我正试图将Nginx和ModSecurity一起构建,以便使用OWASP-核心规则集项目。
根据modsecurity下载页面,最新版本的modsecurity(2.9.1)目前与nginx一起使用时并不稳定。这与我的经验一致(在Nginx1.8.x或1.9.x上都无法正常工作)。我也尝试过ModSecurity的nginx_refactoring分支,但它也不起作用,而且已经近两年没有提交了。
我知道有一个新版本的modsecurity即将推出(libmodsecurity),但它还没有准备好。
是否有ModSecurity和已知可用的Nginx支持版本的组合?
现在正在工作,基本上您需要:
- 编译ModSecurity Branch v3/master(必需,因为您需要公共核心libmodsecurity)
- 编译ModSecurity nginx连接器
- 使用添加模块ModSecurity编译nginx nginx
- 克隆并配置OWASP规则集,并将其配置为Nginx
这将工作
https://www.howtoforge.com/tutorial/nginx-with-libmodsecurity-and-owasp-modsecurity-core-rule-set-on-ubuntu-1604/