튜토리얼 Nginx - 모드 보안 설치 [ 단계별 ]

Nginx 모드 보안 기능을 설치하는 방법을 배우고 싶으신가요? 이 자습서에서는 우분투 리눅스를 실행하는 컴퓨터에서 Nginx 모드 보안 기능을 구성할 예정입니다.

• Ubuntu 18
• Ubuntu 19
• Ubuntu 20
• Nginx 1.18.0
• ModSecurity 3.0.4

장비 목록

다음 섹션에서는 이 자습서를 만드는 데 사용되는 장비 목록을 제공합니다.

아마존 어소시에이트로서, 나는 적격 구매에서 적립.

Nginx - 관련 튜토리얼 :

이 페이지에서는 Nginx와 관련된 자습서 목록에 빠르게 액세스할 수 있습니다.

튜토리얼 Nginx - 모드 보안 설치

Nginx 서버를 설치합니다.

Copy to Clipboard

필요한 패키지를 설치합니다.

Copy to Clipboard

SSDEP라는 소프트웨어를 설치합니다.

Copy to Clipboard

ModSecurity의 최신 버전을 다운로드합니다.

Copy to Clipboard

ModSecurity를 컴파일하고 설치합니다.

Copy to Clipboard

ModSecurity용 Nginx 커넥터의 최신 버전을 다운로드합니다.

Copy to Clipboard

시스템에 설치된 Nginx 버전을 확인합니다.

Copy to Clipboard

다음은 명령 출력입니다.

Copy to Clipboard

시스템에 설치된 동일한 버전의 Nginx의 소스 코드를 다운로드합니다.

Copy to Clipboard

Nginx 커넥터를 컴파일하고 설치합니다.

Copy to Clipboard

모드 보안 핵심 규칙 집합을 다운로드하고 설치합니다.

Copy to Clipboard

축! Nginx 서버에서 ModSecurity 설치를 완료했습니다.

튜토리얼 Nginx - 모드 보안 구성

Nginx 구성 파일을 편집합니다.

Copy to Clipboard

Nginx 구성 파일에 다음 줄을 추가합니다.

Copy to Clipboard

구성 전의 파일은 다음과 같습니다.

Copy to Clipboard

여기에 우리의 구성 후 파일입니다.

Copy to Clipboard

Modsec이라는 디렉토리를 만들고 필요한 구성 파일을 복사합니다.

Copy to Clipboard

ModSecurity 구성 파일을 편집합니다.

Copy to Clipboard

다음 줄을 찾습니다.

Copy to Clipboard

다음 구성으로 이러한 줄을 변경합니다.

Copy to Clipboard

여기에 우리의 구성 후 파일입니다.

Copy to Clipboard

SecRuleEngine On
SecRequestBodyAccess On
SecRule REQUEST_HEADERS:Content-Type "(?:application(?:/soap\+|/)|text/)xml" \
     "id:'200000',phase:1,t:none,t:lowercase,pass,nolog,ctl:requestBodyProcessor=XML"
SecRule REQUEST_HEADERS:Content-Type "application/json" \
     "id:'200001',phase:1,t:none,t:lowercase,pass,nolog,ctl:requestBodyProcessor=JSON"
SecRequestBodyLimit 13107200
SecRequestBodyNoFilesLimit 131072
SecRequestBodyLimitAction Reject
SecRule REQBODY_ERROR "!@eq 0" \
"id:'200002', phase:2,t:none,log,deny,status:400,msg:'Failed to parse request body.',logdata:'%{reqbody_error_msg}',severity:2"
SecRule MULTIPART_STRICT_ERROR "!@eq 0" \
"id:'200003',phase:2,t:none,log,deny,status:400, \
msg:'Multipart request body failed strict validation: \
PE %{REQBODY_PROCESSOR_ERROR}, \
BQ %{MULTIPART_BOUNDARY_QUOTED}, \
BW %{MULTIPART_BOUNDARY_WHITESPACE}, \
DB %{MULTIPART_DATA_BEFORE}, \
DA %{MULTIPART_DATA_AFTER}, \
HF %{MULTIPART_HEADER_FOLDING}, \
LF %{MULTIPART_LF_LINE}, \
SM %{MULTIPART_MISSING_SEMICOLON}, \
IQ %{MULTIPART_INVALID_QUOTING}, \
IP %{MULTIPART_INVALID_PART}, \
IH %{MULTIPART_INVALID_HEADER_FOLDING}, \
FL %{MULTIPART_FILE_LIMIT_EXCEEDED}'"
SecRule MULTIPART_UNMATCHED_BOUNDARY "@eq 1" \
    "id:'200004',phase:2,t:none,log,deny,msg:'Multipart parser detected a possible unmatched boundary.'"
SecPcreMatchLimit 1000
SecPcreMatchLimitRecursion 1000
SecRule TX:/^MSC_/ "!@streq 0" \
        "id:'200005',phase:2,t:none,deny,msg:'ModSecurity internal error flagged: %{MATCHED_VAR_NAME}'"
SecResponseBodyAccess On
SecResponseBodyMimeType text/plain text/html text/xml
SecResponseBodyLimit 524288
SecResponseBodyLimitAction ProcessPartial
SecTmpDir /tmp/
SecDataDir /tmp/
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus "^(?:5|4(?!04))"
SecAuditLogParts ABIJDEFHZ
SecAuditLogType Serial
SecAuditLog /var/log/nginx/modsec_audit.log
SecArgumentSeparator &
SecCookieFormat 0
SecUnicodeMapFile unicode.mapping 20127
SecStatusEngine On

ModSecurity가 설치된 CRS 규칙을 사용할 수 있도록 파일을 만듭니다.

Copy to Clipboard

다음은 파일 내용입니다.

Copy to Clipboard

기본 웹 사이트에 대한 Nginx 구성 파일을 편집합니다.

Copy to Clipboard

Nginx 구성 파일에 다음 줄을 추가합니다.

Copy to Clipboard

구성 전의 파일은 다음과 같습니다.

Copy to Clipboard

여기에 우리의 구성 후 파일입니다.

Copy to Clipboard

Nginx 서비스를 다시 시작합니다.

Copy to Clipboard

선택적으로 브라우저를 사용하여 Nginx 서버에 테스트 요청을 보냅니다.

테스트 요청을 보낸 후 ModSecurity 로그를 확인합니다.

Copy to Clipboard

축! Nginx 서버에서 ModSecurity 구성을 완료했습니다.

Nginx - 모드 보안 설치

Nginx - 모드 보안 설치

장비 목록

Nginx - 관련 튜토리얼 :

튜토리얼 Nginx - 모드 보안 설치

튜토리얼 Nginx - 모드 보안 구성

Related Posts