглед на изходен код, документация, изображения и много други. Това е уеб базиран софтуер
Настройте HTTP удостоверяване с Nginx на CentOS 7
В това ръководство ще научите как да настроите HTTP удостоверяване за уеб сървър на Nginx, работещ на CentOS 7. Изисквания За да започнете, ще ви трябва
Как да инсталирате YOURLS на CentOS 7
YOURLS (Your Own URL Shortener) е приложение за съкращаване на URL адреси и анализ на данни с отворен код. В тази статия ще разгледаме процеса на инсталиране
Как да инсталирате и конфигурирате ArangoDB на CentOS 7
Използване на различна система? Въведение ArangoDB е NoSQL база данни с отворен код с гъвкав модел на данни за документи, графики и ключ-стойности. то е
Използване на Etckeeper за контрол на версиите на /etc
Въведение Директорията /etc/ играе критична роля в начина, по който функционира една Linux система. Причината за това е, че почти всяка системна конфигурация
Защо трябва да използвате SSHFS? Как да монтирате отдалечена файлова система със SSHFS на CentOS 6
Много системни администратори управляват големи количества сървъри. Когато файловете трябва да бъдат достъпни на различни сървъри, влизането във всеки от тях поотделно ок
Настройване на сървър на Half Life 2 на CentOS 6
Този урок ще обхване процеса на инсталиране на сървър за игри Half Life 2 на CentOS 6 System. Стъпка 1: Инсталиране на предпоставките За да настроите ou
Как да инсталирате Laravel GitScrum на CentOS 7
Laravel GitScrum или GitScrum е инструмент за производителност с отворен код, предназначен да помогне на екипите за разработка да внедрят методологията на Scrum по подобен начин.
Възходът на машините: Реални приложения на AI
Изкуственият интелект не е в бъдещето, тук е точно в настоящето. В този блог Прочетете как приложенията за изкуствен интелект са повлияли на различни сектори.
DDOS атаки: кратък преглед
Вие също сте жертва на DDOS атаки и сте объркани относно методите за превенция? Прочетете тази статия, за да разрешите вашите запитвания.
Чудили ли сте се как хакерите печелят пари?
Може би сте чували, че хакерите печелят много пари, но чудили ли сте се някога как печелят такива пари? нека обсъдим.
Революционни изобретения на Google, които ще улеснят живота ви.
Искате ли да видите революционни изобретения на Google и как тези изобретения промениха живота на всяко човешко същество днес? След това прочетете в блога, за да видите изобретенията на Google.
Friday Essential: Какво се случи с колите, задвижвани от изкуствен интелект?
Концепцията за самоуправляващи се автомобили да тръгват по пътищата с помощта на изкуствен интелект е мечта, която имаме от известно време. Но въпреки няколкото обещания, те не се виждат никъде. Прочетете този блог, за да научите повече…
Технологична сингулярност: далечно бъдеще на човешката цивилизация?
Тъй като науката се развива с бързи темпове, поемайки много от нашите усилия, рискът да се подложим на необяснима сингулярност също нараства. Прочетете какво може да означава сингулярността за нас.
Еволюция на съхранението на данни – инфографика
Методите за съхранение на данните може да се развиват от раждането на данните. Този блог обхваща развитието на съхранението на данни на базата на инфографика.
Функционалности на референтните архитектурни слоеве за големи данни
Прочетете блога, за да разберете различни слоеве в архитектурата на големи данни и техните функционалности по най-простия начин.
6 невероятни предимства от наличието на интелигентни домашни устройства в живота ни
В този дигитално задвижван свят устройствата за интелигентен дом се превърнаха в решаваща част от живота. Ето няколко невероятни предимства на интелигентните домашни устройства за това как те правят живота ни струващ и по-опростен.
Актуализацията на допълнението на macOS Catalina 10.15.4 причинява повече проблеми, отколкото решава
Наскоро Apple пусна macOS Catalina 10.15.4 допълнителна актуализация за отстраняване на проблеми, но изглежда, че актуализацията причинява повече проблеми, водещи до блокиране на mac машини. Прочетете тази статия, за да научите повече
