naxsi部署配置

naxsi是nginx的应用防火墙,可以在程序安全的基本上进行二次的安全过滤。

wget https://codeload.github.com/nbs-system/naxsi/zip/master
mv master master.zip
unzip master.zip 
cd naxsi-master
cd naxsi_src

如果你已经编译好nginx而不想升级版本,那么你可以通过以下命令添加naxsi模块:

进入nginx源码文件夹

./configure --add-module=/usr/tmp/naxsi-master/naxsi_src/
make
make install

似乎add-module导致其它模块不见了 还是全部编译吧

./configure --prefix=/usr/local/nginx \
--user=www \
--group=www \
--with-mail \
--with-mail_ssl_module \
--with-http_ssl_module \
--with-http_flv_module \
--with-http_dav_module \
--with-http_sub_module \
--with-http_realip_module \
--with-http_addition_module \
--with-http_gzip_static_module \
--with-http_stub_status_module \
--with-pcre \
--add-module=/usr/tmp/naxsi-master/naxsi_src/

首先复制核心规则到nginx目录

cp /usr/tmp/naxsi-master/naxsi_config/naxsi_core.rules /usr/local/nginx/

将核心规则include到nginx.conf文件中:

修改nginx.conf文件

vim /usr/local/nginx/conf/nginx.conf

在http块中插入以下内容

include /usr/local/nginx/naxsi_core.rules;

然后修改每个站点的conf文件,并在location块中添加以下内容:

#LearningMode;
SecRulesEnabled;
DeniedUrl "/RequestDenied";
CheckRule "$SQL >= 8" BLOCK;
CheckRule "$RFI >= 8" BLOCK;
CheckRule "$TRAVERSAL >= 4" BLOCK;
CheckRule "$EVADE >= 4" BLOCK;
CheckRule "$XSS >= 8" BLOCK;

要注意的是,上面的内容仅对添加的location有效,如果你想对多个location有效,那么需要逐一添加。
完成后重新启动nginx即可。


标签: waf防火墙, linux安全配置

非特殊说明,本博所有文章均为博主原创。

最新文章

发表评论