大鸟前面文章里说过如何升级到宝塔面板6.6的教程,大鸟最近也一直在用宝塔面板的6.6.6的最新版本,额,确实和5.9没什么区别,但是也不要觉得6.6这个版本有多好,其实它没你想的那么好。
nginx的防火墙模块被取消了,连接管理和进程管理也被取消了,说白了,大鸟觉得,6.X是阉割版。因为宝塔现在推出了商业版,商业版和免费版要有分水岭,这势必要取消掉原来5.9版本中的很多非常实用的功能,这里面就有什么防火墙啊,进程管理、连接管理这些很实用的小功能。如果你要用,很简单,官方的收费插件里有防火墙插件,你要用就买。
额,大鸟这里就不多吐槽6.X这个版本了,今天大鸟要说的是,虽然6.6取消了原来5.9种nginx里面集成的应用防火墙模块,但是我们自己可以的动手编译安装这个ngx_lua_waf web模块。
你可以使用SSH工具以ROOT权限登陆之后下载备份nginx,也可以直接使用命令备份nginx。
第一、查看nginx位置
ps -elf | grep nginx
第二、进入宝塔面板的nginx目录
cd /www/server/nginx/sbin/
第三、备份宝塔nginx
cp nginx nginx.bak
第四、进入root目录
cd /root
第五、安装项目
项目地址:https://github.com/loveshell/ngx_lua_waf
1、下载安装LuaJIT 2.1(2.0或者2.1都是支持的,官方推荐2.1):http://luajit.org/download.html
wget http://luajit.org/download/LuaJIT-2.1.0-beta2.tar.gz tar zxf LuaJIT-2.1.0-beta2.tar.gz cd LuaJIT-2.1.0-beta2 make PREFIX=/usr/local/luajit make install PREFIX=/usr/local/luajit
2、下载ngx_devel_kit(NDK)模块 :https://github.com/simpl/ngx_devel_kit/tags,不需要安装
wget https://github.com/simpl/ngx_devel_kit/archive/v0.2.19.tar.gz tar -xzvf v0.2.19.tar.gz
3、下载最新的 lua-nginx-module 模块
wget https://github.com/openresty/lua-nginx-module/archive/v0.10.2.tar.gz tar -xzvf v0.10.2.tar.gz #设置环境变量 export LUAJIT_LIB=/usr/local/luajit/lib export LUAJIT_INC=/usr/local/luajit/include/luajit-2.1
4、重新编译 nginx 我这里使用的是 nginx 1.14.1 。
查看宝塔编译好的nginx加载模块,在重新编译加载云锁防护模块的时候仍需加载这些模块
nginx -V
注意这个命令是大写的V,如果小写v是不会显示模块的
将./configure arguents:之后的内容复制到记事本备用,比如我的是:
--user=www --group=www --prefix=/www/server/nginx --with-openssl=/www/server/nginx/src/openssl --add-module=/www/server/nginx/src/ngx_devel_kit --add-module=/www/server/nginx/src/lua_nginx_module --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --add-module=/www/server/nginx/src/nginx-http-concat --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-stream --with-stream_ssl_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-pcre=pcre-8.40 --with-ld-opt=-ljemalloc
这里只要是宝塔面板6.6的应都是一样的,不过最好都看下把这一段复制下来。(我的仅供参考,实际以自己的为准)
进入nginx源码目录,对nginx进行重新编译,操作之前请确认自己的nginx是编译模式安装的,而不是宝塔面板的极速安装
cd /www/server/nginx/src
第六、编译内容
./configure 上一步记事本中的备用内容 --with-ld-opt="-Wl,-rpath,/root/luajit/lib" --add-module=/root/ngx_devel_kit-0.2.19 --add-module=/root/lua-nginx-module-0.10.2
./configure和记事本复制的内容之间有个空格,后面的--add-module前面也有个空格,比如我的编译命令为:
./configure --user=www --group=www --prefix=/www/server/nginx --with-openssl=/www/server/nginx/src/openssl --add-module=/www/server/nginx/src/ngx_devel_kit --add-module=/www/server/nginx/src/lua_nginx_module --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --add-module=/www/server/nginx/src/nginx-http-concat --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-stream --with-stream_ssl_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-pcre=pcre-8.40 --with-ld-opt=-ljemalloc --with-ld-opt="-Wl,-rpath,/root/luajit/lib" --add-module=/root/ngx_devel_kit-0.2.19 --add-module=/root/lua-nginx-module-0.10.2
等待命令结束,输入编译命令
make
编译安装过程大概要5分钟左右,还是有点长的。完成后将系统中原有的nginx用重新编译生成的nginx文件替换。
第七、停止nginx
service nginx stop
第八、删除原来的nginx,操作之前请确认自己的nginx已经备份
rm -rf /www/server/nginx/sbin/nginx
第九、复制新编译的nginx
cp /www/server/nginx/src/objs/nginx /www/server/nginx/sbin/
第十、启动nginx
service nginx start
第十一、下载ngx_lua_waf.包
安装好后回到 nginx 目录后,我们下载ngx_lua_waf.包,直接从github拉过来。
cd /www/server/nginx/conf yum install git -y git clone https://github.com/loveshell/ngx_lua_waf.git mv ngx_lua_waf waf
第十二、安装部署ngx_lua_waf
在Nginx默认的nginx.conf配置文件http模块里添加如下语句引用ngx_lua_waf模块生效:
lua_package_path "/www/server/nginx/conf/waf/?.lua"; lua_shared_dict limit 10m; init_by_lua_file /www/server/nginx/conf/waf/init.lua; access_by_lua_file /www/server/nginx/conf/waf/waf.lua;
为了确保万一,让Nginx检查以下配置文件语法正确与否是个好习惯:
nginx -t
返回如下信息即表明配置文件正确无误。
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
然后修改waf目录config.lua里面的路径,路径一定要改好,不然打开网页会提示500错误。
RulePath = "/www/server/nginx/conf/waf/wafconf/" attacklog = "on" logdir = "/www/server/nginx/logs/hack/"
这是宝塔面板的路径!
hack这个文件夹请自己到路径里创建。
第十三、修改ngx_lua_waf配置
可以编辑/www/server/nginx/conf/waf/config.lua来调整ngx_lua_waf的相关配置。
附送ngx_lua_waf 配置文件config.lua中文注释
RulePath = "/www/server/nginx/conf/waf/wafconf/"
--规则存放目录
attacklog = "off"
--是否开启攻击信息记录,需要配置logdir
logdir = "/www/server/nginx/logs/hack/"
--log存储目录,该目录需要用户自己新建,需要nginx用户的可写权限,这里是宝塔的创建路径
UrlDeny="on"
--是否拦截url访问
Redirect="on"
--是否拦截后重定向
CookieMatch = "on"
--是否拦截cookie攻击
postMatch = "on"
--是否拦截post攻击
whiteModule = "on"
--是否开启URL白名单
black_fileExt={"php","jsp"}
--填写可上传文件后缀类型
ipWhitelist={"127.0.0.1"}
--ip白名单,多个ip用逗号分隔
ipBlocklist={"1.0.0.1"}
--ip黑名单,多个ip用逗号分隔
CCDeny="on"
--是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)
CCrate = "100/60"
--设置cc攻击频率,单位为秒.
--默认1分钟同一个IP只能请求同一个地址100次
html=[[Please go away~~]]
--警告内容,可在中括号内自定义
备注:不要乱动双引号,区分大小写
可以把config.lua中的Redirect设置为off,只记录不拦截,观察没有误拦后再开启。
完成自己的需求的配置后,保存退出。重启Nginx后就生效了。
第十四、测试
测试创建个test.php文件,内容为test,直接访问。
http://ceshi.vps100.net/test.php
返回的内容:test
如果在网址是这样的。
http://ceshi.vps100.net/test.php?id=../etc/passwd
我们就会看到拦截内容了,如下图:
第十五、ngx_lua_waf说明
- 防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击。
- 防止svn/备份之类文件泄漏。
- 防止ApacheBench之类压力测试工具的攻击。
- 屏蔽常见的扫描黑客工具,扫描器。
- 屏蔽异常的网络请求。
- 屏蔽图片附件类目录php执行权限。
- 防止webshell上传
第十六、总结
宝塔面板nginx编译ngx_lua_waf web 应用防火墙模块的教程就说完了,门槛稍微有点高啊,大家要看仔细,就目前的互联网安全形势给站点添加一个 WAF 可以说是个标配了,可惜很多新手站长们都给忽略了,所以说给服务器部署ngx_lua_waf web绝对是个应对网站安全的好习惯!