Seadistage NGINX koos ModSecurityga CentOS 6-s

Selles artiklis selgitan, kuidas luua ModSecurityga kaitstud LEMP-pinn. ModSecurity on avatud lähtekoodiga veebirakenduste tulemüür, mis on kasulik kaitseks süstide, PHP rünnakute ja muu eest. Kui soovite NGINX-i seadistada ModSecurityga, jätkake lugemist.

Kõik selle artikli sammud nõuavad juurjuurdepääsu.

1. samm: eeltingimuste installimine

Kui te ei tööta veel juurkasutajana, eskaleerige ennast:

/bin/su

Vajame kompilaatorit, nii et veendumiseks tehke järgmist.

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools' 

NGINX-i installimiseks peame esmalt hankima paketi. Laadige pakett alla:

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

Samuti vajame oma virna jaoks PHP paketti.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

Kuna installime ModSecurity, võtame allika ja laadime selle alla:

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

Nüüd eemaldage failid lahti / pakkige lahti.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz   

Seejärel installime ModSecurity.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

Nüüd, kui oleme saanud kõik eeltingimused, installime NGINX-i. Järgmised käsud on mõeldud NGINX-i ja ModSecurity installimiseks.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

Nüüd installime MySQL-i serveri.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

Sest mysql_secure_installationkäsk:

• Installiviisardi esimesel sammul vajutage sisestusklahvi.
• Kui teil palutakse määrata uus MySQL-i juurparool, sisestage Y.
• Sisestage uus parool, kinnitage see uuesti.
• Anonüümsete kasutajate eemaldamiseks vajutage Y, keelake MySQL-ile juurjuurdepääs, vajutades uuesti Y.
• Testi andmebaasi/kasutaja eemaldamiseks vajutage viimast korda Y.
• Lõpuks vajutage muudatuste salvestamiseks Y.

Viimane asi, mida installida, ja see on PHP. Selles artiklis installime PHP lähtekoodist.

Sisestage PHP lähtekataloog.

cd /usr/src/php-5.6.16

Nüüd seadistage PHP. Järgmised ./configurekäsu argumendid on selleks, et saaksite käivitada selliseid rakendusi nagu WordPress.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

Installige PHP-FPM NGINX-i jaoks:

yum install -y php-fpm

Peame installima PHP-FPM-i PHP enda peale, kuna NGINX ise ei integreeru PHP-ga otse. Selle asemel edastab NGINX meie skriptide täitmiseks PHP töötlemise PHP-FPM-ile.

Tubli töö! Olete eeltingimused installinud.

2. samm: ModSecurity/NGINX konfigureerimine

Alustame ModSecurity reeglistiku loomisega. ModSecurity ei tee üksi midagi enne, kui te selle konfigureerite.

Hankige nende veebisaidilt OWASP-reeglikomplekt:

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

Kui olete reeglistiku alla laadinud, ühendame vaikekonfiguratsiooni põhireeglitega.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

Teoreetiliselt peaks see kaitsma enamiku veebirünnakute eest. Kuid installitud pluginaid/koodi tuleks ka auditeerida, sest kuigi ModSecurity on suurepärane turvameede, pole see kuulikindel.

Looge kataloog aadressil /var/www:

mkdir /var/www

Ja teie virtuaalse hosti kataloog:

mkdir /var/www/yourwebsite.com

Lõpuks lisage oma NGINX-i konfiguratsioonile, mis asub aadressil /usr/local/nginx/conf/nginx.conf. Veenduge, et lisate selle konfiguratsiooni enne viimase }sümboli esinemist .

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

3. samm: PHP-FPM ja NGINX käivitamine

See samm on üsna lihtne – peate täitma ainult järgmised käsud.

service php-fpm start
/usr/sbin/nginx

Palju õnne! Olete seadistanud oma esimese veebisaidi NGINX-iga, mida kaitseb ModSecurity. ModSecurity kohta lisateabe saamiseks külastage nende ametlikku veebisaiti .