Geekflare
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
By Chandan Kumar in Nginx  |  Zuletzt aktualisiert: 6. September 2022
Teilen:

Implementieren des ModSecurity OWASP-Kernregelsatzes in Nginx

Nginx-Sicherheit
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Wenn Sie Nginx mit Mod Security sichern, möchten Sie, dass der OWASP-Kernregelsatz (CRS) aktiviert wird, um vor folgenden Bedrohungen zu schützen.

  • Schutz vor Verstößen gegen das HTTP-Protokoll
  • Häufige Webangriffe
  • Bots, Crawler, Schutz vor böswilligen Aktivitäten
  • Trojaner-Schutz
  • Informationsleckschutz
  • Cross Site Scripting-Angriffe
  • SQL-Injection-Angriffe

Machen Sie sich stimme zu?

In meinem vorherigen Beitrag habe ich erklärt, wie es geht installiere Nginx und Mod Security und wie hier versprochen, können Sie sie mit OWASP CRS für eine bessere Sicherheit konfigurieren.

ModSecurity ist eine Open Source-Webanwendungs-Firewall (WAF) und standardmäßig so konfiguriert, dass nur erkannt wird. Das heißt, Sie müssen die erforderliche Konfiguration aktivieren (wie folgt) um Ihre Websites zu schützen.

Download ModSecurity CRS

  • Laden Sie die neueste CRS-Zip-Datei über den folgenden Link herunter und übertragen Sie sie auf den Server

https://github.com/SpiderLabs/owasp-modsecurity-crs/zipball/master

  • entpacke die Datei
unzip SpiderLabs-owasp-modsecurity-crs-2.2.9-26-gf16e0b1.zip
  • Kopieren Sie Folgendes in den Ordner nginx conf
modsecurity_crs_10_setup.conf.example base_rules

Configure Nginx to Integrate OWASP ModSecurity CRS

Da Sie sich für OWASP CRS entschieden haben, müssen Sie die in SpiderLabs OWASP CRS enthaltene conf-Datei zusammenführen, die Sie gerade kopiert haben (modsecurity_crs_10_setup.conf.example), und zwar im Ordner nginx.

Nginx unterstützt nicht mehrere ModSecurityConfig-Direktiven wie ApacheSie müssen also alle Regeln conf in einer einzigen Datei zusammenfassen.

Machen wir das…

  • Fügen Sie base_rules & modsecurity_crs_10_setup.conf.example zur Datei modsecurity.conf hinzu
cat modsecurity_crs_10_setup.conf.example base_rules / *. conf >> / usr / local / nginx / conf / modsecurity.conf

Sie müssen auch alle kopieren *.Daten Datei in den Ordner nginx conf

cp base_rules / *. data / usr / local / nginx / conf /

Schnelle Überprüfung:

Stellen Sie sicher, dass Sie die Anweisungen ModSecurityEnabled und ModSecurityConfig in der Datei nginx.conf unter dem Speicherort hinzugefügt haben. Wenn nicht, fügen Sie sie wie unten hinzu.

location / {ModSecurityEnabled on; ModSecurityConfig modsecurity.conf; }}
  • Starten Sie Nginx neu

Auf diese Weise haben Sie OWASP CRS erfolgreich in Mod Security auf Nginx integriert. Es ist Zeit, die kleinen wesentlichen Änderungen vorzunehmen.

Configuring OWASP Core Rule Set to Start Protecting

In diesem Abschnitt werden alle Änderungen vorgenommen modsecurity.conf Datei erinnert sich also daran, ein Backup zu erstellen.

Alles der Reihe nach

Aktivieren Sie die Überwachungsprotokollierung

Es ist wichtig, Protokolle zu erstellen, damit Sie wissen, was blockiert wird. Fügen Sie die SecAuditLog-Direktive hinzu, falls diese nicht vorhanden ist.

SecAuditLog /usr/local/nginx/logs/modsec_audit.log

Starten Sie Nginx neu und Sie sehen die generierte Protokolldatei

-rw-r ----- 1 root root 0 22. Mai 07:54 /usr/local/nginx/logs/modsec_audit.log

Aktivieren Sie die Security Rule Engine

Starten Sie den Mod-Sicherheitsschutz, indem Sie die Regelengine wie folgt aktivieren

SecRuleEngine Ein

Aktivieren Sie die Standardaktion als Verweigern

Konfigurieren Sie die Standardaktion als "Block" für alle Anforderungen, die mit den Regeln übereinstimmen.

SecDefaultAction "Phase: 1, verweigern, protokollieren"

Über drei Konfigurationen ist essential und jetzt ist ModSecurity bereit, die Aktion auszuführen und zu schützen.

Hier ist eine weitere Konfiguration, die Ihnen gefallen könnte.

Ändern Sie das Server-Header-Banner

Die Standard-Nginx-Konfiguration macht Serverinformationen mit ihrer Version verfügbar. Es wird dringend empfohlen, diese zu maskieren, wenn Sie in einer PCI-DSS-Umgebung arbeiten.

Sie können dies auch tun ohne Mod Sicherheit als hier erklärt.

Standardheader:

nginx-Standard-Header

Sie können dies schnell tun, indem Sie eine Zeile hinzufügen.

SecServerSignature GeekFlare

Und jetzt sieht es so aus:

nginx-modsecurity-header

Ich hoffe, die obigen Anweisungen helfen Ihnen bei der Integration des OWASP Core Rule Set in den Nginx-Webserver, um einen besseren Schutz zu gewährleisten.

Danke an unsere Sponsoren
Weitere großartige Lesungen zu Nginx
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • helle Daten
    Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush
    Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder
    Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder