快捷導(dǎo)航

Linux下給nginx安裝waf模塊

更新時間：2016年08月27日 11:01:32 作者：mindg

ngx_lua_waf是一個基于ngx_lua的web應(yīng)用防火墻。代碼很簡單，開發(fā)初衷主要是使用簡單，高性能和輕量級。下面我們來看看如何在為nginx安裝waf模塊

最近上新項目，搭建nginx的時候為保證安全，決定安裝下waf模塊，以下是具體步驟，首先下載需要的安裝包，進(jìn)行每個安裝：

wget http://luajit.org/download/LuaJIT-2.0.3.tar.gz
tar -zxvf LuaJIT-2.0.3.tar.gz
cd LuaJIT-2.0.3
make
make install

然后下載nginx，

wget http://nginx.org/download/nginx-1.7.6.tar.gz
tar -zxvf nginx-1.7.6.tar.gz

下載ngx_devel_kit，

wget https://github.com/simpl/ngx_devel_kit/archive/v0.2.19.tar.gz –no-check-certificate
tar -zxvf v0.2.19.tar.gz

下載nginx_lua_module

wget https://github.com/openresty/lua-nginx-module/archive/v0.9.13rc1.tar.gz –no-check-certificate
tar -zxvf v0.9.13rc1.tar.gz
cd nginx-1.7.6

安裝pcre,

tar -zxvf pcre-8.30.tar.gz
cd pcre-8.30
./configure
make
make install

安裝openssl,

tar -zxvf openssl-1.0.0.tar.gz

安裝ngx_cache_purge模塊：

tar -zxvf ngx_cache_purge-1.3.tar.gz

安裝zlib, yum install zlib zlib-devel

設(shè)置環(huán)境變量，進(jìn)行編譯，

export LUAJIT_LIB=/usr/local/lib

export LUAJIT_INC=/usr/local/include/luajit-2.0

./configure –prefix=/usr/local/nginx –with-http_stub_status_module –with-http_ssl_module –add-module=/root/ngx_devel_kit-0.2.19 –add-module=/root/lua-nginx-
module-0.9.13rc1 –with-http_ssl_module –with-openssl=/root/openssl-1.0.0 –add-module=/root/ngx_cache_purge-1.3 –with-pcre=/root/pcre-8.30 –with-ld-opt=”-Wl,-rpat
h,$LUAJIT_LIB”

make -j2

make install

建立目錄存放攻擊日志：

mkdir -p /data/logs/hack/
chown -R nobody:nobody /data/logs/hack/
chmod -R 755 /data/logs/hack/

下載waf,

wget https://github.com/loveshell/ngx_lua_waf/archive/master.zip –no-check-certificate
unzip master.zip
cd ngx_lua_waf-master/
mkdir /usr/local/nginx/conf/waf
mv * /usr/local/nginx/conf/waf/
cd /usr/local/nginx/conf/
vi nginx.conf

在http 段加入：

lua_package_path “/usr/local/nginx/conf/waf/?.lua”;
lua_shared_dict limit 10m;
init_by_lua_file /usr/local/nginx/conf/waf/init.lua;
access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;

啟動前運(yùn)行： ln -s /usr/local/lib/libluajit-5.1.so.2 /lib64/libluajit-5.1.so.2 否則會找不到這個模塊報錯。

過濾規(guī)則在wafconf下，可根據(jù)需求自行調(diào)整，每條規(guī)則需換行,或者用|分割
global是全局過濾文件，里面的規(guī)則對post和get都過濾
get是只在get請求過濾的規(guī)則
post是只在post請求過濾的規(guī)則
whitelist是白名單，里面的url匹配到不做過濾
user-agent是對user-agent的過濾規(guī)則

您可能感興趣的文章: