WAF一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。所以本文中的"class="mq-6">WAF的实现由五个模块(配置模块、协议解析模块、规则模块、动作模块、错误处理模块)组成。原版本主要的功能如下:1.防止sql注入"/>

开源nginx_lua_waf部署安装

Posted 锋刃科技

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了开源nginx_lua_waf部署安装相关的知识,希望对你有一定的参考价值。

0x01 前言

ngx_lua_waf实现 WAF一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。所以本文中的WAF的实现由五个模块(配置模块、协议解析模块、规则模块、动作模块、错误处理模块)组成。

原版本主要的功能如下:

1.防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击2.防止svn/备份之类文件泄漏3.防止ApacheBench之类压力测试工具的攻击4.屏蔽常见的扫描黑客工具,扫描器5.屏蔽异常的网络请求6.屏蔽图片附件类目录php执行权限7.防止webshell上传

开源nginx_lua_waf部署安装

 

二次改造后的规则拦截功能:

开源nginx_lua_waf部署安装

1.支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。2.支持URL白名单,将不需要过滤的URL进行定义。3.支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。4.支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。5.支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。6.支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。7.支持URL参数过滤,原理同上。8.支持日志记录,将所有拒绝的操作,记录到日志中去。9.日志记录为JSON格式,便于日志分析,例如使用ELKStack进行攻击日志收集、存储、搜索和展示

开源nginx_lua_waf部署安装

 

0x02  nginx + Lua部署

系统环境:centos7.0x64

 

1.进入到/usr/local/src目录下

[root@localhost src]# cd /usr/local/src

2.分别下载Nginx安装必备的NginxPCRE软件包以及当前最新的luajitngx_devel_kit (NDK)软件包和春哥编写的lua-nginx-module

[root@localhost src]# wget http://nginx.org/download/nginx-1.9.4.tar.gz[root@localhost src]#wget https://ftp.pcre.org/pub/pcre/pcre-8.37.tar.gz  --no-check-certificate

开源nginx_lua_waf部署安装

开源nginx_lua_waf部署安装

开源nginx_lua_waf部署安装

[root@localhost src]#wget http://luajit.org/download/LuaJIT-2.0.4.tar.gz[root@localhost src]#wget https://github.com/openresty/lua-nginx-module/archive/v0.9.16.tar.gz  --no-check-certificate[root@localhost src]#wget https://github.com/simpl/ngx_devel_kit/archive/v0.2.19.tar.gz  --no-check-certificate

开源nginx_lua_waf部署安装

开源nginx_lua_waf部署安装

开源nginx_lua_waf部署安装

开源nginx_lua_waf部署安装

3. 创建Nginx运行的普通用户

[root@nginx-lua src]# useradd -s /sbin/nologin -M www

4.分别在当前目录下解压已下载的软件包

[root@localhost src]# tar zxvf v0.2.19.tar.gz[root@localhost src]# tar zxvf v0.9.16.tar.gz

开源nginx_lua_waf部署安装

开源nginx_lua_waf部署安装

[root@localhost src]# tar  zxvf pcre-8.37.tar.gz

开源nginx_lua_waf部署安装

[root@localhost src]# tar zxvf LuaJIT-2.0.4.tar.gz

5. 安装Luajit以及需要编译的gcc编译环境。

[root@localhost src]# cd LuaJIT-2.0.3[root@localhost src]#yum install gcc[root@localhost src]# make && make install

开源nginx_lua_waf部署安装

开源nginx_lua_waf部署安装

开源nginx_lua_waf部署安装

6. 安装Nginx并加载模块以及需要编译的openssl模块和c++模块。

[root@localhost LuaJIT-2.0.4]# cd ..[root@localhost src]# tar  zxvfnginx-1.9.4.tar.gz

开源nginx_lua_waf部署安装

[root@localhost src]# export LUAJIT_LIB=/usr/local/lib[root@localhost src]# export LUAJIT_INC=/usr/local/include/luajit-2.0

开源nginx_lua_waf部署安装

[root@localhost nginx-1.9.4]# yum -y install openssl openssl-devel

开源nginx_lua_waf部署安装

[root@localhost nginx-1.9.4]# ./configure --prefix=/usr/local/nginx --user=www --group=www     --with-http_ssl_module --with-http_stub_status_module --with-file-aio --with-http_dav_module  --add-module=../ngx_devel_kit-0.2.19/  --add-module=../lua-nginx-module-0.9.16/    --with-pcre=/usr/local/src/pcre-8.37/

 

开源nginx_lua_waf部署安装

[root@localhost nginx-1.9.4]# yum -y install gcc-c++

开源nginx_lua_waf部署安装

[root@localhost nginx-1.9.4]# make -j2 && make install

开源nginx_lua_waf部署安装

7. 创建软连接动态库连接

[root@localhost nginx-1.9.4]#  ln -s /usr/local/lib/libluajit-5.1.so.2 /lib64/libluajit-5.1.so.2

开源nginx_lua_waf部署安装

8.启动nginx服务

root@localhost nginx-1.9.4]# /usr/local/nginx/sbin/nginx-t[root@localhost nginx-1.9.4]# /usr/local/nginx/sbin/nginx

开源nginx_lua_waf部署安装

9关闭centos7自带的防火墙

[root@localhost nginx-1.9.4]#  sed -i 7s/enforcing/disabled/ /etc/selinux/config[root@localhost nginx-1.9.4]#  systemctl stop firewalld.service

开源nginx_lua_waf部署安装

10.远程访问http:// 172.16.89.145,显示页面如下,表示已成功安装nginx

开源nginx_lua_waf部署安装

11.安装git服务

[root@localhost src]# yum install git

开源nginx_lua_waf部署安装

开源nginx_lua_waf部署安装

12.克隆下载ngx_lua_waf, nginx安装路径假设为:/usr/local/nginx/conf/

ngx_lua_waf下载到conf目录下,解压命名为waf

[root@localhost src]# git clone https://github.com/loveshell/ngx_lua_waf.git[root@localhost ngx_lua_waf]# cd /usr/local/nginx/conf/[root@localhost conf]# mkdir  waf

开源nginx_lua_waf部署安装

[root@localhost ngx_lua_waf]#cp -R /usr/local/src/ngx_lua_waf/*   /usr/local/nginx/conf/waf/

开源nginx_lua_waf部署安装

开源nginx_lua_waf部署安装

注意,其主要目录信息如下:

开源nginx_lua_waf部署安装

├── config.lua          #waf的配置文件├── init.lua            #读取waf的规则文件├── install.sh            #waf安装文件,需要做修改├── README.md        #说明文档├── wafconf            #规则库│   ├── args            #get请求的参数过滤规则│   ├── cookie        #cookie过滤规则│   ├── post            #post请求过滤规则│   ├── url            #get请求的URL过滤规则│   ├── user-agent        #user-agent过滤规则│   └── whiteurl        #白名单└── waf.lua            #waf规则执行文件

开源nginx_lua_waf部署安装

 

13.nginx.conf中的http段进行配置

[root@localhost waf]# vi /usr/local/nginx/conf/nginx.conf

大概的配置信息如下,Nginx.conf:

开源nginx_lua_waf部署安装

lua_package_path "/usr/local/nginx/conf/waf/?.lua";lua_shared_dict limit 10m;init_by_lua_file/usr/local/nginx/conf/waf/init.lua;access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;

开源nginx_lua_waf部署安装

开源nginx_lua_waf部署安装

14.修改ngx_lua_waf下的config.lua文件

root@localhost waf]# vi /usr/local/nginx/conf/waf/config.lua[root@localhost logs]# mkdir waf

开源nginx_lua_waf部署安装

开源nginx_lua_waf部署安装

配置详细信息如下,config.lua:

开源nginx_lua_waf部署安装

RulePath = "/usr/local/nginx/conf/waf/wafconf/"    --规则存放目录    attacklog = "off"    --是否开启攻击信息记录,需要配置logdir    logdir = "/usr/local/nginx/logs/waf/"    --log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限    UrlDeny="on"    --是否拦截url访问    Redirect="on"    --是否拦截后重定向    CookieMatch = "on"    --是否拦截cookie攻击    postMatch = "on"     --是否拦截post攻击    whiteModule = "on"     --是否开启URL白名单    black_fileExt={"php","jsp"}    --填写不允许上传文件后缀类型    ipWhitelist={"127.0.0.1"}    --ip白名单,多个ip用逗号分隔    ipBlocklist={"1.0.0.1"}    --ip黑名单,多个ip用逗号分隔    CCDeny="on"    --是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)    CCrate = "100/60"    --设置cc攻击频率,单位为秒.    --默认1分钟同一个IP只能请求同一个地址100次    html=[[Please go away~~]]    --警告内容,可在中括号内自定义    备注:不要乱动双引号,区分大小写

开源nginx_lua_waf部署安装

15.重启nginx服务

/usr/local/nginx/sbin/nginx   -s     reload

http://172.16.89.145/?s=../etc/passwd

开源nginx_lua_waf部署安装

0x03 记录WAF日志拦截记录

1.logs日志记录添加授权用户www(该用户是nginx运行的用户)

[root@localhost waf]# chown  -R www.www   /usr/local/nginx/logs/waf/

2.logs目录进行添加写入权限。

[root@localhost waf]# chmod  700/usr/local/nginx/logs/waf/

3.可查看WAF记录的日志信息

[root@localhost waf]# cat localhost_2018-06-05_sec.log

开源nginx_lua_waf部署安装

 

 

0x04 其他规则说明

过滤规则在wafconf下,可根据需求自行调整,每条规则需换行,或者用|分割               args里面的规则get参数进行过滤的               url是只在get请求url过滤的规则                                     post是只在post请求过滤的规则                                      whitelist是白名单,里面的url匹配到不做过滤                                user-agent是对user-agent的过滤规则默认开启了get和post过滤,需要开启cookie过滤的,编辑waf.lua取消部分--注释即可日志文件名称格式如下:虚拟主机名_sec.log

 

0x05 总结

1.Nginx_lua_waf总体来说功能强大,相比其他软件防火墙Modsecurity还稍微简单点。
2.Ngx_lua_wafbug主要就是防火墙策略写的不严谨导致的,会造成两种结果:一是部分***通过伪装绕过防火墙;二是防火墙策略配置不当会造成误杀。
3.另外根据站点的类型需要配置不同的策略,默认配置后全局生效。比如论坛等比较特殊允许很多html插入,这样的策略需要更宽松。
4.最后生成的hack记录日志可以通过ELK分析,ELK这边需要根据日志格式制作特殊模版,此模版能兼容大部分日志类型,还有少部分完全没有规律的日志分析不了。
5.最后ELK能展示日志分析结果分类,但是还不能区分各种ruletag类型***属于哪一种直白的表示出来。
6.最后建议ngx_lua_waf如果真的要用可以考虑在部分源站站点少量试用,前端站点不建议使用,等对该软件理解深入后才可线上使用。
7.补充:目前对ngx_lua_waf拒绝特定的user agent、拒绝特定后缀文件访问、防止sql注入三大类比较熟悉。
 
计划大概实施步骤:
1.不要一次性部署上线,先部署后,只记录日志,然后观察和调整规则,保证正常的请求不会被误防。
2.使用SaltStack管理规则库的更新。
3.使用ELKStack进行日志收集和分析,非常方便的可以在Kibana上做出一个漂亮的统计的饼图。(目前也能实现)
 


以上是关于开源nginx_lua_waf部署安装的主要内容,如果未能解决你的问题,请参考以下文章

GitLab安装部署

Gitlab代码管理仓库安装部署

react简介

react简介

centos 7安装gitlab及使用

将项目部署到github的方法