当前位置: 首页 > 系统, 系统安全 > 正文

Openresty ngx_lua_waf 搭建简单的WAF防护平台,为您的网站保驾护航

[摘要] 接上一篇写过的 使用nginx限制DDOS攻击,这几天比较空闲,把博客站点做了些改动,使用Openresty ngx_lua_waf 搭建简单的WAF防护平台,主要增加了 WAF 控制模块,并且将 Ningx 换成了 Openresty 作为web服务器,章同学开源的 Openresty 对lua的支持非常好,这里表示致敬和感谢!

openresty站点:https://openresty.org
ngx_lua_waf 模块:https://github.com/loveshell/ngx_lua_waf
具体安装就不说了,openresty的安装使用Nginx基本一样。只是配置稍作修改,增加lua的部分。

nginx.conf 的 http 段配置中增加如下:

waf的具体规则在如下目录:
nginx/conf/ngx_lua_waf/wafconf
args cookie post url user-agent whiteurl

ngx_lua_waf的一些规则与配置:

*** 需要注意的是默认规则中部分限制的比较严格,可能会导致wp后台的一些正常操作被禁止掉,需要根据实际情况进行修改,比如upload资源部分。
下面是一个尝试访问/etc/passwd的非法请求被ngx_lua_waf挡住的样例,页面提示了『Bad requests..』,这个提示语可以在config.lua中指定:

openresty-lua-waf

nginx lua waf 上线后,可以观察下日志,能看到还是有不少的非法请求:

以上日志能够看到几种非常明显的嗅探与攻击:
比如:
(1)尝试访问放在web发布目录的备份文件,特别是整站代码数据库的备份文件等;
(2)phpMyAdmin安装完之后setup.php文件没有清除(看来phpmyadmin确实是容易被攻击的点)
(3)wordpress相关的,访问本地目录的权限、插件的漏洞以及一些常见的XSS攻击。
(4)web目录可写,文件及目录权限全部为777等。

所以还是要提高运维最基本的安全防范意识,很多时候受到攻击都是由于流程和规范的不合理而导致的。

本文固定链接: https://www.sudops.com/openresty-ngx-lua-waf-to-protect-your-website.html | 运维·速度

该日志由 Fisher 于2018年01月19日发表在 系统, 系统安全 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: Openresty ngx_lua_waf 搭建简单的WAF防护平台,为您的网站保驾护航 | 运维·速度
关键字: , , ,

Openresty ngx_lua_waf 搭建简单的WAF防护平台,为您的网站保驾护航:等您坐沙发呢!

发表评论


Time limit is exhausted. Please reload the CAPTCHA.

快捷键:Ctrl+Enter