Nginx ist ein beliebter Open-Source-HTTP-Server und Reverse-Proxy, der für seine Stabilität, einfache Konfiguration und sparsamen Ressourcenanforderungen bekannt ist. Sie können die Sicherheit Ihres Nginx-Servers erheblich erhöhen, indem Sie ein Modul wie NAXSI verwenden. NAXSI (Nginx Anti XSS & SQL Injection) ist ein kostenloses Nginx-Modul eines Drittanbieters, das Firewall-Funktionen für Webanwendungen bietet. NAXSI analysiert, filtert und sichert den Datenverkehr, der zu Ihrer Webanwendung gelangt, und verhält sich wie eine DROP-Standard-Firewall. Dies bedeutet, dass der gesamte Datenverkehr blockiert wird, sofern nicht ausdrücklich angewiesen wird, den Zugriff zuzulassen.

Die Einfachheit, mit der ein Benutzer den Zugriff manipulieren kann, ist eine wichtige Funktion, die NAXSI von anderen Webanwendungsfirewalls (WAF) mit ähnlichen Funktionen wieModSecurityunterscheidet. ModSecurity verfügt zwar über umfangreiche Funktionen, ist jedoch schwieriger zu warten als NAXSI. Dies macht NAXSI zu einer einfachen und anpassbaren Wahl, die leicht verfügbare Regeln bietet, die gut mit gängigen Webanwendungen wie WordPress zusammenarbeiten.

In diesem Tutorial verwenden Sie NAXSI, um Nginx auf Ihrem Ubuntu 16.04-Server zu sichern. Da das NAXSI-Modul standardmäßig nicht mit dem Nginx-Paket geliefert wird, müssen Sie Nginx aus dem Quellcode mit NAXSI kompilieren. Am Ende dieses Tutorials erfahren Sie, welche Arten von Angriffen NAXSI blockieren kann und wie Sie NAXSI-Regeln konfigurieren.

Um dieses Tutorial abzuschließen, benötigen Sie:

[[Schritt 1 - Installation von Nginx und Naxsi]] == Schritt 1 - Installation von Nginx und NAXSI

Die meisten Nginx-Module sind nicht über Repositorys verfügbar, und NAXSI ist keine Ausnahme. Aus diesem Grund müssen Sie Nginx manuell aus dem Quellcode mit NAXSI herunterladen und kompilieren.

Laden Sie zunächst Nginx mit dem folgenden Befehl herunter.

[.note] #Note: Dieses Tutorial verwendet Version 1.14 von Nginx. Um eine neuere Version zu verwenden, können Siethe download page besuchen und den markierten Text im vorhergehenden Befehl durch eine aktualisierte Versionsnummer ersetzen. Es wird empfohlen, die neueste stabile Version zu verwenden.
#

Laden Sie anschließend NAXSI von der stabilen Version 0.56 auf Github herunter.

[.note] #Note: Dieses Tutorial verwendet Version 0.56 von NAXSI. Neuere Versionen finden Sie unterNAXSI Github page. Es wird empfohlen, die neueste stabile Version zu verwenden.
#

Wie Sie vielleicht bemerkt haben, ist das Nginx-Repository eintar-Archiv. Sie müssen es zuerst extrahieren, um es kompilieren und installieren zu können. Dies können Sie mit dem Befehltar tun.

Im vorhergehenden Befehl gibt-x das Dienstprogramm zum Extrahieren an,-v führt das Dienstprogramm im ausführlichen Modus aus und-f gibt den Namen der zu extrahierenden Archivdatei an.

Nachdem Sie die Nginx-Dateien extrahiert haben, können Sie mit dem folgenden Befehl fortfahren, um die NAXSI-Dateien zu extrahieren:

Sie haben jetzt die Ordnernaxsi-0.56 undnginx-1.14.0 in Ihrem Home-Verzeichnis. Mit den Dateien, die Sie gerade heruntergeladen und extrahiert haben, können Sie den Nginx-Server mit NAXSI kompilieren. Wechseln Sie in das Verzeichnis vonnginx-1.14.0

Um Nginx aus dem Quellcode zu kompilieren, benötigen Sie den C-Compilergcc, die Perl Compatible Regular Expressions-Bibliotheklibpcre3-dev undlibssl-dev, die die kryptografischen SSL- und TLD-Protokolle implementieren. Diese Abhängigkeiten können mit dem Befehlapt-gethinzugefügt werden.

Führen Sie zunächst den folgenden Befehl aus, um sicherzustellen, dass Sie eine aktualisierte Liste der Pakete haben.

Dann installieren Sie die Abhängigkeiten:

Jetzt, da Sie alle Abhängigkeiten haben, können Sie Nginx aus dem Quellcode kompilieren. Führen Sie das folgende Skript aus, um Nginx für die Kompilierung aus dem Quellcode auf Ihrem System vorzubereiten. Dabei werden dieMakefile erstellt, die zeigen, wo alle erforderlichen Abhängigkeiten zu finden sind.

Jede Zeile des vorhergehenden Befehls definiert einen Parameter für den Nginx-Webserver. Die wichtigsten davon sind der Parameter--add-module=../naxsi-0.56/naxsi_src/, der das NAXSI-Modul mit Nginx verbindet, und die Parameter--user=www-data und--group=www-data, mit denen Nginx mit den Benutzer- und Gruppenberechtigungen eines dedizierten Benutzers ausgeführt wird Benutzer / Gruppe namenswww-data, die mit Ihrem Ubuntu 16.04-Server geliefert wird. Mit dem Parameter--with-http_ssl_module kann der Nginx-Server die SSL-Kryptografie verwenden, und mit den Parametern--without-mail_pop3_module,--without-mail_smtp_module und--without-mail_imap_module werden die nicht benötigten E-Mail-Protokolle deaktiviert, die andernfalls automatisch eingeschlossen würden. Weitere Erläuterungen zu diesen Parametern finden Sie inofficial Nginx docs.

Führen Sie nach Verwendung des Befehls./configure den Befehlmake aus, um eine Reihe von Aufgaben auszuführen, die in denMakefile definiert sind, die Sie gerade erstellt haben, um das Programm aus dem Quellcode zu erstellen.

Wenn Nginx erstellt und zur Ausführung bereit ist, verwenden Sie den Befehlmake install als Superuser, um das erstellte Programm und seine Bibliotheken an den richtigen Speicherort auf Ihrem Server zu kopieren.

Sobald dies erfolgreich ist, verfügen Sie über eine kompilierte Version von Nginx mit dem NAXSI-Modul. Damit NAXSI unerwünschten Datenverkehr blockiert, müssen Sie nun eine Reihe von Regeln festlegen, nach denen NAXSI eine Reihe von Konfigurationsdateien erstellt.

[[Schritt-2 - Konfigurieren von Naxsi]] == Schritt 2 - Konfigurieren von NAXSI

Der wichtigste Teil der Funktionsweise einer Firewall sind die Regeln, die festlegen, wie Anforderungen vom Server blockiert werden. Die grundlegenden Regeln, die standardmäßig mit NAXSI geliefert werden, heißencore rules. Diese Regeln dienen dazu, in Teilen einer Anfrage nach Mustern zu suchen und diejenigen herauszufiltern, die möglicherweise Angriffe darstellen. NAXSI-Kernregeln werden für den Signaturabgleich global auf den Server angewendet.

Um Nginx für die Verwendung dieser Kernregeln zu konfigurieren, kopieren Sie die Dateinaxsi_core.rulesin das Nginx-Konfigurationsverzeichnis.

Nachdem Sie die Kernregeln festgelegt haben, fügen Sie die grundlegenden Naxsi-Regeln hinzu, mit denen die Kernregeln auf Standortbasis aktiviert und implementiert werden, und weisen Sie dem Server Aktionen zu, die ausgeführt werden sollen, wenn eine URL-Anforderung die Kernregeln nicht erfüllt. Erstellen Sie eine Datei mit dem Namennaxsi.rules im Verzeichnis/etc/nginx/. Verwenden Sie dazu den folgenden Befehl, um die Datei im Texteditor mit dem Namen nano zu öffnen, oder verwenden Sie den Texteditor Ihrer Wahl.

Fügen Sie den folgenden Codeblock hinzu, der einige grundlegende Firewallregeln definiert.

/etc/nginx/naxsi.rules

Der vorhergehende Code definiert dieDeniedUrl, dh dieURL, zu denen NAXSI umleitet, wenn eine Anforderung blockiert wird. Die Datei enthält auch eine Checkliste mit verschiedenen Arten von Angriffen, die NAXSI abwehren sollte, einschließlich SQL-Injection, Cross-Site Scripting (XSS) und Remote File Inclusion (RFI). Speichern Sie den Texteditor, und beenden Sie ihn, nachdem Sie der Datei den vorhergehenden Code hinzugefügt haben.

Da Sie blockierte Anforderungen an/error.html umgeleitet haben, können Sie jetzt eineerror.html-Datei im Verzeichnis/usr/htmlerstellen, um diesem Ziel eine Zielseite bereitzustellen. Öffnen Sie die Datei in Ihrem Texteditor:

Fügen Sie anschließend der Datei den folgenden HTML-Code hinzu, um eine Webseite zu erstellen, die den Benutzer darüber informiert, dass seine Anforderung blockiert wurde:

/usr/html/error.html

Speichern Sie die Datei und beenden Sie den Editor.

Öffnen Sie als Nächstes die Nginx-Konfigurationsdatei/etc/nginx/nginx.conf in Ihrem Texteditor.

Fügen Sie die hervorgehobenen Codezeilen in den Abschnitthttpder Dateinginx.confein, um die NAXSI-Konfigurationsdateien zur Konfiguration von Nginx hinzuzufügen, damit der Webserver weiß, wie NAXSI verwendet wird:

/etc/nginx/nginx.conf

Fügen Sie dann im Abschnittserver derselben Datei die folgende hervorgehobene Zeile hinzu:

/etc/nginx/nginx.conf

Nachdem Sie Nginx mit den Kern- und Grundregeln für NAXSI konfiguriert haben, blockiert die Firewall beim Starten des Webservers die entsprechenden böswilligen Anforderungen. Als Nächstes können Sie ein Startskript schreiben, um sicherzustellen, dass Nginx beim Neustart des Servers gestartet wird.

[[Schritt-3 - Erstellen des Startskripts für Nginx]] == Schritt 3 - Erstellen des Startskripts für Nginx

Da Sie Nginx manuell installiert haben, müssen Sie im nächsten Schritt ein Startskript erstellen, damit der Webserver beim erneuten Laden des Systems automatisch gestartet wird.

In diesem Tutorial wird das Skript mit der Systemd-Software erstellt. Zu diesem Zweck erstellen Sie eine Unit-Datei (weitere Informationen finden Sie unterUnderstanding Systemd Units and Unit Files), um zu konfigurieren, wie Systemd den Nginx-Dienst starten und verwalten soll.

Erstellen Sie eine Datei mit dem Namennginx.service und öffnen Sie sie in Ihrem Texteditor:

Fügen Sie der Datei die folgenden Zeilen hinzu:

/lib/systemd/system/nginx.service

Der Abschnitt[Unit] definiert das Programm, das Sie konfigurieren,[Service] beschreibt, wie sich Nginx beim Start verhalten soll, und[Install] enthält Informationen zur Geräteinstallation. Sobald Sie diese Zeilen zur Dateinginx.servicehinzugefügt haben, weißsystemd, wie Nginx gestartet wird.

Als Nächstes benötigt Nginx einen Ordner, in dem eingehende Anforderungsdaten vor der Verarbeitung zwischengespeichert werden, falls Ihr Server nicht über genügend Arbeitsspeicher verfügt. Da Sie Nginx von der Quelle installiert haben, müssen Sie ein Verzeichnis erstellen, in dem Nginx diese Daten speichern kann. Erstellen Sie ein Verzeichnis mit dem Namenbody in/var/lib/nginx:

Wenn das Startskript eingerichtet ist, können Sie den Nginx-Server jetzt starten.

Verwenden Sie den folgenden Befehl, um den Server zu starten.

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Ihr Server aktiv ist:

In Ihrem Terminal wird die folgende Ausgabe angezeigt, die besagt, dass der Server erfolgreich gestartet wurde:

Sie haben jetzt einen laufenden Nginx-Server, der durch NAXSI gesichert ist. Im nächsten Schritt führen Sie einen simulierten XSS- und SQL-Injection-Angriff durch, um sicherzustellen, dass NAXSI Ihren Server effektiv schützt.

[[Schritt 4 - Testen von Naxsi]] == Schritt 4 - Testen von NAXSI

Um zu testen, ob Nginx mit aktiviertem NAXSI-Modul funktioniert, versuchen Sie, böswillige HTTP-Anforderungen an den Server zu senden und die Antworten zu analysieren.

Kopieren Sie zunächst die öffentliche IP Ihres Servers und verwenden Sie den Befehlcurl, um böswillige Anforderungen an den Nginx-Server zu richten.

Diese URL enthält das XSS-Skript"><script>alert(0)</script> im Parameterq und sollte vom Server abgelehnt werden. Gemäß den zuvor eingerichteten NAXSI-Regeln werden Sie zur Dateierror.htmlumgeleitet und erhalten die folgende Antwort:

Die NAXSI-Firewall hat die Anforderung blockiert.

Überprüfen Sie nun dasselbe mithilfe des Nginx-Protokolls, indem Sie das Nginx-Serverprotokoll mit dem folgenden Befehl abgleichen:

Im Protokoll sehen Sie, dass die XSS-Anforderung von der Remote-IP-Adresse von NAXSI blockiert wird:

Drücken SieCTRL-C, umtail zu beenden und die Ausgabe der Fehlerprotokolldatei zu stoppen.

Versuchen Sie als Nächstes eine andere URL-Anforderung, diesmal mit einer böswilligen SQL Injection-Abfrage.

Deror "1"="1"-Teil der vorhergehenden URL kann die Daten eines Benutzers in einer Datenbank verfügbar machen und wird von NAXSI blockiert. Es sollte die gleiche Antwort im Terminal erzeugen:

Verwenden Sie nuntail, um das Serverprotokoll erneut zu verfolgen:

In der Protokolldatei sehen Sie den blockierten Eintrag für den SQL Injection-Versuch:

Drücken SieCTRL-C, um das Protokoll zu verlassen.

NAXSI hat jetzt erfolgreich einen XSS- und SQL-Injection-Angriff blockiert. Dies zeigt, dass NAXSI korrekt konfiguriert wurde und Ihr Nginx-Webserver sicher ist.

Sie haben jetzt grundlegende Kenntnisse darüber, wie Sie mit NAXSI Ihren Webserver vor böswilligen Angriffen schützen können. Weitere Informationen zum Einrichten von Nginx finden Sie unterHow To Set Up Nginx Server Blocks (Virtual Hosts) on Ubuntu 16.04. Wenn Sie die Sicherheit auf Webservern weiter untersuchen möchten, lesen SieHow To Secure Nginx with Let’s Encrypt on Ubuntu 16.04 undHow To Create a Self-Signed SSL Certificate for Nginx in Ubuntu 16.04.