一、ModSecurity3.0详细介绍

ModSecurity是一个开源系统的混合开发Web应用软件服务器防火墙（WAF）模块，用以Apache，IIS和Nginx，由Trustwave的SpiderLabs开发设计。做为WAF商品，ModSecurity专业关心HTTP总流量，当传出HTTP要求时，ModSecurity查验要求的全部一部分，假如要求是故意的，它会被阻止和纪录。

优点：

极致兼容nginx，是nginx官方网强烈推荐的WAF

适用OWASP规则

3.0版本比老版本升级更快，更为平稳，而且获得了nginx、Inc和Trustwave等精英团队的全力支持

完全免费

ModSecurity的作用：

SQL Injection (SQLi)：阻止SQL引入

Cross Site Scripting (XSS)：阻止跨站脚本 *** 攻击

Local File Inclusion (LFI)：阻止利用本地文件包括漏洞开展攻击

Remote File Inclusione(RFI)：阻止利用远程控制文件包含漏洞开展攻击

Remote Code Execution (RCE)：阻止利用远程连接命令实行漏洞开展攻击

PHP Code Injectiod：阻止PHP编码引入

HTTP Protocol Violations：阻止违背HTTP协议书的故意浏览

HTTPoxy：阻止利用远程控制 *** 商感柒漏洞开展攻击

Shellshock：阻止利用Shellshock漏洞开展攻击

Session Fixation：阻止利用Session对话ID不会改变的漏洞开展攻击

Scanner Detection：阻止 *** 黑客扫描仪网址

Metadata/Error Leakages：阻止源码/不正确数据泄露

Project Honey Pot Blacklist：蜜獾新项目信用黑名单

GeoIP Country Blocking：依据分辨IP地址号码归属来开展IP阻隔

缺点：

不兼容查验回应体的规则，假如配备中包括这种规则，则会被忽视，nginx的的sub_filter命令能够用于查验状语从句：调用回应数据信息，OWASP中有关规则是95X。

不兼容OWASP关键规则集DDoS规则REQUEST-912-DOS- PROTECTION.conf,nginx自身适用配备DDoS限定

不兼容在财务审计日志中包括要求和回应行为主体

二、安裝布署

接口测试：centOS7.6阿里云镜像

升級手机软件和核心

yum update

安裝nginx：

yum install yum-utils

vim /etc/yum.repos.d/nginx.repo

[nginx-stable]

name=nginx stable repo

baseurl=

gpgcheck=1

enabled=1

gpgkey=

[nginx-mainline]

name=nginx mainline repo

baseurl=

gpgcheck=1

enabled=0

gpgkey=

yum install nginx

yum install epel-release

yum install gcc-c flex bison yajl yajl-devel curl-devel curl GeoIP-devel doxygen zlib-devel pcre pcre-devel libxml2 libxml2-devel autoconf automake lmdb-devel ssdeep-devel ssdeep-libs lua-devel libmaxminddb-devel git apt-utils autoconf automake build-essential git libcurl4-openssl-dev libgeoip-dev liblmdb-dev ibpcre -dev libtool libxml2-dev libyajl-dev pkgconf wget zlib1g-dev

出错处理：Error: Cannot retrieve metalink for repository: epel. Please verify its path and try again

解决方案：一句话：把/etc/yum.repos.d/epel.repo，文档第三行注解除掉，把第四行注解掉，改动为

1.[epel]

2. name=Extra Packages for Enterprise Linux 6 – $basearch

3. baseurl=

4. #mirrorlist=

复制GitHub储存库:

git clone --depth 1 -b v3/master --single-branch

编译程序源码：

$ cd ModSecurity

$ git submodule init

$ git submodule update

$

$

$ make

$ make install

留意：安裝中有出错fatal: No names found, cannot describe anything.是一切正常状况

免费下载用以ModSecurity的NGINX射频连接器：

git clone --depth 1

明确哪一个版本的NGINX是运作在服务器上的ModSecurity控制模块将载入:

[root@guigu ModSecurity]# nginx -v

nginx version: nginx/1.17.3

免费下载与安裝版本相匹配的源码：

wget

tar zxvf nginx-1.17.3.tar.gz

编译程序动态性控制模块，拷贝到控制模块规范文件目录:

cd nginx-1.17.3

# --with-compat --add-dynamic-module=

$ make modules

cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules/

将下列load_module命令加上到/etc/nginx/nginx.conf的main中：

load_module modules/ngx_http_modsecurity_module.so;

明确nginx控制模块载入取得成功：

nginx -t

三、安全防护实际效果检测

ModSecurity 3简易实例

建立Demo web应用vim /etc/nginx/nginx.conf

server{

listen 8085;

location /{

default_type text/plain;

return 200 "Thank you for requesting ${request_uri}

";

}

}

重新加载nginx:nginx -s reload