Masinate tõus: AI tegelikud rakendused
Tehisintellekt ei ole tulevik, see on siin, olevikus. Sellest blogist loe, kuidas tehisintellekti rakendused on mõjutanud erinevaid sektoreid.
Kuidas installida Nginxi jaoks ModSecurity operatsioonisüsteemidesse CentOS 7, Debian 8 ja Ubuntu 16.04
ModSecurity on avatud lähtekoodiga veebirakenduse tulemüüri (WAF) moodul, mis sobib suurepäraselt Apache'i, Nginxi ja IIS-i kaitsmiseks erinevate küberrünnakute eest, mis on suunatud erinevate veebirakenduste potentsiaalsetele haavatavustele.
Selles artiklis installime ja konfigureerime Nginxi jaoks ModSecurity operatsioonisüsteemidele CentOS 7, Debian 8 ja Ubuntu 16.04.
Eeltingimused
- Up-to-date paigaldamine CentOS 7, Debian 8 või Ubuntu 16.04 64-bit.
- Sisselogimine kui
root.
1. samm: värskendage süsteemi
Järgides seda juhendit , värskendage oma serveri kernel ja paketid uusimale saadaolevale versioonile.
2. samm: installige sõltuvused
Enne Nginxi ja ModSecurity edukat kompileerimist peate installima mitu tarkvarapaketti järgmiselt.
a) CentOS 7 puhul:
yum groupinstall -y "Development Tools"
yum install -y httpd httpd-devel pcre pcre-devel libxml2 libxml2-devel curl curl-devel openssl openssl-devel
shutdown -r now
b) Debian 8 või Ubuntu 16.04 puhul:
apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf
3. samm: kompileerige ModSecurity
Mitme ebastabiilsuse tõttu, millest on teatatud ModSecurity for Nginxi põhiharust, on praegu ametlikult soovitatav kasutada nginx_refactoringvõimalusel haru uusimat versiooni .
Laadige alla nginx_refactoringModSecurity haru Nginxi jaoks:
cd /usr/src
git clone -b nginx_refactoring https://github.com/SpiderLabs/ModSecurity.git
ModSecurity kompileerimine:
a) CentOS 7 puhul:
cd ModSecurity
sed -i '/AC_PROG_CC/a\AM_PROG_CC_C_O' configure.ac
sed -i '1 i\AUTOMAKE_OPTIONS = subdir-objects' Makefile.am
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
Märkus: kahte sedülaltoodud käsku kasutatakse hoiatusteadete vältimiseks uuemate automake'i versioonide kasutamisel.
b) Debian 8 või Ubuntu 16.04 puhul:
cd ModSecurity
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
4. samm: kompileerige Nginx
Laadige alla ja dearchiveerige Nginxi uusim stabiilne väljalase, mis on Nginx 1.10.3kirjutamise ajal:
cd /usr/src
wget https://nginx.org/download/nginx-1.10.3.tar.gz
tar -zxvf nginx-1.10.3.tar.gz && rm -f nginx-1.10.3.tar.gz
a) CentOS 7 puhul:
Esiteks peate Nginxi jaoks looma spetsiaalse kasutaja nginxja spetsiaalse rühma nginx:
groupadd -r nginx
useradd -r -g nginx -s /sbin/nologin -M nginx
Seejärel kompileerige Nginx, lubades ModSecurity ja SSL moodulid:
cd nginx-1.10.3/
./configure --user=nginx --group=nginx --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
Muutke Nginxi vaikekasutajat:
sed -i "s/#user nobody;/user nginx nginx;/" /usr/local/nginx/conf/nginx.conf
b) Debian 8 või Ubuntu 16.04 puhul:
Esiteks peaksite kasutama olemasolevat kasutajat www-dataja olemasolevat rühma www-data.
Seejärel kompileerige Nginx, lubades ModSecurity ja SSL moodulid:
cd nginx-1.10.3/
./configure --user=www-data --group=www-data --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
Muutke Nginxi vaikekasutajat:
sed -i "s/#user nobody;/user www-data www-data;/" /usr/local/nginx/conf/nginx.conf
Pärast Nginxi edukat installimist asuvad seotud failid aadressil:
nginx path prefix: "/usr/local/nginx"
nginx binary file: "/usr/local/nginx/sbin/nginx"
nginx modules path: "/usr/local/nginx/modules"
nginx configuration prefix: "/usr/local/nginx/conf"
nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
nginx pid file: "/usr/local/nginx/logs/nginx.pid"
nginx error log file: "/usr/local/nginx/logs/error.log"
nginx http access log file: "/usr/local/nginx/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"
installimist saate testida:
/usr/local/nginx/sbin/nginx -t
Kui midagi ei lähe valesti, peaks väljund olema:
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
Mugavuse huvides saate seadistada Nginxi jaoks süsteemiüksuse faili:
cat <<EOF>> /lib/systemd/system/nginx.service
[Service]
Type=forking
ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
KillStop=/usr/local/nginx/sbin/nginx -s stop
KillMode=process
Restart=on-failure
RestartSec=42s
PrivateTmp=true
LimitNOFILE=200000
[Install]
WantedBy=multi-user.target
EOF
Edasi liikudes saate Nginxi käivitada/peatada/taaskäivitada järgmiselt:
systemctl start nginx.service
systemctl stop nginx.service
systemctl restart nginx.service
4. samm: konfigureerige ModSecurity ja Nginx
4.1 Nginxi konfigureerimine:
vi /usr/local/nginx/conf/nginx.conf
Leidke segmendist järgmine http {}segment:
location / {
root html;
index index.html index.htm;
}
Sisestage location / {}segmenti järgmised read :
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
Lõpptulemus peaks olema:
location / {
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
root html;
index index.html index.htm;
}
Salvestage ja lõpetage:
:wq!
Märkus. Ülaltoodud Nginxi konfiguratsioon on ainult näidiskonfiguratsioon Nginxi kasutamiseks veebiserverina, mitte vastupidise puhverserverina. Kui kasutate Nginxi pöördpuhverserverina, eemaldage #kahe viimase rea märk ja tehke nendes asjakohased muudatused.
4.2 Looge fail nimega /usr/local/nginx/conf/modsec_includes.conf:
cat <<EOF>> /usr/local/nginx/conf/modsec_includes.conf
include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/*.conf
EOF
Märkus. Ülaltoodud konfiguratsioon rakendab kõiki owasp-modsecurity-crs/rules/kataloogis olevaid OWASP ModSecurity põhireegleid . Kui soovite rakendada ainult valikulisi reegleid, eemaldage see include owasp-modsecurity-crs/rules/*.confrida ja määrake pärast sammu 4.5 täpsed vajalikud reeglid.
4.3 Importige ModSecurity konfiguratsioonifailid:
cp /usr/src/ModSecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/ModSecurity/unicode.mapping /usr/local/nginx/conf/
4.4 Muutke /usr/local/nginx/conf/modsecurity.conffaili:
sed -i "s/SecRuleEngine DetectionOnly/SecRuleEngine On/" /usr/local/nginx/conf/modsecurity.conf
4.5 Lisage OWASP ModSecurity CRS (põhireeglikomplekt) failid:
cd /usr/local/nginx/conf
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd owasp-modsecurity-crs
mv crs-setup.conf.example crs-setup.conf
cd rules
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
5. samm: testige ModSecurity'i
Käivitage Nginx:
systemctl start nginx.service
Välise juurdepääsu võimaldamiseks avage port 80:
a) CentOS 7 puhul:
firewall-cmd --zone=public --permanent --add-service=http
firewall-cmd --reload
b) Debian 8-s:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
touch /etc/iptables
iptables-save > /etc/iptables
c) Ubuntu 16.04 puhul:
ufw allow OpenSSH
ufw allow 80
ufw default deny
ufw enable
Suunake oma veebibrauser järgmisele:
http://203.0.113.1/?param="><script>alert(1);</script>
Kasutage grepveateadete toomiseks järgmiselt.
grep error /usr/local/nginx/logs/error.log
Väljund peaks sisaldama mitut tõrketeadet, mis on sarnased:
2017/02/15 14:07:54 [error] 10776#0: [client 104.20.23.240] ModSecurity: Warning. detected XSS using libinjection. [file "/usr/local/nginx/conf/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "56"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data: found within ARGS:param: \x22><script>alert(1);</script>"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"] [hostname ""] [uri "/index.html"] [unique_id "ATAcAcAkucAchGAcPLAcAcAY"]
See on kõik. Nagu näete, on ModSecurity moodul selle rünnaku edukalt loginud vastavalt oma vaiketoimingute poliitikale. Kui sa tahad teha rohkem kohandatud seaded, vaadake hoolikalt üle ja muuta /usr/local/nginx/conf/modsecurity.confja /usr/local/nginx/conf/owasp-modsecurity-crs/crs-setup.conffaile.
DDOS-i rünnakud: lühike ülevaade
Kas olete ka DDOS-i rünnakute ohver ja olete segaduses ennetusmeetodite osas? Oma päringute lahendamiseks lugege seda artiklit.
Kas olete kunagi mõelnud, kuidas häkkerid raha teenivad?
Võib-olla olete kuulnud, et häkkerid teenivad palju raha, kuid kas olete kunagi mõelnud, kuidas nad sellist raha teenivad? arutleme.
Googlei revolutsioonilised leiutised, mis muudavad teie elu lihtsaks.
Kas soovite näha Google'i revolutsioonilisi leiutisi ja seda, kuidas need leiutised muutsid iga inimese elu tänapäeval? Seejärel lugege ajaveebi, et näha Google'i leiutisi.
Reede oluline osa: mis juhtus tehisintellektiga juhitavate autodega?
Isejuhtivate autode kontseptsioon tehisintellekti abil teedele jõudmiseks on meil juba mõnda aega unistus. Kuid vaatamata mitmele lubadusele pole neid kusagil näha. Lisateabe saamiseks lugege seda ajaveebi…
Tehnoloogiline singulaarsus: inimtsivilisatsiooni kauge tulevik?
Kuna teadus areneb kiiresti, võttes üle suure osa meie jõupingutustest, suureneb ka oht, et allume seletamatule singulaarsusele. Loe, mida singulaarsus meie jaoks tähendada võiks.
Suurandmete viitearhitektuuri kihtide funktsioonid
Lugege ajaveebi, et kõige lihtsamal viisil teada saada Big Data Architecture'i erinevaid kihte ja nende funktsioone.
Andmesalvestuse areng – infograafik
Andmete säilitamise meetodid on arenenud alates andmete sünnist. See ajaveeb käsitleb infograafiku alusel andmete salvestamise arengut.
6 hämmastavat eelist nutikate koduseadmete olemasolust meie elus
Selles digipõhises maailmas on nutikad koduseadmed muutunud elu oluliseks osaks. Siin on mõned nutikate koduseadmete hämmastavad eelised, mis muudavad meie elu elamisväärseks ja lihtsamaks.
macOS Catalina 10.15.4 täienduse värskendus põhjustab rohkem probleeme kui lahendamine
Hiljuti andis Apple välja macOS Catalina 10.15.4 täiendusvärskenduse probleemide lahendamiseks, kuid tundub, et värskendus põhjustab rohkem probleeme, mille tulemuseks on Maci masinate tellimine. Lisateabe saamiseks lugege seda artiklit