ModSecurity, také známý jako ModSec, je bezplatný firewall webových aplikací s otevřeným zdrojovým kódem (WAF). Je umístěn před webovou aplikací, kterou chcete chránit.
Samotný ModSecurity k ochraně vašeho serveru nestačí. Chcete-li maximalizovat výkon WAF, musíte začlenit pravidla. Jedna velmi známá, široce používaná a respektovaná sada pravidel je sada pravidel OWASP CRS. Použijeme jej v Modsecurity k vylepšení ochrany webového aplikačního serveru před novými hrozbami na internetu.
V dnešním průvodci vám ukážu, jak nainstalovat sadu základních pravidel OWASP (CSR) 3.3.2 v ModSecurity. Abychom to mohli udělat, potřebujeme linuxový server, na kterém je předinstalovaný Nginx a ModSecurity.
Předběžné požadavky:
- Server Ubuntu 20.04
- práva sudo
- Modsecurity nasazené s Nginx na serveru Ubuntu
Pokud nemáte nainstalovaný Nginx, můžete ke splnění požadavku na instalaci použít následující průvodce:
https://linuxways.net/ubuntu/how-to-install-nginx-on-ubuntu-20-04-lts-using-source-code/
Pokud máte na Ubuntu nainstalovaný Nginx, ale nenasadili jste na něj ModSecurity, nainstalujte jej podle následujícího průvodce:
https://linuxways.net/ubuntu/how-to-deploy-modsecurity-with-nginx-on-ubuntu-20-04-lts/
Jakmile budete mít hotové předpoklady, můžete přejít k části instalace základní sady pravidel OWASP. Jdeme!
Průvodce instalací
Níže jsou uvedeny kroky potřebné k instalaci základní sady pravidel OWASP 3.3.2 pro Modsecurity:
Krok 1:Stáhněte si archiv Owasp CRS 3.3.2
Nejprve si pomocí příkazu wget stáhneme archiv OWASP CRS 3.3.2. Chcete-li to provést, spusťte následující příkaz:
wget https://github.com/coreruleset/coreruleset/archive/refs/tags/v3.3.2.zip
Krok 2:Nainstalujte rozbalený balíček
Nyní nainstalujte rozbalovací balíček. Potřebujeme ho k rozbalení zazipovaných balíčků. Tento krok přeskočte, pokud jej již máte v systému nainstalovaný.
sudo dnf install unzip -y
Krok 3:Rozbalte archiv master.zip
V tomto kroku rozbalíme archiv master.zip. Chcete-li to provést, spusťte následující příkaz:
sudo unzip v3.3.2.zip -d /etc/nginx/modsec
Krok 4:Vytvořte zálohu konfiguračního souboru CRS
Sada základních pravidel OWASP se dodává s ukázkovým konfiguračním souborem. V tomto kroku přejmenujeme soubor a vytvoříme jeho zálohu pro případ, že bude v budoucnu potřeba jej znovu restartovat.
sudo cp /etc/nginx/modsec/coreruleset-3.3.2/crs-setup.conf.example /etc/nginx/modsec/coreruleset-3.3.2/crs-setup.conf
Krok 5:Povolte pravidla v ModSecurity
Nyní v tomto kroku povolíme pravidla OWASP v ModSecurity. Chcete-li to provést, otevřete konfigurační soubor modsecurity ve svém oblíbeném editoru. Použili jsme nano editor.
sudo nano /etc/nginx/modsec/modsec-config.conf
Jakmile je soubor otevřen, přidejte do něj následující dva řádky, abyste zahrnuli pravidla do ModSecurity:
Include /etc/nginx/modsec/coreruleset-3.3.2/crs-setup.conf
Include /etc/nginx/modsec/coreruleset-3.3.2/rules/*.conf
Nyní uložte soubor a zavřete jej pomocí (CTRL+O) a (CTRL+T).
Krok 6:Zkontrolujte konfiguraci Nginx
Před restartováním Nginx musíme zkontrolovat, zda je nová konfigurace, kterou jsme přidali do konfiguračního souboru, v pořádku. Pro kontrolu spusťte tento příkaz:
sudo nginx -t
Získáte následující výstup, který říká, že konfigurace je v pořádku a můžeme přejít k dalšímu kroku.
Krok 7:Znovu načtěte Nginx
Dosáhli jsme posledního kroku, ve kterém restartujeme Nginx, abychom aktualizovali nové změny, které jsme provedli.
sudo systemctl restart nginx
Jakmile bude Nginx znovu načten, základní sada pravidel OWASP bude funkční v Modsecurity.
V této příručce jsme podrobně viděli, jak nainstalovat sadu základních pravidel OWASP pro ModSecurity pomocí několika snadno pochopitelných příkazů. Také jsme se naučili, jak nakonfigurovat sadu pravidel v ModSecurity, aby byla povolena ochrana. Celý proces bude trvat přibližně 5 až 10 minut v závislosti na rychlosti vašeho systému. Jakmile je konfigurace úspěšná, váš WAF začne chránit webový aplikační server pomocí sady základních pravidel OWASP.