脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器nginx → Nginx ModSecurity安装

Nginx下ModSecurity模块安装的实现步骤

 更新时间:2025年09月12日 10:54:57   作者:深山技术宅  
本文提供了在Nginx 1.28.0上安装ModSecurity v3的完整教程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

以下是针对Nginx 1.28.0的ModSecurity v3完整安装指南,包含编译优化和最新依赖处理:

系统环境准备(Ubuntu 22.04/Debian 11为例)

# 安装编译依赖
sudo apt update
sudo apt install -y git build-essential libpcre3 libpcre3-dev libssl-dev \
     libtool autoconf automake flex bison curl libcurl4-openssl-dev \
     libxml2 libxml2-dev libyajl-dev doxygen zlib1g-dev pkg-config \
     liblmdb-dev libmaxminddb-dev libgeoip-dev libpcre++-dev

步骤1:编译安装ModSecurity库(libmodsecurity)

# 下载最新稳定版源码
cd /usr/src
git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity
cd ModSecurity

# 更新子模块(解决常见初始化问题)
git submodule update --init --recursive

# 编译优化参数设置
./build.sh
./configure \
  --prefix=/usr/local/modsecurity \
  --with-maxmind=/usr \
  --with-geoip \
  --with-lmdb \
  --with-yajl \
  --with-ssdeep \
  --enable-standalone-module=no \
  CXXFLAGS="-O3 -march=native -pipe"

# 编译安装
make -j$(nproc)
sudo make install

# 添加库路径
echo "/usr/local/modsecurity/lib" | sudo tee /etc/ld.so.conf.d/modsecurity.conf
sudo ldconfig

步骤2:编译Nginx 1.28.0动态模块

# 下载Nginx 1.28.0源码
cd /usr/src
wget https://nginx.org/download/nginx-1.28.0.tar.gz
tar xvzf nginx-1.28.0.tar.gz

# 下载ModSecurity-Nginx连接器
git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git

# 获取当前Nginx编译参数
nginx -V 2>&1 | grep configure > nginx-config.txt

# 添加动态模块编译参数
sed -i "s/--with-compat//g" nginx-config.txt  # 移除旧兼容参数
echo --with-compat --add-dynamic-module=../ModSecurity-nginx >> nginx-config.txt

# 编译动态模块
cd nginx-1.28.0
sudo bash -c ". ../nginx-config.txt && make modules"

# 验证模块编译
ls objs/ngx_http_modsecurity_module.so  # 确认文件存在

步骤3:配置Nginx加载模块

# 创建模块目录
sudo mkdir -p /etc/nginx/modules-available
sudo mkdir -p /etc/nginx/modules-enabled

# 复制模块文件
sudo cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules-available/

# 加载模块配置
sudo tee /etc/nginx/modules-enabled/modsecurity.conf <<EOF
load_module modules-available/ngx_http_modsecurity_module.so;
EOF

# 主配置引用
sudo sed -i '1i include /etc/nginx/modules-enabled/*.conf;' /etc/nginx/nginx.conf

# 创建ModSecurity配置目录
sudo mkdir -p /etc/nginx/modsec

步骤4:配置ModSecurity核心设置

# 复制基础配置
sudo cp /usr/src/ModSecurity/modsecurity.conf-recommended /etc/nginx/modsec/modsecurity.conf
sudo cp /usr/src/ModSecurity/unicode.mapping /etc/nginx/modsec/

# 修改关键配置
sudo sed -i 's/SecRuleEngine DetectionOnly/SecRuleEngine On/' /etc/nginx/modsec/modsecurity.conf
sudo sed -i 's#SecAuditLog /var/log/modsec_audit.log#SecAuditLog /var/log/nginx/modsec_audit.log#' /etc/nginx/modsec/modsecurity.conf

# 添加性能优化参数
sudo tee -a /etc/nginx/modsec/modsecurity.conf <<EOF

# 性能优化设置
SecArgumentSeparator "&"
SecAuditLogParts ABIJDEFHZ
SecAuditLogType Serial
SecAuditLogStorageDir /var/log/nginx/modsec_audit/
SecUploadDir /tmp
SecTmpDir /tmp
SecDataDir /tmp
EOF

# 创建日志目录
sudo mkdir -p /var/log/nginx/modsec_audit
sudo chown www-data:adm /var/log/nginx/modsec_audit

步骤5:安装OWASP核心规则集(CRS v4.0)

# 下载最新CRS
cd /etc/nginx/modsec
sudo git clone https://github.com/coreruleset/coreruleset
sudo mv coreruleset owasp-modsecurity-crs

# 配置规则集
cd owasp-modsecurity-crs
sudo cp crs-setup.conf.example crs-setup.conf
sudo cp rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
sudo cp rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

# 创建主规则文件
sudo tee /etc/nginx/modsec/main.conf <<EOF
Include modsecurity.conf
Include owasp-modsecurity-crs/crs-setup.conf
Include owasp-modsecurity-crs/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
Include owasp-modsecurity-crs/rules/*.conf
Include owasp-modsecurity-crs/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
EOF

步骤6:Nginx站点配置

# 在目标站点配置中添加
server {
    ...
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsec/main.conf;
    
    # 可选:特定路径禁用规则
    location /api {
        modsecurity off;
    }
    
    # 错误页面定制
    error_page 403 /403.html;
    location = /403.html {
        internal;
    }
}

步骤7:测试与启动

# 配置文件测试
sudo nginx -t

# 启动服务
sudo systemctl restart nginx

# 查看日志验证
sudo tail -f /var/log/nginx/error.log
sudo tail -f /var/log/nginx/modsec_audit.log

# 测试规则有效性
curl -I "http://localhost/?param=<script>alert(1)</script>"
# 应返回 403 Forbidden

性能优化建议

  1. 规则排除:在REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf中添加应用例外

    # WordPress排除示例
SecRule REQUEST_URI "@contains /wp-admin/" \
     "id:1000,phase:1,pass,nolog,ctl:ruleEngine=DetectionOnly"

  2. 精简规则:仅启用必要规则集

    # 禁用不常用规则文件
sudo mv /etc/nginx/modsec/owasp-modsecurity-crs/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf{,.disabled}

  3. 调整防护级别:编辑crs-setup.conf

    SecAction \
  "id:900000,\
   phase:1,\
   nolog,\
   pass,\
   t:none,\
   setvar:tx.paranoia_level=1"

常见问题解决

1. 模块加载失败

sudo grep "modsecurity" /var/log/nginx/error.log
  • 解决方案:确认Nginx版本匹配,重新执行步骤2

2. 规则不生效

  • 检查nginx -T输出确认模块加载
  • 验证配置文件路径权限:sudo chmod -R 755 /etc/nginx/modsec

3. 高CPU占用

# 在modsecurity.conf添加:
SecPcreMatchLimit 100000
SecPcreMatchLimitRecursion 100000
SecCollectionTimeout 600

自动更新脚本

#!/bin/bash
# ModSecurity自动更新脚本
cd /usr/src/ModSecurity
git pull
git submodule update --init --recursive
./build.sh
./configure --prefix=/usr/local/modsecurity
make -j$(nproc)
sudo make install
sudo ldconfig

cd /etc/nginx/modsec/owasp-modsecurity-crs
git pull

sudo nginx -t && sudo systemctl reload nginx

将此脚本保存为/usr/local/bin/update-modsec并添加可执行权限

完成以上步骤后,您的Nginx 1.28.0将获得企业级WAF防护。建议初次部署时使用SecRuleEngine DetectionOnly模式运行24小时,分析日志后再启用主动防护。

到此这篇关于Nginx下ModSecurity模块安装的实现步骤的文章就介绍到这了,更多相关Nginx ModSecurity安装内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • Nginx反向代理后无法获取客户端真实IP地址

    Nginx反向代理后无法获取客户端真实IP地址

    本文主要介绍了Nginx反向代理后无法获取客户端真实IP地址,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2023-03-03
  • 深入理解Nginx之error_page模块的使用

    深入理解Nginx之error_page模块的使用

    error_page是nginx一个重要的指令,作用是定制化服务器错误页面,本文主要介绍了Nginx之error_page模块的使用,具有一定的参考价值,感兴趣的可以了解一下
    2023-09-09
  • Nginx如何配置加密证书访问实现

    Nginx如何配置加密证书访问实现

    本文主要介绍了Nginx如何配置加密证书访问实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2022-08-08
  • Nginx中配置开启Nginx Status来查看服务器运行状态

    Nginx中配置开启Nginx Status来查看服务器运行状态

    这篇文章主要介绍了Nginx中配置开启Nginx Status来查看服务器运行状态的方法,Nginx Status为Nginx服务器内置的状态页,需要的朋友可以参考下
    2016-01-01
  • nginx出现500 Internal Server Error错误的解决方法

    nginx出现500 Internal Server Error错误的解决方法

    这篇文章主要介绍了nginx出现500 Internal Server Error错误的解决方法,文中通过示例代码介绍的非常详细,对大家的学习或工作有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2024-09-09
  • 神器!最佳 Nginx 日志分析工具 GoAccess

    神器!最佳 Nginx 日志分析工具 GoAccess

    非常小又精悍的 Nginx 日志分析工具 GoAccess,今天在 CentOS VPS 上安装测试了一番,就2个字,神器!
    2014-02-02
  • Nginx反向代理与缓存实现代码

    Nginx反向代理与缓存实现代码

    文章系统解析Nginx反向代理核心配置、缓存机制、性能优化、安全防护及高级应用场景,涵盖负载均衡、缓存策略、限流规则、日志监控等关键内容,提供生产环境配置建议与云原生适配方案,助力高效部署与运维,感兴趣的朋友跟随小编一起看看吧
    2025-08-08
  • 配置Nginx服务器防止Flood攻击的方法

    配置Nginx服务器防止Flood攻击的方法

    这篇文章主要介绍了配置Nginx服务器防止Flood攻击的方法,包括PHP的应用请求限制等降低负载的措施,需要的朋友可以参考下
    2015-06-06
  • nginx proxy_pass 路径拼接的具体实现

    nginx proxy_pass 路径拼接的具体实现

    本文主要介绍了nginx proxy_pass 路径拼接的具体实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2026-05-05
  • Nginx的正则表达式详解

    Nginx的正则表达式详解

    今天来聊一聊他的正则表达式的使用规则,我会简单的举几个例子然后进行说明讲解,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2018-10-10

最新评论