Instalējiet Plesk operētājsistēmā CentOS 7
Vai izmantojat citu sistēmu? Plesk ir patentēts tīmekļa mitinātāja vadības panelis, kas ļauj lietotājiem administrēt savas personīgās un/vai klientu vietnes, datu bāzes
Kā instalēt ModSecurity for Nginx operētājsistēmās CentOS 7, Debian 8 un Ubuntu 16.04
ModSecurity ir atvērtā pirmkoda tīmekļa lietojumprogrammu ugunsmūra (WAF) modulis, kas ir lieliski piemērots Apache, Nginx un IIS aizsardzībai no dažādiem kiberuzbrukumiem, kas vērsti uz iespējamām ievainojamībām dažādās tīmekļa lietojumprogrammās.
Šajā rakstā mēs instalēsim un konfigurēsim ModSecurity for Nginx operētājsistēmās CentOS 7, Debian 8 un Ubuntu 16.04.
Priekšnoteikumi
- Up-to-datums uzstādīt CentOS 7, Debian 8, vai Ubuntu 16.04 64-bit.
- Piesakoties kā
root.
1. darbība: atjauniniet sistēmu
Ievērojot šo rokasgrāmatu , atjauniniet servera kodolu un pakotnes uz jaunāko pieejamo versiju.
2. darbība: instalējiet atkarības
Lai varētu veiksmīgi kompilēt Nginx un ModSecurity, jums jāinstalē vairākas programmatūras pakotnes, kā norādīts tālāk.
a) Operētājsistēmā CentOS 7:
yum groupinstall -y "Development Tools"
yum install -y httpd httpd-devel pcre pcre-devel libxml2 libxml2-devel curl curl-devel openssl openssl-devel
shutdown -r now
b) Debian 8 vai Ubuntu 16.04:
apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf
3. darbība: kompilējiet ModSecurity
Sakarā ar vairākām nestabilitātēm, par kurām ziņots ModSecurity for Nginx galvenajā atzarā, pašlaik ir oficiāli ieteicams izmantot jaunāko nginx_refactoringfiliāles versiju, kad vien iespējams.
Lejupielādējiet nginx_refactoringNginx ModSecurity filiāli:
cd /usr/src
git clone -b nginx_refactoring https://github.com/SpiderLabs/ModSecurity.git
Kompilējiet ModSecurity:
a) Operētājsistēmā CentOS 7:
cd ModSecurity
sed -i '/AC_PROG_CC/a\AM_PROG_CC_C_O' configure.ac
sed -i '1 i\AUTOMAKE_OPTIONS = subdir-objects' Makefile.am
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
Piezīme: divas sediepriekš minētās komandas tiek izmantotas, lai novērstu brīdinājuma ziņojumus, izmantojot jaunākas automake versijas.
b) Debian 8 vai Ubuntu 16.04:
cd ModSecurity
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
4. darbība: kompilējiet Nginx
Lejupielādējiet un atarhivējiet jaunāko stabilo Nginx versiju, kas ir Nginx 1.10.3rakstīšanas laikā:
cd /usr/src
wget https://nginx.org/download/nginx-1.10.3.tar.gz
tar -zxvf nginx-1.10.3.tar.gz && rm -f nginx-1.10.3.tar.gz
a) Operētājsistēmā CentOS 7:
Pirmkārt, jums ir jāizveido īpašs lietotājs nginxun īpaša grupa nginxNginx:
groupadd -r nginx
useradd -r -g nginx -s /sbin/nologin -M nginx
Pēc tam kompilējiet Nginx, vienlaikus iespējojot ModSecurity un SSL moduļus:
cd nginx-1.10.3/
./configure --user=nginx --group=nginx --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
Mainiet Nginx noklusējuma lietotāju:
sed -i "s/#user nobody;/user nginx nginx;/" /usr/local/nginx/conf/nginx.conf
b) Debian 8 vai Ubuntu 16.04:
Pirmkārt, jums vajadzētu izmantot esošo lietotāju www-dataun esošo grupu www-data.
Pēc tam kompilējiet Nginx, vienlaikus iespējojot ModSecurity un SSL moduļus:
cd nginx-1.10.3/
./configure --user=www-data --group=www-data --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
Mainiet Nginx noklusējuma lietotāju:
sed -i "s/#user nobody;/user www-data www-data;/" /usr/local/nginx/conf/nginx.conf
Pēc veiksmīgas Nginx instalēšanas saistītie faili atradīsies šeit:
nginx path prefix: "/usr/local/nginx"
nginx binary file: "/usr/local/nginx/sbin/nginx"
nginx modules path: "/usr/local/nginx/modules"
nginx configuration prefix: "/usr/local/nginx/conf"
nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
nginx pid file: "/usr/local/nginx/logs/nginx.pid"
nginx error log file: "/usr/local/nginx/logs/error.log"
nginx http access log file: "/usr/local/nginx/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"
Jūs varat pārbaudīt instalāciju ar:
/usr/local/nginx/sbin/nginx -t
Ja nekas nenotiek greizi, izvadei jābūt šādai:
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
Ērtības labad varat iestatīt sistēmas vienības failu Nginx:
cat <<EOF>> /lib/systemd/system/nginx.service
[Service]
Type=forking
ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
KillStop=/usr/local/nginx/sbin/nginx -s stop
KillMode=process
Restart=on-failure
RestartSec=42s
PrivateTmp=true
LimitNOFILE=200000
[Install]
WantedBy=multi-user.target
EOF
Virzoties uz priekšu, varat palaist/apturēt/restartēt Nginx šādi:
systemctl start nginx.service
systemctl stop nginx.service
systemctl restart nginx.service
4. darbība: konfigurējiet ModSecurity un Nginx
4.1 Nginx konfigurēšana:
vi /usr/local/nginx/conf/nginx.conf
Segmentā atrodiet šādu http {}segmentu:
location / {
root html;
index index.html index.htm;
}
location / {}Segmentā ievietojiet šādas rindas :
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
Gala rezultātam jābūt:
location / {
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
root html;
index index.html index.htm;
}
Saglabāt un iziet:
:wq!
Piezīme. Iepriekš minētā Nginx konfigurācija ir tikai konfigurācijas paraugs, lai izmantotu Nginx kā tīmekļa serveri, nevis apgriezto starpniekserveri. Ja izmantojat Nginx kā apgriezto starpniekserveri, noņemiet #rakstzīmi pēdējās divās rindās un veiciet tajās atbilstošas izmaiņas.
4.2 Izveidojiet failu ar nosaukumu /usr/local/nginx/conf/modsec_includes.conf:
cat <<EOF>> /usr/local/nginx/conf/modsec_includes.conf
include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/*.conf
EOF
Piezīme. Iepriekš norādītajā konfigurācijā tiks lietoti visi owasp-modsecurity-crs/rules/direktorijā esošie OWASP ModSecurity pamatnoteikumi . Ja vēlaties lietot tikai selektīvus noteikumus, noņemiet include owasp-modsecurity-crs/rules/*.confrindiņu un pēc 4.5. darbības norādiet precīzus nepieciešamos noteikumus.
4.3. Importēt ModSecurity konfigurācijas failus:
cp /usr/src/ModSecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/ModSecurity/unicode.mapping /usr/local/nginx/conf/
4.4 Mainiet /usr/local/nginx/conf/modsecurity.conffailu:
sed -i "s/SecRuleEngine DetectionOnly/SecRuleEngine On/" /usr/local/nginx/conf/modsecurity.conf
4.5 Pievienojiet OWASP ModSecurity CRS (pamatnoteikumu kopas) failus:
cd /usr/local/nginx/conf
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd owasp-modsecurity-crs
mv crs-setup.conf.example crs-setup.conf
cd rules
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
5. darbība: pārbaudiet ModSecurity
Sāciet Nginx:
systemctl start nginx.service
Atveriet 80. portu, lai nodrošinātu piekļuvi no ārpuses:
a) Operētājsistēmā CentOS 7:
firewall-cmd --zone=public --permanent --add-service=http
firewall-cmd --reload
b) Debian 8:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
touch /etc/iptables
iptables-save > /etc/iptables
c) Ubuntu 16.04:
ufw allow OpenSSH
ufw allow 80
ufw default deny
ufw enable
Norādiet savā tīmekļa pārlūkprogrammā uz:
http://203.0.113.1/?param="><script>alert(1);</script>
Izmantojiet, greplai ielādētu kļūdu ziņojumus, kā norādīts tālāk.
grep error /usr/local/nginx/logs/error.log
Izvadē jāiekļauj vairāki kļūdu ziņojumi, kas ir līdzīgi:
2017/02/15 14:07:54 [error] 10776#0: [client 104.20.23.240] ModSecurity: Warning. detected XSS using libinjection. [file "/usr/local/nginx/conf/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "56"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data: found within ARGS:param: \x22><script>alert(1);</script>"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"] [hostname ""] [uri "/index.html"] [unique_id "ATAcAcAkucAchGAcPLAcAcAY"]
Tieši tā. Kā redzat, ModSecurity modulis ir veiksmīgi reģistrējis šo uzbrukumu saskaņā ar noklusējuma darbību politiku. Ja vēlaties veikt vairāk pielāgotu iestatījumu, lūdzu, rūpīgi pārskatiet un rediģējiet /usr/local/nginx/conf/modsecurity.confun /usr/local/nginx/conf/owasp-modsecurity-crs/crs-setup.conffailus.
Kā instalēt Squid starpniekserveri CentOS
Squid ir populāra bezmaksas Linux programma, kas ļauj izveidot pāradresācijas tīmekļa starpniekserveri. Šajā rokasgrāmatā jūs redzēsit, kā instalēt Squid uz CentOS, lai jūs pārvērstu
Kā instalēt Lighttpd (LLMP Stack) operētājsistēmā CentOS 6
Ievads Lighttpd ir Apache dakša, kuras mērķis ir daudz mazāk resursietilpīgs. Tas ir viegls, tāpēc arī tā nosaukums ir diezgan vienkārši lietojams. Instalēšana
Statiskā tīkla un IPv6 konfigurēšana operētājsistēmā CentOS 7
VULTR nesen veica izmaiņas, un tagad visam vajadzētu darboties labi, ja ir iespējots NetworkManager. Ja vēlaties atspējot
Icinga2 modificēšana, lai izmantotu galveno/klienta modeli operētājsistēmā CentOS 6 vai CentOS 7
Icinga2 ir spēcīga uzraudzības sistēma, un, ja to izmanto galvenā klienta modelī, tā var aizstāt vajadzību pēc NRPE balstītām uzraudzības pārbaudēm. Meistars-klients
Kā instalēt Apache Cassandra 3.11.x operētājsistēmā CentOS 7
Vai izmantojat citu sistēmu? Apache Cassandra ir bezmaksas un atvērtā koda NoSQL datu bāzes pārvaldības sistēma, kas ir izstrādāta, lai nodrošinātu mērogojamību, hig.
Kā instalēt Microweber operētājsistēmā CentOS 7
Vai izmantojat citu sistēmu? Microweber ir atvērtā koda vilkšanas un nomešanas CMS un tiešsaistes veikals. Microweber pirmkods tiek mitināts vietnē GitHub. Šī rokasgrāmata jums parādīs
Kā instalēt Mattermost 4.1 operētājsistēmā CentOS 7
Vai izmantojat citu sistēmu? Mattermost ir atvērtā pirmkoda, pašmitināta alternatīva Slack SAAS ziņojumapmaiņas pakalpojumam. Citiem vārdiem sakot, izmantojot Mattermost, jūs apm
Minecraft serveru tīkla izveide ar BungeeCord operētājsistēmā Debian 8, Debian 9 vai CentOS 7
Kas jums būs nepieciešams Vultr VPS ar vismaz 1 GB RAM. SSH piekļuve (ar root/administratora tiesībām). 1. darbība: BungeeCord instalēšana Vispirms vispirms
Ļauj šifrēt vietnē Plesk
Plesk vadības panelī ir ļoti jauka Lets Encrypt integrācija. Lets Encrypt ir viens no vienīgajiem SSL nodrošinātājiem, kas pilnībā izsniedz sertifikātus
Ļauj šifrēt cPanel
Lets Encrypt ir sertifikātu iestāde, kas nodrošina SSL sertifikātus bez maksas. cPanel ir izveidojis glītu integrāciju, lai jūs un jūsu klients
Kā instalēt Concrete5 operētājsistēmā CentOS 7
Vai izmantojat citu sistēmu? Concrete5 ir atvērtā pirmkoda CMS, kas piedāvā daudzas atšķirīgas un noderīgas funkcijas, lai palīdzētu redaktoriem viegli izveidot saturu.
Kā instalēt pārskata paneli sistēmā CentOS 7
Vai izmantojat citu sistēmu? Pārskatīšanas padome ir bezmaksas atvērtā pirmkoda rīks pirmkoda, dokumentācijas, attēlu un daudz ko citu pārskatīšanai. Tā ir tīmekļa programmatūra
Iestatiet HTTP autentifikāciju, izmantojot Nginx operētājsistēmā CentOS 7
Šajā rokasgrāmatā jūs uzzināsit, kā iestatīt HTTP autentifikāciju Nginx tīmekļa serverim, kas darbojas operētājsistēmā CentOS 7. Prasības Lai sāktu darbu, jums būs nepieciešams
Kā instalēt YOURLS operētājsistēmā CentOS 7
YOURLS (Your Own URL Shortener) ir atvērtā koda URL saīsināšanas un datu analīzes lietojumprogramma. Šajā rakstā mēs apskatīsim instalēšanas procesu
Kā instalēt un konfigurēt ArangoDB operētājsistēmā CentOS 7
Vai izmantojat citu sistēmu? Ievads ArangoDB ir atvērtā koda NoSQL datu bāze ar elastīgu datu modeli dokumentiem, grafikiem un atslēgu vērtībām. Tas ir
Etckeeper izmantošana /etc versiju kontrolei
Ievads /etc/ direktorijam ir izšķiroša nozīme Linux sistēmas darbībā. Iemesls tam ir gandrīz visas sistēmas konfigurācijas
Kāpēc jums vajadzētu izmantot SSHFS? Kā uzstādīt attālo failu sistēmu ar SSHFS operētājsistēmā CentOS 6
Daudzi sistēmu administratori pārvalda lielu daudzumu serveru. Ja failiem ir jāpiekļūst dažādos serveros, piesakieties katrā atsevišķi apm
Half Life 2 servera iestatīšana operētājsistēmā CentOS 6
Šajā apmācībā tiks apskatīts Half Life 2 spēļu servera instalēšanas process sistēmā CentOS 6. 1. darbība: priekšnosacījumu instalēšana Lai iestatītu ou
Kā instalēt Laravel GitScrum operētājsistēmā CentOS 7
Laravel GitScrum jeb GitScrum ir atvērtā pirmkoda produktivitātes rīks, kas izstrādāts, lai palīdzētu izstrādātāju komandām ieviest Scrum metodoloģiju līdzīgā veidā.
Mašīnu pieaugums: AI reālās pasaules lietojumi
Mākslīgais intelekts nav nākotnē, tas ir šeit, tagadnē. Šajā emuārā lasiet, kā mākslīgā intelekta lietojumprogrammas ir ietekmējušas dažādas nozares.
DDOS uzbrukumi: īss pārskats
Vai arī jūs esat DDOS uzbrukumu upuris un esat neizpratnē par profilakses metodēm? Izlasiet šo rakstu, lai atrisinātu savus jautājumus.
Vai esat kādreiz domājis, kā hakeri pelna naudu?
Iespējams, esat dzirdējuši, ka hakeri pelna daudz naudas, bet vai esat kādreiz domājuši, kā viņi nopelna šādu naudu? pārrunāsim.
Google revolucionāri izgudrojumi, kas atvieglos jūsu dzīvi.
Vai vēlaties redzēt revolucionārus Google izgudrojumus un to, kā šie izgudrojumi mainīja katra cilvēka dzīvi mūsdienās? Pēc tam lasiet emuārā, lai redzētu Google izgudrojumus.
Piektdiena: kas notika ar AI vadītām automašīnām?
Pašpiedziņas automobiļu koncepcija izbraukt uz ceļiem ar mākslīgā intelekta palīdzību ir mūsu sapnis jau kādu laiku. Bet, neskatoties uz vairākiem solījumiem, tie nekur nav redzami. Lasiet šo emuāru, lai uzzinātu vairāk…
Tehnoloģiskā singularitāte: cilvēces civilizācijas tāla nākotne?
Zinātnei strauji attīstoties, pārņemot lielu daļu mūsu pūļu, palielinās arī risks pakļaut sevi neizskaidrojamai singularitātei. Izlasiet, ko singularitāte varētu nozīmēt mums.
Datu glabāšanas evolūcija – infografika
Datu uzglabāšanas metodes ir attīstījušās kopš datu dzimšanas. Šajā emuārā ir aprakstīta datu uzglabāšanas attīstība, pamatojoties uz infografiku.
Lielo datu atsauces arhitektūras slāņu funkcijas
Lasiet emuāru, lai vienkāršākā veidā uzzinātu dažādus lielo datu arhitektūras slāņus un to funkcijas.
6 brīnišķīgas priekšrocības, ko sniedz viedo mājas ierīču izmantošana mūsu dzīvē
Šajā digitālajā pasaulē viedās mājas ierīces ir kļuvušas par būtisku dzīves sastāvdaļu. Šeit ir daži pārsteidzoši viedo mājas ierīču ieguvumi, lai padarītu mūsu dzīvi dzīves vērtu un vienkāršāku.
MacOS Catalina 10.15.4 papildinājuma atjauninājums rada vairāk problēmu nekā to risināšana
Nesen Apple izlaida macOS Catalina 10.15.4 papildinājuma atjauninājumu, lai novērstu problēmas, taču šķiet, ka atjauninājums rada vairāk problēmu, kas izraisa Mac datoru bloķēšanu. Izlasiet šo rakstu, lai uzzinātu vairāk
