nginx之安全基礎（nginx+waf+lua）

最後更新：2016-07-29 來源：互聯網

上載者：User

創建阿里雲帳戶，並獲得超過 40 款產品的免費試用版；而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊！

感謝網上的大神們提供的文檔。

nginx waf +lua 安全模組搭建，nginx上的web應用防火牆

需要的軟體：

1、LuaJIT下載網站：http://luajit.org (當前穩定版：2.0.4)
2、ngx_devel_kit-0.2.19.tar
3、lua-nginx-module-0.9.5rc2.tar
4、master.zip
5、nginx
最佳化nginx包
1、libunwind
2、gperftools

一、安裝LuaJIT

tar -zxvf LuaJIT.tar.gz

make

make install

安裝後lib、include直接放在/usr/local/lib和/usr/local/include中

二、解壓ngx_devel_kit、lua-nginx-module

三、設定環境變數

export LUAJIT_LIB=/usr/local/lib
export LUAJIT_INC=/usr/local/include/luajit-2.0
export LD_LIBRARY_PATH=/usr/local/lib/:$LD_LIBRARY_PATH

四、安裝nginx（版本1.6.1，在1.9.4中失敗）

4.1最佳化nginx

vim /usr/local/src/nginx-1.6.1/auto/cc/gcc

注釋：#debug
#CFLAGS="$CFLAGS -g"

解釋：關閉nginx debug模組，減少nginx安裝包大小

4.2最佳化nginx

解釋：最佳化nginx效能，在記憶體配置效率和速度上提高很多，降低負載。需要安裝libunwind和gperftools

4.2.1安裝libunwind

tar -xf /usr/local/src/libunwind.tar.gz

cd /usr/local/src/libunwind
CFLAGS=-fPIC ./configure
make CFLAGS=-fPIC
make CFLAGS=-fPIC install

4.2.2安裝gperftools

tar -xf /usr/local/src/gperftools.tar.gz
cd /usr/local/src/gperftools
make && make install

mkdir /tmp/tcmalloc //建立tcmalloc線程寫入檔案
chmod 777 /tmp/tcmalloc

echo "/usr/local/lib" >/etc/ld.so.conf.d/usr_local_lib.conf #使nginx.conf中配置google_perftools_profiles生效

4.2.3安裝nginx

cd /usr/local/src/nginx-1.6.1/

例如：生產環境：注意ngx_devel_kit-0.2.19、lua-nginx-module-0.9.5rc2路徑一定要正確
--prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_ssl_module --with-file-aio --with-http_realip_module --add-module=/usr/local/nginx_upstream_check_module-master --with-http_stub_status_module --add-module=/usr/local/src/ngx_devel_kit-0.2.19 --add-module=/usr/local/src/lua-nginx-module-0.9.5rc2 --with-google_perftools_module
make && make install

4.2.4增加ngx_lua_waf_master

unzip -o /usr/local/src/ngx_lua_waf_master.zip
mv /usr/local/src/ngx_lua_waf_master /usr/local/nginx/conf/waf

#建立檔案夾存放waf日誌，需要有寫入的許可權
mkidr /home/nignx_waf_log/
chmod 777 /home/nginx_waf_log/

vim /usr/local/src/nginx/conf/waf/conf.lua
RulePath = "/usr/local/nginx-help/conf/waf/wafconf/" #指定waf規則存放檔案夾
logdir = "/home/nginx_waf_log" #指定waf日誌存放地

vim /usr/local/nginx/conf/nginx.conf
#在pid下添加，支援gperftools庫
google_perftools_profiles /tmp/tcmalloc/tcmalloc.;
#在http 添加
lua_package_path "/usr/local/nginx/conf/waf/?.lua";
lua_shared_dict limit 10m;
init_by_lua_file /usr/local/nginx/conf/waf/init.lua;
access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;

然後啟動nginx
網站子串連url後增加?id=../etc/passwd;查看是否會出現防火牆阻擋頁面
lsof -n | greo tcmalloc 查看gperftools是否正常運行

在正式使用時候，使用的www.wooyun.org上提供的waf模組，規則根據自己所需要的進行修改

以上就介紹了nginx之安全基礎（nginx+waf+lua），包括了方面的內容，希望對PHP教程有興趣的朋友有所協助。



本文章原先以中文撰寫並發佈於 aliyun.com，亦設英文版本，僅作資訊用途。本網站不對文章的準確性，完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴，請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡，一經驗證之後，即會刪除該侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

Sales Support

1 on 1 presale consultation

Chat Contact Sales
After-Sales Support

24/7 Technical Support 6 Free Tickets per Quarter Faster Response

Open a Ticket
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

Learn More