在Nginx中安装和配置ModSecurity WAF的详细步骤

ModSecurity 是一个开源的Web应用防火墙（WAF），能够有效地保护Web应用免受常见的攻击，如SQL注入、跨站脚本（XSS）攻击等。在Nginx中部署ModSecurity能够加强Web应用的安全性。以下是详细的安装和配置步骤，确保你的Web应用在高并发环境下的安全性和稳定性。

1.安装依赖包

在安装ModSecurity之前，首先需要确保你的系统中已经安装了必要的依赖包。这些包将帮助编译和运行ModSecurity模块。以下是在Ubuntu/Debian系统中的安装命令：

sudo apt-get update
sudo apt-get install libxml2 libxml2-dev libxml2-utils libpcre3 libpcre3-dev libcurl4-openssl-dev libgeoip-dev

这些依赖包包括：

• libxml2：用于XML解析，ModSecurity规则中可能需要此库。
• libpcre3：支持正则表达式，在ModSecurity规则匹配中有重要作用。
• libcurl4-openssl-dev：允许ModSecurity进行网络通信。
• libgeoip-dev：用于地理位置相关的功能。

2.下载ModSecurity源代码

ModSecurity并不直接从Nginx安装源代码中获取，因此需要从ModSecurity的GitHub仓库下载最新的稳定版本。

git clone https://github.com/SpiderLabs/ModSecurity.git
cd ModSecurity

这里使用git clone命令从ModSecurity官方仓库克隆源代码。进入该目录后，可以准备进行编译。

3.编译并安装ModSecurity

解压下载的ModSecurity源代码后，执行以下命令进行编译：

./autogen.sh
./configure --enable-standalone-module --disable-mlogc
make
sudo make install

解释：

• ./autogen.sh：生成配置脚本。
• ./configure：准备编译配置，--enable-standalone-module表示构建独立模块，--disable-mlogc禁用日志集中器（因为我们不使用外部日志服务）。
• make：编译源代码。
• sudo make install：安装编译好的ModSecurity模块。

4.下载和安装ModSecurity Nginx Connector

为了将ModSecurity与Nginx集成，我们需要下载并安装ModSecurity Nginx Connector。执行以下命令：

git clone --depth 1 -b v1.0.1 https://github.com/SpiderLabs/ModSecurity-nginx.git
cd ModSecurity-nginx
git submodule init
git submodule update

• git submodule init和git submodule update用于初始化和更新Git子模块，这是ModSecurity Nginx连接器所必需的。

5.编译Nginx并加入ModSecurity模块

下载并编译Nginx时，需要将ModSecurity连接器作为模块加载。假设Nginx源代码位于/path/to/nginx_source，你需要在Nginx的配置过程中添加ModSecurity模块：

cd /path/to/nginx_source
./configure --add-module=/path/to/ModSecurity-nginx
make
sudo make install

• --add-module=/path/to/ModSecurity-nginx：告诉Nginx在编译时包含ModSecurity Nginx连接器模块。

6.配置Nginx以启用ModSecurity

在Nginx配置文件（通常是nginx.conf）中，需要启用ModSecurity并指定ModSecurity的配置文件路径。你需要添加以下配置段：

# 启用ModSecurity
ModSecurityEnabled on;

# 设置ModSecurity配置文件路径
ModSecurityConfig /path/to/modsecurity.conf;

• ModSecurityEnabled on;：启用ModSecurity模块。
• ModSecurityConfig /path/to/modsecurity.conf;：指定ModSecurity的配置文件路径。你需要创建这个配置文件并添加规则集。

7.配置ModSecurity规则

ModSecurity依赖于规则集来识别和拦截攻击。最常用的规则集是OWASP CRS（Open Web Application Security Project Core Rule Set）。你可以从OWASP官网下载最新的规则集，并将其配置到ModSecurity中。

创建modsecurity.conf文件：

cp /path/to/modsecurity.conf-recommended /path/to/modsecurity.conf

编辑modsecurity.conf，根据实际需求启用或禁用相应规则。一般情况下，你可以在文件中看到包含OWASP CRS规则的路径，确保这些规则被正确加载。

下载OWASP CRS规则：

cd /path/to/modsec
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
cd owasp-modsecurity-crs
cp crs-setup.conf.example crs-setup.conf

修改modsecurity.conf中的规则路径：

Include /path/to/owasp-modsecurity-crs/crs-setup.conf
Include /path/to/owasp-modsecurity-crs/rules/*.conf

8.重启Nginx

完成配置后，重启Nginx服务使配置生效：

sudo service nginx restart

这样，ModSecurity WAF就成功集成到Nginx中并开始工作。

9.排错与测试

在Nginx和ModSecurity配置完成后，需要检查Nginx和ModSecurity的日志，确保没有出现错误。通过浏览器访问Web应用并进行一些测试，验证ModSecurity是否按预期工作。

• Nginx日志：
• tail -f /var/log/nginx/error.log
• ModSecurity日志： 默认情况下，ModSecurity的日志存储在/var/log/modsec_audit.log，你可以使用以下命令查看：
• tail -f /var/log/modsec_audit.log

通过查看这些日志，检查是否有规则触发，是否有误报或漏报。

总结

通过上述步骤，你已经成功在Nginx下安装并配置了ModSecurity WAF。ModSecurity将为你的Web应用提供强大的安全防护，抵御常见的Web攻击。记住，定期更新规则集并保持配置的审计是保障Web应用安全的关键。

工作流程示意

graph LR
A[安装依赖] --> B[下载ModSecurity]
B --> C[编译安装ModSecurity]
C --> D[安装Nginx Connector]
D --> E[编译Nginx并加入ModSecurity模块]
E --> F[配置Nginx启用ModSecurity]
F --> G[配置ModSecurity规则]
G --> H[重启Nginx]
H --> I[排错与测试]
I --> J[Web应用保护完成]

重要配置：

• Nginx配置： ModSecurityEnabled on; ModSecurityConfig /path/to/modsecurity.conf;
• ModSecurity配置文件： Include /path/to/owasp-modsecurity-crs/crs-setup.conf Include /path/to/owasp-modsecurity-crs/rules/*.conf

通过这些配置，你可以确保Nginx和ModSecurity的集成和防护能力。