十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙,对于中小企业或不愿购置硬件防火墙的企业的选,能有效保证网站的安全性。
成都一家集口碑和实力的网站建设服务商,拥有专业的企业建站团队和靠谱的建站技术,十多年企业及个人网站建设经验 ,为成都成百上千客户提供网页设计制作,网站开发,企业网站制作建设等服务,包括成都营销型网站建设,成都品牌网站建设,同时也为不同行业的客户提供成都网站制作、成都网站设计的服务,包括成都电商型网站制作建设,装修行业网站制作建设,传统机械行业网站建设,传统农业行业网站制作建设。在成都做网站,选网站制作建设服务商就选成都创新互联。源码:https://github.com/loveshell/ngx_lua_waf
0x1 安装部署
系统版本:Centos7 x86_64
安装依赖包
yum install -y readline-devel pcre-devel openssl-devel
1、openresty的安装配置
cd /usr/local/src
wget https://openresty.org/download/openresty-1.9.15.1.tar.gz
tar -zxvf openresty-1.9.15.1.tar.gz
cd openresty-1.9.15.1
./configure --prefix=/usr/local/openresty-1.9.15.1 --with-luajit --with-http_stub_status_module --with-pcre --with-pcre-jit
gmake && gmake install
ln -s /usr/local/openresty-1.9.15.1/ /usr/local/openresty
测试启动nginx
/usr/local/openresty/nginx/sbin/nginx -t
成功启动nginx显示如下
nginx: the configuration file /usr/local/openresty-1.9.15.1/nginx/conf/nginx.conf syntax is ok nginx: configuration file /usr/local/openresty-1.9.15.1/nginx/conf/nginx.conf test is successful
启动nginx
/usr/local/openresty/nginx/sbin/nginx
2、配置nginx_lua_waf
git clone https://github.com/loveshell/ngx_lua_waf.git
将git获取的文件放到nginx的conf目录下
在nginx.conf的http段添加
lua_package_path "/usr/local/openresty/nginx/conf/ngx_lua_waf/?.lua";
lua_shared_dict limit 10m;
init_by_lua_file /usr/local/openresty/nginx/conf/ngx_lua_waf/init.lua;
access_by_lua_file /usr/local/openresty/nginx/conf/ngx_lua_waf/waf.lua;
配置config.lua里的waf规则目录(一般在ngx_lua_waf/wafconf/目录下)
RulePath = "/usr/local/openresty/nginx/conf/ngx_lua_waf/wafconf"
attacklog = "on"
logdir = "/usr/local/nginx/logs/waf"
3、waf日志配置
#将nginx.conf首行的”# user nobody;”的”#”注释去掉,重新启动nginx服务 user nobody #将防护日志目录所属user和group修改为nobody,目录权限可设为700也可以写入,当然也可以默认
cd /usr/local/nginx/conf
//chown -R nobay.nobady waf
//chmod 700 waf
因为nginx、php模块等是单独安装的,所以每次重启服务器都需要重启相应的服务
启动nginx
cd /usr/local/openresty/nginx/sbin
./nginx (不关闭nginx而重新加载配置文件 ./nginx -t)
0x2 nginx_lua_waf测试
启动php
直接执行/usr/sbin/php-fpm
测试SQL注入漏洞
测试结果
测试任意文件读取
进行CC***测试
通过查看waf_logs可以看到waf拦截的所有的***操作
通过waf_logs可以看到无论是sql注入、任意文件读取还是CC***都被成功的拦截,waf的部署是成功可靠的!
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。