Settu upp NGINX með ModSecurity á CentOS 6

Í þessari grein mun ég útskýra hvernig á að byggja upp LEMP stafla sem varinn er af ModSecurity. ModSecurity er opinn uppspretta vefforritseldveggur sem er gagnlegur til að verjast inndælingum, PHP árásum og fleiru. Ef þú vilt setja upp NGINX með ModSecurity skaltu halda áfram að lesa.

Öll skref í þessari grein krefjast rótaraðgangs.

Skref 1: Að setja upp forsendur

Ef þú ert ekki nú þegar að keyra sem rótnotandi skaltu auka sjálfan þig:

/bin/su

Við þurfum þýðanda, svo keyrðu eftirfarandi til að vera viss:

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools' 

Til að setja upp NGINX þurfum við fyrst að fá pakkann. Sækja pakkann:

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

Við munum einnig þurfa PHP pakkann fyrir stafla okkar.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

Þar sem við erum að setja upp ModSecurity munum við grípa upprunann og hlaða honum niður:

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

Aftaðu / unzip skrárnar.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz   

Síðan munum við setja upp ModSecurity.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

Nú þegar við höfum fengið allar forsendur skulum við setja upp NGINX. Eftirfarandi sett af skipunum er fyrir uppsetningu á NGINX og ModSecurity.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

Nú skulum við setja upp MySQL netþjóninn.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

Fyrir mysql_secure_installationskipunina:

• Smelltu á enter í fyrsta skrefi uppsetningarhjálparinnar.
• Sláðu inn Y ​​þegar beðið er um hvort setja eigi nýtt MySQL rót lykilorð.
• Sláðu inn nýtt lykilorð, staðfestu með því að slá það inn aftur.
• Smelltu á Y til að fjarlægja nafnlausa notendur, bannaðu ytri rótaraðgang að MySQL með því að ýta aftur á Y.
• Ýttu á Y í síðasta sinn til að fjarlægja prófunargagnagrunninn/notandann.
• Að lokum, ýttu á Y til að vista breytingarnar þínar.

Eitt að lokum til að setja upp, og það er PHP. Í þessari grein munum við setja upp PHP frá uppruna.

Sláðu inn upprunaskrána fyrir PHP.

cd /usr/src/php-5.6.16

Nú skaltu stilla PHP. Eftirfarandi rök í ./configureskipuninni eru til staðar svo þú getir keyrt forrit eins og WordPress.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

Settu upp PHP-FPM fyrir NGINX:

yum install -y php-fpm

Við þurfum að setja PHP-FPM ofan á PHP sjálft vegna þess að NGINX sjálft samþættist ekki beint við PHP. Þess í stað sendir NGINX PHP vinnslu yfir til PHP-FPM til að keyra forskriftirnar okkar.

Gott starf! Þú hefur sett upp forsendurnar.

Skref 2: Stilla ModSecurity/NGINX

Byrjum á því að byggja upp ModSecurity reglusett. ModSecurity gerir ekkert af sjálfu sér fyrr en þú stillir það.

Gríptu OWASP reglusettið af vefsíðu þeirra:

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

Eftir að þú hefur hlaðið niður reglusettinu munum við sameina sjálfgefna stillingu við grunnreglurnar.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

Fræðilega séð ætti þetta að vernda gegn flestum netafrekum. Hins vegar ætti einnig að endurskoða viðbæturnar/kóðann sem þú setur upp, því þó að ModSecurity sé frábær öryggisráðstöfun er hún ekki skotheld.

Búðu til möppu á /var/www:

mkdir /var/www

Og skrá fyrir sýndargestgjafann þinn:

mkdir /var/www/yourwebsite.com

Að lokum skaltu bæta eftirfarandi við NGINX stillinguna þína sem staðsett er á /usr/local/nginx/conf/nginx.conf. Gakktu úr skugga um að þú bætir þessari stillingu við áður en síðasta }táknið birtist .

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

Skref 3: Ræsa PHP-FPM og NGINX

Þetta skref er frekar einfalt - allt sem þú þarft að gera er að framkvæma eftirfarandi skipanir.

service php-fpm start
/usr/sbin/nginx

Til hamingju! Þú hefur sett upp fyrstu vefsíðuna þína með NGINX verndað af ModSecurity. Fyrir frekari lestur um ModSecurity, heimsækja opinbera síðu þeirra .