Ubuntu16.04でNAXSIを使用してNginxを保護する方法
著者は、 Write for DOnations プログラムの一環として、 OWASPFoundationを選択して寄付を受け取りました。
序章
Nginxは、安定性、シンプルな構成、質素なリソース要件で知られる、人気のあるオープンソースのHTTPサーバーおよびリバースプロキシです。 NAXSIなどのモジュールを使用すると、Nginxサーバーのセキュリティを大幅に向上させることができます。 NAXSI( Nginx Anti XSS&SQLインジェクション )は、Webアプリケーションファイアウォール機能を提供する無料のサードパーティNginxモジュールです。 NAXSIは、Webアプリケーションに到達するトラフィックを分析、フィルタリング、および保護し、デフォルトでDROPファイアウォールのように機能します。つまり、特にアクセスを許可するように指示されない限り、通過するすべてのトラフィックをブロックします。
ユーザーがアクセスを操作できるシンプルさは、NAXSIを ModSecurity などの同様の機能を備えた他のWebアプリケーションファイアウォール(WAF)と区別する重要な機能です。 ModSecurityには豊富な機能セットが付属していますが、NAXSIよりも保守が困難です。 これにより、NAXSIは、WordPressなどの一般的なWebアプリケーションでうまく機能する、すぐに利用できるルールを提供する、シンプルで適応性のある選択肢になります。
このチュートリアルでは、NAXSIを使用してUbuntu16.04サーバーでNginxを保護します。 NAXSIモジュールにはデフォルトでNginxパッケージが付属していないため、NAXSIを使用してソースからNginxをコンパイルする必要があります。 このチュートリアルを終了すると、NAXSIがブロックできる攻撃の種類と、NAXSIルールを構成する方法がわかります。
前提条件
このチュートリアルを完了するには、次のものが必要です。
- Ubuntu16.04初期サーバーセットアップガイドに従ってセットアップされた1つのUbuntu16.04サーバー。これには、sudo非rootユーザーとファイアウォールが含まれます。
ステップ1—NginxとNAXSIをインストールする
ほとんどのNginxモジュールはリポジトリからは利用できず、NAXSIも例外ではありません。 このため、NAXSIを使用してソースからNginxを手動でダウンロードしてコンパイルする必要があります。
まず、次のコマンドを使用してNginxをダウンロードします。
注:このチュートリアルでは、バージョン1.14のNginxを使用しています。 より新しいバージョンを使用するには、ダウンロードページにアクセスし、前のコマンドで強調表示されたテキストを更新されたバージョン番号に置き換えます。 最新の安定バージョンを使用することをお勧めします。
- wget http://nginx.org/download/nginx-1.14.0.tar.gz
次に、Githubの安定した0.56リリースからNAXSIをダウンロードします。
注:このチュートリアルでは、NAXSIのバージョン0.56を使用します。 最新のリリースは、NAXSIGithubページで見つけることができます。 最新の安定バージョンを使用することをお勧めします。
- wget https://github.com/nbs-system/naxsi/archive/0.56.tar.gz -O naxsi
お気づきかもしれませんが、Nginxリポジトリは tar
記録。 コンパイルしてインストールできるようにするには、最初にそれを抽出する必要があります。これは、 tar
指図。
- tar -xvf nginx-1.14.0.tar.gz
上記のコマンドでは、 -x
抽出ユーティリティを指定します。 -v
ユーティリティを冗長モードで実行し、 -f
抽出するアーカイブファイルの名前を示します。
Nginxファイルを抽出したので、次のコマンドを使用してNAXSIファイルの抽出に進むことができます。
- tar -xvf naxsi
これでフォルダができました naxsi-0.56
と nginx-1.14.0
ホームディレクトリにあります。 ダウンロードして抽出したファイルを使用して、NAXSIを使用してNginxサーバーをコンパイルできます。 あなたの中に移動します nginx-1.14.0
ディレクトリ
- cd nginx-1.14.0
ソースからNginxをコンパイルするには、Cコンパイラが必要です gcc
、Perl互換正規表現ライブラリ libpcre3-dev
、 と libssl-dev
、SSLおよびTLD暗号化プロトコルを実装します。 これらの依存関係は、 apt-get
指図。
まず、次のコマンドを実行して、パッケージの更新されたリストがあることを確認します。
- sudo apt-get update
次に、依存関係をインストールします。
- sudo apt-get install build-essential libpcre3-dev libssl-dev
すべての依存関係ができたので、ソースからNginxをコンパイルできます。 システム上のソースからコンパイルされるNginxを準備するには、次のスクリプトを実行します。これにより、 Makefile
これは、必要なすべての依存関係を見つける場所を示しています。
- ./configure \
- --conf-path=/etc/nginx/nginx.conf \
- --add-module=../naxsi-0.56/naxsi_src/ \
- --error-log-path=/var/log/nginx/error.log \
- --http-client-body-temp-path=/var/lib/nginx/body \
- --http-fastcgi-temp-path=/var/lib/nginx/fastcgi \
- --http-log-path=/var/log/nginx/access.log \
- --http-proxy-temp-path=/var/lib/nginx/proxy \
- --lock-path=/var/lock/nginx.lock \
- --pid-path=/var/run/nginx.pid \
- --user=www-data \
- --group=www-data \
- --with-http_ssl_module \
- --without-mail_pop3_module \
- --without-mail_smtp_module \
- --without-mail_imap_module \
- --without-http_uwsgi_module \
- --without-http_scgi_module \
- --prefix=/usr
上記のコマンドの各行は、NginxWebサーバーのパラメーターを定義します。 これらの中で最も重要なのは --add-module=../naxsi-0.56/naxsi_src/
NAXSIモジュールをNginxに接続するパラメータ、および --user=www-data
と --group=www-data
Nginxを、呼び出された専用ユーザー/グループのユーザーおよびグループ特権で実行するパラメーター。 www-data
これはUbuntu16.04サーバーに付属しています。 The --with-http_ssl_module
パラメータを使用すると、NginxサーバーでSSL暗号化を使用できます。 --without-mail_pop3_module
, --without-mail_smtp_module
、 と --without-mail_imap_module
パラメータは、そうでなければ自動的に含まれる不要なメールプロトコルをオフにします。 これらのパラメーターの詳細については、公式のNginxドキュメントを参照してください。
使用後 ./configure
コマンドを実行し、 make
で定義された一連のタスクを実行するコマンド Makefile
ソースコードからプログラムをビルドするために作成したばかりです。
- make
Nginxがビルドされて実行できるようになったら、 make install
スーパーユーザーとしてコマンドを実行して、ビルドされたプログラムとそのライブラリをサーバー上の正しい場所にコピーします。
- sudo make install
これが成功すると、NAXSIモジュールを備えたNginxのコンパイル済みバージョンが作成されます。 NAXSIに不要なトラフィックのブロックを開始させるには、一連の構成ファイルを作成することによってNAXSIが動作する一連のルールを確立する必要があります。
ステップ2—NAXSIの構成
ファイアウォールの機能の最も重要な部分は、サーバーからの要求をどのようにブロックするかを決定するルールです。 NAXSIにデフォルトで付属している基本的なルールのセットは、コアルールと呼ばれます。 これらのルールは、リクエストの一部でパターンを検索し、攻撃の可能性があるパターンを除外することを目的としています。 NAXSIコアルールは、署名の照合のためにサーバーにグローバルに適用されます。
これらのコアルールを使用するようにNginxを構成するには、 naxsi_core.rules
Nginx構成ディレクトリにファイルします。
- sudo cp ~/naxsi-0.56/naxsi_config/naxsi_core.rules /etc/nginx/
コアルールが確立されたので、基本的なNaxsiルールを追加します。これにより、場所ごとにコアルールが有効化および実装され、URLリクエストがコアルールを満たさない場合にサーバーが実行するアクションが割り当てられます。 というファイルを作成します naxsi.rules
中 /etc/nginx/
ディレクトリ。 これを行うには、次のコマンドを使用してnanoというテキストエディタでファイルを開くか、選択したテキストエディタを使用します。
- sudo nano /etc/nginx/naxsi.rules
いくつかの基本的なファイアウォールルールを定義する次のコードブロックを追加します。
SecRulesEnabled;
DeniedUrl "/error.html";
## Check for all the rules
CheckRule "$SQL >= 8" BLOCK;
CheckRule "$RFI >= 8" BLOCK;
CheckRule "$TRAVERSAL >= 4" BLOCK;
CheckRule "$EVADE >= 4" BLOCK;
CheckRule "$XSS >= 8" BLOCK;
上記のコードは、 DeniedUrl
、これは URL
NAXSIは、リクエストがブロックされたときにリダイレクトします。 このファイルは、SQLインジェクション、クロスサイトスクリプティング(XSS)、リモートファイルインクルード(RFI)など、NAXSIがブロックする必要のあるさまざまな種類の攻撃のチェックリストも有効にします。 上記のコードをファイルに追加したら、テキストエディタを保存して終了します。
ブロックされたリクエストをにリダイレクトしたので /error.html
、これで作成できます error.html
内部のファイル /usr/html
この宛先にランディングページを提供するディレクトリ。 テキストエディタでファイルを開きます。
- sudo nano /usr/html/error.html
次に、次のHTMLコードをファイルに追加して、リクエストがブロックされたことをユーザーに通知するWebページを作成します。
<html>
<head>
<title>Blocked By NAXSI</title>
</head>
<body>
<div style="text-align: center">
<h1>Malicious Request</h1>
<hr>
<p>This Request Has Been Blocked By NAXSI.</p>
</div>
</body>
</html>
ファイルを保存して、エディターを終了します。
次に、Nginx構成ファイルを開きます /etc/nginx/nginx.conf
テキストエディタで。
- sudo nano /etc/nginx/nginx.conf
NAXSI構成ファイルをNginxの構成に追加して、WebサーバーがNAXSIの使用方法を認識できるようにするには、強調表示されたコード行を http
のセクション nginx.conf
ファイル:
. . .
http {
include mime.types;
include /etc/nginx/naxsi_core.rules;
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
default_type application/octet-stream;
. . .
その後、 server
同じファイルのセクションに、次の強調表示された行を追加します。
. . .
server {
listen 80;
server_name localhost;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
include /etc/nginx/naxsi.rules;
root html;
index index.html index.htm;
}
. . .
NaxSIのコアルールと基本ルールを使用してNginxを構成したので、Webサーバーを起動すると、ファイアウォールは一致する悪意のある要求をブロックします。 次に、サーバーを再起動したときにNginxが確実に起動するように起動スクリプトを記述できます。
ステップ3—Nginxのスタートアップスクリプトを作成する
Nginxを手動でインストールしたので、次のステップは、システムのリロード時にWebサーバーを自動起動する起動スクリプトを作成することです。
このチュートリアルでは、Systemdソフトウェアスイートを使用してスクリプトを作成します。 これを行うには、Unitファイルを作成して( Systemdユニットとユニットファイルについてを参照)、SystemdがNginxサービスを開始および管理する方法を構成します。
と呼ばれるファイルを作成します nginx.service
テキストエディタで開きます。
- sudo nano /lib/systemd/system/nginx.service
次の行をファイルに追加します。
[Unit]
Description=The NGINX HTTP and reverse proxy server
After=syslog.target network.target remote-fs.target nss-lookup.target
[Service]
Type=forking
PIDFile=/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t
ExecStart=/usr/sbin/nginx
ExecReload=/usr/sbin/nginx -s reload
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true
[Install]
WantedBy=multi-user.target
The [Unit]
セクションは、構成しているプログラムを定義します。 [Service]
起動時にNginxがどのように動作するかを説明します。 [Install]
ユニットの取り付けに関する情報を提供します。 これらの行をに追加したら nginx.service
ファイル、 systemd
Nginxを起動する方法を知っています。
次に、Nginxには、サーバーに十分なメモリがない場合に処理する前に、受信リクエストデータを一時的に保存するフォルダーが必要です。 ソースからNginxをインストールしたので、Nginxがこのデータを保存するために使用できるディレクトリを作成する必要があります。 と呼ばれるディレクトリを作成します body
中身 /var/lib/nginx
:
- sudo mkdir -p /var/lib/nginx/body
起動スクリプトを設定すると、Nginxサーバーを起動できるようになります。
次のコマンドを使用してサーバーを起動します。
- sudo systemctl start nginx
サーバーがアクティブであることを確認するには、次のコマンドを実行します。
- sudo systemctl status nginx
サーバーが正常に起動したことを示す次の出力が端末に表示されます。
Output● nginx.service - The NGINX HTTP and reverse proxy server
Loaded: loaded (/lib/systemd/system/nginx.service; disabled; vendor preset: enabled)
Active: active (running) since Mon 2018-11-05 13:59:40 UTC; 1s ago
Process: 16199 ExecStart=/usr/sbin/nginx (code=exited, status=0/SUCCESS)
Process: 16194 ExecStartPre=/usr/sbin/nginx -t (code=exited, status=0/SUCCESS)
Main PID: 16201 (nginx)
Tasks: 2
Memory: 1.3M
CPU: 17ms
CGroup: /system.slice/nginx.service
├─16201 nginx: master process /usr/sbin/ngin
└─16202 nginx: worker proces
. . .
これで、NAXSIによって保護された実行中のNginxサーバーができました。 次のステップは、シミュレートされたXSSおよびSQLインジェクション攻撃を実行して、NAXSIがサーバーを効果的に保護していることを確認することです。
ステップ4—NAXSIのテスト
NixSIモジュールが有効になっている状態でNginxが稼働していることをテストするには、悪意のあるHTTPリクエストでサーバーを攻撃し、レスポンスを分析してみます。
まず、サーバーのパブリックIPをコピーして、 curl
悪意のあるリクエストをNginxサーバーに送信するコマンド。
- curl 'http://your_server_ip/?q="><script>alert(0)</script>'
このURLにはXSSスクリプトが含まれています "><script>alert(0)</script>
の中に q
パラメータであり、サーバーによって拒否される必要があります。 以前に設定したNAXSIルールに従って、にリダイレクトされます error.html
ファイルを作成し、次の応答を受け取ります。
Output<html>
<head>
<title>Blocked By NAXSI</title>
</head>
<body>
<div style="text-align: center">
<h1>Malicious Request</h1>
<hr>
<p>This Request Has Been Blocked By NAXSI.</p>
</div>
</body>
</html>
NAXSIファイアウォールがリクエストをブロックしました。
次に、次のコマンドを使用してNginxサーバーログを調整することにより、Nginxログを使用して同じことを確認します。
- tail -f /var/log/nginx/error.log
ログには、リモートIPアドレスからのXSS要求がNAXSIによってブロックされていることがわかります。
Output2018/11/07 17:05:05 [error] 21356#0: *1 NAXSI_FMT: ip=your_server_ip&server=your_server_ip&uri=/&learning=0&vers=0.56&total_processed=1&total_blocked=1&block=1&cscore0=$SQL&score0=8&cscore1=$XSS&score1=8&zone0=ARGS&id0=1001&var_name0=q, client: your_server_ip, server: localhost, request: "GET /?q="><script>alert(0)</script> HTTP/1.1", host: "your_server_ip"
プレス CTRL-C
出る tail
エラーログファイルの出力を停止します。
次に、別のURLリクエストを試してください。今回は、悪意のあるSQLインジェクションクエリを使用します。
- curl 'http://your_server_ip/?q=1" or "1"="1"'
The or "1"="1"
上記のURLの一部は、データベース内のユーザーのデータを公開する可能性があり、NAXSIによってブロックされます。 ターミナルで同じ応答を生成する必要があります。
Output<html>
<head>
<title>Blocked By NAXSI</title>
</head>
<body>
<div style="text-align: center">
<h1>Malicious Request</h1>
<hr>
<p>This Request Has Been Blocked By NAXSI.</p>
</div>
</body>
</html>
今すぐ使用 tail
サーバーログを再度追跡するには:
- tail -f /var/log/nginx/error.log
ログファイルには、SQLインジェクションの試行でブロックされたエントリが表示されます。
Output2018/11/07 17:08:01 [error] 21356#0: *2 NAXSI_FMT: ip=your_server_ip&server=your_server_ip&uri=/&learning=0&vers=0.56&total_processed=2&total_blocked=2&block=1&cscore0=$SQL&score0=40&cscore1=$XSS&score1=40&zone0=ARGS&id0=1001&var_name0=q, client: your_server_ip, server: localhost, request: "GET /?q=1" or "1"="1" HTTP/1.1", host: "your_server_ip"
プレス CTRL-C
ログを終了します。
NAXSIは、XSSおよびSQLインジェクション攻撃を正常にブロックしました。これは、NAXSIが正しく構成されており、NginxWebサーバーが安全であることを証明しています。
結論
これで、NAXSIを使用してWebサーバーを悪意のある攻撃から保護する方法の基本を理解できました。 Nginxの設定の詳細については、 Ubuntu 16.04 でNginxサーバーブロック(仮想ホスト)を設定する方法を参照してください。 Webサーバーのセキュリティについて引き続き調査する場合は、 Ubuntu16.04でLet’sEncryptを使用してNginxを保護する方法および