NGINX ModSecurity स्थापना निर्देश

यह आलेख वेब एप्लिकेशन फ़ायरवॉल (WAF) के रूप में NGINX वेब सर्वर पर डायनेमिक मोडसेक्विटी मॉड्यूल स्थापित करने के लिए निर्देश प्रदान करता है। NGINX रिवर्स प्रॉक्सी मोड में काम करता है । लिनक्स वितरण पर काम किया गया था - CentOS 7 । मॉड्यूल को "गतिशील" के रूप में सेट किया गया है ताकि कॉन्फ़िगरेशन में सेवा लचीली बनी रहे। आधिकारिक NGINX इंस्टॉलेशन गाइड का उपयोग किया जाता है।

1. घटकों की स्थापना

सेवा को सही ढंग से काम करने के लिए, काम करने के लिए अतिरिक्त पुस्तकालय स्थापित करने होंगे। सोर्स कोड से प्रोजेक्ट बनाने के लिए लाइब्रेरी की जरूरत होगी। यह माना जाता है कि उपयोगकर्ता के पास एक अद्यतन प्रणाली ( # yum अद्यतन ) है।

yum install install -y apt-utils autoconf automake build-essential git libcurl4-openssl-dev libgeoip-dev liblmdb-dev libpcre++-dev libtool libxml2-dev libyajl-dev pkgconf wget zlib1g-dev 

2. सेवा स्थापना प्रारंभ करें

सेवा nginx स्टार्ट कमांड का उपयोग करके सेवा शुरू करने में कोई समस्या न हो इसके लिए, GitHub पर आधिकारिक रिपॉजिटरी से एक संस्करण स्थापित किया गया है।

फ़ाइल /etc/yum.repos.d/nginx.repo बनाएँ जिसमें आप वितरण संस्करण जोड़ना चाहते हैं। एनजीआईएनएक्स संस्करण को निर्दिष्ट किए बिना, साइट पर लॉन्च किया गया अंतिम एक ऊपर खींच लिया गया है।

 [nginx-1.13.7] name=nginx repo baseurl=http://nginx.org/packages/mainline/centos/7/$basearch/ gpgcheck=0 enabled=1 

अगला, बस स्थापित करें

 yum install nginx 

3. मॉड्यूल का संकलन

आरंभ करने के लिए, उपयुक्त निर्देशिका पर जाएं:

 cd /home/user/Downloads 

GitHub पर मुख्य शाखा से मॉड्यूल डाउनलोड करें:

 git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity.git 

अगला, फ़ायरवॉल के साथ फ़ोल्डर में जाएं और स्रोत कोड संकलित करें:

 cd ModSecurity git submodule init git submodule update ./build.sh ./configure make make install 

4. कनेक्टर स्थापित करें

पूरे सिस्टम को लचीला बनाने के लिए, NGINX और ModSecurity को जोड़ने के लिए एक कनेक्टर स्थापित किया जाएगा। इसका मतलब यह है कि मॉड्यूल को सर्वर कोड में वायर्ड नहीं किया जाएगा, लेकिन यह केवल एक गतिशील घटक होगा, जो इसे किसी भी समय हटा दिया जाएगा, कोड को बदल देगा, आदि।

 git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git 

5. वेब सर्वर का पुनर्निर्माण

NGINX के लिए कनेक्टर के साथ काम करने के लिए जिसमें मॉड्यूल जुड़ा होगा, आपको सर्वर को पुनर्निर्माण करने की आवश्यकता है। ऐसा करने के लिए, पहले पता करें कि NGINX का कौन सा संस्करण स्थापित है:

 nginx –v 

आउटपुट कुछ इस तरह होना चाहिए (संस्करण पर निर्भर करता है)

nginx संस्करण: nginx / 1.13.7

अगला, आधिकारिक साइट से उपयुक्त संस्करण डाउनलोड करें ताकि सेवा शुरू करते समय कोई त्रुटि न हो और एक निश्चित पैरामीटर के साथ संकलन करें:

 cd .. wget http://nginx.org/download/nginx-1.13.7.tar.gz tar zxvf nginx-1.13.7.tar.gz cd nginx-1.13.7 ./configure --with-compat --add-dynamic-module=../ModSecurity-nginx make modules 

अगला, वेब सेवा फ़ोल्डर में मॉड्यूल फ़ाइल की प्रतिलिपि बनाएँ:

 cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules 

/Etc/nginx/nginx.conf में पहले ब्लॉक को जोड़ने से पहले:

 load_module modules/ngx_http_modsecurity_module.so; 

6. मॉड्यूल विन्यास फाइल

वेब संसाधन की सुरक्षा के लिए डेवलपर्स अपने बुनियादी नियमों की पेशकश करते हैं। यह ध्यान दिया जाना चाहिए कि, उन्हें स्थापित करने के लिए, एक को सभ्य स्तर पर नहीं गिनना चाहिए, क्योंकि निर्माता उपयोगकर्ता द्वारा कॉन्फ़िगरेशन और लेखन नियमों की पूरी स्वतंत्रता छोड़ देते हैं, जो उन्हें मानक कॉन्फ़िगरेशन फ़ाइल में बुनियादी नियमों को जोड़ने के लिए सीमित करता है।

 mkdir /etc/nginx/modsec cd /etc/nginx/modsec sudo wget https://raw.githubusercontent.com/SpiderLabs/ModSecurity/v3/master/modsecurity.conf-recommended sudo mv modsecurity.conf-recommended modsecurity.conf 

Modsecurity.conf फ़ाइल में , SecRuleEngine DetectionOnly को SecRuleEngine On से बदलें
अगला, /etc/nginx/modsec/main.conf फ़ाइल बनाएं और इसे इसमें जोड़ें:

 # Include the recommended configuration Include /etc/nginx/modsec/modsecurity.conf 

7. OWASP नियम

यह कोई रहस्य नहीं है कि OWASP वेब सुरक्षा मुद्दों में एक नेता है। इस मॉड्यूल के लिए उनका अपना सेट है, जो परियोजना की तरह, उपयोगकर्ताओं के लिए खुला है। इसलिए, इसे नियमों के मूल सेट के रूप में स्थापित करें:

 cd /usr/local wget https://github.com/SpiderLabs/owasp-modsecurity-crs/archive/v3.0.0.tar.gz tar -xzvf v3.0.0.tar.gz mv owasp-modsecurity-crs-3.0.0 /usr/local cd /usr/local/owasp-modsecurity-crs-3.0.0 cp crs-setup.conf.example crs-setup.conf 

/Etc/nginx/modsec/main.conf में निम्नलिखित जोड़ें:

 # OWASP CRS v3 rules Include /usr/local/owasp-modsecurity-crs-3.0.0/crs-setup.conf Include /usr/local/owasp-modsecurity-crs-3.0.0/rules/*.conf 

8. काम पूरा करना

फ़ाइल में /etc/nginx/conf.d/proxy.conf जोड़ें

 server { listen 80; modsecurity on; modsecurity_rules_file /etc/nginx/modsec/main.conf; # If you have proxy location / { proxy_pass http://192.168.xx; } } 

9. स्वास्थ्य जाँच

एक वेब सेवा के घटकों की जांच करने के लिए, बस इसे शुरू करें और त्रुटियों को देखें। अक्सर, आपको उस नियम को हटाने की आवश्यकता होगी जो चेक करने के लिए ज़िम्मेदार है जहां एक और मॉड्यूल का उपयोग किया जाता है (उदाहरण के लिए जियोआईपी )। इसलिए, आप इस नियम को सुरक्षित रूप से निकाल सकते हैं।

 rm /usr/local/owasp-modsecurity-crs-3.0.0/rules/REQUEST-910-IP-REPUTATION.conf 

यूनिकोड संबंधी त्रुटि भी संभव है। इसके लिए सेवा में हस्तक्षेप न करने के लिए, हम इसे विन्यास फाइल ( अंत में ) में बताते हैं ।

 #SecUnicodeMapFile unicode.mapping 20127 

सर्वर का परीक्षण करने के लिए कर्ल उपयोगिता का उपयोग करें। यह दिखाएगा कि आवेदन वापस आता है या नहीं। यदि सब कुछ सही है, तो 200 ओके कोड वाला एक विकल्प आपके पास आ जाएगा

 curl -I 127.0.0.1 

सुरक्षात्मक तंत्र के संचालन की जांच करने के लिए, आप इसके लिए डिज़ाइन की गई किसी भी उपयोगिता का उपयोग कर सकते हैं। यह सिफारिश के रूप में निक्को का उपयोग करने का सुझाव दिया गया है:

 nikto -host localhost 

सर्वर शुरू करने के लिए:

 service nginx start