云主机安全——nginx_lua_waf

沐风

这边需要注意的是路径写错了会报 lua 的错误 nginx 500

1.安装 openresty

docker run -d -p 80:80 -p 443:443 --restart=always -v /data/prod/openresty/conf.d:/etc/nginx/conf.d -v /data/prod/openresty/html:/usr/share/nginx/html -v /data/prod/openresty/logs:/var/log/nginx -v /data/prod/openresty/nginx.conf:/usr/local/openresty/nginx/conf/nginx.conf:ro --name=nginx openresty/openresty:centos

2.https 证书

acme.sh --issue --dns dns_ali -d .xuuo.com --installcert --key-file /data/prod/openresty/conf.d/.xuuo.com.key --fullchain-file /data/prod/openresty/conf.d/*.xuuo.com.pem--reloadcmd "docker restart nginx"

/root/.acme.sh/acme.sh --issue -d *.xuuo.com --dns dns_ali --force

3.nginx 加上 wtf 安全过滤

此处的路径以实际路径为准，容器部署的以容器具体路径为准

1.安装并配置 WAF：

#git clone https://github.com/unixhot/waf.git

#cp -a ./waf/waf /usr/local/openresty/nginx/conf/

修改 Nginx 的配置文件，在 HTTP 字段加入以下配置。注意路径，同时 WAF 日志默认存放在/tmp/日期_waf.log

vim /usr/local/openresty/nginx/conf/nginx.conf

#WAF

lua_shared_dict limit 50m;

lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua";

init_by_lua_file "/usr/local/openresty/nginx/conf/waf/init.lua";

access_by_lua_file "/usr/local/openresty/nginx/conf/waf/access.lua";

[root@openstack-compute-node5 ~]# /usr/local/openresty/nginx/sbin/nginx –t

[root@openstack-compute-node5 ~]# /usr/local/openresty/nginx/sbin/nginx

2.WAF 配置文件：

vim /usr/local/openresty/nginx/conf/waf/config.lua

--waf 是否开启

config_waf_enable = "on"

--日杂文件目录

config_log_dir = "/tmp"

--配置文件目录

config_rule_dir = "/usr/local/openresty/nginx/conf/waf/rule-config"

--是否开启白名单链接

config_white_url_check = "on"

--enable/disable 白名单 IP

config_white_ip_check = "on"

--enable/disable 黑名单 IP

config_black_ip_check = "on"

--enable/disable URL 检测

config_url_check = "on"

--enalbe/disable url 参数检查

config_url_args_check = "on"

--enable/disable user agent filtering

config_user_agent_check = "on"

--enable/disable cookie deny filtering

config_cookie_check = "on"

--enable/disable cc 检测

config_cc_check = "on"

--CC 检测限制 60 秒内同一 URL 只能访问 10 次

config_cc_rate = "10/60"

--enable/disable post 检测（这个功能作者没完成）

config_post_check = "on"

--config waf output redirect/html

config_waf_output = "html"

3.验证：

http://21.21.34.5/select * from #访问会出现安全检测页面

ab -n100 -c1 http://172.16.1.211/ #模仿 CC 攻击

测试

成功拦截

PowerBI 报表服务器求助

我在安装 powerBI 报表服务器，想用内网穿透远程访问。现在安装好了，本地可以访问，并且局域网内其他电脑可以访问，但就是内网穿透无法成功。已经把内网穿透的域名加到了 UPL 列表里，并且开启了相应端口的出站规则。现象是浏览器能显示输入账号密码的弹窗，但是输入后就进不去网页，显示 400 错误。换了几个内网穿 ..

小小白装机指北

问题家里有多媒体服务器和搭建网盘的需求，需要一台主机 24h 开机当服务器，顺便打打游戏，服役 4 年的轻薄办公本对于游戏来说还是力不从心了。在好友那里得知不需花太多钱也可以组一台全新像样主机，于是一名机圈小白以预算 2000 磨拳擦掌，开始了他的组机之路...... 配置话不多说，先上配置组件型号价钱功耗 ..

盘点一下这一年 (22.06 - 23.06) 的“成就”吧

注，此文要同步到 Life Plan （log 部分）搭建了一系列的服务：群晖服务器 & 及内置 Docker （容器作用，安装各种服务） Guacamole - 可以利用浏览器远程桌面，实现了当年（2020 年？）的愿望 Photoprism - 可以刘永浏览器相片，而且能聚合和管理照片，也是实现了当年（ ..

2023 又一次服务器黑入记录

最近在逛博客时，无意中发现有个博客有一个可以在线执行 Java 代码的功能，这无疑可能是个非常大的安全隐患,之前有写过一篇文章，一样的方法，一样的过程 JavaRun 1. 试探性查看环境和权限 import java.util.*; class Main { public static void main(Strin ..

服务器数据被黑客清空

[图片] 前言 [图片] [图片] [图片] 这种情况我们使用 binlog 也是无法恢复的，因为 binlog 我们正常的是 row 模式，都是一些更新操作，我试了好久也没能修改回来，但是记录一下吧。 binlog 的一些命令 mysql binlog 二进制文件转换为 sql 文件 mysqlbinlog --ba ..

粉色的 SSH 工具你见过吗？

去年因为版权问题，公司勒令不许使用 xshell。正版的价格让刚毕业没多久的小弟望而生畏，于是马不停蹄请教了度娘，搜索免费 ssh 工具，出来一大堆推荐。putty、mobaxterm（很好用，但商业环境下是不能免费用的）、finalshell 或者干脆 win10 现在自带的 openssh，还有一些 githu ..

欢迎来到这里！

我们正在构建一个小众社区，大家在这里相互信任，以平等 • 自由 • 奔放的价值观进行分享交流。最终，希望大家能够找到与自己志同道合的伙伴，共同成长。

关于