Asenna NGINX ModSecurityllä CentOS 6:ssa

Tässä artikkelissa selitän, kuinka ModSecurityllä suojattu LEMP-pino rakennetaan. ModSecurity on avoimen lähdekoodin verkkosovellusten palomuuri, joka on hyödyllinen suojaamaan injektioilta, PHP-hyökkäyksiltä ja muulta. Jos haluat määrittää NGINX:n ModSecurityn kanssa, jatka lukemista.

Kaikki tämän artikkelin vaiheet vaativat pääkäyttäjän oikeudet.

Vaihe 1: Edellytysten asentaminen

Jos et vielä käytä pääkäyttäjänä, eskaloi itse:

/bin/su

Tarvitsemme kääntäjän, joten varmista seuraavat toimet:

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools' 

Jotta voimme asentaa NGINX:n, meidän on ensin hankittava paketti. Lataa paketti:

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

Tarvitsemme myös PHP-paketin pinoamme.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

Koska asennamme ModSecurityn, nappaamme lähteen ja lataamme sen:

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

Nyt pura/pura tiedostot.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz   

Sitten asennamme ModSecurityn.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

Nyt kun olemme saaneet kaikki edellytykset, asennetaan NGINX. Seuraavat komentosarjat ovat NGINX:n ja ModSecurityn asentamista varten.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

Asenna nyt MySQL-palvelin.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

Sillä mysql_secure_installationkomento:

• Paina Enter ohjatun asennustoiminnon ensimmäisessä vaiheessa.
• Kirjoita Y, kun sinulta kysytään, onko uusi MySQL-pääsalasana asetettava.
• Kirjoita uusi salasana ja vahvista kirjoittamalla se uudelleen.
• Paina Y poistaaksesi anonyymit käyttäjät, estä etäpääsy MySQL:ään painamalla Y uudelleen.
• Paina Y viimeisen kerran poistaaksesi testitietokanta/käyttäjä.
• Lopuksi paina Y tallentaaksesi muutokset.

Viimeinen asia asennettavaksi, ja se on PHP. Tässä artikkelissa asennamme PHP:n lähdekoodista.

Anna PHP:n lähdehakemisto.

cd /usr/src/php-5.6.16

Määritä nyt PHP. Seuraavat ./configurekomennon argumentit ovat olemassa, jotta voit käyttää sovelluksia, kuten WordPress.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

Asenna PHP-FPM for NGINX:

yum install -y php-fpm

Meidän on asennettava PHP-FPM itse PHP:n päälle, koska NGINX itse ei integroidu suoraan PHP:n kanssa. Sen sijaan NGINX siirtää PHP-käsittelyn PHP-FPM:lle komentosarjamme suorittamiseksi.

Hyvää työtä! Olet asentanut edellytykset.

Vaihe 2: Määritä ModSecurity/NGINX

Aloitetaan rakentamalla ModSecurity-sääntösarja. ModSecurity ei tee mitään itsestään ennen kuin määrität sen.

Nappaa OWASP-sääntösarja heidän verkkosivustoltaan:

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

Kun olet ladannut sääntöjoukon, yhdistämme oletusasetukset perussääntöihin.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

Teoriassa tämän pitäisi suojata useimpia verkkohyökkäyksiä vastaan. Asentamasi lisäosat/koodit tulisi kuitenkin myös tarkastaa, koska vaikka ModSecurity on erinomainen turvatoimenpide, se ei ole luodinkestävä.

Luo hakemisto osoitteessa /var/www:

mkdir /var/www

Ja hakemisto virtuaaliselle isännällesi:

mkdir /var/www/yourwebsite.com

Liitä lopuksi seuraava NGINX-kokoonpanoosi, joka sijaitsee osoitteessa /usr/local/nginx/conf/nginx.conf. Varmista, että liität tämän kokoonpanon ennen viimeisen }symbolin esiintymistä .

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

Vaihe 3: Käynnistä PHP-FPM ja NGINX

Tämä vaihe on melko yksinkertainen - sinun tarvitsee vain suorittaa seuraavat komennot.

service php-fpm start
/usr/sbin/nginx

Onnittelut! Olet asentanut ensimmäisen verkkosivustosi ModSecurityn suojaamalla NGINX:llä. Jos haluat lukea lisää ModSecuritysta, vieraile heidän virallisella verkkosivustollaan .