Installer Plesk på CentOS 7
Bruker du et annet system? Plesk er et proprietært kontrollpanel for webverten som lar brukere administrere sine personlige og/eller klienters nettsteder, databaser
Hvordan installere ModSecurity for Nginx på CentOS 7, Debian 8 og Ubuntu 16.04
ModSecurity er en åpen kildekode-brannmurmodul for nettapplikasjoner (WAF) som er flott for å beskytte Apache, Nginx og IIS fra forskjellige cyberangrep som retter seg mot potensielle sårbarheter i forskjellige nettapplikasjoner
I denne artikkelen vil vi installere og konfigurere ModSecurity for Nginx på CentOS 7, Debian 8 og Ubuntu 16.04.
Forutsetninger
- En oppdatert installasjon av CentOS 7, Debian 8 eller Ubuntu 16.04 64-bit.
- Logger inn som
root.
Trinn 1: Oppdater systemet
Følg denne veiledningen og oppdater serverens kjerne og pakker til den siste tilgjengelige versjonen.
Trinn 2: Installer avhengigheter
Før du kan kompilere Nginx og ModSecurity vellykket, må du installere flere programvarepakker som følger.
a) På CentOS 7:
yum groupinstall -y "Development Tools"
yum install -y httpd httpd-devel pcre pcre-devel libxml2 libxml2-devel curl curl-devel openssl openssl-devel
shutdown -r now
b) På Debian 8 eller Ubuntu 16.04:
apt-get install -y git build-essential libpcre3 libpcre3-dev libssl-dev libtool autoconf apache2-dev libxml2-dev libcurl4-openssl-dev automake pkgconf
Trinn 3: Kompiler ModSecurity
På grunn av flere ustabiliteter som er rapportert på ModSecurity for Nginx hovedgren, anbefales det foreløpig offisielt å bruke den nyeste versjonen av nginx_refactoringgrenen når det er mulig.
Last ned nginx_refactoringgrenen til ModSecurity for Nginx:
cd /usr/src
git clone -b nginx_refactoring https://github.com/SpiderLabs/ModSecurity.git
Kompiler ModSecurity:
a) På CentOS 7:
cd ModSecurity
sed -i '/AC_PROG_CC/a\AM_PROG_CC_C_O' configure.ac
sed -i '1 i\AUTOMAKE_OPTIONS = subdir-objects' Makefile.am
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
Merk: de to sedkommandoene ovenfor brukes for å forhindre advarselsmeldinger når du bruker nyere bilprodusentversjoner.
b) På Debian 8 eller Ubuntu 16.04:
cd ModSecurity
./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
Trinn 4: Kompiler Nginx
Last ned og avarkiver den siste stabile utgivelsen av Nginx som er Nginx 1.10.3i skrivende stund:
cd /usr/src
wget https://nginx.org/download/nginx-1.10.3.tar.gz
tar -zxvf nginx-1.10.3.tar.gz && rm -f nginx-1.10.3.tar.gz
a) På CentOS 7:
Først må du opprette en dedikert bruker nginxog en dedikert gruppe nginxfor Nginx:
groupadd -r nginx
useradd -r -g nginx -s /sbin/nologin -M nginx
Deretter kompilerer Nginx mens du aktiverer ModSecurity og SSL-moduler:
cd nginx-1.10.3/
./configure --user=nginx --group=nginx --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
Endre standardbrukeren av Nginx:
sed -i "s/#user nobody;/user nginx nginx;/" /usr/local/nginx/conf/nginx.conf
b) På Debian 8 eller Ubuntu 16.04:
Først bør du bruke den eksisterende brukeren www-dataog den eksisterende gruppen www-data.
Deretter kompilerer Nginx mens du aktiverer ModSecurity og SSL-moduler:
cd nginx-1.10.3/
./configure --user=www-data --group=www-data --add-module=/usr/src/ModSecurity/nginx/modsecurity --with-http_ssl_module
make
make install
Endre standardbrukeren av Nginx:
sed -i "s/#user nobody;/user www-data www-data;/" /usr/local/nginx/conf/nginx.conf
Når Nginx er installert, vil relaterte filer være plassert på:
nginx path prefix: "/usr/local/nginx"
nginx binary file: "/usr/local/nginx/sbin/nginx"
nginx modules path: "/usr/local/nginx/modules"
nginx configuration prefix: "/usr/local/nginx/conf"
nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
nginx pid file: "/usr/local/nginx/logs/nginx.pid"
nginx error log file: "/usr/local/nginx/logs/error.log"
nginx http access log file: "/usr/local/nginx/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"
du kan teste installasjonen med:
/usr/local/nginx/sbin/nginx -t
Hvis ingenting går galt, bør utgangen være:
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
For enkelhets skyld kan du sette opp en systemd enhetsfil for Nginx:
cat <<EOF>> /lib/systemd/system/nginx.service
[Service]
Type=forking
ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
KillStop=/usr/local/nginx/sbin/nginx -s stop
KillMode=process
Restart=on-failure
RestartSec=42s
PrivateTmp=true
LimitNOFILE=200000
[Install]
WantedBy=multi-user.target
EOF
Fremover kan du starte/stoppe/starte Nginx på nytt som følger:
systemctl start nginx.service
systemctl stop nginx.service
systemctl restart nginx.service
Trinn 4: Konfigurer ModSecurity og Nginx
4.1 Konfigurer Nginx:
vi /usr/local/nginx/conf/nginx.conf
Finn følgende segment innenfor http {}segmentet:
location / {
root html;
index index.html index.htm;
}
Sett inn linjene nedenfor i location / {}segmentet:
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
Det endelige resultatet bør være:
location / {
ModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
#proxy_pass http://localhost:8011;
#proxy_read_timeout 180s;
root html;
index index.html index.htm;
}
Lagre og avslutt:
:wq!
Merk: Nginx-konfigurasjonen ovenfor er bare en eksempelkonfigurasjon for bruk av Nginx som en webserver i stedet for en omvendt proxy. Hvis du bruker Nginx som en omvendt proxy, fjern #tegnet på de to siste linjene og gjør passende endringer i dem.
4.2 Lag en fil med navnet /usr/local/nginx/conf/modsec_includes.conf:
cat <<EOF>> /usr/local/nginx/conf/modsec_includes.conf
include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/*.conf
EOF
Merk: Konfigurasjonen ovenfor vil bruke alle OWASP ModSecurity Core Rules i owasp-modsecurity-crs/rules/katalogen. Hvis du kun vil bruke selektive regler, bør du fjerne include owasp-modsecurity-crs/rules/*.conflinjen og deretter spesifisere nøyaktige regler du trenger etter trinn 4.5.
4.3 Importer ModSecurity-konfigurasjonsfiler:
cp /usr/src/ModSecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/ModSecurity/unicode.mapping /usr/local/nginx/conf/
4.4 Endre /usr/local/nginx/conf/modsecurity.conffilen:
sed -i "s/SecRuleEngine DetectionOnly/SecRuleEngine On/" /usr/local/nginx/conf/modsecurity.conf
4.5 Legg til OWASP ModSecurity CRS (Core Rule Set)-filer:
cd /usr/local/nginx/conf
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd owasp-modsecurity-crs
mv crs-setup.conf.example crs-setup.conf
cd rules
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
Trinn 5: Test ModSecurity
Start Nginx:
systemctl start nginx.service
Åpne port 80 for å tillate ekstern tilgang:
a) På CentOS 7:
firewall-cmd --zone=public --permanent --add-service=http
firewall-cmd --reload
b) På Debian 8:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
touch /etc/iptables
iptables-save > /etc/iptables
c) På Ubuntu 16.04:
ufw allow OpenSSH
ufw allow 80
ufw default deny
ufw enable
Pek nettleseren til:
http://203.0.113.1/?param="><script>alert(1);</script>
Bruk for grepå hente feilmeldinger som følger:
grep error /usr/local/nginx/logs/error.log
Utdataene skal inneholde flere feilmeldinger som ligner på:
2017/02/15 14:07:54 [error] 10776#0: [client 104.20.23.240] ModSecurity: Warning. detected XSS using libinjection. [file "/usr/local/nginx/conf/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "56"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data: found within ARGS:param: \x22><script>alert(1);</script>"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"] [hostname ""] [uri "/index.html"] [unique_id "ATAcAcAkucAchGAcPLAcAcAY"]
Det er det. Som du ser, har ModSecurity-modulen loggført dette angrepet i samsvar med standard handlingspolicy. Hvis du ønsker å gjøre flere tilpassede innstillinger, vennligst se nøye gjennom og rediger /usr/local/nginx/conf/modsecurity.confog /usr/local/nginx/conf/owasp-modsecurity-crs/crs-setup.conffiler.
Slik installerer du Squid Proxy på CentOS
Squid er et populært, gratis Linux-program som lar deg lage en webproxy for videresending. I denne veiledningen vil du se hvordan du installerer Squid på CentOS for å gjøre deg om
Slik installerer du Lighttpd (LLMP Stack) på CentOS 6
Introduksjon Lighttpd er en apachegaffel som har som mål å være mye mindre ressurskrevende. Den er lett, derav navnet, og er ganske enkel å bruke. Installer
Konfigurering av statisk nettverk og IPv6 på CentOS 7
VULTR har nylig gjort endringer på sin side, og alt skal nå fungere bra ut av boksen med NetworkManager aktivert. Skulle du ønske å deaktivere
Endring av Icinga2 for å bruke hoved-/klientmodell på CentOS 6 eller CentOS 7
Icinga2 er et kraftig overvåkingssystem, og når det brukes i en master-klient-modell, kan det erstatte behovet for NRPE-baserte overvåkingskontroller. Mester-klienten
Slik installerer du Apache Cassandra 3.11.x på CentOS 7
Bruker du et annet system? Apache Cassandra er et gratis og åpen kildekode NoSQL-databasebehandlingssystem som er designet for å gi skalerbarhet, høy
Slik installerer du Microweber på CentOS 7
Bruker du et annet system? Microweber er en åpen kildekode dra og slipp CMS og nettbutikk. Microweber-kildekoden er vert på GitHub. Denne guiden vil vise deg
Hvordan installere Vanilla Forum på CentOS 7
Bruker du et annet system? Vanilla forum er en åpen kildekode-forumapplikasjon skrevet i PHP. Det er en fullt tilpassbar, enkel å bruke og støtter ekstern
Slik installerer du Mattermost 4.1 på CentOS 7
Bruker du et annet system? Mattermost er et åpen kildekode, selvdrevet alternativ til Slack SAAS-meldingstjenesten. Med andre ord, med Mattermost kan du ca
Opprette et nettverk av Minecraft-servere med BungeeCord på Debian 8, Debian 9 eller CentOS 7
Hva du trenger En Vultr VPS med minst 1 GB RAM. SSH-tilgang (med root/administratorrettigheter). Trinn 1: Installere BungeeCord Først
La oss kryptere på Plesk
Plesk-kontrollpanelet har en veldig fin integrasjon for Lets Encrypt. Lets Encrypt er en av de eneste SSL-leverandørene som gir ut sertifikater komplett
La oss kryptere på cPanel
Lets Encrypt er en sertifiseringsinstans dedikert til å tilby SSL-sertifikater gratis. cPanel har bygget en ryddig integrasjon slik at du og din klient
Hvordan installere Concrete5 på CentOS 7
Bruker du et annet system? Concrete5 er et åpen kildekode CMS som tilbyr mange karakteristiske og nyttige funksjoner for å hjelpe redaktører med å produsere innhold enkelt og
Slik installerer du Review Board på CentOS 7
Bruker du et annet system? Review Board er et gratis og åpen kildekodeverktøy for gjennomgang av kildekode, dokumentasjon, bilder og mye mer. Det er nettbasert programvare
Sett opp HTTP-autentisering med Nginx på CentOS 7
I denne veiledningen lærer du hvordan du setter opp HTTP-autentisering for en Nginx-webserver som kjører på CentOS 7. Krav For å komme i gang trenger du
Slik installerer du GoAccess på CentOS 7
Bruker du et annet system? GoAccess er en åpen kildekode-nettlogganalysator. Du kan bruke den til analyse av logger på sanntidsbasis i enten terminalen eller
Hvordan installere YOURLS på CentOS 7
YOURLS (Your Own URL Shortener) er en åpen kildekode-applikasjon for URL-forkorting og dataanalyse. I denne artikkelen vil vi dekke installasjonsprosessen
Hvordan installere og konfigurere ArangoDB på CentOS 7
Bruker du et annet system? Introduksjon ArangoDB er en åpen kildekode NoSQL-database med en fleksibel datamodell for dokumenter, grafer og nøkkelverdier. Det er
Bruke Etckeeper for versjonskontroll av /etc
Innledning /etc/-katalogen spiller en kritisk rolle i måten et Linux-system fungerer på. Grunnen til dette er fordi nesten alle systemkonfigurasjoner
Hvorfor bør du bruke SSHFS? Hvordan montere et eksternt filsystem med SSHFS på CentOS 6
Mange systemadministratorer administrerer store mengder servere. Når filer må åpnes på tvers av forskjellige servere, logger du på hver enkelt individuelt ca
The Rise of Machines: Real World Applications of AI
Kunstig intelligens er ikke i fremtiden, det er her akkurat i nåtiden I denne bloggen Les hvordan kunstig intelligens-applikasjoner har påvirket ulike sektorer.
DDOS-angrep: en kort oversikt
Er du også et offer for DDOS-angrep og forvirret over forebyggingsmetodene? Les denne artikkelen for å løse spørsmålene dine.
Har du noen gang lurt på hvordan hackere tjener penger?
Du har kanskje hørt at hackere tjener mye penger, men har du noen gang lurt på hvordan tjener de den slags penger? la oss diskutere.
Revolusjonerende oppfinnelser fra Google som vil gjøre livet ditt enkelt.
Vil du se revolusjonerende oppfinnelser fra Google og hvordan disse oppfinnelsene forandret livet til alle mennesker i dag? Les deretter til bloggen for å se oppfinnelser fra Google.
Fredag Essential: Hva skjedde med AI-drevne biler?
Konseptet med selvkjørende biler som skal ut på veiene ved hjelp av kunstig intelligens er en drøm vi har hatt en stund nå. Men til tross for flere løfter, er de ingen steder å se. Les denne bloggen for å lære mer...
Teknologisk singularitet: en fjern fremtid for menneskelig sivilisasjon?
Ettersom vitenskapen utvikler seg raskt og tar over mye av innsatsen vår, øker også risikoen for å utsette oss for en uforklarlig singularitet. Les hva singularitet kan bety for oss.
Evolusjon av datalagring – infografikk
Lagringsmetodene for dataene har vært i utvikling kan være siden fødselen av dataene. Denne bloggen dekker utviklingen av datalagring på grunnlag av en infografikk.
Funksjonaliteter til Big Data Reference Architecture Layers
Les bloggen for å kjenne ulike lag i Big Data Architecture og deres funksjoner på den enkleste måten.
6 fantastiske fordeler ved å ha smarte hjemmeenheter i livene våre
I denne digitaldrevne verden har smarthusenheter blitt en avgjørende del av livet. Her er noen fantastiske fordeler med smarthusenheter om hvordan de gjør livet vårt verdt å leve og enklere.
macOS Catalina 10.15.4 tilleggsoppdatering forårsaker flere problemer enn å løse
Nylig lanserte Apple macOS Catalina 10.15.4 en tilleggsoppdatering for å fikse problemer, men det ser ut til at oppdateringen forårsaker flere problemer som fører til muring av mac-maskiner. Les denne artikkelen for å lære mer
