云安全解決方案【云鎖】Nginx模塊開源,幫助用戶適配更多的Nginx版本,。秉承著讓安全變得更簡單的宗旨,,讓動手能力強的小伙伴親自打造適合自己的Nginx環(huán)境。
除了采用內(nèi)核加固技術來增強服務器自身對抗惡意代碼和黑客攻擊的策略外,,云鎖通過在web中間件部署安全模塊的方式來對抗網(wǎng)絡攻擊,,通過安全模塊的filter過濾功能,云鎖能高效過濾惡意流量和黑客攻擊,強力對抗CC、SQL注入,、上傳一句木馬等網(wǎng)絡攻擊,。
一般情況下,當用戶安裝云鎖的時候,,云鎖會自動適配nginx版本,使用我們已經(jīng)預編譯好的包含云鎖模塊的 nginx備份并替換掉您當前系統(tǒng)中使用的nginx,。卸載時,,會將系統(tǒng)原始nginx文件替換回來。因此,,云鎖可保護使用nginx搭建的網(wǎng)站,,開創(chuàng)了這個領域的先河。
此文檔假設您曾經(jīng)編譯過nginx或tengine源代碼,,如果您之前沒有經(jīng)驗,,請參考:http://nginx.org/en/docs/configure.html
如何編譯云鎖nginx模塊,步驟如下:
1. 為避免意外情況發(fā)生,, 請先將系統(tǒng)當前使用中的nginx進行備份(包括相關的網(wǎng)站配置文件)
2. wget https://codeload.github.com/yunsuo-open/nginx-plugin/zip/master -O nginx-plugin-master.zip
3. unzip nginx-plugin-master.zip
4. cd nginx-plugin-master
5. pwd 獲取當前云鎖插件源碼所在目錄的全路徑 (假設為:/home/nginx-plugin-master,,實際情況以pwd輸出為準)
6. 如果您的環(huán)境是tengine,可以跳過這一步。對于nginx版本,,由于其不支持post過濾,,所以需要修改nginx源碼目錄下src/http/ngx_http_upstream.c 文件 步驟如下:
a. 查找 static void ngx_http_upstream_init_request(ngx_http_request_t *r)函數(shù),在其 所在行上方添加:int ngx_http_yunsuo_post_in_handler(ngx_http_request_t *r);
b. 在ngx_http_upstream_init_request函數(shù)開頭,,變量聲明后,,添加:
if(ngx_http_yunsuo_post_in_handler(r))
{
return;
}
什么?沒看懂,?好吧,,以nginx-1.0.11為例:
修改前源碼:
static void
ngx_http_upstream_init_request(ngx_http_request_t *r)
{
ngx_str_t *host;
ngx_uint_t i;
ngx_resolver_ctx_t *ctx, temp;
ngx_http_cleanup_t *cln;
ngx_http_upstream_t *u;
ngx_http_core_loc_conf_t *clcf;
ngx_http_upstream_srv_conf_t *uscf, **uscfp;
ngx_http_upstream_main_conf_t *umcf;
if (r->aio) {
return;
}
u = r->upstream;
......
}
修改后源碼:
static void
ngx_http_upstream_init_request(ngx_http_request_t *r)
{
ngx_str_t *host;
ngx_uint_t i;
ngx_resolver_ctx_t *ctx, temp;
ngx_http_cleanup_t *cln;
ngx_http_upstream_t *u;
ngx_http_core_loc_conf_t *clcf;
ngx_http_upstream_srv_conf_t *uscf, **uscfp;
ngx_http_upstream_main_conf_t *umcf;
if (r->aio) {
return;
}
u = r->upstream;
......
}
7. 云鎖的nginx插件模塊是標準的nginx模塊,所以您在編譯nginx過程中,,configure時只要添加額外參數(shù) --add-module=/home/nginx-plugin-master(注意:/home/nginx-plugin-master為示例,,實際路徑以步驟5中pwd命令為準) 即可讓nginx支持云鎖的功能,示例如下:
假設您之前configure時的命令如下:
./configure --prefix=/usr/local/nginx --with-http_stub_status_module \
--with-http_ssl_module --with-http_gzip_static_module \
--add-module=../ngx_cache_purge-1.3
現(xiàn)在的configure時的命令如下:
./configure --prefix=/usr/local/nginx --with-http_stub_status_module \
--with-http_ssl_module --with-http_gzip_static_module \
--add-module=../ngx_cache_purge-1.3
--add-module=/home/nginx-plugin-master
8. 編譯 nginx (注意:如果原本已經(jīng)有 nginx, 只執(zhí)行 make 即可,,make install 會覆蓋掉你的 nginx.conf)
9. 將系統(tǒng)當前使用中的nginx二進制文件替換為剛剛編譯好的包含了云鎖模塊的nginx文件即可
讓云鎖識別您自己編譯的nginx,,步驟如下:
1. 安裝云鎖,如果您已經(jīng)安裝了云鎖,,可跳過此步驟,。如果還沒有,請到http://www.yunsuo.com.cn/ht/software/ 下載并安裝云鎖
2. cd /usr/local/yunsuo_agent/nginx/
3. ./configure_compiled_nginx nginx_install_path (nginx_install_path為nginx的安裝路徑,即configure時 --prefix=path 如果未指定過路徑, 那么默認為/usr/local/nginx)
FAQ
1. 什么情況下我需要自己編譯云鎖的nginx模塊,?
(a)當您的nginx使用了第三方或者自己開發(fā)的模塊的時候,,需要編譯云鎖的nginx模塊。您可以通過nginx -V命令查看輸出的 信息里是否包含了 --add-module= 的字樣 (例如:--add-module=../ngx_cache_purge-1.3 說明使用了ngx_cache_purge-1.3第三方 模塊)
(b)當使用tengine的時候,需要編譯云鎖的nginx模塊 c.當您發(fā)現(xiàn)當前使用的nginx版本比我們自動安裝的版本高的時候,,可以自己編譯云鎖的nginx模塊
(c)當您發(fā)現(xiàn)當前使用的nginx版本比我們自動安裝的版本高的時候,,可以自己編譯云鎖的nginx模塊
2. 如果我把云鎖卸載了,nginx需要重新編譯嗎,?
不需要,,云鎖的nginx模塊會判斷云鎖是否安裝,如果不安裝則不生效,。當然您也可以替換回之前的nginx
3. 我應該先安裝云鎖,,還是先編譯nginx?
都可以,沒有先后順序關系
4. 怎樣單獨卸載 nginx 插件?
有如下三種方式可以實現(xiàn)卸載插件:
(a)現(xiàn)有版本 nginx 默認不支持從客戶端卸載,,如果想支持從客戶端卸載,, 需要手動將 系統(tǒng)原有的 nginx 重命名為 nginx.bak, 并將之替換 /usr/local/yunsuo_agent/nginx/backup 目錄下的 nginx.bak(此操作需要關閉云鎖自保護功能), 這樣就可以使用客戶端的插件卸載功能了
(b)手動刪除或者重命名 /usr/local/yunsuo_agent/nginx/ 目錄下的 libnginx_plugin.so(此操作需要關閉云鎖自保護功能),, 重啟 nginx 服務即可
(c)手動使用系統(tǒng)原有的 nginx 直接替換 當前使用的帶有云鎖插件的 nginx
推薦使用第一種方式,, 因為其便于后續(xù)的安裝和卸載
推薦使用第一種方式, 因為其便于后續(xù)的安裝和卸載
云鎖在GitHub等您,,點擊鏈接 https://github.com/yunsuo-open/nginx-plugin#rd 了解詳情,。
