在CentOS 7上为Nginx部署ModSecurity WAF完整教程

在CentOS 7上为Nginx部署ModSecurity WAF完整教程

前言

在当今的Web应用安全领域，Web应用防火墙（WAF）已成为防御SQL注入、XSS跨站脚本等常见网络攻击的必备工具。ModSecurity作为目前世界上使用最广泛的开源WAF产品，以其强大的规则引擎和灵活的配置能力，深受开发者和运维人员的青睐。本文将手把手教你如何在CentOS 7系统中，为Nginx服务器集成部署ModSecurity，构建一道坚实的安全防线。

一、环境准备

在开始部署之前，请确保你已准备好以下环境与资源：

1. 操作系统：一台安装好的CentOS 7虚拟机或物理服务器。
2. Web服务器：我们将使用Nginx作为承载Web应用的服务器。
3. ModSecurity源码：从官方GitHub仓库获取。
   • 官方GitHub链接: https://github.com/SpiderLabs/ModSecurity
   • 中文社区: http://modsecurity.cn/

前置知识提示：

• 你需要熟悉CentOS 7的基本命令行操作，并能够熟练切换到root账户（通常可在登录界面选择“未列出”后输入用户名root及安装时设置的密码）。
• 了解如何在Linux系统中使用yum安装软件包、使用tar解压文件以及执行编译命令。

二、详细部署步骤

接下来，我们将进入核心的部署流程。整个过程分为安装依赖、编译ModSecurity、编译集成ModSecurity的Nginx，以及配置WAF规则几个主要阶段。

1. 安装系统依赖

首先，我们需要安装编译和运行ModSecurity及Nginx所必需的系统工具和开发库。以root身份执行以下命令：

yuminstall-ywgetepel-release yuminstall-yhttpd httpd-devel pcre pcre-devel libxml2-devel gcc lua-devel yajl-devel ssdeep-devel curl-devel

这里安装了包括编译器（gcc）、正则表达式库（pcre）、XML解析库（libxml2）等关键依赖。

2. 编译与安装ModSecurity

我们将ModSecurity编译为Nginx的一个独立模块。

2.1 解压与编译

假设你已经将下载的modsecurity-2.9.3.tar.gz（请以实际版本为准）上传至/usr/local目录。

cd/usr/localtar-zxvfmodsecurity-2.9.3.tar.gzcdmodsecurity-2.9.3 ./configure --enable-standalone-module --disable-mlogcmake

编译完成后，无需执行make install，因为我们的目标是将模块集成到Nginx中。

2.2 下载并编译集成ModSecurity的Nginx

返回/usr/local目录，下载Nginx源码并进行编译，在此过程中链接上一步编译好的ModSecurity模块。

cd/usr/localwgethttp://nginx.org/download/nginx-1.16.1.tar.gztar-xvzfnginx-1.16.1.tar.gzcdnginx-1.16.1 ./configure --add-module=/usr/local/modsecurity-2.9.3/nginx/modsecurity/--prefix=/usr/local/nginxmakemakeinstall

至此，一个集成了ModSecurity模块的Nginx服务器就安装到了/usr/local/nginx目录下。

3. 初始启动与验证

让我们先启动Nginx，验证基础服务是否正常。

# 启动Nginx/usr/local/nginx/sbin/nginx# 查看服务器IP地址，用于访问ifconfig

启动后，在服务器的火狐浏览器或同一网络内的其他机器上，访问http://你的服务器IP，应该能看到Nginx的默认欢迎页面，这证明Nginx已成功运行。

4. 配置ModSecurity核心规则

现在开始配置WAF的核心部分，即规则集。我们将使用ModSecurity自带的推荐配置和OWASP CRS（核心规则集）。

4.1 创建目录并复制基础配置文件

mkdir-p/usr/local/nginx/conf/modsecurity/cd/usr/local/modsecurity-2.9.3cpmodsecurity.conf-recommended /usr/local/nginx/conf/modsecurity/modsecurity.confcpunicode.mapping /usr/local/nginx/conf/modsecurity/unicode.mapping

4.2 部署OWASP CRS规则集

你需要下载OWASP ModSecurity核心规则集（CRS）。解压后，进行如下操作：

1. 将crs-setup.conf.example文件复制到ModSecurity配置目录，并重命名。

   cpcrs-setup.conf.example /usr/local/nginx/conf/modsecurity/crs-setup.conf

2. 将整个rules/规则文件夹复制到配置目录下。

   cp-rrules/ /usr/local/nginx/conf/modsecurity/

3. 进入规则目录，重命名排除规则示例文件，移除文件名中的.example后缀，以便生效。

   cd/usr/local/nginx/conf/modsecurity/rulesmvREQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.confmvRESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

5. 修改Nginx与ModSecurity配置

配置文件的修改是激活WAF功能的关键。

5.1 编辑Nginx主配置文件

打开/usr/local/nginx/conf/nginx.conf，在http或目标server配置段内添加以下指令，以启用ModSecurity并指定其配置文件路径。

ModSecurityEnabled on; ModSecurityConfig modsecurity/modsecurity.conf;

提示：在http块中添加表示全局启用；在特定server块中添加则表示仅对该虚拟主机生效。

5.2 编辑ModSecurity主配置文件

打开/usr/local/nginx/conf/modsecurity/modsecurity.conf，进行两处关键修改：

1. 将规则引擎模式从仅检测改为拦截模式：

   SecRuleEngine DetectionOnly 改为 SecRuleEngine On

2. 在文件末尾添加以下行，以包含CRS配置和具体规则文件：

   Include crs-setup.conf Include rules/*.conf

6. 重载Nginx并测试防护效果

所有配置完成后，需要重新加载Nginx以使配置生效。

/usr/local/nginx/sbin/nginx-sreload

现在，WAF已经处于 active 状态。我们可以模拟一个攻击请求进行测试。

测试：
再次访问一个包含恶意脚本的URL，例如：

http://你的服务器IP/?param=%22%3E%3Cscript%3Ealert(1);%3C/script%3E

在未部署WAF前，此URL可能能正常访问或触发脚本。部署ModSecurity后，你应该会收到一个403 Forbidden错误页面，这证明注入攻击已被WAF成功识别并拦截，防护生效！

三、常见问题（FAQ）

1. Q：执行./configure或make命令时报错，提示缺少依赖包。
   A：请根据错误信息，使用yum install安装对应的-devel开发包。确保已完整执行本文“环境准备”部分的所有依赖安装命令。

2. Q：重新加载Nginx时提示"modsecurity/modsecurity.conf"路径错误。
   A：请检查nginx.conf中ModSecurityConfig指令指定的路径是否正确。该路径是相对于nginx.conf文件所在目录（即/usr/local/nginx/conf/）的。我们的配置目录结构与之匹配。

3. Q：WAF启用后，正常的业务请求也被拦截了怎么办？
   A：这通常是由于规则过于严格引起的。你可以：

   • 检查Nginx错误日志（默认位于/usr/local/nginx/logs/error.log）和ModSecurity审计日志，查看拦截的具体原因。
   • 合理配置/usr/local/nginx/conf/modsecurity/rules/目录下的REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf等排除规则文件，对误报的规则或合法路径进行放行。

4. Q：如何更新OWASP CRS规则集？
   A：从官方仓库下载最新版的CRS，替换/usr/local/nginx/conf/modsecurity/rules/目录下的文件，并酌情调整crs-setup.conf和排除规则，然后重载Nginx即可。

总结

通过以上步骤，我们成功在CentOS 7系统上，为自编译的Nginx服务器集成了强大的ModSecurity WAF。从安装依赖、编译整合，到配置核心防护规则，我们完成了一个生产级WAF部署的核心流程。关键点在于正确编译链接模块、部署完整的OWASP CRS规则集，并将规则引擎模式切换为On。

ModSecurity的配置和调优是一个持续的过程，建议在生产环境中根据实际业务流量仔细调整规则，平衡安全性与可用性。现在，你的Web服务器已经拥有了一道主动防御常见Web攻击的坚固盾牌。