Nginx + ModSecurity + Fail2ban + Docker => 2. ModSecurity + Fail2ban 설치

🍺 목차 🍺(보시려면 아래 더보기 를 눌러주세요.)

1. Nginx + ModSecurity + Fail2ban + Docker => 1. 취약한 웹사이트

2. Nginx + ModSecurity + Fail2ban + Docker => 2. ModSecurity + Fail2ban 설치

3. Nginx + ModSecurity + Fail2ban + Docker => 3. Fail2ban 설정 방법

4. Nginx + ModSecurity + Fail2ban + Docker => 4. Nginx Limit req 설정

5. Nginx + ModSecurity + Fail2ban + Docker => 5. Dockerhub 이미지 사용

---

 

1. Dockerfile 작성에 앞서서...

1) 앞 글에서 앞단에 Nginx 1개, 뒷단에 Nginx 2개를 설치하였습니다. 이 모든Nginx에 ModSecurity, Fail2ban를 설치할 필요는 없습니다. 앞단의 Reverse Proxy기능을 하는 Nginx에만 ModSecurity, Fail2ban를 설치할 것입니다.

2) docker hub에는 이미 Nginx + ModSecurity + Fail2ban가 설치된 이미지들이 존재하며, 그것을 다운받아 사용할 수도 있습니다. 하지만, docker hub에 올려져 있는 이미지 중에 악성코드가 들어있는 것도 많다고 하며, 여기서는 공부를 위하여 Dockerfile을 이용하여 직접 이미지를 생성하여 사용할 것입니다.

3) 참고로 Dockerfile을 이용하여 오라클 클라우드 무료 서버와 구글 클라우드 무료 서버에서 이미지를 생성해보았더니, 오라클은 30분~1시간 정도 걸리고, 구글에서는 10시간 이상이 걸렸습니다. 따라서, 로컬에서 이미지를 먼저 생성하고, 그 이미지를 docker hub에 올린 후, 서버에서는 docker hub에 올린 이미지를 다운받아 사용하는 것이 제일 빠르다는 것을 참고하시기 바랍니다.(1~2분 소요)

 

2. Dockerfile 및 기타 폴더, 파일 생성

1) docker/front 폴더 안에 Dockerfile 파일 및 기타 4개의 파일(총 5개) 추가. (ModSecurity와 Fail2ban가 포함된 nginx 이미지 생성을 위함.)

 

2) docker 폴더 안에 fail2ban 설정 파일이 들어있는 폴더 생성

 

3) Dockerfile 수정 내용

https://github.com/b-04-e/nginxwaf

지금 설명하는 설정 파일들은 위 링크에서 가져와 아래와 같이 수정을 한 후 사용을 하였으니 참고하시기 바랍니다.

* 베이스 이미지를 특정 버전으로 고정

* Nginx 버전 변경

* Nginx 모듈 추가 : --with-http_stub_status_module (추후 서버 모니터링에 필요하기 때문에...)

* CMD 명령 대신  ENTRYPOINT 사용

 

4) docker-compose.yml 수정 내용

version: '3.9'

networks: 
  mung_net:
    driver: bridge

services:
  front_nginx:
    container_name: front_nginx_cname
    #image: nginx:1.23.2       #🔴nginx 이미지를 직접 사용하지 않고   
    build: ./docker/front/     #🔴Dockerfile을 이용하여 직접 만든 이미지를 사용 
    restart: always
    privileged: true           #🔴fail2ban을 위해 추가해주어야 함.
    ports:
      - "80:80"
      - "81:81"
      - "82:82"
    volumes:
      #- ./docker/front/default.conf:/etc/nginx/conf.d/default.conf   
      #- ./docker/front/nginx.conf:/etc/nginx/nginx.conf
	  #🔴Dockerfile에서 nginx를 소스를 다운받아 설치을 하였기에 기본 경로가 다름. 그래서 아래처럼 수정함.
      - ./docker/front/default.conf:/usr/local/nginx/conf.d/default.conf                #🔴추가 내용  
      - ./docker/front/nginx.conf:/usr/local/nginx/conf/nginx.conf                      #🔴추가 내용
      - ./docker/front/modsecurity.conf:/usr/local/nginx/conf/modsecurity.conf          #🔴추가 내용
      - ./docker/front/modsec_includes.conf:/usr/local/nginx/conf/modsec_includes.conf  #🔴추가 내용
      - ./docker/front/crs-setup.conf:/usr/local/nginx/conf/rules/crs-setup.conf        #🔴추가 내용
      - ./docker/fail2ban/jail.conf:/etc/fail2ban/jail.conf                             #🔴추가 내용
      - ./docker/fail2ban/jail.conf:/etc/fail2ban/jail.local                            #🔴추가 내용
      - ./docker/fail2ban/filter.d/:/etc/fail2ban/filter.d/                             #🔴추가 내용
      - ./log/logs/:/usr/local/nginx/logs/   #🔴이 부분은 modsecurity, fail2ban이 제대로 동작하는지
      - ./log/log/:/var/log/                 #🔴테스트 목적으로 log를 쉽게 보기 위함. 나중에는 지울것임.
    depends_on:
      - web
      - web2
    networks:
      - mung_net
  web:
  ########### 이하 내용은 변경된 것 없음  ############

 

5) docker/front/nginx.conf 파일 수정

#user  nginx;                  #🔴주석처리(삭제해도 됨.)
user nobody;                   #🔴user를 nginx에서 nobody로 수정
worker_processes  auto;

#error_log  /var/log/nginx/error.log notice;  #🔴주석처리해야 함.
pid        /var/run/nginx.pid;

events {
    worker_connections  1024;
}

http {
    #include       /etc/nginx/mime.types;     #🔴이 부분을 
    include       mime.types;                 #🔴이렇게 수정을 해야 오류가 나지 않음.
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  /var/log/nginx/access.log  main;   #🔴주석처리해야 함.

    sendfile        on;
    keepalive_timeout  65;
    gzip  on;

    #include /etc/nginx/conf.d/*.conf;              #🔴경로가 달라졌기에
    include /usr/local/nginx/conf.d/*.conf;         #🔴이렇게 수정을 해야 함.
}

 

6) docker/front/default.conf 파일 수정

modsecurity가 감시하길 원하는 server 블럭 안에만 아래 2줄을 입력합니다. 저는 예시로 web 블럭 한군데만 입력을 하였습니다.

server {
    listen 80;

    modsecurity on;                                                #🔴modsecurity 작동을 위해
    modsecurity_rules_file /usr/local/nginx/conf/modsecurity.conf; #🔴2줄 추가

    location / {

        proxy_pass         http://web;
        proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;

        proxy_buffering off;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Port $server_port;
    }
}

########이하 동일 #################

 

7) 이제 완성되었습니다. docker-compose.yml 파일을 이용하여 컨테이너를 생성합니다.

8) 그리고, 80포트와 81포트로 각각 접속을 해봅니다. 그리고, 이전 게시글처럼 아이디 창에 1' or 1=1 # 이라는 sql 인젝션 공격을 시도해 봅니다. 그럼 첫번째 서버는 403 Forbidden 이 나오며 공격을 자동으로 차단해 줍니다. 하지만, 두번째 서버는 docker/front/default.conf 파일에서 server 블럭 안에 modsecurity on 이라는 2줄을 넣지 않았기 때문에 차단이 되지 않는 것을 볼 수 있습니다.

 

9) 이번에는 Reflexed XSS 공격으로 아래와 같이 입력해봅니다.

http://localhost/index.php?value=<script>alert("해킹중");</script>

그럼 이번에도 첫번째 서버는 잘 차단을 해주지만, 두번째 서버는 그대로 공격에 노출되어 있습니다.

 

10) log 확인

위 4) docker-compose.yml 수정 부분에서 테스트 목적으로 우리는 log 파일을 쉽게 볼 수 있도록 설정을 하였습니다.

- ./log/logs/:/usr/local/nginx/logs/
- ./log/log/:/var/log/

 그래서, 작업 폴더를 보면 log 폴더가 자동으로 생성이 되었으며, 각각의 log 파일에서 웹서버의 접속 기록 및 차단되는 기록들을 모두 확인해 볼 수 있습니다. (위에서 설치한 모든 서비스들이 잘 작동하고 있다는 뜻입니다.)

 

 

3. 작업 소스

위에서 작업한 모든 소스는 아래 링크에서 다운받으실 수 있습니다.

https://github.com/mmssem/ModSecurityFail2ban/releases/tag/최종파일

Release 최종파일 · mmssem/ModSecurityFail2ban

 

 

🔴🔴 github에 올리고 나서 보니 [nginx-req-limit] 설정 때문에 fail2ban이 실행이 되지 않는 경우가 있네요. docker/fail2ban/jail.conf 파일 안에서 292~299번째 줄을 우선 모두 주석 처리를 하시면 됩니다. 그리고, 다음 게시글도 참고해 보시길 바랍니다.