Nastavte NGINX s ModSecurity na CentOS 6

V tomto článku vysvětlím, jak vytvořit LEMP stack chráněný ModSecurity. ModSecurity je firewall webových aplikací s otevřeným zdrojovým kódem, který je užitečný k ochraně před injekcemi, útoky PHP a dalšími. Pokud byste chtěli nastavit NGINX pomocí ModSecurity, pokračujte ve čtení.

Všechny kroky v tomto článku vyžadují přístup root.

Krok 1: Instalace předpokladů

Pokud ještě nespouštíte jako uživatel root, eskalujte sami:

/bin/su

Potřebujeme kompilátor, takže proveďte následující, abyste se ujistili:

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools' 

Abychom mohli nainstalovat NGINX, musíme nejprve získat balíček. Stáhněte si balíček:

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

Budeme také vyžadovat balíček PHP pro náš stack.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

Protože instalujeme ModSecurity, vezmeme si zdroj a stáhneme ho:

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

Nyní rozbalte/rozbalte soubory.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz   

Poté nainstalujeme ModSecurity.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

Nyní, když jsme získali všechny předpoklady, pojďme nainstalovat NGINX. Následující sada příkazů je určena pro instalaci NGINX a ModSecurity.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

Nyní nainstalujme server MySQL.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

Pro mysql_secure_installationpříkaz:

• Stiskněte Enter v prvním kroku průvodce instalací.
• Na výzvu zadejte Y, pokud má být nastaveno nové kořenové heslo MySQL.
• Zadejte nové heslo a potvrďte jej opětovným zadáním.
• Stiskněte Y pro odebrání anonymních uživatelů, zakažte vzdálený root přístup k MySQL opětovným stisknutím Y.
• Posledním stisknutím Y odeberete testovací databázi/uživatele.
• Nakonec stiskněte Y pro uložení změn.

Poslední věc, kterou je třeba nainstalovat, a to je PHP. V tomto článku nainstalujeme PHP ze zdroje.

Zadejte zdrojový adresář pro PHP.

cd /usr/src/php-5.6.16

Nyní nakonfigurujte PHP. Následující argumenty v ./configurepříkazu jsou k dispozici, abyste mohli spouštět aplikace jako WordPress.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

Nainstalujte PHP-FPM pro NGINX:

yum install -y php-fpm

Potřebujeme nainstalovat PHP-FPM nad samotný PHP, protože samotný NGINX se přímo neintegruje s PHP. Místo toho NGINX předává zpracování PHP do PHP-FPM, aby spustil naše skripty.

Dobrá práce! Nainstalovali jste předpoklady.

Krok 2: Konfigurace ModSecurity/NGINX

Začněme vytvořením sady pravidel ModSecurity. ModSecurity sám o sobě nic nedělá, dokud jej nenakonfigurujete.

Získejte sadu pravidel OWASP z jejich webových stránek:

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

Po stažení sady pravidel zkombinujeme výchozí konfiguraci se základními pravidly.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

Teoreticky by to mělo chránit před většinou webových exploitů. Zásuvné moduly/kód, které nainstalujete, by však měly být také auditovány, protože ačkoliv je ModSecurity vynikajícím bezpečnostním opatřením, není neprůstřelné.

Vytvořte adresář na adrese /var/www:

mkdir /var/www

A adresář pro váš virtuální hostitel:

mkdir /var/www/yourwebsite.com

Nakonec připojte následující ke konfiguraci NGINX umístěné na adrese /usr/local/nginx/conf/nginx.conf. Ujistěte se, že jste tuto konfiguraci přidali před výskytem posledního }symbolu.

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

Krok 3: Spuštění PHP-FPM a NGINX

Tento krok je poměrně přímočarý – vše, co musíte udělat, je provést následující příkazy.

service php-fpm start
/usr/sbin/nginx

Gratulujeme! Nastavili jste svůj první web s NGINX chráněným ModSecurity. Pro další čtení o ModSecurity navštivte jejich oficiální stránky .