Installere Naxsi på Ubuntu 14.04

Naxsi er et stykke programvare som utvider Nginx (modul). Det gir en WAF (Web Application Firewall) og beskytter nettstedene dine mot XSS og SQL-injeksjon, to velkjente sårbarheter. I følge utviklerne er Naxsi en modul med lite vedlikehold, så når den er installert bør du se et betydelig løft i nettstedets sikkerhet uten for mye problemer.

I dette dokumentet skal du se hvordan vi kan legge til Naxsi-modulen til en ny eller eksisterende Nginx-installasjon på Ubuntu 14.04.

Trinn 1A: Installere Naxsi uten en eksisterende Nginx-installasjon

Skulle du ikke ha Nginx installert på serveren din ennå, bør du følge dette trinnet. Hvis du allerede har en eksisterende Nginx-installasjon, følg trinn 1B. Før vi skal installere Naxsi kan det være smart å oppdatere systemet vårt. Gjør dette ved å utføre:

apt-get update

Deretter kan vi installere Naxsi. Ved bruk apt-getfor installasjonen vil Naxsi og dets avhengigheter bli installert. Naxsi vil automatisk startes ved oppstart.

apt-get install nginx-naxsi

Trinn 1B: Installere Naxsi med en eksisterende Nginx-installasjon

Trinn 1A kan ikke følges i tilfelle Nginx allerede er installert, da nginx-naxsipakken vil være Nginx + Naxsi. Hvis du allerede har Nginx og vil ha Naxsi på toppen av det, bør det generelt fungere fint å erstatte nginx-corepakken med nginx-naxsipakken. Det er smart å lage en sikkerhetskopi av helst hele serveren din, og /etc/nginx/katalogen bør også sikkerhetskopieres.

Hvis mulig, distribuer en ny server med en helt ny Nginx-installasjon ved å bruke nginx-naxsipakken. Hvis ikke, sikkerhetskopier serveren din og skriv inn:

apt-get install nginx-naxsi

Dette bør installere Naxsi og erstatte den eksisterende Nginx, men beholde alle filene dine.

Trinn 2: Redigere Naxsi-innstillinger

For å aktivere Naxsi, åpne filen /etc/nginx/nginx.conf:

vi /etc/nginx/nginx.conf

og finn følgende seksjon:

# nginx-naxsi config
##
# Uncomment it if you installed nginx-naxsi
##

# include /etc/nginx/naxsi_core.rules;

Fjern #foran for includeå laste Naxsi-reglene, som vil aktivere Naxsi. Etter å ha gjort den endringen, skal linjen se slik ut:

inkluderer /etc/nginx/naxsi_core.rules;

Konfigurasjonen av Naxsi finner du i /etc/nginx/naxsi.rules. Du kan se hva den gjør og eventuelt endre noen innstillinger, avhengig av dine behov og typen nettside(r) du er vert for.

Etter å ha aktivert Naxsi og redigert konfigurasjonen, må vi aktivere Naxsi for standardnettstedet vårt manuelt. Åpne /etc/nginx/sites-enabled/default:

vi /etc/nginx/sites-enabled/default

For å aktivere Naxsi på denne plasseringen, fjern #hvis den finnes, ellers la includelinjen være slik og ikke legg til en #.

# Uncomment to enable naxsi on this location
include /etc/nginx/naxsi.rules;

Trinn 3: Slå av læringsmodus

For å la Naxsi beskytte nettstedet ditt, må vi slå av læringsmodusen. Åpne /etc/nginx/naxsi.rules:

vi /etc/nginx/naxsi.rules

Finn strengen LearningModeog plasser en #foran den. Det kommenterer linjen og deaktiverer dermed læringsmodusen i konfigurasjonen.

Trinn 4: Starte Naxsi på nytt

Start Nginx på nytt for at endringene skal tre i kraft:

service nginx reload

Du kan nå se eventuelle sikkerhetsadvarsler fra Naxsi i Nginx-loggen:

tail -f /var/log/nginx/error.log