记录LNMP环境安装配置ngx_lua_waf/WAF Web应用防火墙

来自:老部落
时间:2019-08-12
阅读:

目前,我们常用的无面板或者有面板的Linux Web环境在建站功能上已经是比较成熟和自动化,而且有几款工具还能保持较新的软件更新和安全升级。比如我们常用的LNMP WEB环境安装包每年6.1都会有较大版本的更新,作为这些软件提供商在保有软件的升级和一些功能之外,应该也在寻求更多的自动化和安全化。oYy免费资源网

笔者有看到LNMP一键包官方从1.5版本开始也有提供ngx_lua_waf/WAF功能,但是需要我们自行安装和配置,毕竟并不是所有用户都需要的。在这篇文章中,笔者将会实战在一台LNMP WEB环境中安装ngx_lua_waf安全工具。其实对于WAF脚本我们应该有看到几个迭代版本。目前官方提供的是由loveshell提供的版本。oYy免费资源网

记录LNMP环境安装配置ngx_lua_waf/WAF Web应用防火墙oYy免费资源网

对于WAF安全工具并不能说有多大的安全防护,但是对于基本的SQL注入、防止webshell上传、屏蔽异常的网络请求、屏蔽常见的扫描黑客工具,扫描器等还是有一定的作用的,如果涉及到其他攻击行为我们则需要在硬件上解决。oYy免费资源网

第一、Lua支持和安装

1、LNMP从1.5版本开始是支持lua的,但是默认是没有启动。我们需要到lnmp.conf中Enable_Nginx_Lua后的参数为 y 来启用lua。oYy免费资源网

Lua支持和安装oYy免费资源网

2、如果没安装lnmp,修改lnmp.conf后保存,安装完lnmp就是支持lua。oYy免费资源网

3、如果已经安装好lnmp,且版本较早需要升级,也是按前面修改lnmp.conf,然后lnmp安装包目录下 ./upgrade.sh nginx 升级nginx,输入当前nginx版本号或更新的nginx版本号,升级完成就是支持lua。oYy免费资源网

oYy免费资源网

第二、安装ngx_lua_waf

1、下载安装oYy免费资源网

wget https://github.com/loveshell/ngx_lua_waf/archive/master.zip -O ngx_lua_waf.zipoYy免费资源网
unzip ngx_lua_waf.zipoYy免费资源网
mv ngx_lua_waf-master /usr/local/nginx/conf/wafoYy免费资源网

2、配置且启动oYy免费资源网

编辑:oYy免费资源网

/usr/local/nginx/conf/nginx.confoYy免费资源网

然后在"server_tokens off"下方添加代码:oYy免费资源网

lua_package_path "/usr/local/nginx/conf/waf/?.lua";oYy免费资源网
lua_shared_dict limit 10m;oYy免费资源网
init_by_lua_file /usr/local/nginx/conf/waf/init.lua;oYy免费资源网

保存。oYy免费资源网

WAF配置到LNMPoYy免费资源网

3、添加到某个网站oYy免费资源网

如果我们需要添加到某个网站,则只需要在当前网站.conf文件中server文件目录引用:oYy免费资源网

access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;oYy免费资源网

WAF配置到当前网站oYy免费资源网

最后,我们重启Nginx就可以:oYy免费资源网

lnmp nginx reloadoYy免费资源网

4、测试是否生效oYy免费资源网

http://域名/test.php?id=../etc/passwdoYy免费资源网

在浏览器中打开当前添加WAF功能的网站,看看是否提示。oYy免费资源网

WAF拦截提示oYy免费资源网

第三、WAF参数修改设置

我们可以根据实际需求修改默认的配置:oYy免费资源网

/usr/local/nginx/conf/waf/config.luaoYy免费资源网

以上参数是默认设置的,我们也可以根据自己需要进行修改。oYy免费资源网

RulePath = "/usr/local/nginx/conf/waf/wafconf/"oYy免费资源网
--规则存放目录oYy免费资源网
attacklog = "off"oYy免费资源网
--是否开启攻击信息记录,需要配置logdiroYy免费资源网
logdir = "/usr/local/nginx/logs/hack/"oYy免费资源网
--log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限oYy免费资源网
UrlDeny="on"oYy免费资源网
--是否拦截url访问oYy免费资源网
Redirect="on"oYy免费资源网
--是否拦截后重定向oYy免费资源网
CookieMatch = "on"oYy免费资源网
--是否拦截cookie攻击oYy免费资源网
postMatch = "on"oYy免费资源网
--是否拦截post攻击oYy免费资源网
whiteModule = "on"oYy免费资源网
--是否开启URL白名单oYy免费资源网
black_fileExt={"php","jsp"}oYy免费资源网
--填写不允许上传文件后缀类型oYy免费资源网
ipWhitelist={"127.0.0.1"}oYy免费资源网
--ip白名单,多个ip用逗号分隔oYy免费资源网
ipBlocklist={"1.0.0.1"}oYy免费资源网
--ip黑名单,多个ip用逗号分隔oYy免费资源网
CCDeny="on"oYy免费资源网
--是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)oYy免费资源网
CCrate = "100/60"oYy免费资源网
--设置cc攻击频率,单位为秒.oYy免费资源网
--默认1分钟同一个IP只能请求同一个地址100次oYy免费资源网
html=[[Please go away~~]] --警告内容,可在中括号内自定义oYy免费资源网
备注:不要乱动双引号,区分大小写oYy免费资源网

根据我们实际需要修改,然后重新启动Nginx生效。oYy免费资源网

最后,通过上面我们可以知道在LNMP系统中安装和添加WAF WEB应用防火墙功能。对于普通的安全还是有一定的作用的,根据实际需要进行选择安装配置。oYy免费资源网

返回顶部
顶部