Установка SEnginx в Unix/Linux

Опубликовано: by

Установка SEnginx в Unix/Linux

SEnginx (Security Enhanced NGINX) — представляет собой один из вариантов веб-сервера nginx (HTTP и обратный прокси-сервер). Он имеет улучшенный функциональность и наследует все оригинальные черты от nginx и так же, он совместим с конфигурацией самого энжинкса.

SeNginx — это сборка NGINX с дополнительными модулями безопасности, а именно:

  • HTTP Robot Mitigation — модуль Roboo который переписали на С и он защищает домен от различных ботов, не поддерживающих Javascript/Flash. Таких ботов в данный момент большинство, хотя и появляются новые боты (PhantomJS, Zombie JS и т.д.), поддерживающие Java — таких ботсетей пока гораздо меньше.
  • Naxsi & Mod Security — модули защиты от SQL, XSS и web сканеров с помощью Whitelist и наборов правил.
  • User-Agent Whitelist with DNS Reverse Resolve — возможность добавлять в список разрешений ботов, которые используются поисковыми системами (Google, Yandex и т.д.) с проверкой по Reverse DNS, что позволит запретить доступ ботам, которые имеют UserAgent: googlebot, но таковыми на самом деле не являются.
  • Dynamic IP Blacklist — модуль позволяет вносить IP адреса ботов или сканеров в черный список в автоматическом режиме, записывать их в log файл и при желании разблокировать через определенное время
  • NetEye Security Layer — модуль, позволяющий интегрировать различные модули безопасности между собой и установить, в каком порядке они производят проверки
  • Statistics — удобный модуль статистики в JSON формате, отображающий как статистику самого NGINX, так и модулей безопасности.

В дополнение, в SeNginx присутствуют модули для Load Balancing (Session Persistence, Fastest Load Balancing Algorithm / Fair Load Balancing Alogorithm ), MIME cache модуль, а также поддержка Syslog.

В итоге, SeNginx — это очень мощный инструмент противодействия ботам и автоматизированным сканерам безопасности, которые используются для поиска уязвимостей на вашем сайте.

Установка SEnginx в Unix/Linux

Расскажу как установить SEnginx на различные *NIX ОС.

Установка SEnginx на CentOS/Fedora/RedHat

Установим необходимое ПО:

# yum install pcre-devel openssl autoconf make libtool openssl-devel httpd-devel libxml2* gcc automake libtool curl curl-devel -y

На момент написания данной статьи, я использовал последнюю версию данной утилиты:

# cd /usr/local/src && wget http://senginx.org/download/senginx-1.6.2.tar.gz && tar xfvz senginx-*.tar.gz && cd senginx-*

Приступаем к конфигурированию:

# ./se-configure.sh --prefix=/usr/local/senginx
# make && make install

Компилирование ModSecurity в SEnginx
ModSecurity интегрирован в 1.5 и не компилируеться по умолчанию. Если хотите использовать ModSecurity в SEnginx, то используйте:

# ./se-configure.sh --prefix=/usr/local/senginx --with-modsecurity
# make && make install

PS: Как использовать mod_security, я описывал в своей статье:
Установка mod_security для apache/nginx в Unix/Linux

Собственно, все установилось и готово к использованию.

Сейчас, нужно созать инит скрипт для работы с веб-сервером:

# vim /etc/init.d/senginx

И прописываем:

#!/bin/sh
#
# nginx - this script starts and stops the nginx daemon
#
# chkconfig:   - 85 15
# description:  NGINX is an HTTP(S) server, HTTP(S) reverse \
#               proxy and IMAP/POP3 proxy server
# processname: nginx
# config:      /etc/nginx/nginx.conf
# config:      /etc/sysconfig/nginx
# pidfile:     /var/run/nginx.pid
 
# Source function library.
. /etc/rc.d/init.d/functions
 
# Source networking configuration.
. /etc/sysconfig/network
 
# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0
 
nginx="/usr/local/senginx/sbin/nginx"
prog=$(basename $nginx)
 
NGINX_CONF_FILE="/usr/local/senginx/conf/nginx.conf"
 
[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx
 
lockfile=/var/lock/subsys/nginx
 
make_dirs() {
   # make required directories
   user=`$nginx -V 2>&1 | grep "configure arguments:" | sed 's/[^*]*--user=\([^ ]*\).*/\1/g' -`
   if [ -z "`grep $user /etc/passwd`" ]; then
       useradd -M -s /bin/nologin $user
   fi
   options=`$nginx -V 2>&1 | grep 'configure arguments:'`
   for opt in $options; do
       if [ `echo $opt | grep '.*-temp-path'` ]; then
           value=`echo $opt | cut -d "=" -f 2`
           if [ ! -d "$value" ]; then
               # echo "creating" $value
               mkdir -p $value && chown -R $user $value
           fi
       fi
   done
}
 
start() {
    [ -x $nginx ] || exit 5
    [ -f $NGINX_CONF_FILE ] || exit 6
    make_dirs
    echo -n $"Starting $prog: "
    daemon $nginx -c $NGINX_CONF_FILE
    retval=$?
    echo
    [ $retval -eq 0 ] && touch $lockfile
    return $retval
}
 
stop() {
    echo -n $"Stopping $prog: "
    killproc $prog -QUIT
    retval=$?
    echo
    [ $retval -eq 0 ] && rm -f $lockfile
    return $retval
}
 
restart() {
    configtest || return $?
    stop
    sleep 1
    start
}
 
reload() {
    configtest || return $?
    echo -n $"Reloading $prog: "
    killproc $nginx -HUP
    RETVAL=$?
    echo
}
 
force_reload() {
    restart
}
 
configtest() {
  $nginx -t -c $NGINX_CONF_FILE
}
 
rh_status() {
    status $prog
}
 
rh_status_q() {
    rh_status >/dev/null 2>&1
}
 
case "$1" in
    start)
        rh_status_q && exit 0
        $1
        ;;
    stop)
        rh_status_q || exit 0
        $1
        ;;
    restart|configtest)
        $1
        ;;
    reload)
        rh_status_q || exit 7
        $1
        ;;
    force-reload)
        force_reload
        ;;
    status)
        rh_status
        ;;
    condrestart|try-restart)
        rh_status_q || exit 0
            ;;
    *)
        echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"
        exit 2
esac

Выставляем права:

# chmod +x  /etc/init.d/senginx

И запускаем сервер:

# service senginx restart

или

# /etc/init.d/senginx restart

Можно проверить что имеется в сборке:

# /usr/local/senginx/sbin/nginx -V
nginx version: senginx/1.6.2
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) 
TLS SNI support enabled
configure arguments: --prefix=/usr/local/senginx --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_neteye_security --add-module=/usr/local/src/senginx-1.6.2/3rd-party/naxsi/naxsi_src --add-module=/usr/local/src/senginx-1.6.2/3rd-party/nginx-upstream-fair --add-module=/usr/local/src/senginx-1.6.2/3rd-party/headers-more-nginx-module --add-module=/usr/local/src/senginx-1.6.2/3rd-party/ngx_http_substitutions_filter_module --add-module=/usr/local/src/senginx-1.6.2/3rd-party/nginx_tcp_proxy_module --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_upstream_fastest --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_upstream_persistence --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_session --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_robot_mitigation --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_status_page --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_if_extend --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_cache_extend --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_cookie_poisoning --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_web_defacement --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_ip_blacklist --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_ip_behavior --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_whitelist --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_statistics --add-module=/usr/local/src/senginx-1.6.2/3rd-party/ngx_cache_purge-1.3 --add-module=/usr/local/src/senginx-1.6.2/3rd-party/srcache-nginx-module --add-module=/usr/local/src/senginx-1.6.2/3rd-party/memc-nginx-module

Можно сделать красивей и удобней — прописать в среде окружения путь к nginx:

# vim ~/.bash_profile

Находим поле с PATH и добавляем в него:

/usr/local/senginx/sbin

У меня это выглядит вот так:

PATH=$PATH:$HOME/bin:/usr/local/bin:/usr/local/sbin:/usr/local/senginx/sbin:/usr/local/bin:/usr/bin:/usr/sbin:/sbin:/bin:/opt/local/bin

export PATH

Применим конфигурацию:

# source ~/.bash_profile

После чего, можно вызывать информацию вот так:

# nginx -V
nginx version: senginx/1.6.2
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) 
TLS SNI support enabled
configure arguments: --prefix=/usr/local/senginx --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_neteye_security --add-module=/usr/local/src/senginx-1.6.2/3rd-party/naxsi/naxsi_src --add-module=/usr/local/src/senginx-1.6.2/3rd-party/nginx-upstream-fair --add-module=/usr/local/src/senginx-1.6.2/3rd-party/headers-more-nginx-module --add-module=/usr/local/src/senginx-1.6.2/3rd-party/ngx_http_substitutions_filter_module --add-module=/usr/local/src/senginx-1.6.2/3rd-party/nginx_tcp_proxy_module --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_upstream_fastest --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_upstream_persistence --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_session --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_robot_mitigation --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_status_page --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_if_extend --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_cache_extend --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_cookie_poisoning --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_web_defacement --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_ip_blacklist --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_ip_behavior --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_whitelist --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_statistics --add-module=/usr/local/src/senginx-1.6.2/3rd-party/ngx_cache_purge-1.3 --add-module=/usr/local/src/senginx-1.6.2/3rd-party/srcache-nginx-module --add-module=/usr/local/src/senginx-1.6.2/3rd-party/memc-nginx-module

Или если использовать ( скомпилировать) с mod_security:

nginx version: senginx/1.6.2
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) 
TLS SNI support enabled
configure arguments: --prefix=/usr/local/senginx --add-module=/usr/local/src/senginx-1.6.2/3rd-party/ModSecurity/nginx/modsecurity --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_neteye_security --add-module=/usr/local/src/senginx-1.6.2/3rd-party/naxsi/naxsi_src --add-module=/usr/local/src/senginx-1.6.2/3rd-party/nginx-upstream-fair --add-module=/usr/local/src/senginx-1.6.2/3rd-party/headers-more-nginx-module --add-module=/usr/local/src/senginx-1.6.2/3rd-party/ngx_http_substitutions_filter_module --add-module=/usr/local/src/senginx-1.6.2/3rd-party/nginx_tcp_proxy_module --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_upstream_fastest --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_upstream_persistence --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_session --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_robot_mitigation --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_status_page --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_if_extend --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_cache_extend --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_cookie_poisoning --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_web_defacement --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_ip_blacklist --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_ip_behavior --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_whitelist --add-module=/usr/local/src/senginx-1.6.2/neusoft/ngx_http_statistics --add-module=/usr/local/src/senginx-1.6.2/3rd-party/ngx_cache_purge-1.3 --add-module=/usr/local/src/senginx-1.6.2/3rd-party/srcache-nginx-module --add-module=/usr/local/src/senginx-1.6.2/3rd-party/memc-nginx-module

Вот и все, тема «Установка SEnginx в Unix/Linux» завершена.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.