一、安裝ngx_devel_kit
cd /opt git clone https://github.com/simplresty/ngx_devel_kit.git && cd ngx_devel_kit && git checkout master
cd /opt git clone https://github.com/openresty/lua-nginx-module.git && cd lua-nginx-module && git checkout master
三、安裝Lua環(huán)境 (Luajit)
cd /opt git clone http://luajit.org/git/luajit-2.0.git && cd luajit-2.0 && git pull make && make install
四、設(shè)置Lua環(huán)境變量
cd /opt/nginx-1.12.2 # 請(qǐng)?zhí)鎿Q為你的Nginx安裝路徑 export LUAJIT_LIB=/usr/local/lib export LUAJIT_INC=/usr/local/include/luajit-2.0
五、編譯Nginx (假設(shè)你已完成Nginx的編譯安裝)
cd /opt/nginx-1.12.2/ # 請(qǐng)?zhí)鎿Q為你的Nginx安裝路徑 ./configure --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_addition_module --with-http_dav_module --with-http_geoip_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module --with-http_v2_module --with-http_sub_module --with-http_xslt_module --with-stream --with-stream_ssl_module --with-mail --with-mail_ssl_module --with-threads --with-pcre=/opt/pcre-8.38 --with-zlib=/opt/zlib-1.2.11 --with-openssl=/opt/openssl-1.0.2n --add-module=/opt/ngx_devel_kit --add-module=/opt/lua-nginx-module --with-ld-opt=-Wl,-rpath,$LUAJIT_LIB make mv /usr/sbin/nginx /usr/sbin/nginx.old #備份舊的nginx cp objs/nginx /usr/sbin/nginx # 復(fù)制新的nginx可執(zhí)行文件 # 確保nginx -t 命令指向正確的nginx可執(zhí)行文件路徑 (例如,修改Makefile中的路徑) make upgrade
六、安裝并配置ngx_lua_waf
cd /etc/nginx/ git clone https://github.com/loveshell/ngx_lua_waf.git && cd ngx_lua_waf && git checkout master # 編輯nginx.conf文件,在http塊中添加以下配置: vim /etc/nginx/nginx.conf http { ... lua_package_path "/etc/nginx/ngx_lua_waf/?.lua"; lua_shared_dict limit 10m; init_by_lua_file /etc/nginx/ngx_lua_waf/init.lua; access_by_lua_file /etc/nginx/ngx_lua_waf/waf.lua; ... } # 配置waf規(guī)則文件 vim /etc/nginx/ngx_lua_waf/config.lua RulePath = "/etc/nginx/ngx_lua_waf/wafconf/" --規(guī)則存放目錄 attacklog = "on" --是否開啟攻擊信息記錄,需要配置logdir logdir = "/home/wwwlogs/" --log存儲(chǔ)目錄,需要nginx用戶的可寫權(quán)限。日志文件名稱格式如下:虛擬主機(jī)名_sec.log UrlDeny = "on" --是否攔截url訪問 Redirect = "on" --是否攔截后重定向 CookieMatch = "on" --是否攔截cookie攻擊 postMatch = "on" --是否攔截post攻擊 whiteModule = "on" --是否開啟URL白名單 black_fileExt = {"php","jsp"} --填寫不允許上傳文件后綴類型 ipWhitelist = {"127.0.0.1"} --ip白名單,多個(gè)ip用逗號(hào)分隔 ipBlocklist = {"1.0.0.1"} --ip黑名單,多個(gè)ip用逗號(hào)分隔 CCDeny = "on" --是否開啟攔截cc攻擊(需要nginx.conf的http段增加lua_shared_dict limit 10m;) CCrate = "100/60" --設(shè)置cc攻擊頻率,單位為秒. 默認(rèn)1分鐘同一個(gè)IP只能請(qǐng)求同一個(gè)地址100次 html = [[Please go away~~]] --警告內(nèi)容,可在中括號(hào)內(nèi)自定義
請(qǐng)記得將 /opt/nginx-1.12.2,/opt/pcre-8.38,/opt/zlib-1.2.11,/opt/openssl-1.0.2n 替換成你實(shí)際的安裝路徑。 完成配置后,重啟Nginx使其生效。 /home/wwwlogs/ 目錄需要提前創(chuàng)建并賦予nginx用戶寫入權(quán)限。 請(qǐng)根據(jù)實(shí)際情況修改 config.lua 文件中的配置。
.png)
推廣.jpg)