[NGINX] ModSecurity #1 如何在CentOS裡 加入Nginx ModSecurity

1. 安裝相依套件

$ sudo yum install -y gcc-c++ pcre-devel zlib-devel make unzip git

$ sudo yum install -y autoconf automake libtool

$ git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity /tmp/ModSecurity
$ cd /tmp/ModSecurity

$ git submodule init
$ git submodule update

$ ./build.sh
$ ./configure
$ make  #這裡會等好幾分鐘
$ sudo make install

$ yum install -y nginx-devel

$ git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git /tmp/ModSecurity-nginx

# 先檢查版本
$ nginx -v

# 根據版本下載相對應的nginx版本，否則最後重啟nginx時會報錯
$ wget https://nginx.org/download/nginx-1.20.1.tar.gz
$ tar -xzvf nginx-1.20.1.tar.gz
$ cd nginx-1.20.1

$ ./configure --with-compat --add-dynamic-module=/tmp/ModSecurity-nginx
$ make modules

# 需要先建立/etc/nginx/modules目錄
$ mkdir /etc/nginx/modules
$ sudo cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules/

# in /etc/nginx/nginx.conf

load_module /etc/nginx/modules/ngx_http_modsecurity_module.so;
http {
 # …
 modsecurity on;
 modsecurity_rules_file /etc/nginx/modsec/main.conf;
 # …
}

# 新增目錄及檔案
$ mkdir /etc/nginx/modsec
$ vim /etc/nginx/modsec/main.conf 

# 在 /etc/nginx/modsec/main.conf 裡加入

# /etc/nginx/modsec/main.conf
SecRuleEngine On
# log位置
SecAuditLog /var/log/nginx/modsec_audit.log
SecAuditLogParts ABIJDEFHZ
# 輸出為JSON以便 解析
SecAuditLogFormat JSON

# 對於與規則匹配的任何請求, 將默認操作配置為”阻止”。
SecDefaultAction "phase:1, deny, log"

$ sudo systemctl restart nginx

dlopen() "/etc/nginx/modules/ngx_http_modsecurity_module.so" failed (/etc/nginx/modules/ngx_http_modsecurity_module.so: failed to map segment from shared object) in /etc/nginx/nginx.conf:13

$ setenforce 0