OpenResty + ngx_lua

　　本篇介绍在CentOS7.6上安装、测试使用ngx_lua_waf + openresty。

Preface

# yum install epel-release -y

# yum group install "Development Tools" -y　　　　# 安装基本编译工具

安装Luagit

# cd /opt/

# wget http://luajit.org/download/LuaJIT-2.1.0-beta3.tar.gz

# tar -xvf LuaJIT-2.1.-beta3.tar.gz

# cd LuaJIT-2.1.-beta3/

# make && make install

# ln -sf luajit-2.1.-beta3 /usr/local/bin/luajit

安装OpenResty

安装依赖

# yum install gcc pcre pcre-devel zlib zlib-devel openssl openssl-devel -y

下载安装

# cd /opt/

# wget https://openresty.org/download/openresty-1.13.6.1.tar.gz

# tar -xvf openresty-1.13.6.1.tar.gz

# cd openresty-1.13.6.1/

# ./configure --prefix=/usr/local/openresty --with-luajit --with-http_stub_status_module --with-pcre --with-pcre-jit

# gmake && gmake install
# ln -sf /usr/local/openresty/nginx/sbin/nginx /usr/local/openresty/bin/openresty

# /usr/local/openresty/bin/openresty   # 启动openresty

# netstat -lntp | grep 80              # 服务运行正常

tcp               0.0.0.0:              0.0.0.0:*               LISTEN

配置ngx_lua_waf

下载

# cd /usr/local/openresty/nginx/conf　　　　　　　　　　　　　　　　　　# 到openresty配置文件目录

# git clone https://github.com/loveshell/ngx_lua_waf.git　　　　　　# 下载

Cloning into 'ngx_lua_waf'...
# mv ngx_lua_waf/ waf/　　　　　　　　　　　　　　　　　　　　　　　　　　 # 改个简单的名字

添加配置

修改openresty配置文件。

# vim /usr/local/openresty/nginx/conf/nginx.conf

...
user nobody;     # 取消注释  
...
http{            # 在http块下添加如下内
...

lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua";
lua_shared_dict limit 10m;
init_by_lua_file  /usr/local/openresty/nginx/conf/waf/init.lua;
access_by_lua_file /usr/local/openresty/nginx/conf/waf/waf.lua;

...

修改ngx_lua_waf配置

# cd /usr/local/openresty/nginx/conf/waf/     # ngx_lua_waf目录

# vim config.lua

...

RulePath = "/usr/local/openresty/nginx/conf/waf/wafconf/"    # 规则文件路径

attacklog = "on"                                             # 启用日志

logdir = "/usr/local/openresty/nginx/logs/hack/"             # 日志目录

...

创建日志目录

# mkdir -p /usr/local/openresty/nginx/logs/hack/

# chown -R nobody:nobody  /usr/local/openresty/nginx/logs/hack/

测试openresty配置是否正常：

# /usr/local/openresty/bin/openresty               # 如果没有启动服务，则启动

# /usr/local/openresty/bin/openresty -s reload     # 如果已经启动，则重载配置

# /usr/local/openresty/bin/openresty -t            # 测试配置是否正常

nginx: the configuration file /usr/local/openresty/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /usr/local/openresty/nginx/conf/nginx.conf test is successful

WAF测试

直接访问站点（此处为虚拟机的ip地址），应该能看到Openresty的欢迎页。

攻击测试

尝试目录遍历攻击，即使用../，跳转目录读取文件。

访问：http://192.168.139.139//test.php?id=../etc/passwd

提示，检测到攻击行为，请求被拦截，说明可以正常工作。

ngx_lua_waf配置文件说明

配置文件路径：/usr/local/openresty/nginx/conf/waf/config.lua

RulePath = "/usr/local/openresty/nginx/ngx_lua_waf/wafconf/"   ##指定相应位置

attacklog = "on"                            ##开启日志

logdir = "/usr/local/openresty/nginx/logs/hack/"           ##日志存放位置

UrlDeny="on"                              ##是否开启URL防护

Redirect="on"                             ##地址重定向

CookieMatch="on"                           ##cookie拦截

postMatch="on"                            ##post拦截

whiteModule="on"                           ##白名单

black_fileExt={"php","jsp"}

ipWhitelist={"127.0.0.1"}                    ##白名单IP

ipBlocklist={"1.0.0.1"}                     ##黑名单IP

CCDeny="on"                             ##开启CC防护

CCrate="100/60"                          ##60秒内允许同一个IP访问100次

参考

　　centos下安装openresty+ngx_lua_waf防火墙部署

　　https://github.com/loveshell/ngx_lua_waf

　　https://blog.51cto.com/tar0cissp/1980249

注：参考链接中都有几个小问题，写的不够清晰。

OpenResty + ngx_lua_waf使用的更多相关文章

openresty+lua劫持请求，有点意思
0x01 起因几天前学弟给我介绍他用nginx搭建的反代,代理了谷歌和维基百科. 由此我想到了一些邪恶的东西:反代既然是所有流量走我的服务器,那我是不是能够在中途做些手脚,达到一些有趣的目的. op ...
OpenResty安装使用教程（CentOS 6）
一.安装OpenResty Linux官方建议直接通过官方提供的预编译包安装:http://openresty.org/cn/linux-packages.html # 确保yum周边工具已经安装 y ...
nginx安装ngx_lua_waf防护
ngx_lua_waf基于ngx_lua的web应用防火墙,使用起来简单,高性能和轻量级. ♦防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击♦防止svn/备份之类 ...
ngx_lua_waf
Web应用防护系统Web Application Firewall,简称WAF.针对HTTP/HTTPS的安全策略专门为Web应用提供保护的产品. OpenResty是一个基于 Nginx 与 Lua ...
Bypass ngx_lua_waf SQL注入防御（多姿势）
0x00 前言 ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能.轻量级.默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则: select.+ ...
打破基于OpenResty的WEB安全防护（CVE-2018-9230）
原文首发于安全客,原文链接:https://www.anquanke.com/post/id/103771 0x00 前言 OpenResty® 是一个基于 Nginx 与 Lua 的高性能 We ...
Openresty增加waf配置
Openresty增加waf配置 1. Ngx lua waf 说明防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击防止svn/备份之类文件泄漏防止Apach ...
openresty+lua在反向代理服务中的玩法
openresty+lua在反向代理服务中的玩法 phith0n · 2015/06/02 10:35 0x01 起因几天前学弟给我介绍他用nginx搭建的反代,代理了谷歌和维基百科. 由此我想到了 ...
23. Bypass ngx_lua_waf SQL注入防御（多姿势）
0x00 前言 ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能.轻量级.默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则: select.+(f ...

随机推荐

Windows中安装Linux子系统的详细步骤
早就听说Windows中可以安装Linux子系统,体验了一下,感觉还是不错的,下面直接开始安装和配置步骤吧! 开启Windows中的配置首先开启开发者模式打开"所有设置"进入& ...
AVLtree（C++实现）有统一的旋转操作
在学习完AVLtree之后,我发现,左旋,右旋均可以采用统一的旋转方式来实现,所以把代码贴在下面代码是完整的AVLTree实现 C++标准为C++11 在ubuntu 18.04下通过编译和调试 / ...
Python3基础之正则表达式
正则表达式在线测试工具 http://tool.chinaz.com/regex/ 同一个位置上可以出现的字符的范围. 字符组 : [字符组] 在同一个位置可能出现的各种字符组成了一个字符组,在正则 ...
深入Java类加载全流程，值得你收藏
先测试一番,全对的就走人 //题目一 class Parent1{ public static String parent1 = "hello parent1"; static { ...
linux之samba使用
工作中,很多时候,我导出文件,或者上传文件的时候经常失败,报samba fail,但我并不知道samba是干什么用的,也老是听同事说什么samba没有挂载,但我基本上不知道什么是samba,更不要说什 ...
Jenkins | 搭建你第一个Jenkins应用
搭建你第一个Jenkins应用 1.准备工作第一次使用 Jenkins,您需要: 机器要求: 256 MB 内存,建议大于 512 MB 10 GB 的硬盘空间(用于 Jenkins 和 Docke ...
java代码之美（14）---Java8 函数式接口
Java8 函数式接口之前写了有关JDK8的Lambda表达式:java代码之美(1)---Java8 Lambda 函数式接口可以理解就是为Lambda服务的,它们组合在一起可以让你的代码看去更加 ...
物流跟踪API-快递单订阅
上一篇文章我们讲解了轨迹查询的接口,通过快递鸟接口可以实现实时查询物流轨迹,这次给大家推荐订阅服务功能. 为了更好的理解订阅服务,我们来做个对比, 即时查询是主动查询物流轨迹,需要我们主动调用接口才能 ...
计算机原理基础：DNS
DNS服务的作用将域名解析成IP地址端口号:53 域名服务器根域名服务器所有的根域名服务器都知道所有的顶级域名服务器的域名和IP地址. 不管是哪一个本地域名服务器,若要对因特网上任何一个域名进 ...
context.startActivity(Intent intent)方法启动activity
在一个Activity环境中用该方法启动一个一个activity不会出任何问题,但在activity之外的其他组件中使用该方法就会出现以下错误: Calling startActivity() fro ...

OpenResty + ngx_lua_waf使用