Nginx + Lua 搭建网站WAF防火墙

  Nginx + Lua 搭建网站WAF防火墙
目录:

  前言
1.在线安装
1.1.修改yum源地址
1.2.在线安装Nginx
1.3.端口放行
1.4.验证安装
2.知识拓展
2.1.编译参数
2.2.安装目录
2.3.默认配置
2.4.systemctl配置
3.编译安装
3.1.安装编译环境
3.2.Nginx编译安装
3.2.1.下载解压
3.2.2.配置编译参数
3.2.3.进行编译安装
3.2.4.配置systemctl
3.2.5.端口放行
3.2.6.验证
3.3.编译安装Lua模块
大体思路
3.3.1.编译安装luajit并导入环境变量
3.3.2.配置nginx的编译参数
3.3.3.重新编译安装nginx
3.3.4.共享lua动态库
3.3.5.验证Lua模块
4.Nginx+Lua搭建WAF防火墙
4.1.环境
4.2.配置
4.3.生效
4.4.简单验证
4.5.CC验证
扩展:隐藏Nginx版本信息
前言
对于项目里面只是使用代理等常用功能,在线安装即可,如需制定化模块,则推荐编译安装

  PS:本文不仅仅包含Nginx相关的知识点,还包含了逆天学习方法(对待新事物的处理)

  官方网站:https://nginx.org/

  Github:https://github.com/nginx/nginx

  Nginx书籍:

  Nginx Cookbook 中文版 https://huliuqing.gitbooks.io/complete-nginx-cookbook-zh/content/
Nginx官方中文文档 https://docshome.gitbooks.io/nginx-docs/content/
Nginx入门教程 https://xuexb.github.io/learn-nginx/
淘宝Nginx文档 http://tengine.taobao.org/book/
1.在线安装
1.1.修改yum源地址
清华源:https://mirrors.tuna.tsinghua.edu.cn/help/centos/

  清华源

  更新软件包缓存:yum makecache

  更新缓存

  1.2.在线安装Nginx
在线安装比较简单,参考官方文档即可:https://nginx.org/en/linux_packages.html

  PS:线上选stable的就行了,记得把$releasever改成你的版本号,eg:7

  1.yum.png

  安装图示:

  1.在线安装.png

创建nginx的yum

  vi /etc/yum.repos.d/nginx.repo

内容如下:

  [nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/7/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key

在线安装

  yum install nginx -y
1.3.端口放行
放行80端口:firewall-cmd –zone=public –add-port=80/tcp –permanent

  PS:规则生效:firewall-cmd –reload

  1.防火墙.png

  1.4.验证安装
1.ok.png

  2.知识拓展
2.1.编译参数
离线安装可以参考在线安装的配置:nginx -V:编译参数(nginx -v:查看版本)

  1.nginx编译参数.png

  编译参数详解(点我展开)
2.2.安装目录
在线安装的包都可以通过:rpm -ql xxx查看安装到哪些目录

  安装目录详解(点我展开)
2.3.默认配置
配置语法检查:nginx -t -c /etc/nginx/nginx.conf

  PS:不重启的方式加载配置:Nginx -s reload -c /etc/nginx/nginx.conf

  全局以及服务级别的配置:

  参数 说明
user 使用用户来运行nginx
worker_processes 工作进程数
error_log nginx的错误日记
pid nginx启动时的pid
events相关配置:

  参数 说明
worker_connections 每个进程的最大连接数
use 工作进程数
常用中间件配置:

  http {

......
server {
listen 80; # 端口号
server_name localhost; # 域名
# 路径访问控制(默认访问路径,eg:/ ==> 根目录)
location / {
root /usr/share/nginx/html; # 网站根目录
index index.html index.htm index.py; # 首页配置
}

error_page 500 502 503 504 /50x.html; # 错误页面(可以自定义添404页面,error_page 404 /404.html;...)
# 访问xxx/50x.html的时候去指定目录找
location = /50x.html {
root /usr/share/nginx/html; # 错误页面所在路径
}
}
# 一个server配置一个虚拟 or 独立的站点(通过listen和server_name来区别多个server)
server {
......
}

  }
2.4.systemctl配置
nginx:(等会编译安装的时候可以参考)

  [root@localhost dnt]# cat /usr/lib/systemd/system/nginx.service
[Unit]
Description=nginx – high performance web server
Documentation=http://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

  [Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

  [Install]
WantedBy=multi-user.target
nginx-debug:

  [root@localhost dnt]# cat /usr/lib/systemd/system/nginx-debug.service
[Unit]
Description=nginx – high performance web server
Documentation=http://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

  [Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStart=/usr/sbin/nginx-debug -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

  [Install]
WantedBy=multi-user.target
3.编译安装
3.1.安装编译环境
一步到位:yum install gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel -y

  一步到位

  简单拆分解析一下:

  Nginx使用C/C++编写的,安装一下依赖:yum install gcc-c++ -y
Nginx需要使用PCRE来进行正则解析:yum install pcre pcre-devel -y
现在服务器和浏览器一般都是使用gzip:yum install -y zlib zlib-devel -y
让Nginx支持https:yum install openssl openssl-devel -y
3.2.Nginx编译安装
3.2.1.下载解压
先编译安装一下,后面说lua模块的时候再重新编译下就行了

  下载:curl -o nginx.tar.gz http://nginx.org/download/nginx-1.16.0.tar.gz

  解压:tar -zxvf nginx.tar.gz

  3.2.2.配置编译参数
参考前面说的在线版Nginx来设置编译参数的配置:

  PS:nginx -V

  切换到nginx的解压目录:cd nginx-1.16.0 然后执行下面命令

  PS:root权限编译哦~

  ./configure –prefix=/etc/nginx –sbin-path=/usr/sbin/nginx –modules-path=/usr/lib64/nginx/modules –conf-path=/etc/nginx/nginx.conf –error-log-path=/var/log/nginx/error.log –http-log-path=/var/log/nginx/access.log –pid-path=/var/run/nginx.pid –lock-path=/var/run/nginx.lock –http-client-body-temp-path=/var/cache/nginx/client_temp –http-proxy-temp-path=/var/cache/nginx/proxy_temp –http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp –http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp –http-scgi-temp-path=/var/cache/nginx/scgi_temp –user=nginx –group=nginx –with-compat –with-file-aio –with-threads –with-http_addition_module –with-http_auth_request_module –with-http_dav_module –with-http_flv_module –with-http_gunzip_module –with-http_gzip_static_module –with-http_mp4_module –with-http_random_index_module –with-http_realip_module –with-http_secure_link_module –with-http_slice_module –with-http_ssl_module –with-http_stub_status_module –with-http_sub_module –with-http_v2_module –with-mail –with-mail_ssl_module –with-stream –with-stream_realip_module –with-stream_ssl_module –with-stream_ssl_preread_module –with-cc-opt=’-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong –param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC’ –with-ld-opt=’-Wl,-z,relro -Wl,-z,now -pie’
3.2.3.进行编译安装
接着编译安装:make && make install

  PS:提速:make -j 4 && make install

  编译安装nginx

  3.2.4.配置systemctl
利用systemctl添加自定义系统服务

  systemctl

vi /usr/lib/systemd/system/nginx.service

  [Unit]
Description=nginx – high performance web server
Documentation=http://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

  [Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

  [Install]
WantedBy=multi-user.target
PS:如果不生效可以重载下systemctl:systemctl daemon-reload

  3.2.5.端口放行
放行80端口:firewall-cmd –zone=public –add-port=80/tcp –permanent

  PS:规则生效:firewall-cmd –reload

  1.防火墙.png

  3.2.6.验证
ok.png

  运行的时候如果出现nginx: [emerg] getpwnam(“nginx”) failed的错误可以参考我写这篇文章:https://www.cnblogs.com/dotnetcrazy/p/11304783.html

  PS:核心:useradd -s /sbin/nologin -M nginx

  3.3.编译安装Lua模块
大体思路
默认是不支持Lua的,所以需要自己编译安装下

  PS:记得安装下Lua库:yum install lua lua-devel -y

  主要就3步走:

  安装Lua即时编译器:LuaJIT
目前最新:http://luajit.org/download/LuaJIT-2.0.5.tar.gz
安装Nginx模块:ngx_devel_kit and lua-nginx-module
ngx_devel_kit:https://github.com/simplresty/ngx_devel_kit/archive/v0.3.1.tar.gz
lua-nginx-module:https://github.com/openresty/lua-nginx-module/archive/v0.10.15.tar.gz
重新编译Nginx:复制在线安装的编译参数(nginx -V)然后添加两个参数
–add-module=../ngx_devel_kit-0.3.1
–add-module=../lua-nginx-module-0.10.15
3.3.1.编译安装luajit并导入环境变量
解压缩

  1.解压缩.png

编译安装

  make install PREFIX=/usr/local/LuaJIT

导入环境变量

  export LUAJIT_LIB=/usr/local/LuaJIT/lib
export LUAJIT_INC=/usr/local/LuaJIT/include/luajit-2.0
2.编译安装luajit并导入环境变量.png

  3.3.2.配置nginx的编译参数
配置nginx的编译参数

  完整参数附录:

  ./configure –prefix=/etc/nginx –sbin-path=/usr/sbin/nginx –modules-path=/usr/lib64/nginx/modules –conf-path=/etc/nginx/nginx.conf –error-log-path=/var/log/nginx/error.log –http-log-path=/var/log/nginx/access.log –pid-path=/var/run/nginx.pid –lock-path=/var/run/nginx.lock –http-client-body-temp-path=/var/cache/nginx/client_temp –http-proxy-temp-path=/var/cache/nginx/proxy_temp –http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp –http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp –http-scgi-temp-path=/var/cache/nginx/scgi_temp –user=nginx –group=nginx –with-compat –with-file-aio –with-threads –with-http_addition_module –with-http_auth_request_module –with-http_dav_module –with-http_flv_module –with-http_gunzip_module –with-http_gzip_static_module –with-http_mp4_module –with-http_random_index_module –with-http_realip_module –with-http_secure_link_module –with-http_slice_module –with-http_ssl_module –with-http_stub_status_module –with-http_sub_module –with-http_v2_module –with-mail –with-mail_ssl_module –with-stream –with-stream_realip_module –with-stream_ssl_module –with-stream_ssl_preread_module –with-cc-opt=’-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong –param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC’ –with-ld-opt=’-Wl,-z,relro -Wl,-z,now -pie’ –add-module=../ngx_devel_kit-0.3.1 –add-module=../lua-nginx-module-0.10.15
3.3.3.重新编译安装nginx
编译安装:make && make install

  4.编译安装nginx

  3.3.4.共享lua动态库
加载lua库到ld.so.conf文件

  echo “/usr/local/LuaJIT/lib” >> /etc/ld.so.conf

  5.加载lua库到ld.so.conf文件

  执行ldconfig让动态函式库加载到缓存中

  ldconfig

  3.3.5.验证Lua模块
验证下Lua是否已经可用:

  在nginx.config的server节点下添加:

  PS:vi /etc/nginx/nginx.conf

  配置

  server {

listen       80;
server_name localhost;
charset utf-8; # 默认编码为utf-8

location / {
root html;
index index.html index.htm;
}
...
# 测试Nginx的Lua(添加这一段)
location /hello {
default_type 'text/plain';
content_by_lua 'ngx.say("欢迎访问逸鹏说道公众号~")';
}
...

  }
检查配置:nginx -t -c /etc/nginx/nginx.conf

  PS:配置生效:nginx -s reload -c /etc/nginx/nginx.conf

  生效

  看看效果:

  ok

  扩展:你可以试试获取ip哦~

获取客户端ip

  location /myip {

default_type 'text/plain';
content_by_lua '
clientIP = ngx.req.get_headers()["x_forwarded_for"]
ngx.say("IP:",clientIP)
';

  }
4.Nginx+Lua搭建WAF防火墙
市面上比较常用一块开源项目:ngx_lua_waf

  https://github.com/loveshell/ngx_lua_waf

  拦截Cookie类型工具
拦截异常post请求
拦截CC洪水攻击
拦截URL
拦截arg(提交的参数)
demo

  4.1.环境
clone代码并移动到nginx的waf目录下

  git

  简单说下里面的规则分别有啥用:

  args里面的规则get参数进行过滤的
url是只在get请求url过滤的规则
post是只在post请求过滤的规则
whitelist是白名单,里面的url匹配到不做过滤
user-agent是对user-agent的过滤规则
4.2.配置
修改必要配置

  waf

  详细说明我引用一下我的上篇文章:

  参数简单说明下:红色字体部分需要修改
pms

  nginx.config的http下添加如下内容:

  lua图示

  lua_package_path “/etc/nginx/waf/?.lua”;
lua_shared_dict limit 10m;
init_by_lua_file /etc/nginx/waf/init.lua;
access_by_lua_file /etc/nginx/waf/waf.lua;
4.3.生效
配置语法检查:nginx -t -c /etc/nginx/nginx.conf

  PS:不重启的方式加载配置:Nginx -s reload -c /etc/nginx/nginx.conf

  reload

  4.4.简单验证
ok

  PS:其实绕过很简单,看看他默认规则即可,这款WAF的强大之处在于轻量级,而且规则可以自定化

  过滤规则在wafconf下,可根据需求自行调整,每条规则需换行,或者用|分割

  举个例子:http://192.168.0.10/hello?id=1 or 1=1

  PS:默认规则没有这点的防护

  old

  那么我们可以在args规则中添加比如sors+,然后nginx -s reload一下就行了

  PS:如果是从post进行注入,或者cookie中转注入,那么在对应规则里面添加就行,我这边只是演示下防火墙被绕过该怎么解决~(多看看日志)

  add

  4.5.CC验证
留个课后作业:使用ab来测试下nginx+lua的waf对cc的防御效果

  提示:可以使用ab -n 2000 -c 200 http://192.168.0.10来简单测试

  PS:测试前curl http://192.168.0.10/hello 看看返回内容,测试后再curl看看返回内容

  扩展:隐藏Nginx版本信息
防止被黑客进行针对性渗透,隐藏下版本信息

  PS:其他配置今天就不详细讲解了,下次讲Nginx的时候会说的

  原来:

  old

  配置下:vi /etc/nginx/nginx.conf

  http下添加:server_tokens off;

  conf

  检查下语法:nginx -t

  不重启的方式加载配置文件:nginx -s reload

  nginx

  现在效果:

  new

  作者:毒逆天
出处:https://www.cnblogs.com/dotnetcrazy