lnmp一键开启waf及使用 Fail2Ban防护
试用了阿里云香港的轻量服务器之后,赶紧确实是一个不错的选择,因此,决定把网站给迁移过来。以前都是用的oneinstack安装包,这是因为军哥的lnmp如果使用mysql5.6以上的话就必须要内存2G衣裳,这次用的就是2G的,所以还是使用lnmp一键安装包比较舒心。和one的区别是,one很多的事项在编译环境的时候已经弄好了,而lnmp需要西西的打磨,这也是一个好事,毕竟服务器不同,弄的规则也不尽一样。闲言少续,开始正体。
lnmp开启waf的方法
LNMP一键安装包从1.5开始增加了lua支持的选项,可以通过修改lnmp.conf中Enable_Nginx_Lua后的参数为 y 来启用lua,如果没安装lnmp,修改lnmp.conf后保存,安装完lnmp就是支持lua的,如果已经安装好lnmp,也是按前面修改lnmp.conf,然后lnmp安装包目录下 ./upgrade.sh nginx 升级nginx,输入当前 nginx 版本号或更新的nginx版本号,升级完成就是支持lua的了。
下载安装ngx_lua_waf:
wget https://github.com/loveshell/ngx_lua_waf/archive/master.zip -O ngx_lua_waf.zip
unzip ngx_lua_waf.zip
mv ngx_lua_waf-master /usr/local/nginx/conf/waf
nginx上设置并启用ngx_lua_waf
编辑 /usr/local/nginx/conf/nginx.conf 在 server_tokens off; 下面添加如下代码:
lua_package_path “/usr/local/nginx/conf/waf/?.lua”;
lua_shared_dict limit 10m;
init_by_lua_file /usr/local/nginx/conf/waf/init.lua;
修改完成保存
如果要想在某个虚拟主机启用ngx_lua_waf可以修改对应虚拟主机的server段,在该server段中 root 网站目录行下面添加如下代码:
access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;
修改完成保存
测试nginx配置文件: /usr/local/nginx/sbin/nginx -t
重载nginx配置生效: /usr/local/nginx/sbin/nginx -s reload
如果测试和重载都没报错就已经生效。
可以通过访问 http://域名/test.php?id=../etc/passwd 来测试
提示:您的请求带有>不合法参数,已被网站管理员设置拦截!说明已经正确设置
ngx_lua_waf配置文件位置:/usr/local/nginx/conf/waf/config.lua
使用 Fail2Ban防护网站及服务器
Fail2Ban 是一种入侵防御软件框架,可以保护计算机服务器免受暴力攻击。它以 Python 编程语言编写,能够在 POSIX 系统上运行,该系统具有本地安装的数据包控制系统或防火墙的接口,例如 iptables 或 TCP Wrapper。
所以要想使用Fail2Ban,就必须让服务器识别来源的真实IP地址,而不是套的cdn的地址。
套用CDN后获取来源的真实IP的方法
在nginx.conf内的http下增加:
自定义一个日志格式
log_format main '$http_x_forwarded_for - $remote_user [$time_local] '
‘”$request” $status $body_bytes_sent ‘
‘”$http_referer” “$http_user_agent”‘;
然后修改access_log /home/wwwlogs/xxxx.log; 为access_log /home/wwwlogs/xxxx.log main;
nginx-t 检查无误后,service nginx restart,现在在看日志文件,里面的地址就是真正的来源地址了。
使用 Fail2Ban 保护 Nginx、WordPress
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Fail2Ban 会自动读取 .local 文件的配置,然后再增量地读取 conf 配置,这样就避免了更新它时你辛辛苦苦写好的配置被覆盖掉了。
然后我们就来编辑 Fail2Ban 的配置
vim /etc/fail2ban/jail.local
首先是在 [DEFAULT] 字段下,我们可以改变一些行为参数,比如这样修改(多余的没有提到的配置就保留默认,不要理会即可):
bantime = 3600 #默认是 10 分钟,这个是说要 ban 多久,我们改长一点#下面这两个是说在多长时间内失败多少次就被屏蔽,#比如这个是在 3600 秒内失败 6 次就被屏蔽findtime = 3600 maxretry = 6
接下来就是添加我们的监狱配置了,默认配置信息中并没有内置 Nginx ,只有 Apache:
[nginx-http-auth]# HTTP 验证防暴力破解enabled = truefilter = nginx-http-auth port = http,https logpath = /var/log/nginx/error.log [nginx-badbots]#屏蔽恶意爬虫enabled = trueport = http,https filter = nginx-badbots logpath = /var/log/nginx/access.log maxretry = 2 [nginx-nohome]#避免恶意请求网站目录结构enabled = trueport = http,https filter = nginx-nohome logpath = /var/log/nginx/access.log maxretry = 2 [nginx-noproxy]#避免 nginx 被他人用于反向代理enabled = trueport = http,https filter = nginx-noproxy logpath = /var/log/nginx/access.log maxretry = 2[wp-login]#防范 WordPress 暴力破解登录请求enabled = trueport = http,https filter = wp-login maxretry = 10findtime = 60bantime = 43600logpath = /var/log/nginx/access.log [xmlrpc]#防止 WordPress 受到 xmlrpc.php CC 攻击enabled = trueport = http,https filter = xmlrpc logpath = /var/log/nginx/access.log bantime = 43600maxretry = 1findtime = 5
注意这里的配置都是基于 Nginx 的日志的,所以你必须要允许 Nginx 记录日志,有些管理员为了性能考量会关闭日志,这样我们这篇文章也就失去了意义。
上述配置中 logpath 是指日志文件的路径的(如:/var/log/nginx/access.log),需要注意的是这里可以指定多个日志文件的,具体格式如下:
logpath = /home/wwwlogs/access.log /home/wwwlogs/www.1111.com.log /home/wwwlogs/www.2222.tech.log /home/wwwlogs/service.3333.com.log /home/wwwlogs/eat.4444.com.log
每个日志文件需要回车换行(空格直接去掉了,所以可以放心用空格对齐)才能识别到哦!
另,在配置 Fail2Ban 之前,你就应该先安装好 Nginx,否则 Fail2Ban 读不到 Nginx 的日志,会报错。
设置好了要启用的监狱,接下来就是给监狱创建规则了:
cd /etc/fail2ban/filter.d
在这个目录下,存放这所有规则文件,一个配置名一个文件,有多少个文件就有多少个规则,这些规则被上文中监狱配置里 filter 字段调用。
vim nginx-http-auth.conf
这个规则是存在的,我们在规则中加一行配置,来过滤除了账号密码错误外,空白账号或者密码的错误:
[Definition]
failregex = ^ [error] \d+#\d+: \\d+ user “\S+”:? (password mismatch|was not found in “.”), client: <HOST>, server: \S+, request: “\S+ \S+ HTTP/\d+.\d+”, host: “\S+”\s*$
^ [error] \d+#\d+: \\d+ no user/password was provided for basic authentication, client: <HOST>, server: \S+, request: “\S+ \S+ HTTP/\d+.\d+”, host: “\S+”\s$
ignoreregex =
添加的是加粗的那一行。
cp apache-badbots.conf nginx-badbots.conf
过滤爬虫的规则是有现成的,所以我们只需要改个名就可以了;
vim nginx-nohome.conf
这是过滤获取目录的:
[Definition]
failregex = ^<HOST> -.GET ./~.*
ignoreregex =
vim nginx-noproxy.conf
这是过滤反代的:
[Definition]
failregex = ^<HOST> –.GET http.
ignoreregex =
vim wp-login.conf
这是防止 WordPress 受到 xmlrpc.php 请求的 CC 攻击:
[Definition]
failregex = ^<HOST> -. /wp-login.php. HTTP/1..“
ignoreregex =
vim xmlrpc.conf
防范 WordPress 暴力破解登录请求
[Definition]
failregex = ^<HOST> -.*POST .*xmlrpc.php.*
ignoreregex =
跋涉者提示
很多网站上面的代码都不正确,是因为,高亮代码不知道怎么会屏蔽这个语法,造成错误,本文已经更正,放心的使用。
做完上述配置之后,就可以重启
service fail2ban restart
这时你可以通过命令 fail2ban-client status 来查看,不出意外,应该类似这样:
fail2ban-client status 或者:/usr/local/python/bin/fail2ban-client status
Status
|- Number of jail: 7
`- Jail list: nginx-badbots, nginx-http-auth, nginx-nohome, nginx-noproxy, sshd, wp-login, xmlrpc
至此,Fail2Ban 保护 Nginx、WordPress 基本算是完成了,至少跋涉者目前需要的安全策略都完成了,平时可以观察一下 Fail2Ban 的日志文件来观察 Fail2Ban 的防御效果,如:
tail -f /var/log/fail2ban.logiptables --list -n
用 Fail2Ban屏蔽无效的404请求
借助 Fail2Ban 可以筛选出发送这些请求的 IP 地址来进行拦截屏蔽处理,根据日志中返回 404 的记录制定 Fail2Ban 监狱规则命名为 nginx-not-found.conf,具体内容如下:
vim /etc/fail2ban/filter.d/nginx-not-found.conf
打开编辑 nginx-not-found.conf 监狱规则文件,注意一定要在/etc/fail2ban/filter.d/目录内哦。
[Definition] failregex = ^<HOST>.*"(GET|POST).*" (404|444|403|400) .*$ ignoreregex =
保存退出。
再打开编辑 jail.local 启用这个监狱规则。
vim /etc/fail2ban/jail.local
添加下面的代码到 jail.local 里即可。同样的,注意 jail.local 文件的目录哦。
[nginxno404]#处理 nginx 下的恶意 404 结果扫描enabled = trueport = http,https filter = nginx-not-found action = iptables[name=nginxno404, port=http, protocol=tcp] #Fail2Ban 要监控的站点日志文件,大家可以根据自己站点来灵活调整。logpath = /home/wwwlogs/access.log bantime = 3600 #默认是屏蔽 IP 地址 10 分钟 #下面这两个是说 60 秒内 5 次 404 失败请求就开始屏蔽这个 IP 地址findtime = 60maxretry = 5
保存退出。
重新启动 Fail2Ban:
systemctl restart fail2ban.service
看下日志:
nginxno404已经开始生效,并且Ban了一个ip,14.204.69.48
看一下iptables的记录,如上图,已经拒绝这个IP的访问了
