Inštalácia Naxsi na Ubuntu 14.04

Naxsi je softvér, ktorý rozširuje Nginx (modul). Poskytuje WAF (Web Application Firewall) a chráni vaše stránky pred XSS a SQL injection, dvoma známymi zraniteľnosťami. Podľa jeho vývojárov je Naxsi modul nenáročný na údržbu, takže po inštalácii by ste mali zaznamenať značné zvýšenie bezpečnosti vašej stránky bez prílišných problémov.

V tomto dokumente uvidíte, ako môžeme pridať modul Naxsi do novej alebo existujúcej inštalácie Nginx na Ubuntu 14.04.

Krok 1A: Inštalácia Naxsi bez existujúcej inštalácie Nginx

Ak ešte nemáte na svojom serveri nainštalovaný Nginx, postupujte podľa tohto kroku. Ak už máte existujúcu inštaláciu Nginx, postupujte podľa kroku 1B. Predtým, ako nainštalujeme Naxsi, môže byť rozumné aktualizovať náš systém. Urobte to vykonaním:

apt-get update

Ďalej môžeme nainštalovať Naxsi. Pomocou apt-getna inštaláciu sa nainštaluje Naxsi a jeho závislosti. Naxsi sa automaticky spustí pri štarte.

apt-get install nginx-naxsi

Krok 1B: Inštalácia Naxsi s existujúcou inštaláciou Nginx

Krok 1A nemožno vykonať v prípade, že je už nainštalovaný Nginx, pretože nginx-naxsibalík bude Nginx + Naxsi. Ak už máte Nginx a chcete navyše Naxsi, vo všeobecnosti by nahradenie nginx-corebalíka nginx-naxsibalíkom malo fungovať dobre. Je rozumné vytvoriť zálohu najlepšie celého vášho servera a /etc/nginx/adresár by sa mal tiež zálohovať.

Ak je to možné, nasaďte nový server s úplne novou inštaláciou Nginx pomocou nginx-naxsibalíka. Ak nie, zálohujte svoj server a zadajte:

apt-get install nginx-naxsi

Toto by malo nainštalovať Naxsi a nahradiť existujúci Nginx, ale ponechať si všetky súbory.

Krok 2: Úprava nastavení Naxsi

Ak chcete povoliť Naxsi, otvorte súbor /etc/nginx/nginx.conf:

vi /etc/nginx/nginx.conf

a nájdite nasledujúcu sekciu:

# nginx-naxsi config
##
# Uncomment it if you installed nginx-naxsi
##

# include /etc/nginx/naxsi_core.rules;

Odstráňte #prednú časť includea načítajte pravidlá Naxsi, ktoré povolia Naxsi. Po vykonaní tejto zmeny by riadok mal vyzerať takto:

zahŕňajú /etc/nginx/naxsi_core.rules;

Konfiguráciu Naxsi nájdete v /etc/nginx/naxsi.rules. Môžete vidieť, čo robí, a prípadne zmeniť niektoré nastavenia v závislosti od vašich potrieb a typu webových stránok, ktoré hosťujete.

Po povolení Naxsi a úprave konfigurácie musíme Naxsi pre našu predvolenú stránku povoliť manuálne. Otvoriť /etc/nginx/sites-enabled/default:

vi /etc/nginx/sites-enabled/default

Ak chcete povoliť Naxsi na tomto mieste, odstráňte, #ak existuje, inak ponechajte includeriadok tak a nepridávajte #.

# Uncomment to enable naxsi on this location
include /etc/nginx/naxsi.rules;

Krok 3: Vypnutie režimu učenia

Aby Naxsi chránil váš web, musíme vypnúť režim učenia. Otvoriť /etc/nginx/naxsi.rules:

vi /etc/nginx/naxsi.rules

Nájdite reťazec LearningModea umiestnite #predň. To komentuje riadok a tým deaktivuje režim učenia v konfigurácii.

Krok 4: Reštartovanie Naxsi

Reštartujte Nginx, aby sa zmeny prejavili:

service nginx reload

Teraz môžete vidieť všetky bezpečnostné upozornenia od Naxsi v denníku Nginx:

tail -f /var/log/nginx/error.log