OpenWAF 支持源碼安裝和 Docker 安裝
學(xué)習(xí)、開發(fā)、需求變動(dòng)大、有一定維護(hù)能力,建議源碼安裝
僅使用 OpenWAF 進(jìn)行防護(hù),建議 Docker 安裝
cd /opt
apt-get install wget git swig make perl build-essential zlib1g-dev libgeoip-dev libncurses5-dev libreadline-dev -y
wget https://ftp.pcre.org/pub/pcre/pcre-8.40.tar.gz
wget https://www.openssl.org/source/openssl-1.0.2k.tar.gz
wget https://openresty.org/download/openresty-1.11.2.2.tar.gz
tar -zxvf pcre-8.40.tar.gz
tar -zxvf openssl-1.0.2k.tar.gz
tar -zxvf openresty-1.11.2.2.tar.gz
rm -rf pcre-8.40.tar.gz \
openssl-1.0.2k.tar.gz \
openresty-1.11.2.2.tar.gz
PS:
1.1 OpenSSL 版本要求
OpenResty 要求 OpenSSL 最低版本在 1.0.2e 以上,但 apt-get 安裝 openssl 并不滿足此版本,因此提供解決方法如下:
方法 1. apt-get 使用 backports 源安裝 openssl,如 jessie-backports
echo "deb http://mirrors.163.com/debian/ jessie-backports main" >> /etc/apt/sources.list
apt-get update
apt-get install -t jessie-backports openssl
方法 2. 下載 openssl 源代碼,如 1.0.2k 版本
wget -c http://www.openssl.org/source/openssl-1.0.2k.tar.gz
tar -zxvf openssl-1.0.2k.tar.gz
./config
make && make install
若用方法 1 和 方法 2 后, openssl version 命令顯示的版本依舊低于 1.0.2e 版本,請(qǐng)求方法 3
方法 3. 編譯 openresty 時(shí)指定 openssl 安裝目錄
wget -c http://www.openssl.org/source/openssl-1.0.2k.tar.gz
tar -zxvf openssl-1.0.2k.tar.gz
編譯 openresty 時(shí)通過 --with-openssl=/path/to/openssl-xxx/ 指定 openssl 安裝路徑
本示例使用方法 3
1.2 pcre-jit
OpenResty 依賴 PCRE ,但通過 apt-get 安裝無法開啟 pcre-jit,解決方法:
方法 1. 源碼編譯
wget https://ftp.pcre.org/pub/pcre/pcre-8.40.tar.gz
tar -zxvf pcre-8.40.tar.gz
cd pcre-8.40
./configure --enable-jit
make && make install
方法 2. 編譯 openresty 時(shí)指定 openssl 安裝目錄
wget https://ftp.pcre.org/pub/pcre/pcre-8.40.tar.gz
tar -zxvf pcre-8.40.tar.gz
編譯 openresty 時(shí)通過 --with-pcre=/path/to/pcre-xxx/ 指定 pcre 安裝路徑
本示例使用方法 2
cd /opt
git clone https://github.com/titansec/OpenWAF.git
mv /opt/OpenWAF/lib/openresty/ngx_openwaf.conf /etc
mv /opt/OpenWAF/lib/openresty/configure /opt/openresty-1.11.2.2
mv /opt/OpenWAF/lib/openresty/* /opt/openresty-1.11.2.2/bundle/
rm -rf /opt/OpenWAF/lib/openresty
PS:
2.1 ngx_openwaf.conf
ngx_openwaf.conf 是 OpenResty 的 [nginx](http://nginx.org/en/docs/) 配置文件
2.2 configure
configure 是 OpenResty 的編譯文件
OpenWAF 修改了此文件,用于編譯 OpenWAF 所依賴的第三方模塊
cd /opt/openresty-1.11.2.2/
./configure --with-pcre-jit --with-ipv6 \
--with-http_stub_status_module \
--with-http_ssl_module \
--with-http_realip_module \
--with-http_sub_module \
--with-http_geoip_module \
--with-openssl=/opt/openssl-1.0.2k \
--with-pcre=/opt/pcre-8.40 \
make && make install
與 Debian 安裝幾乎一致,只需在安裝依賴時(shí),將 apt-get 一行命令換成以下命令即可:
yum install gcc gcc-c++ wget GeoIP-devel git swig make perl perl-ExtUtils-Embed readline-devel zlib-devel -y
其他操作系統(tǒng)安裝 OpenWAF,可參考 OpenResty 安裝
再安裝 OpenWAF 依賴的 swig 即可
1. pull docker images from repository
docker pull titansec/openwaf
2. start-up docker
docker run -d --name openwaf \
-p 80:80 -p 443:443 \
-v /opt/openwaf/conf/ngx_openwaf.conf:/etc/ngx_openwaf.conf \
-v /opt/openwaf/conf/twaf_access_rule.json:/opt/OpenWAF/conf/twaf_access_rule.json \
-v /opt/openwaf/log/openwaf_error.log:/var/log/openwaf_error.log \
titansec/openwaf
PS:
1. docker pull titansec/openwaf
默認(rèn) pull titansec/openwaf:latest 是 Debian 的最新版
2. 掛載配置文件和日志
將配置文件保留在宿主機(jī)中,更新 OpenWAF 只需更新 Docker 鏡像即可
2.1 掛載 nginx 配置文件
如,事先將 ngx_openwaf.conf 放在宿主機(jī) /opt/openwaf/conf/ 目錄下,然后啟動(dòng) docker 容器時(shí)添加參數(shù)如下:
-v /opt/openwaf/conf/ngx_openwaf.conf:/etc/ngx_openwaf.conf
2.2 掛載 twaf_access_rule.json 接入規(guī)則配置文件
如,事先將 twaf_access_rule.json 放在宿主機(jī) /opt/openwaf/conf/ 目錄下,然后啟動(dòng) docker 容器時(shí)添加參數(shù)如下:
-v /opt/openwaf/conf/twaf_access_rule.json:/opt/OpenWAF/conf/twaf_access_rule.json
2.3 掛載 nginx 錯(cuò)誤日志
-v /opt/openwaf/log/openwaf_error.log:/var/log/openwaf_error.log
3. restart
修改宿主機(jī)中的配置文件后,執(zhí)行 docker restart openwaf(容器名稱) 即可
更多建議: