Nginx + ModSecurity + OWASP CRS + Lua + GEOIP2 构建传统WAF

最新推荐文章于 2025-08-03 20:46:39 发布
原创 最新推荐文章于 2025-08-03 20:46:39 发布 · 741 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #lua #运维

Nginx + ModSecurity + OWASP CRS + Lua + GEOIP2 构建传统WAF

一、环境介绍

操作系统:龙蜥 OS 8.9
服务器:nginx:10.99.99.99
nginx: 1.25.5
https://github.com/nginx/nginx/releases/tag/release-1.25.5
LuaJIT:v2.1-20250529
https://github.com/openresty/luajit2
ngx_devel_kit: 0.3.4
https://github.com/vision5/ngx_devel_kit
lua-nginx-module: 0.10.28
https://github.com/openresty/lua-nginx-module
lua-resty-core:v0.1.31
https://github.com/openresty/lua-resty-core
lua-resty-lrucache:v0.15
https://github.com/openresty/lua-resty-lrucache
ModSecurity v3(libmodsecurity):3.0.14
https://github.com/owasp-modsecurity/ModSecurity
ModSecurity-Nginx 连接器:1.0.4
https://github.com/owasp-modsecurity/ModSecurity-nginx/
OWASP Core Rule Set (CRS):4.15.0
https://github.com/coreruleset/coreruleset
geoip2:3.4
https://github.com/leev/ngx_http_geoip2_module
libmaxminddb:1.12.2
https://github.com/maxmind/libmaxminddb
GeoLite2 数据库
官方(需要注册):https://dev.maxmind.com/geoip/geolite2-free-geolocation-data/
github分享:https://github.com/P3TERX/GeoLite.mmdb?tab=readme-ov-file

二、编译工具安装

dnf install epel-release -y
dnf install gcc gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel make GeoIP-devel flex bison yajl yajl-devel curl-devel curl doxygen
dnf install -y autoconf automake libtool m4 git

可能会用到代理

git config --global http.proxy socks5h://x:10808
git config --global https.proxy socks5h://x:10808

三、编译安装ModSecurity v3

git clone --recursive https://github.com/owasp-modsecurity/ModSecurity ModSecurity
cd ModSecurity
git submodule update --init --recursive
./build.sh
./configure
make -j$(nproc)
make install

在这里插入图片描述
添加环境变量

tee /etc/profile.d/modsecurity.sh >/dev/null <<EOF
export PKG_CONFIG_PATH=/usr/local/modsecurity/lib/pkgconfig:$PKG_CONFIG_PATH
EOF

加载环境变量

source /etc/profile.d/modsecurity.sh

验证

pkg-config --modversion modsecurity

在这里插入图片描述

四、ModSecurity-Nginx 连接器下载

git clone https://github.com/owasp-modsecurity/ModSecurity-nginx.git

五、编译安装LuaJIT

git clone https://github.com/openresty/luajit2.git
cd luajit2/
make -j$(nproc)
make install PREFIX=/usr/local/luajit

添加环境变量

tee /etc/profile.d/luajit.sh >/dev/null <<EOF
export LUAJIT_LIB=/usr/local/luajit/lib
export LUAJIT_INC=/usr/local/luajit/include/luajit-2.1
export LD_LIBRARY_PATH=/usr/local/luajit/lib:\$LD_LIBRARY_PATH
EOF

加载环境变量

source /etc/profile.d/luajit.sh

创建软连接

ln -sf /usr/local/luajit/bin/luajit /usr/local/bin/luajit

在这里插入图片描述

六、ngx_devel_kit下载

git clone https://github.com/vision5/ngx_devel_kit.git

七、lua-nginx-module下载

git clone https://github.com/openresty/lua-nginx-module.git

八、编译安装lua-resty-core

git clone https://github.com/openresty/lua-resty-core.git
cd lua-resty-core
make install

在这里插入图片描述

九、编译安装lua-resty-lrucache

git clone https://github.com/openresty/lua-resty-lrucache.git
cd lua-resty-lrucache
make install

十、OWASP Core Rule Set (CRS)下载

git clone https://github.com/coreruleset/coreruleset.git

十一、下载geoip2模块和数据库

git clone https://github.com/leev/ngx_http_geoip2_module.git

登陆后下载
https://www.maxmind.com/en/home
在这里插入图片描述

在这里插入图片描述
数据文件是这个三个
在这里插入图片描述

十二、编译libmaxminddb

读取 geoip2 数据库用

./configure
make
make check
make
最低0.47元/天 解锁文章

200万优质内容无限畅学
ubuntu安装ModSecurity
雪水
01-04 2223
环境:Ubuntu 14.04 一、准备各种库文件 1、安装apache apt-get install apache2 apt-get install apache2-dev 2、安装libapr和libapr-util 官网http://apr.apache.org/下载libapr和libapr-util压缩包 先安装libapr ./configure make sud
modSecurity安装 - libLua.so
cuijian1088的博客
07-19 407
ModSecurity加到Apache中时,需要修改Apache配置文件,如下:#Load libxml2LoadFile /usr/lib/libxml2.so#Load LuaLoadFile /usr/lib/liblu...
学习Nginx(十三):第三方模块ModSecurity的安装与规则配置
Linux技术宅
05-24 1511
ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。SQL Injection (SQLi):阻止SQL注入Cross Site Scripting (XSS):阻止跨站脚本攻击Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击。
开源WAF--ModSecurity编译安装教程(Ubuntu20.04,Nginx
damnItHUA的博客
04-25 1021
本文的教程是在 Ubuntu 20.04 系统上,通过 nginx 来使用 ModSecurity。先是通过 ModSecurity 源码编译得到 ModSecurity 的库文件,然后通过 Nginx源码、ModSecurity-Nginx-master 连接器来编译安装集成了 ModSecurityNginx,接着配置使用 CoreRuleSet 规则集(一个开源的 Web 应用防火墙规则集),最后设置 Nginx 为系统服务。
modsecurity内存泄露_Modsecurity原理分析--从防御方面谈WAF的绕过(一)
weixin_39526459的博客
12-22 252
0x00 背景知识一说到WAF,在我们安全工作者,或者作为普通的白帽子来说,就很头疼,因为好多时候,我们发到服务端的恶意流量都被挡掉了,于是就产生了各种绕“WAF”的话题,绕来绕去,也就无非那么多种,而且大多都是基于URLDecode的方式。虽然我的文章也会讲绕过,虽然也是那么几种,但是我会从防御的方面展示WAF规则的强大。笔者再次强调,如果你只是想学习WAF的绕过,我建议还是不要跟我的帖子了,我...
Modsecurity安装+Nginx+腾讯云CentOS+XSS-Labs靶场+WAF规则
钟言的博客
06-24 3767
本篇为对于传统WAF的研究,使用的架构:Modsecurity安装+Nginx+腾讯云CentOS+XSS-Labs靶场+WAF规则,详细内容包含了:项目环境介绍 ModSecurity介绍 1、Modsecurity基本概述 2、Modsecurity工作原理 3、Modsecurity功能特点 4、Modsecurity优点 5、Modsecurity缺点 三、Nginx介绍及配置文件 1、Nginx基本概述 2、Nginx应用场景 3、正向代理 4、反向代理 5、负载均衡 动静分离6、 7、主页等内容
CentOS7安装Nginx+ModSecurity
qwe546913的博客
08-08 268
当学习网络安全时,了解和使用安全设备是必不可少的一部分,其中一种常见的安全设备是Web应用防火墙(WAF)。市场上有许多商业化的WAF,但对于学习目的,我推荐使用一款免费开源的WAF,名为ModSecurityModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。目前已经支持Nginx和IIS,配合Nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核Web安全的利器。
modsecurity+openwaf集成
Eric
10-21 805
1.安装依赖 apt-get install apache2-dev autoconf automake build-essential bzip2 checkinstall devscripts flex g++ gcc git graphicsmagick-imagemagick-compat graphicsmagick-libmagick-dev-compat libaio-dev libaio1 libass-dev libatomic-ops-dev libavcodec-dev libav
ModSecurity2”源码分析
zhangge3663的博客
04-12 2018
一、相关结构体struct msre_engine{ apr_pool_t *mp; apr_table_t *variables; apr_table_t *operators; apr_table_t *actions; apr_table_t *tfns; apr_table_t *reqbody_processors; };//在msre_engine_variab...
Modsecurity原理分析--从防御方面谈WAF的绕过(一)
chengfangang的专栏
11-10 4862
0x00 背景知识 一说到WAF,在我们安全工作者,或者作为普通的白帽子来说,就很头疼,因为好多时候,我们发到服务端的恶意流量都被挡掉了,于是就产生了各种绕“WAF”的话题,绕来绕去,也就无非那么多种,而且大多都是基于URLDecode的方式。 虽然我的文章也会讲绕过,虽然也是那么几种,但是我会从防御的方面展示WAF规则的强大。 笔者再次强调,如果你只是想学习WAF的绕过
雷林鹏分享:Lua 环境安装
weixin_30432179的博客
06-24 101
  Linux 系统上安装   Linux & Mac上安装 Lua 安装非常简单,只需要下载源码包并在终端解压编译即可,本文使用了5.3.0版本进行安装:   curl -R -O http://www.lua.org/ftp/lua-5.3.0.tar.gz   tar zxf lua-5.3.0.tar.gz   cd lua-5.3.0   make linux test...
Apache安装ModSecurityCRS
好记性不如烂笔头
01-26 1814
安装过程都是从官网上扒下来的(如果觉得我写的不够好,可以直接根据官网部署),官网地址:http://www.modsecurity.org/ 全篇分为两个部分: 1、安装ModSecurity 2、添加CRS规则 先决条件 ModSecurity 2.x仅适用于Apache 2.0.x或更高版本 1、mod_uniqueid 确保你已经mod_unique_id安装。mod_un
Centos8编译安装modsecurity
weixin_45611539的博客
05-15 734
Centos8安装mod_security 此章用以记述Centos8安装mod_security中遇到的坑 安装的参考大佬帖子 此章都是基于大佬帖子的基础上,排了一些Centos8的坑 条件: 纯净的Centos8一台 安装全部过程的命令 yum install -y gcc-c++ flex bison yajl yajl-devel curl-devel curl GeoIP-devel doxygen zlib-devel pcre-devel lmdb-devel libxml2-devel
Apache安装配置ModSecurity
chengfangang的专栏
02-19 3742
http://www.2cto.com/Article/201212/174729.html 1、安装LAMP和编译环境   环境说明     #Apache 2.2.5 #Mysql 5.1.6 #Centos 6.0 安装apache+php+mysql   #yum -y install httpd php mysql mys
LUA脚本语言
最新发布
William Chen's knowledge base
08-03 976
在编程语言“内卷”的今天,Lua没有追逐“大而全”的生态,而是坚守“轻量、可嵌入”的定位,最终在游戏、嵌入式、云原生等领域站稳了脚跟。不是所有语言都需要成为“全能选手”,找到精准的场景定位,做到极致的体验,同样能成为不可替代的存在。如果你需要为系统添加灵活的扩展层,或在资源受限的环境中编写逻辑,Lua或许会给你带来惊喜。毕竟,月亮虽小,却能照亮黑夜——这正是Lua的魅力所在。
问卷调查系统测试报告
fanhailomg的博客
08-01 567
测试报告,自动化测试,功能测试
分布式锁的基本原理和基于lua脚本的实现(Redisson)
m0_69080283的博客
07-31 577
而这四个条件,Redisson实现的分布式锁都可以满足,同时Redisson实现的分布式锁,还是可重入的。即使有一个客户端在持有锁的期间崩溃而没有主动解锁,也能保证后续其他客户端能加锁。- 解铃还须系铃人。加锁和解锁必须是同一个客户端,客户端自己不能把别人加的锁给解了。在任意时刻,只有一个客户端能持有锁。- 加锁和解锁必须具有原子性。
Nginx+Lua开发详解:高性能Web服务构建
总结来说,nginx+lua的组合为Web开发带来了新的可能性,它结合了Nginx的高性能和Lua的易用性。对于那些希望在Web开发上更有效率,同时又不想牺牲性能的开发人员来说,nginx+lua,尤其是通过OpenResty平台,是一个极...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值