ngx_lua_waf nginx防火墙安装操作手册

ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙,主要用途是:

防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击
防止svn/备份之类文件泄漏
防止ApacheBench之类压力测试工具的攻击
屏蔽常见的扫描黑客工具,扫描器
屏蔽异常的网络请求
屏蔽图片附件类目录php执行权限
防止webshell上传

具体情况可访问作者的github了解,这里不多说,本文主要记录部署实施的操作步骤:

  1. yum安装git、gcc等编译环境
# yum -y install git
# yum -y install gcc gcc-c++
  1. 下载软件包
# cd /home/soft
# git clone https://github.com/simpl/ngx_devel_kit.git
# git clone https://github.com/openresty/lua-nginx-module.git
# wget -c http://luajit.org/download/LuaJIT-2.0.5.tar.gz

有的地方访问git被墙,我这里下载好的介质用也行:
链接:https://pan.baidu.com/s/1XlRaFV1Mlu-0ysrbK5uQGQ 密码:idsv

  1. 安装Luajit
# tar -xzf LuaJIT-2.0.5.tar.gz
# cd LuaJIT-2.0.5
# make && make install

验证安装成功:

# luajit -v
验证luajit安装
  1. 导入环境变量
# vim /etc/profile
#如果按照上面操作,则路径如下,如果不是,则可能不一样
export LUAJIT_LIB=/usr/local/lib  
export LUAJIT_INC=/usr/local/include/luajit-2.0
# source /etc/profile
# echo "/usr/local/lib" >> /etc/ld.so.conf
# ldconfig
  1. 编译安装nginx

5.1 查看当前nginx版本和编译参数

# nginx -V 

5.2 编译安装lua-nginx-module和ngx_dev_kit模块

# cd /home/soft/nginx-1.11.3
# ./configuer --with-pcre=../pcre-8.35 --with-zlib=../zlib-1.2.8 --with-openssl=../openssl-fips-2.0.13 --add-module=/home/soft/lua-nginx-module --add-module=/home/soft/ngx_devel_kit

即在原有模块参数后增加 lua-nginx-module 和 ngx_devel_kit 模块

# make
# mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak  
# cp objs/nginx /usr/local/nginx/sbin/  
# nginx -s reload  

注意,生产环境做任何操作都应备份为先,因此重新编译nginx时应先对旧的nginx可执行文件进行备份,以便于如果出问题后进行回滚操作,基于这个理由,增加模块的时候不要直接使用make install,而是手动cp过去

5.3 lua-nginx-module模块的检验

在/usr/local/nginx/conf/nginx.conf中加入以下内容并保存:

server{
......
    location /hello { 
          default_type 'text/plain'; 
          content_by_lua 'ngx.say("hello, lua")'; 
    }
}
# /usr/local/nginx/sbin/nginx -s reload

访问 ip/hello,出现如下结果,说明安装成功:

  1. 安装并配置ngx_lua_waf
# cd /usr/local/nginx/conf/
# git clone https://github.com/loveshell/ngx_lua_waf.git
# mv ngx_lua_waf/ waf
# mkdir ../logs/hack
# chmod -R 755 ../logs/hack/

修改config.lua的文件路径

vim waf/config.lua 
#config.lua在/usr/local/nginx/conf/waf内
#RulePath是存放规则文件的路径
RulePath = "/usr/local/nginx/conf/waf/wafconf/"
attacklog = "on"
#日志存放路径
logdir = "/usr/local/nginx/logs/hack/"
UrlDeny="on"
Redirect="on"
CookieMatch="on"
postMatch="on"
whiteModule="on"
black_fileExt={"php","jsp"}
ipWhitelist={"127.0.0.1"}
ipBlocklist={"1.0.0.1"}
CCDeny="off"
CCrate="100/60"
html=[[
<html xmlns="http://www.w3.org/1999/xhtml"><head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>网站防火墙</title>
<style>
p {
        line-height:20px;
}
ul{ list-style-type:none;}
li{ list-style-type:none;}
</style>

在nginx.conf的http段中添加配置

# vim nginx.conf
lua_need_request_body on;
lua_package_path "/usr/local/nginx/conf/waf/?.lua";
lua_shared_dict limit 10m;
init_by_lua_file  /usr/local/nginx/conf/waf/init.lua; 
access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;

重新加载nginx,ok

# nginx -t
# nginx -s reload

尝试访问ip/.svn,得到如下结果即可认为配置成功:


  1. 日志的定时删除
    由于日志是每天都在按照日期增加的,所以为了便于管理,这里增加了防护日志的清理功能:
# vim /home/trs/clean_ngx_waf_lua.sh
#!/bin/bash
#LOGS_PATH 是ngx_lua_waf的日志存放目录
#这里只保留最近3天的日志
LOGS_PATH=/usr/local/nginx/logs/hack/
cd ${LOGS_PATH}
find . -mtime +3 -name "*sec.log" | xargs rm -f
exit 0
# chmod +x clean_ngx_waf_lua.sh

将以上的日志做一个定时执行:

#crontab -e
### clean ngx_waf_lua logs
1 0 * * * /home/trs/clean_ngx_waf_lua.sh
  1. 关于config.lua的配置说明
#规则存放目录
RulePath = "/usr/local/nginx/conf/waf/wafconf/"
#是否开启攻击信息记录,需要配置logdir
attacklog = "off"
#log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限
logdir = "/usr/local/nginx/logs/hack/"
#是否拦截url访问
UrlDeny="on"
#是否拦截后重定向 
Redirect="on"
#是否拦截cookie攻击
CookieMatch = "on"
#是否拦截post攻击
postMatch = "on" 
#是否开启URL白名单
whiteModule = "on" 
#填写不允许上传文件后缀类型
black_fileExt={"php","jsp"}
#ip白名单,多个ip用逗号分隔
ipWhitelist={"127.0.0.1"}
#ip黑名单,多个ip用逗号分隔
ipBlocklist={"1.0.0.1"}
#是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)
CCDeny="on"
#设置cc攻击频率,单位为秒.
#默认1分钟(60秒)同一个IP只能请求同一个地址100次
CCrate = "100/60"
#警告内容,可在中括号内自定义
html=[[Please go away~~]]
 
# 备注:不要乱动双引号,区分大小写
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,271评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,275评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,151评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,550评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,553评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,559评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,924评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,580评论 0 257
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,826评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,578评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,661评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,363评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,940评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,926评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,156评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,872评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,391评论 2 342