Iestatiet NGINX ar ModSecurity operētājsistēmā CentOS 6

Šajā rakstā es paskaidrošu, kā izveidot LEMP steku, kuru aizsargā ModSecurity. ModSecurity ir atvērtā pirmkoda tīmekļa lietojumprogrammu ugunsmūris, kas ir noderīgs aizsardzībai pret injekcijām, PHP uzbrukumiem un citiem. Ja vēlaties iestatīt NGINX ar ModSecurity, turpiniet lasīt.

Visām šajā rakstā minētajām darbībām ir nepieciešama root piekļuve.

1. darbība: priekšnosacījumu instalēšana

Ja jūs vēl nedarbojas kā root lietotājs, eskalējiet pats:

/bin/su

Mums ir nepieciešams kompilators, tāpēc, lai pārliecinātos, izpildiet tālāk norādītās darbības.

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools' 

Lai instalētu NGINX, mums vispirms ir jāiegūst pakotne. Lejupielādēt pakotni:

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

Mums būs nepieciešama arī PHP pakotne mūsu stekam.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

Tā kā mēs instalējam ModSecurity, mēs paņemsim avotu un lejupielādēsim to:

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

Tagad atpakojiet / izpakojiet failus.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz   

Pēc tam mēs instalēsim ModSecurity.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

Tagad, kad esam ieguvuši visus priekšnoteikumus, instalēsim NGINX. Tālāk norādītā komandu kopa ir paredzēta NGINX un ModSecurity instalēšanai.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

Tagad instalēsim MySQL serveri.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

Par mysql_secure_installationkomandu:

• Instalēšanas vedņa pirmajā solī nospiediet taustiņu Enter.
• Ievadiet Y, kad tiek prasīts, vai ir jāiestata jauna MySQL root parole.
• Ievadiet jaunu paroli, apstipriniet, ierakstot to vēlreiz.
• Nospiediet Y, lai noņemtu anonīmus lietotājus, atļaujiet attālo root piekļuvi MySQL, vēlreiz nospiežot Y.
• Pēdējo reizi nospiediet Y, lai noņemtu testa datu bāzi/lietotāju.
• Visbeidzot, nospiediet Y, lai saglabātu izmaiņas.

Vēl viena lieta, kas jāinstalē, un tā ir PHP. Šajā rakstā mēs instalēsim PHP no avota.

Ievadiet PHP avota direktoriju.

cd /usr/src/php-5.6.16

Tagad konfigurējiet PHP. Šie ./configurekomandas argumenti ir paredzēti, lai jūs varētu palaist tādas lietojumprogrammas kā WordPress.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

Instalējiet PHP-FPM priekš NGINX:

yum install -y php-fpm

Mums ir jāinstalē PHP-FPM virs pašas PHP, jo pats NGINX nav tieši integrēts ar PHP. Tā vietā NGINX nodod PHP apstrādi PHP-FPM, lai izpildītu mūsu skriptus.

Labs darbs! Jūs esat instalējis priekšnoteikumus.

2. darbība: ModSecurity/NGINX konfigurēšana

Sāksim ar ModSecurity noteikumu kopas izveidi. ModSecurity pati par sevi neko nedara, kamēr neesat to konfigurējis.

Iegūstiet OWASP noteikumu kopu viņu vietnē:

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

Pēc kārtulu kopas lejupielādes mēs apvienosim noklusējuma konfigurāciju ar pamata kārtulām.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

Teorētiski tam vajadzētu aizsargāt pret lielāko daļu tīmekļa ļaunprātīgu izmantošanu. Tomēr arī jūsu instalētie spraudņi/kods ir jāpārbauda, ​​jo, lai gan ModSecurity ir lielisks drošības līdzeklis, tas nav izturīgs.

Izveidojiet direktoriju vietnē /var/www:

mkdir /var/www

Un jūsu virtuālā saimniekdatora direktorijs:

mkdir /var/www/yourwebsite.com

Visbeidzot pievienojiet tālāk norādīto savai NGINX konfigurācijai, kas atrodas /usr/local/nginx/conf/nginx.conf. Noteikti pievienojiet šo konfigurāciju pirms pēdējā }simbola parādīšanās .

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

3. darbība: PHP-FPM un NGINX palaišana

Šis solis ir diezgan vienkāršs - viss, kas jums jādara, ir jāizpilda šādas komandas.

service php-fpm start
/usr/sbin/nginx

Apsveicam! Jūs esat iestatījis savu pirmo vietni ar NGINX, ko aizsargā ModSecurity. Lai iegūtu papildinformāciju par ModSecurity, apmeklējiet viņu oficiālo vietni .