Installige Plesk operatsioonisüsteemi CentOS 7
Kas kasutate teistsugust süsteemi? Plesk on patenteeritud veebihosti juhtpaneel, mis võimaldab kasutajatel hallata oma isiklikke ja/või klientide veebisaite, andmebaase
Kuidas installida Nginxi jaoks ModSecurity operatsioonisüsteemidesse CentOS 7, Debian 8 ja Ubuntu 16.04
ModSecurity on avatud lähtekoodiga veebirakenduse tulemüüri (WAF) moodul, mis sobib suurepäraselt Apache'i, Nginxi ja IIS-i kaitsmiseks erinevate küberrünnakute eest, mis on suunatud erinevate veebirakenduste potentsiaalsetele haavatavustele.
Selles artiklis installime ja konfigureerime Nginxi jaoks ModSecurity operatsioonisüsteemidele CentOS 7, Debian 8 ja Ubuntu 16.04.
Eeltingimused
- Up-to-date paigaldamine CentOS 7, Debian 8 või Ubuntu 16.04 64-bit.
- Sisselogimine kui
root.
1. samm: värskendage süsteemi
Järgides seda juhendit , värskendage oma serveri kernel ja paketid uusimale saadaolevale versioonile.
2. samm: installige sõltuvused
Enne Nginxi ja ModSecurity edukat kompileerimist peate installima mitu tarkvarapaketti järgmiselt.
a) CentOS 7 puhul:
yum groupinstall -y "Development Tools"
yum install -y httpd httpd-devel pcre pcre-devel libxml2 libxml2-devel curl curl-devel openssl openssl-devel
shutdown -r now
b) Debian 8 või Ubuntu 16.04 puhul:
apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf
3. samm: kompileerige ModSecurity
Mitme ebastabiilsuse tõttu, millest on teatatud ModSecurity for Nginxi põhiharust, on praegu ametlikult soovitatav kasutada nginx_refactoringvõimalusel haru uusimat versiooni .
Laadige alla nginx_refactoringModSecurity haru Nginxi jaoks:
cd /usr/src
git clone -b nginx_refactoring https://github.com/SpiderLabs/ModSecurity.git
ModSecurity kompileerimine:
a) CentOS 7 puhul:
cd ModSecurity
sed -i '/AC_PROG_CC/a\AM_PROG_CC_C_O' configure.ac
sed -i '1 i\AUTOMAKE_OPTIONS = subdir-objects' Makefile.am
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
Märkus: kahte sedülaltoodud käsku kasutatakse hoiatusteadete vältimiseks uuemate automake'i versioonide kasutamisel.
b) Debian 8 või Ubuntu 16.04 puhul:
cd ModSecurity
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
4. samm: kompileerige Nginx
Laadige alla ja dearchiveerige Nginxi uusim stabiilne väljalase, mis on Nginx 1.10.3kirjutamise ajal:
cd /usr/src
wget https://nginx.org/download/nginx-1.10.3.tar.gz
tar -zxvf nginx-1.10.3.tar.gz && rm -f nginx-1.10.3.tar.gz
a) CentOS 7 puhul:
Esiteks peate Nginxi jaoks looma spetsiaalse kasutaja nginxja spetsiaalse rühma nginx:
groupadd -r nginx
useradd -r -g nginx -s /sbin/nologin -M nginx
Seejärel kompileerige Nginx, lubades ModSecurity ja SSL moodulid:
cd nginx-1.10.3/
./configure --user=nginx --group=nginx --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
Muutke Nginxi vaikekasutajat:
sed -i "s/#user nobody;/user nginx nginx;/" /usr/local/nginx/conf/nginx.conf
b) Debian 8 või Ubuntu 16.04 puhul:
Esiteks peaksite kasutama olemasolevat kasutajat www-dataja olemasolevat rühma www-data.
Seejärel kompileerige Nginx, lubades ModSecurity ja SSL moodulid:
cd nginx-1.10.3/
./configure --user=www-data --group=www-data --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
Muutke Nginxi vaikekasutajat:
sed -i "s/#user nobody;/user www-data www-data;/" /usr/local/nginx/conf/nginx.conf
Pärast Nginxi edukat installimist asuvad seotud failid aadressil:
nginx path prefix: "/usr/local/nginx"
nginx binary file: "/usr/local/nginx/sbin/nginx"
nginx modules path: "/usr/local/nginx/modules"
nginx configuration prefix: "/usr/local/nginx/conf"
nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
nginx pid file: "/usr/local/nginx/logs/nginx.pid"
nginx error log file: "/usr/local/nginx/logs/error.log"
nginx http access log file: "/usr/local/nginx/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"
installimist saate testida:
/usr/local/nginx/sbin/nginx -t
Kui midagi ei lähe valesti, peaks väljund olema:
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
Mugavuse huvides saate seadistada Nginxi jaoks süsteemiüksuse faili:
cat <<EOF>> /lib/systemd/system/nginx.service
[Service]
Type=forking
ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
KillStop=/usr/local/nginx/sbin/nginx -s stop
KillMode=process
Restart=on-failure
RestartSec=42s
PrivateTmp=true
LimitNOFILE=200000
[Install]
WantedBy=multi-user.target
EOF
Edasi liikudes saate Nginxi käivitada/peatada/taaskäivitada järgmiselt:
systemctl start nginx.service
systemctl stop nginx.service
systemctl restart nginx.service
4. samm: konfigureerige ModSecurity ja Nginx
4.1 Nginxi konfigureerimine:
vi /usr/local/nginx/conf/nginx.conf
Leidke segmendist järgmine http {}segment:
location / {
root html;
index index.html index.htm;
}
Sisestage location / {}segmenti järgmised read :
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
Lõpptulemus peaks olema:
location / {
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
root html;
index index.html index.htm;
}
Salvestage ja lõpetage:
:wq!
Märkus. Ülaltoodud Nginxi konfiguratsioon on ainult näidiskonfiguratsioon Nginxi kasutamiseks veebiserverina, mitte vastupidise puhverserverina. Kui kasutate Nginxi pöördpuhverserverina, eemaldage #kahe viimase rea märk ja tehke nendes asjakohased muudatused.
4.2 Looge fail nimega /usr/local/nginx/conf/modsec_includes.conf:
cat <<EOF>> /usr/local/nginx/conf/modsec_includes.conf
include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/*.conf
EOF
Märkus. Ülaltoodud konfiguratsioon rakendab kõiki owasp-modsecurity-crs/rules/kataloogis olevaid OWASP ModSecurity põhireegleid . Kui soovite rakendada ainult valikulisi reegleid, eemaldage see include owasp-modsecurity-crs/rules/*.confrida ja määrake pärast sammu 4.5 täpsed vajalikud reeglid.
4.3 Importige ModSecurity konfiguratsioonifailid:
cp /usr/src/ModSecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/ModSecurity/unicode.mapping /usr/local/nginx/conf/
4.4 Muutke /usr/local/nginx/conf/modsecurity.conffaili:
sed -i "s/SecRuleEngine DetectionOnly/SecRuleEngine On/" /usr/local/nginx/conf/modsecurity.conf
4.5 Lisage OWASP ModSecurity CRS (põhireeglikomplekt) failid:
cd /usr/local/nginx/conf
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd owasp-modsecurity-crs
mv crs-setup.conf.example crs-setup.conf
cd rules
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
5. samm: testige ModSecurity'i
Käivitage Nginx:
systemctl start nginx.service
Välise juurdepääsu võimaldamiseks avage port 80:
a) CentOS 7 puhul:
firewall-cmd --zone=public --permanent --add-service=http
firewall-cmd --reload
b) Debian 8-s:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
touch /etc/iptables
iptables-save > /etc/iptables
c) Ubuntu 16.04 puhul:
ufw allow OpenSSH
ufw allow 80
ufw default deny
ufw enable
Suunake oma veebibrauser järgmisele:
http://203.0.113.1/?param="><script>alert(1);</script>
Kasutage grepveateadete toomiseks järgmiselt.
grep error /usr/local/nginx/logs/error.log
Väljund peaks sisaldama mitut tõrketeadet, mis on sarnased:
2017/02/15 14:07:54 [error] 10776#0: [client 104.20.23.240] ModSecurity: Warning. detected XSS using libinjection. [file "/usr/local/nginx/conf/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "56"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data: found within ARGS:param: \x22><script>alert(1);</script>"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"] [hostname ""] [uri "/index.html"] [unique_id "ATAcAcAkucAchGAcPLAcAcAY"]
See on kõik. Nagu näete, on ModSecurity moodul selle rünnaku edukalt loginud vastavalt oma vaiketoimingute poliitikale. Kui sa tahad teha rohkem kohandatud seaded, vaadake hoolikalt üle ja muuta /usr/local/nginx/conf/modsecurity.confja /usr/local/nginx/conf/owasp-modsecurity-crs/crs-setup.conffaile.
Kuidas installida CentOS-i Squid Proxy
Squid on populaarne tasuta Linuxi programm, mis võimaldab teil luua edastamise veebipuhverserveri. Selles juhendis näete, kuidas installida Squid CentOS-i, et teid pöörata
Lighttpd (LLMP Stack) installimine CentOS 6-sse
Sissejuhatus Lighttpd on Apache'i hark, mille eesmärk on olla palju vähem ressursimahukas. See on kerge, sellest ka oma nimi, ja seda on üsna lihtne kasutada. Installin
Staatilise võrgu ja IPv6 konfigureerimine CentOS 7-s
VULTR on hiljuti teinud nende osas muudatusi ja kõik peaks nüüd töötama hästi, kui NetworkManager on lubatud. Kui soovite keelata
Icinga2 muutmine, et kasutada CentOS 6 või CentOS 7 põhi-/kliendimudelit
Icinga2 on võimas seiresüsteem ja kui seda kasutatakse põhikliendi mudelis, võib see asendada vajaduse NRPE-põhiste seirekontrollide järele. Meister-klient
Apache Cassandra 3.11.x installimine opsüsteemi CentOS 7
Kas kasutate teistsugust süsteemi? Apache Cassandra on tasuta ja avatud lähtekoodiga NoSQL-i andmebaasihaldussüsteem, mis on loodud pakkuma skaleeritavust, hig.
Kuidas installida Microweber operatsioonisüsteemi CentOS 7
Kas kasutate teistsugust süsteemi? Microweber on avatud lähtekoodiga pukseeritav CMS-i ja veebipood. Microweberi lähtekoodi majutatakse GitHubis. See juhend näitab teile
Mattermost 4.1 installimine CentOS 7-sse
Kas kasutate teistsugust süsteemi? Mattermost on avatud lähtekoodiga isehostitav alternatiiv Slack SAAS-i sõnumsideteenusele. Teisisõnu, Mattermostiga saate ca
Minecrafti serverite võrgu loomine BungeeCordi abil opsüsteemides Debian 8, Debian 9 või CentOS 7
Mida vajate Vultr VPS-i, millel on vähemalt 1 GB muutmälu. SSH-juurdepääs (juur-/administraatoriõigustega). 1. samm: BungeeCordi installimine Kõigepealt
Võimaldab Pleskis krüptida
Pleski juhtpaneelil on Lets Encrypti jaoks väga kena integratsioon. Lets Encrypt on üks ainsatest SSL-i pakkujatest, kes väljastab sertifikaate täielikult
Võimaldab krüptida cPanelil
Lets Encrypt on sertifitseerimisasutus, mis on pühendunud SSL-sertifikaatide tasuta pakkumisele. cPanel on teie ja teie kliendi jaoks loonud korraliku integratsiooni
Kuidas installida Concrete5 süsteemi CentOS 7
Kas kasutate teistsugust süsteemi? Concrete5 on avatud lähtekoodiga CMS, mis pakub palju eristatavaid ja kasulikke funktsioone, mis aitavad toimetajatel sisu hõlpsalt luua.
Kuidas installida CentOS 7 arvustuspaneeli
Kas kasutate teistsugust süsteemi? Review Board on tasuta avatud lähtekoodiga tööriist lähtekoodi, dokumentatsiooni, piltide ja palju muu ülevaatamiseks. See on veebipõhine tarkvara
Setup HTTP Authentication With Nginx on CentOS 7
In this guide, you will learn how to setup HTTP authentication for an Nginx web server running on CentOS 7. Requirements To get started, youll need th
Kuidas installida YOURLS süsteemi CentOS 7
YOURLS (Your Own URL Shortener) on avatud lähtekoodiga URL-i lühendamise ja andmeanalüüsi rakendus. Selles artiklis käsitleme installimisprotsessi
Kuidas installida ja konfigureerida ArangoDB CentOS 7-s
Kas kasutate teistsugust süsteemi? Sissejuhatus ArangoDB on avatud lähtekoodiga NoSQL-i andmebaas, millel on paindlik andmemudel dokumentide, graafikute ja võtmeväärtuste jaoks. see on
Etckeeperi kasutamine faili / etc versioonikontrolliks
Sissejuhatus Kataloog /etc/ mängib Linuxi süsteemi toimimises kriitilist rolli. Selle põhjuseks on peaaegu iga süsteemi konfiguratsioon
Miks peaksite kasutama SSHFS-i? Kuidas ühendada CentOS 6-ga kaugfailisüsteem SSHFS-iga
Paljud süsteemiadministraatorid haldavad suuri servereid. Kui failidele on vaja juurde pääseda erinevatest serveritest, logige igasse eraldi sisse ca
Half Life 2 serveri seadistamine opsüsteemis CentOS 6
See õpetus hõlmab Half Life 2 mänguserveri installimist süsteemi CentOS 6 System. 1. samm: eeltingimuste installimine Ou seadistamiseks
Kuidas installida Laravel GitScrum süsteemi CentOS 7
Laravel GitScrum ehk GitScrum on avatud lähtekoodiga produktiivsuse tööriist, mis on loodud selleks, et aidata arendusmeeskondadel rakendada Scrumi metoodikat sarnasel viisil.
Masinate tõus: AI tegelikud rakendused
Tehisintellekt ei ole tulevik, see on siin, olevikus. Sellest blogist loe, kuidas tehisintellekti rakendused on mõjutanud erinevaid sektoreid.
DDOS-i rünnakud: lühike ülevaade
Kas olete ka DDOS-i rünnakute ohver ja olete segaduses ennetusmeetodite osas? Oma päringute lahendamiseks lugege seda artiklit.
Kas olete kunagi mõelnud, kuidas häkkerid raha teenivad?
Võib-olla olete kuulnud, et häkkerid teenivad palju raha, kuid kas olete kunagi mõelnud, kuidas nad sellist raha teenivad? arutleme.
Googlei revolutsioonilised leiutised, mis muudavad teie elu lihtsaks.
Kas soovite näha Google'i revolutsioonilisi leiutisi ja seda, kuidas need leiutised muutsid iga inimese elu tänapäeval? Seejärel lugege ajaveebi, et näha Google'i leiutisi.
Reede oluline osa: mis juhtus tehisintellektiga juhitavate autodega?
Isejuhtivate autode kontseptsioon tehisintellekti abil teedele jõudmiseks on meil juba mõnda aega unistus. Kuid vaatamata mitmele lubadusele pole neid kusagil näha. Lisateabe saamiseks lugege seda ajaveebi…
Tehnoloogiline singulaarsus: inimtsivilisatsiooni kauge tulevik?
Kuna teadus areneb kiiresti, võttes üle suure osa meie jõupingutustest, suureneb ka oht, et allume seletamatule singulaarsusele. Loe, mida singulaarsus meie jaoks tähendada võiks.
Andmesalvestuse areng – infograafik
Andmete säilitamise meetodid on arenenud alates andmete sünnist. See ajaveeb käsitleb infograafiku alusel andmete salvestamise arengut.
Suurandmete viitearhitektuuri kihtide funktsioonid
Lugege ajaveebi, et kõige lihtsamal viisil teada saada Big Data Architecture'i erinevaid kihte ja nende funktsioone.
6 hämmastavat eelist nutikate koduseadmete olemasolust meie elus
Selles digipõhises maailmas on nutikad koduseadmed muutunud elu oluliseks osaks. Siin on mõned nutikate koduseadmete hämmastavad eelised, mis muudavad meie elu elamisväärseks ja lihtsamaks.
macOS Catalina 10.15.4 täienduse värskendus põhjustab rohkem probleeme kui lahendamine
Hiljuti andis Apple välja macOS Catalina 10.15.4 täiendusvärskenduse probleemide lahendamiseks, kuid tundub, et värskendus põhjustab rohkem probleeme, mille tulemuseks on Maci masinate tellimine. Lisateabe saamiseks lugege seda artiklit
