Nustatykite NGINX naudodami „ModSecurity“ „CentOS 6“.

Šiame straipsnyje paaiškinsiu, kaip sukurti LEMP steką, apsaugotą ModSecurity. ModSecurity yra atvirojo kodo žiniatinklio programų ugniasienė, kuri yra naudinga apsisaugoti nuo injekcijų, PHP atakų ir kt. Jei norite nustatyti NGINX su ModSecurity, tęskite skaitymą.

Visiems šiame straipsnyje aprašytiems veiksmams reikia root prieigos.

1 veiksmas: būtinų sąlygų įdiegimas

Jei dar nenaudojate kaip root naudotojas, išplėskite save:

/bin/su

Mums reikia kompiliatoriaus, todėl, norėdami įsitikinti, atlikite šiuos veiksmus:

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools' 

Norėdami įdiegti NGINX, pirmiausia turime gauti paketą. Atsisiųskite paketą:

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

Taip pat mums reikės PHP paketo mūsų kaminui.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

Kadangi įdiegiame ModSecurity, paimsime šaltinį ir atsisiųsime jį:

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

Dabar išpakuokite / išpakuokite failus.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz   

Tada įdiegsime ModSecurity.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

Dabar, kai turime visas būtinas sąlygas, įdiegkime NGINX. Šis komandų rinkinys yra skirtas NGINX ir ModSecurity diegimui.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

Dabar įdiegkime MySQL serverį.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

Dėl mysql_secure_installationkomandos:

• Paspauskite Enter pirmame diegimo vedlio žingsnyje.
• Įveskite Y, kai būsite paraginti, jei reikia nustatyti naują MySQL root slaptažodį.
• Įveskite naują slaptažodį, patvirtinkite jį įvesdami dar kartą.
• Paspauskite Y, kad pašalintumėte anoniminius vartotojus, neleiskite nuotolinės šakninės prieigos prie MySQL dar kartą paspausdami Y.
• Paskutinį kartą paspauskite Y, kad pašalintumėte bandomąją duomenų bazę/vartotoją.
• Galiausiai paspauskite Y, kad išsaugotumėte pakeitimus.

Paskutinis dalykas, kurį reikia įdiegti, yra PHP. Šiame straipsnyje mes įdiegsime PHP iš šaltinio.

Įveskite PHP šaltinio katalogą.

cd /usr/src/php-5.6.16

Dabar sukonfigūruokite PHP. Šie komandos argumentai ./configureyra, kad galėtumėte paleisti tokias programas kaip „WordPress“.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

Įdiekite PHP-FPM, skirtą NGINX:

yum install -y php-fpm

Turime įdiegti PHP-FPM ant paties PHP, nes pats NGINX nėra tiesiogiai integruotas su PHP. Vietoj to, NGINX perduoda PHP apdorojimą PHP-FPM, kad vykdytų mūsų scenarijus.

Šaunuolis! Įdiegėte būtinas sąlygas.

2 veiksmas: „ModSecurity“ / NGINX konfigūravimas

Pradėkime nuo ModSecurity taisyklių rinkinio kūrimo. „ModSecurity“ pati nieko nedaro, kol nesukonfigūravote.

Paimkite OWASP taisyklių rinkinį iš jų svetainės:

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

Atsisiuntę taisyklių rinkinį, numatytąją konfigūraciją sujungsime su pagrindinėmis taisyklėmis.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

Teoriškai tai turėtų apsaugoti nuo daugumos žiniatinklio išnaudojimų. Tačiau jūsų įdiegti papildiniai / kodas taip pat turėtų būti tikrinami, nes nors „ModSecurity“ yra puiki apsaugos priemonė, ji nėra atspari kulkams.

Sukurkite katalogą adresu /var/www:

mkdir /var/www

Ir jūsų virtualaus pagrindinio kompiuterio katalogas:

mkdir /var/www/yourwebsite.com

Galiausiai prie NGINX konfigūracijos, esančios adresu, pridėkite toliau pateiktą informaciją /usr/local/nginx/conf/nginx.conf. Būtinai pridėkite šią konfigūraciją prieš pasirodant paskutiniam }simboliui.

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

3 veiksmas: paleiskite PHP-FPM ir NGINX

Šis žingsnis yra gana paprastas – tereikia vykdyti šias komandas.

service php-fpm start
/usr/sbin/nginx

Sveikiname! Nustatėte savo pirmąją svetainę naudodami NGINX, apsaugotą „ModSecurity“. Norėdami daugiau sužinoti apie ModSecurity, apsilankykite jų oficialioje svetainėje .