Налаштуйте NGINX з ModSecurity на CentOS 6

У цій статті я поясню, як створити стек LEMP, захищений ModSecurity. ModSecurity — це брандмауер веб-програм з відкритим вихідним кодом, який корисний для захисту від ін’єкцій, атак PHP тощо. Якщо ви хочете налаштувати NGINX за допомогою ModSecurity, продовжуйте читати.

Усі кроки в цій статті вимагають доступу root.

Крок 1: Встановлення необхідних умов

Якщо ви ще не працюєте як root-користувач, посиліть себе:

/bin/su

Нам потрібен компілятор, тому виконайте наступне, щоб переконатися:

yum install -y gcc gcc-c++ pcre-devel zlib-devel openssl openssl-devel httpd-devel libxml2-devel xz-devel python-devel libcurl-devel
yum groupinstall -y 'Development Tools' 

Щоб встановити NGINX, нам потрібно спочатку отримати пакет. Завантажте пакет:

cd /usr/src && wget http://nginx.org/download/nginx-1.9.9.tar.gz

Нам також знадобиться пакет PHP для нашого стека.

wget http://us2.php.net/distributions/php-5.6.16.tar.bz2

Оскільки ми встановлюємо ModSecurity, ми візьмемо джерело та завантажимо його:

wget https://www.modsecurity.org/tarball/2.9.0/modsecurity-2.9.0.tar.gz

Тепер розпакуйте/розпакуйте файли.

tar xvf nginx-1.9.9.tar.gz
tar xvf php-5.6.16.tar.bz2
tar xvf modsecurity-2.9.0.tar.gz   

Потім ми встановимо ModSecurity.

cd /usr/src/modsecurity-2.9.0 && ./configure --enable-standalone-module --disable-mlogc
make && make install

Тепер, коли ми отримали всі необхідні умови, давайте встановимо NGINX. Наступний набір команд призначений для встановлення NGINX та ModSecurity.

cd /usr/src/nginx-1.9.9 && ./configure --add-module=../modsecurity-2.9.0/nginx/modsecurity/
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/sbin/nginx

Тепер давайте встановимо сервер MySQL.

yum install -y mysql-server
service mysqld start
mysql_secure_installation

Для mysql_secure_installationкоманди:

• Натисніть Enter на першому кроці майстра встановлення.
• Введіть Y, коли буде запропоновано встановити новий пароль root MySQL.
• Введіть новий пароль, підтвердьте його, ввівши його ще раз.
• Натисніть Y, щоб видалити анонімних користувачів, заборонити віддалений root-доступ до MySQL, знову натиснувши Y.
• Натисніть Y востаннє, щоб видалити тестову базу даних/користувача.
• Нарешті, натисніть Y, щоб зберегти зміни.

Останнє, що потрібно встановити, і це PHP. У цій статті ми будемо встановлювати PHP з вихідного коду.

Введіть вихідний каталог для PHP.

cd /usr/src/php-5.6.16

Тепер налаштуйте PHP. У ./configureкоманді є такі аргументи , щоб ви могли запускати такі програми, як WordPress.

 ./configure --with-pear=/usr/lib/pear --enable-libxml --with-pdo-mysql --with-mysqli --with-mysql --enable-mbstring --with-curl
 make
 make install

Встановіть PHP-FPM для NGINX:

yum install -y php-fpm

Нам потрібно встановити PHP-FPM поверх самого PHP, оскільки сам NGINX не інтегрується безпосередньо з PHP. Замість цього NGINX передає обробку PHP на PHP-FPM для виконання наших скриптів.

Хороша робота! Ви встановили необхідні умови.

Крок 2: Налаштування ModSecurity/NGINX

Почнемо зі створення набору правил ModSecurity. ModSecurity нічого не робить сам по собі, поки ви його не налаштуєте.

Візьміть набір правил OWASP з їхнього веб-сайту:

 cd /usr/src && wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
 tar xvf master

Після того, як ви завантажите набір правил, ми поєднаємо конфігурацію за замовчуванням з основними правилами.

cd SpiderLabs-owasp-modsecurity-crs-60c8bc9
cp /usr/src/modsecurity-2.9.0/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf
cp /usr/src/modsecurity-2.9.0/unicode.mapping /usr/local/nginx/conf/
cat base_rules/*.conf >> /usr/local/nginx/conf/modsecurity.conf
cp base_rules/*.data /usr/local/nginx/conf

Теоретично це повинно захистити від більшості веб-експлойтів. Однак плагіни/код, який ви встановлюєте, також слід перевірити, оскільки, хоча ModSecurity є відмінним заходом безпеки, він не є куленепробивним.

Створіть каталог за адресою /var/www:

mkdir /var/www

І каталог для вашого віртуального хоста:

mkdir /var/www/yourwebsite.com

Нарешті, додайте наступне до вашої конфігурації NGINX, розташованої за адресою /usr/local/nginx/conf/nginx.conf. Переконайтеся, що ви додали цю конфігурацію до появи останнього }символу.

  server {
  listen   80;
  root /var/www/yourwebsite.com;
  index index.php index.html index.htm;
  server_name yourwebsite.com www.yourwebsite.com;
  location / {
  ModSecurityEnabled on;
  ModSecurityConfig /usr/local/nginx/modsecurity.conf;
  }
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_pass unix:/var/run/php-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

Крок 3: Запуск PHP-FPM та NGINX

Цей крок досить простий - все, що вам потрібно зробити, це виконати наступні команди.

service php-fpm start
/usr/sbin/nginx

Вітаю! Ви налаштували свій перший веб-сайт за допомогою NGINX, захищеного ModSecurity. Щоб дізнатися більше про ModSecurity, відвідайте їхній офіційний сайт .