CentOS 7.9 安裝nginx + ModSecurity

閱讀時間約 11 分鐘

安裝官方 nginx

先在/etc/yum.repos.d新增一個nginx.repo的檔案

並加入以下內容

[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=0
enabled=1

這樣在 yum install nginx 的時候就會是最新的stable version

安裝依賴套件

yum install -y epel-release
yum groupinstall -y 'Development Tools'

yum install -y git lmdb lmdb-devel libxml2 libxml2-devel pcre pcre-devel curl libcurl-devel GeoIP GeoIP-devel yajl yajl-devel

Compile Modsecurity Lib

先 clone

git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity

安裝

cd ModSecurity
git submodule init
git submodule update
./build.sh
./configure
make
make install

在 build.sh 的時候會出現像錯誤的訊息

fatal: No names found, cannot describe anything.
不用管他
#2024/08/14增加
./configure出現 gcc錯誤需更新gcc版本
yum -y install centos-release-scl
因為centos官方已經不在支援centos 7/8更新,需更換yum domain
sed -i s/mirror.centos.org/vault.centos.org/g /etc/yum.repos.d/*.repo
sed -i s/^#.*baseurl=http/baseurl=https/g /etc/yum.repos.d/*.repo
sed -i s/^mirrorlist=http/#mirrorlist=https/g /etc/yum.repos.d/*.repo
yum -y install devtoolset-8
scl enable devtoolset-8 bash
gcc -v


下載 nginx 與 modsecurity-nginx connector

git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git

下載 nginx 的 source 之前要看自己的 nginx 版本

nginx -v

可以看到

目前stable版本是 1.12.1

所以就下載 1.12.1的source

wget https://nginx.org/download/nginx-1.12.1.tar.gz
tar zxvf nginx-1.12.1.tar.gz

進入source並compile mod security module

cd nginx-1.12.1
./configure --with-compat --add-dynamic-module=../ModSecurity-nginx
make modules
cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules

設定 modsecurity

在 /etc/nginx/nginx.conf 加入 load_module

load_module modules/ngx_http_modsecurity_module.so;

接下來就跟官方那邊教學會不一樣

我就按照之前我寫的那篇

把OWASP TOP 10的rule都加進去

Modsecurity 基本設定

mkdir /etc/nginx/conf/modsecurity
cp ModSecurity/modsecurity.conf-recommended /etc/nginx/conf/modsecurity/modsecurity.conf
git clone https://github.com/coreruleset/coreruleset.git
cp -r coreruleset/rules /etc/nginx/conf/modsecurity/
cp coreruleset/crs-setup.conf.example /etc/nginx/conf/modsecurity/crs-setup.conf


開啟Modsecurity

在要啟動 Modsecurity 的 server 區塊內

加入以下設定

server {
....
....
modsecurity on;
modsecurity_rules_file /etc/nginx/modsecurity.conf;
}

#2021/04/20註記 排除太嚴格的rules

server {
....
....

modsecurity_rules '
SecRuleRemoveById 941310 933210 931100 942100
';
}

最後記得把 /var/log/nginx 資料夾 owner 改成nginx

這樣發生問題 modsecurity才能寫log進去


僅為工作上的紀錄
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
Jerry CHU的工作日誌 的其他內容
vi /etc/nginx/conf.d/default.conf # IPv4 allow 103.21.244.0/22; allow 103.22.200.0/22; allow 103.31.4.0/22; allow 104.16.0.0/13; allow 104.24.0.0/14;
vi /root/php-fpm.sh #!/bin/bash php_url="http://localhost/hscheck.php" RESULT='curl -I $php_url | grep "HTTP/1.1 502"' if [ -n "$RESULT" ]; then
vi /etc/nginx/conf.d/default.conf # IPv4 allow 103.21.244.0/22; allow 103.22.200.0/22; allow 103.31.4.0/22; allow 104.16.0.0/13; allow 104.24.0.0/14;
vi /root/php-fpm.sh #!/bin/bash php_url="http://localhost/hscheck.php" RESULT='curl -I $php_url | grep "HTTP/1.1 502"' if [ -n "$RESULT" ]; then
你可能也想看
Google News 追蹤
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
Thumbnail
Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
Skip to content Open Settings PanelPublish
Thumbnail
下載處: 安裝msi  https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html 或單獨使用 https://the.earth.li/~sgtatham/putty/latest/w64/pscp.exe  安裝好可以
※ 補充說明: ※ npm 常用指令: ◦ npm init–y:快速初始化一個新的 Node.js 並建立一個 package.json 文件的命令。 ◦ npm info 套件名稱 version:快速查詢指定 npm 套件的最新版本號。 ◦ npm install套件名稱:用來安裝
安裝 sudo apt update sudo apt upgrade ​sudo apt install g++-12 gcc-12 sudo apt install g++-11 gcc-11 驗證安裝​ gcc-12 --version 成功訊息​ gcc-12 (Ubuntu 12.3.
Thumbnail
這篇文章紀錄了安裝Ubuntu Server的過程,包括選擇HWE內核、語言、更新安裝程式、語系、儲存配置等步驟。
Thumbnail
本篇將分享關於nginx ingress controller的基本操作,包括預先準備、流程、實際操作、將domain name 映射到Ingress LB IP、部署Demo App 驗證以及結論。
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
Thumbnail
Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
Skip to content Open Settings PanelPublish
Thumbnail
下載處: 安裝msi  https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html 或單獨使用 https://the.earth.li/~sgtatham/putty/latest/w64/pscp.exe  安裝好可以
※ 補充說明: ※ npm 常用指令: ◦ npm init–y:快速初始化一個新的 Node.js 並建立一個 package.json 文件的命令。 ◦ npm info 套件名稱 version:快速查詢指定 npm 套件的最新版本號。 ◦ npm install套件名稱:用來安裝
安裝 sudo apt update sudo apt upgrade ​sudo apt install g++-12 gcc-12 sudo apt install g++-11 gcc-11 驗證安裝​ gcc-12 --version 成功訊息​ gcc-12 (Ubuntu 12.3.
Thumbnail
這篇文章紀錄了安裝Ubuntu Server的過程,包括選擇HWE內核、語言、更新安裝程式、語系、儲存配置等步驟。
Thumbnail
本篇將分享關於nginx ingress controller的基本操作,包括預先準備、流程、實際操作、將domain name 映射到Ingress LB IP、部署Demo App 驗證以及結論。