nginx怎么安装ngx_lua_waf防火墙?nginx防火墙安装ngx_lua_waf防火墙安装设置教程

2019-12-05
0评论
/
阅读
管理员

前段时间本站被攻击导致打开速度很慢,而且查看日志发现是有人在扫描本站目录,或者试图下载本站的源码,就是会扫描www.zip  这类的压缩包

刚开始我还以为是主机商帮扫漏洞之类的,后来发现实在是太密集了,看来不是。

我想也是,虽然东西是垃圾,但好歹还是在用的,不过嘛解决是不可能解决的,只要别人能访问,你就会遇到这样那样的傻逼,不过改善还是可以啦。既然主机商的各种安全套餐咱们用不起,那就用一些大佬写好的方案吧。

找了一下,发现 ngx_lua_waf 是个不错的方案,但是太久不更新了。

nginx怎么安装ngx_lua_waf防火墙?nginx安装ngx_lua_waf防火墙安装设置教程

ngx_lua_waf介绍

ngx_lua_waf 是一个高性能的轻量级 web 应用防火墙,基于 lua-nginx-module。

ngx_lua_waf具有以下功能

防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击

防止svn/备份之类文件泄漏

防止ApacheBench之类压力测试工具的攻击

屏蔽常见的扫描黑客工具,扫描器

屏蔽异常的网络请求

屏蔽图片附件类目录php执行权限

防止webshell上传

经过 unixhot 的修改和重构,拥有了以下功能:

支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝

支持URL白名单,将不需要过滤的URL进行定义

支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)

支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403

支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)

支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403

支持URL参数过滤,原理同上

支持日志记录,将所有拒绝的操作,记录到日志中去

日志记录为JSON格式,便于日志分析,例如使用ELKStack进行攻击日志收集、存储、搜索和展示    

这些功能刚好能满足我朋友的需求

ngx_lua_waf安装

安装起来也是相当容易,说白了就是给 nginx 增加 ngx_devel_kit、lua-nginx-module 这两个模块,然后再修改 nginx 配置来运行 ngx_lua_waf。

下载 ngx_lua_waf 防火墙的各种依赖及模块

cd /usr/src/

wget https://github.com/openresty/luajit2/archive/v2.1-20181029.tar.gz

tar xzvf v2.1-20181029.tar.gz

mv luajit2-2.1-20181029 luajit-2.1

wget https://github.com/openresty/lua-cjson/archive/2.1.0.6.tar.gz

tar xzvf 2.1.0.6.tar.gz

mv lua-cjson-2.1.0.6 lua-cjson

wget https://github.com/simplresty/ngx_devel_kit/archive/v0.3.1rc1.tar.gz

tar xzvf v0.3.1rc1.tar.gz

mv ngx_devel_kit-0.3.1rc1 ngx_devel_kit

wget https://github.com/openresty/lua-nginx-module/archive/v0.10.13.tar.gz

tar xzvf v0.10.13.tar.gz  

mv lua-nginx-module-0.10.13 lua-nginx-module    

编译安装 luajit

cd luajit-2.1

make -j2 && make install

echo '/usr/local/lib' >> /etc/ld.so.conf.d/local.conf

ldconfig

编译安装 lua-cjson

cd /usr/src/lua-cjson

export LUA_INCLUDE_DIR=/usr/local/include/luajit-2.1 

make -j2 && make install    

设置 LUAJIT 环境变量

export LUAJIT_LIB=/usr/local/lib

export LUAJIT_INC=/usr/local/include/luajit-2.1    

编译 nginx 的时候加上以下两个模块

--add-module=../lua-nginx-module

--add-module=../ngx_devel_kit    

下载配置 ngx_lua_waf

cd /usr/local/nginx/conf/

git clone https://github.com/xzhih/ngx_lua_waf.git waf 

cat > /usr/local/nginx/conf/waf.conf << EOF

lua_shared_dict limit 20m;

lua_package_path "/usr/local/nginx/conf/waf/?.lua";

init_by_lua_file "/usr/local/nginx/conf/waf/init.lua";

access_by_lua_file "/usr/local/nginx/conf/waf/access.lua";

EOF

mkdir -p /usr/local/nginx/logs/waf 

chown www-data:www-data /usr/local/nginx/logs/waf    

你可以在 /usr/local/nginx/logs/waf 找到防火墙日志

在 nginx.conf 里 include waf.conf

include waf.conf;    

启动 nginx 并访问 http://你的IP/?a=a.sql

就可以看到防火墙提示了

本站附件分享,如附件失效,可以去找找看
诚通网盘附件百度网盘附件
PS:由于百度网盘附件太大,所以百度网盘附件为拆分压缩,全部下载后打开zip后缀文件即可。也可以只下载zip后缀文件查看(只可以查看不能解压)是否有需要的文件,再下载全部文件解压需要的文件


干饭福利分享: 微信扫码领取“饿了么”抵用券↓↓↓↓↓↓↓↓↓↓

于2019-12-05发布