Setelah server Anda up-to-date, restart untuk meminimalisir terjadinya kesalahan pada sistem.<\/p>\n
Instal Repository dan Dependensi yang Diperlukan<\/h2>\n
Pertama, instal repositori EPEL<\/a> dan REMI pada sistem. Anda dapat menginstalnya dengan perintah berikut:<\/p>\n Langkah berikutnya instal semua dependensi yang diperlukan dengan perintah berikut:<\/p>\n Setelah semua paket diinstal, Anda dapat menginstal dependensi lain menggunakan repositori PowerTool:<\/p>\n Instal GeoIP menggunakan repositori REMI dengan menjalankan perintah berikut:<\/p>\n Setelah semua paket diinstal, Anda dapat melanjutkan ke langkah berikutnya.<\/p>\n Pertama, Anda harus download source LibModsecurity dan mengompilasinya di sistem Anda. Untuk melakukannya, masuk ke direktori<\/a> Masuk ke direktori Konfigurasikan LibModsecurity menggunakan perintah berikut:<\/p>\n Terakhir, compile dan instal LibModSecurity dengan perintah berikut:<\/p>\n Pada titik ini, LibModsecurity telah diinstal pada sistem. Anda sekarang dapat melanjutkan untuk menginstal Nginx<\/a> dengan dukungan LibModsecurity.<\/p>\n Pertama, Anda harus membuat user sistem<\/a> dan grup untuk Nginx. Anda dapat membuatnya dengan perintah berikut:<\/p>\n Selanjutnya, Anda perlu download Nginx dan mengompilasinya dengan dukungan LibModsecurity.<\/p>\n Untuk melakukannya, pertama download konektor ModSecurity-nginx dari repositori Git dengan perintah berikut:<\/p>\n Selanjutnya, download versi terbaru dari Nginx dengan perintah berikut:<\/p>\n Setelah diunduh, ekstrak file<\/a> yang diunduh menggunakan perintah berikut:<\/p>\n Selanjutnya, masuk ke direktori Nginx dan konfigurasikan dengan perintah berikut:<\/p>\n Selanjutnya Install Nginx dengan perintah berikut :<\/p>\n Pada titik ini, Nginx telah diinstal dengan dukungan LibModsecurity. Anda sekarang dapat melanjutkan untuk mengkonfigurasi Nginx.<\/p>\n Pertama, Anda perlu menyalin file<\/a> konfigurasi sampel ModSecurity dari direktori source Nginx ke direktori konfigurasi Nginx.<\/p>\n Anda dapat menyalinnya dengan perintah berikut:<\/p>\n Selanjutnya, buat symbolic link<\/a> dari Nginx binary ke\u00a0 Selanjutnya, buat direktori<\/a> Nginx\u00a0log, direktori ini berfungsi untuk mencatat semua akses maupun error yang ada pada Nginx, untuk membuat direktori Nginx log<\/a> gunakan perintah berikut:<\/p>\n Selanjutnya, buka file konfigurasi Nginx dengan perintah berikut:<\/p>\n Buat perubahan berikut:<\/p>\n Jika Anda mempunyai banyak domain dan ingin membuat pengaturan sendiri untuk setiap domain, silahkan melihat panduan kami tentang cara membuat server block di Nginx<\/a>.<\/p>\n Simpan dan tutup file setelah Anda selesai. Kemudian, periksa Nginx untuk setiap kesalahan sintaks dengan perintah berikut:<\/p>\n Anda akan melihat output berikut:<\/p>\n Pada titik ini, Nginx telah dikonfigurasi. Anda dapat melanjutkan untuk membuat unit file systemd untuk Nginx.<\/p>\n Selanjutnya, Anda perlu membuat file systemd untuk mengelola layanan Nginx. Anda dapat membuatnya dengan perintah berikut:<\/p>\n Tambahkan baris berikut:<\/p>\n Simpan dan tutup file setelah Anda selesai. Kemudian, restart daemon systemd dengan perintah berikut:<\/p>\n Selanjutnya, mulai Nginx service dan aktifkan untuk memulai setelah sistem reboot dengan perintah berikut:<\/p>\n Anda akan melihat output berikut:<\/p>\n Selanjutnya, verifikasi layanan Nginx dengan perintah berikut:<\/p>\n Anda akan melihat output berikut:<\/p>\n Pada titik ini, Nginx sudah mulai dan berjalan. Anda sekarang dapat melanjutkan untuk mengkonfigurasi ModSecurity.<\/p>\n Secara default, ModSecurity diatur pada mode hanya deteksi. Jadi, Anda harus membuat sedikit perubahan pada aturan ModSecurity. Anda dapat melakukannya dengan mengedit file Temukan baris berikut:<\/p>\n Dan, ganti dengan baris berikut:<\/p>\n Dan, ganti dengan baris berikut:<\/p>\n Dan, ganti dengan baris berikut:<\/p>\n Simpan dan tutup file setelah Anda selesai.<\/p>\n Selanjutnya, download versi terbaru dari ModSecurity Core Rule Set dari repositori Git menggunakan perintah berikut:<\/p>\n Setelah file di download, ganti nama file konfigurasi Selanjutnya, konfigurasikan ModeSecurity untuk menggunakan aturan ini dengan mengedit file \/usr\/local\/nginx\/conf\/modsecurity.conf:<\/p>\n Tambahkan baris berikut di akhir file:<\/p>\n Simpan dan tutup file setelah Anda selesai. Kemudian, restart layanan Nginx untuk mengimplementasikan perubahan:<\/p>\n ModSecurity telah diinstal dan dikonfigurasi. Sudah waktunya untuk menguji apakah pengaturan kita berfungsi atau tidak.<\/p>\n Untuk menguji ModSecurity terhadap command injection<\/em><\/a>, buka browser web Anda dan ketik URL Untuk menguji respon ModSecurity terhadap serangan XSS (Cross site scripting), buka terminal dan jalankan perintah Jika anda mendapatkan output berikut, berarti ModSecurity berhasil mendeteksi serangan dan memblokirnya.<\/p>\ndnf install https:\/\/dl.fedoraproject.org\/pub\/epel\/epel-release-latest-8.noarch.rpm
\n dnf install https:\/\/rpms.remirepo.net\/enterprise\/remi-release-8.rpm<\/pre>\n
dnf install gcc-c++ flex bison yajl curl-devel zlib-devel pcre-devel autoconf automake git curl make libxml2-devel pkgconfig libtool httpd-devel redhat-rpm-config wget openssl openssl-devel nano<\/pre>\n
dnf --enablerepo=PowerTools install doxygen yajl-devel<\/pre>\n
dnf --enablerepo=remi install GeoIP-devel<\/pre>\n
Download dan Compile LibModsecurity<\/h2>\n
\/opt<\/code> dan download versi terbaru LibModsecurity dari repositori Git<\/a> :<\/p>\ncd \/opt\/
\n git clone --depth 1 -b v3\/master --single-branch https:\/\/github.com\/SpiderLabs\/ModSecurity<\/pre>\n
ModSecurity<\/code> dan download kode libInjection<\/code> dengan perintah berikut:<\/p>\ncd ModSecurity
\n git submodule init
\n git submodule update<\/pre>\n
.\/build.sh
\n .\/configure<\/pre>\n
make
\n make install<\/pre>\n
Download dan Compile Nginx dengan Dukungan LibModsecurity<\/h2>\n
useradd -r -M -s \/sbin\/nologin -d \/usr\/local\/nginx nginx<\/pre>\n
cd \/opt
\n git clone https:\/\/github.com\/SpiderLabs\/ModSecurity-nginx.git<\/pre>\n
wget http:\/\/nginx.org\/download\/nginx-1.17.6.tar.gz<\/pre>\n
tar -xvzf nginx-1.17.6.tar.gz<\/pre>\n
cd nginx-1.17.6
\n.\/configure --user=nginx --group=nginx --with-pcre-jit --with-debug --with-http_ssl_module --with-http_realip_module --add-module=\/opt\/ModSecurity-nginx<\/pre>\n
make
\n make install<\/pre>\n
Konfigurasikan Nginx dengan ModSecurity<\/h2>\n
cp \/opt\/ModSecurity\/modsecurity.conf-recommended \/usr\/local\/nginx\/conf\/modsecurity.conf
\n cp \/opt\/ModSecurity\/unicode.mapping \/usr\/local\/nginx\/conf\/<\/pre>\n
\/usr\/sbin\/<\/code>\u00a0dengan perintah berikut:<\/p>\nln -s \/usr\/local\/nginx\/sbin\/nginx \/usr\/sbin\/<\/pre>\n
mkdir \/var\/log\/nginx<\/pre>\n
nano \/usr\/local\/nginx\/conf\/nginx.conf<\/pre>\n
user nginx;
\nworker_processes 1;
\npid \/run\/nginx.pid;
\nevents {
\n worker_connections 1024;
\n}
\n
\n
\nhttp {
\n include\t mime.types;
\n default_type application\/octet-stream;
\n sendfile on;
\n keepalive_timeout 65;
\n server {
\n\tlisten 80;
\n server_name ganti_dengan_alamat_IP_atau_hostname_atau_domain;
\n modsecurity on;
\n modsecurity_rules_file \/usr\/local\/nginx\/conf\/modsecurity.conf;
\n access_log \/var\/log\/nginx\/access.log;
\n error_log \/var\/log\/nginx\/error.log;
\n location \/ {
\n root html;
\n index index.html index.htm;
\n }
\n error_page 500 502 503 504 \/50x.html;
\n location = \/50x.html {
\n root html;
\n }
\n }
\n}
\n<\/pre>\nnginx -t<\/pre>\n
nginx: the configuration file \/usr\/local\/nginx\/conf\/nginx.conf syntax is ok
\nnginx: configuration file \/usr\/local\/nginx\/conf\/nginx.conf test is successful
\n<\/pre>\n
Buat file Layanan Systemd untuk Nginx<\/h2>\n
nano \/etc\/systemd\/system\/nginx.service<\/pre>\n
[Unit]
\nDescription=The nginx server
\nAfter=network.target remote-fs.target nss-lookup.target
\n
\n[Service]
\nType=forking
\nPIDFile=\/run\/nginx.pid
\nExecStartPre=\/usr\/bin\/rm -f \/run\/nginx.pid
\nExecStartPre=\/usr\/sbin\/nginx -t
\nExecStart=\/usr\/sbin\/nginx
\nExecReload=\/bin\/kill -s HUP $MAINPID
\nKillSignal=SIGQUIT
\nTimeoutStopSec=5
\nKillMode=mixed
\nPrivateTmp=true
\n
\n[Install]
\nWantedBy=multi-user.target
\n<\/pre>\n
systemctl daemon-reload<\/pre>\n
systemctl start nginx
\n systemctl enable --now nginx<\/pre>\n
Created symlink \/etc\/systemd\/system\/multi-user.target.wants\/nginx.service \u2192 \/etc\/systemd\/system\/nginx.service.
\n<\/pre>\n
systemctl status nginx<\/pre>\n
? nginx.service - The nginx HTTP and reverse proxy server
\n Loaded: loaded (\/etc\/systemd\/system\/nginx.service; enabled; vendor preset: disabled)
\n Active: active (running) since Mon 2019-12-30 10:20:01 EST; 41s ago
\n Process: 17730 ExecStart=\/usr\/sbin\/nginx (code=exited, status=0\/SUCCESS)
\n Process: 17728 ExecStartPre=\/usr\/sbin\/nginx -t (code=exited, status=0\/SUCCESS)
\n Process: 17727 ExecStartPre=\/usr\/bin\/rm -f \/run\/nginx.pid (code=exited, status=0\/SUCCESS)
\n Main PID: 17732 (nginx)
\n Tasks: 2 (limit: 6102)
\n Memory: 5.0M
\n CGroup: \/system.slice\/nginx.service
\n??17732 nginx: master process \/usr\/sbin\/nginx
\n??17733 nginx: worker process
\n
\nDec 30 10:20:00 nginx systemd[1]: Starting The nginx HTTP and reverse proxy server...
\nDec 30 10:20:00 nginx nginx[17728]: nginx: the configuration file \/usr\/local\/nginx\/conf\/nginx.conf syntax is ok
\nDec 30 10:20:00 nginx nginx[17728]: nginx: configuration file \/usr\/local\/nginx\/conf\/nginx.conf test is successful
\nDec 30 10:20:01 nginx systemd[1]: nginx.service: Failed to parse PID from file \/run\/nginx.pid: Invalid argument
\nDec 30 10:20:01 nginx systemd[1]: Started The nginx HTTP and reverse proxy server.
\n<\/pre>\n
Konfigurasikan ModeSecurity<\/h2>\n
modsecurity.conf<\/code>:<\/p>\nnano \/usr\/local\/nginx\/conf\/modsecurity.conf<\/pre>\n
SecRuleEngine DetectionOnly
\n<\/pre>\n
SecRuleEngine On<\/pre>\n
\/var\/log\/modsec_audit.log<\/pre>\n
\/var\/log\/nginx\/modsec_audit.log<\/pre>\n
git clone https:\/\/github.com\/SpiderLabs\/owasp-modsecurity-crs.git \/usr\/local\/nginx\/conf\/owasp-crs<\/pre>\n
crs-setup.conf.example<\/code>\u00a0menjadi\u00a0crs-setup.conf<\/code> dengan perintah berikut:<\/p>\nmv \/usr\/local\/nginx\/conf\/owasp-crs\/crs-setup.conf.example \/usr\/local\/nginx\/conf\/owasp-crs\/crs-setup.conf<\/pre>\n
nano \/usr\/local\/nginx\/conf\/modsecurity.conf<\/pre>\n
Include owasp-crs\/crs-setup.conf
\nInclude owasp-crs\/rules\/*.conf
\n<\/pre>\n
systemctl restart nginx<\/pre>\n
Test Pengaturan dan Performa ModSecurity<\/h2>\n
http:\/\/localhost\/index.html?exec=\/bin\/bash<\/code>. Anda akan melihat error 403 Forbidden seperti berikut:<\/p>\n![\"install](\"https:\/\/www.linuxid.net\/assets\/media\/centos\/34016\/install-ModSecurity-403-Forbidden-di-CentOS-8-750x177.png\")
<\/a><\/p>\ncurl<\/code> <\/a>di barengi dengan payload XSS.<\/p>\ncurl http:\/\/localhost\/?q=\"><script>alert(1)<\/script>\"<\/pre>\n
<html>
\n<head><title>403 Forbidden<\/title><\/head>
\n<body>
\n<center><h1>403 Forbidden<\/h1><\/center>
\n<hr><center>nginx\/1.17.6<\/center>
\n<\/body>
\n<\/html>
\n<\/pre>\n
Kesimpulan<\/h2>\n