Hướng dẫn sử dụng chức năng "Cấu Hình Nginx ModSecurity"

nguyenoanh

Hướng dẫn sử dụng chức năng Cấu Hình Nginx ModSecurity trên VPSSIM

ModSecurity là một Web Application Firewall (WAF) mạnh mẽ giúp bảo vệ máy chủ khỏi các tấn công phổ biến như:
DoS/DDoS, Flood, SQL Injection, XSS, Local File Inclusion, v.v.
Trong VPSSIM, việc cấu hình và quản lý ModSecurity trở nên cực kỳ đơn giản thông qua giao diện menu trực quan:

=========================================================================
        VPSSIM (6.2.4) - Quản Lý VPS/Server By HTTP://VPSSIM.COM
=========================================================================
               Anti DoS/DDoS, Flood, SQL Injection, XSS...
=========================================================================
Limit Request Rate: BẬT
=========================================================================
ModSecurity => Mode: Detection Only | Log: RelevantOnly
=========================================================================
ModSecurity Rule đang BẬT: 901 933 942
=========================================================================

1) Limit Request Rate Cho Server |  3) Số Kết Nối Đang SYN_RECV
---------------------------------|  4) Kết Nối Tới Cổng 80 & 443
2) Cấu Hình Nginx ModSecurity    |  5) IP Đang Kết Nối & Số Lượng Kết Nối
=========================================================================
Lựa chọn của bạn [0 -Thoát]: 2
=========================================================================
Hướng dẫn sử dụng: http://go.vpssim.com/4520
=========================================================================
1) TẮT/BẬT ModSecurity Cho Website   4) TẮT/BẬT Log ModSecurity
2) Chọn DetectionOnly/Blocking Mode  5) Xem Log ModSecurity
3) BẬT/TẮT ModSecurity Rules         6) Xóa Log ModSecurity
=========================================================================
Lựa chọn của bạn [0 -Thoát]:

Đường dẫn chức năng: Main menu => Config Chống DDoS & Bảo Vệ Web => Cấu Hình Nginx ModSecurity

Giải thích từng chức năng:

1) TẮT/BẬT ModSecurity Cho Website

Cho phép bật hoặc tắt ModSecurity riêng lẻ cho từng website được cài đặt trên VPS.

=========================================================================
1) TẮT/BẬT ModSecurity Cho Website   4) TẮT/BẬT Log ModSecurity
2) Chọn DetectionOnly/Blocking Mode  5) Xem Log ModSecurity
3) BẬT/TẮT ModSecurity Rules         6) Xóa Log ModSecurity
=========================================================================
Lựa chọn của bạn [0 -Thoát]: 1
=========================================================================
Chức năng này để BẬT/TẮT ModSecurity cho Website
=========================================================================
Danh sách Website & Park domains trên server:  | ** : Đang bật Config.
-------------------------------------------------------------------------
1. anh.oanh.com                        6. vpssim.com
2. flarumtest.com                      7. vpsus.com
3. rutgon.com                          8. your2.com
4. test.vpssim.com                     9. yours.com
5. upload.com
=========================================================================
Nhập số tương ứng với website [0 -Thoát]: 6
=========================================================================
vpssim.com hiện không cấu hình BẬT ModSecurity.
-------------------------------------------------------------------------
Bạn muốn BẬT config này cho website? [y/N] y

2) DetectionOnly / Blocking Mode

DetectionOnly: Chỉ ghi nhận (log) các truy vấn nghi ngờ, không chặn.
Blocking: Tự động chặn các truy vấn độc hại (chế độ bảo vệ thực tế).

→ Bạn nên kiểm tra log trong thời gian đầu bằng DetectionOnly, sau đó chuyển sang Blocking để bảo vệ tối đa.

3) BẬT/TẮT ModSecurity Rules

Kích hoạt hoặc tắt một số nhóm rule cụ thể như:

901: Basic rules
933: SQL Injection prevention
942: XSS & Local File Inclusion protection

→ Cho phép tùy chỉnh độ nhạy của firewall.

**Ví dụ: ** Mình muốn bật các rule 901,933,942,959,931

=========================================================================
        VPSSIM (6.2.4) - Quản Lý VPS/Server By HTTP://VPSSIM.COM
=========================================================================
                          Nginx ModSecurity Rules
=========================================================================
[ Mặc định, VPSSIM cấu hình BẬT 3 rule: 901,933,942 ]
=========================================================================
ModSecurity Rule đang BẬT: 901 933 942
=========================================================================
RULES |                    ĐƯỜNG DẪN FILE RULES
=========================================================================
901: /etc/nginx/modsec-crs/rules/REQUEST-901-INITIALIZATION.conf
905: /etc/nginx/modsec-crs/rules/REQUEST-905-COMMON-EXCEPTIONS.conf
911: /etc/nginx/modsec-crs/rules/REQUEST-911-METHOD-ENFORCEMENT.conf
913: /etc/nginx/modsec-crs/rules/REQUEST-913-SCANNER-DETECTION.conf
920: /etc/nginx/modsec-crs/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf
921: /etc/nginx/modsec-crs/rules/REQUEST-921-PROTOCOL-ATTACK.conf
922: /etc/nginx/modsec-crs/rules/REQUEST-922-MULTIPART-ATTACK.conf
930: /etc/nginx/modsec-crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf
931: /etc/nginx/modsec-crs/rules/REQUEST-931-APPLICATION-ATTACK-RFI.conf
932: /etc/nginx/modsec-crs/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf
933: /etc/nginx/modsec-crs/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf
934: /etc/nginx/modsec-crs/rules/REQUEST-934-APPLICATION-ATTACK-GENERIC.conf
941: /etc/nginx/modsec-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf
942: /etc/nginx/modsec-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf
943: /etc/nginx/modsec-crs/rules/REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf
944: /etc/nginx/modsec-crs/rules/REQUEST-944-APPLICATION-ATTACK-JAVA.conf
949: /etc/nginx/modsec-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf
950: /etc/nginx/modsec-crs/rules/RESPONSE-950-DATA-LEAKAGES.conf
951: /etc/nginx/modsec-crs/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf
952: /etc/nginx/modsec-crs/rules/RESPONSE-952-DATA-LEAKAGES-JAVA.conf
953: /etc/nginx/modsec-crs/rules/RESPONSE-953-DATA-LEAKAGES-PHP.conf
954: /etc/nginx/modsec-crs/rules/RESPONSE-954-DATA-LEAKAGES-IIS.conf
955: /etc/nginx/modsec-crs/rules/RESPONSE-955-WEB-SHELLS.conf
959: /etc/nginx/modsec-crs/rules/RESPONSE-959-BLOCKING-EVALUATION.conf
980: /etc/nginx/modsec-crs/rules/RESPONSE-980-CORRELATION.conf
=========================================================================
Lưu ý: Rule bạn nhập sẽ được BẬT. Những Rule còn lại sẽ bị TẮT. Các rule
-------------------------------------------------------------------------
cách nhau bằng dấu phẩy [,] và không có dấu cách [Space] giữa các rule.
-------------------------------------------------------------------------
Ví dụ: Nhập 901,933,942 nếu muốn BẬT 3 rule này.
=========================================================================
Nhập rule [0 -Thoát]: 901,933,942,959,931
=========================================================================
Bạn đã chọn các rule: 901 933 942 959 931
=========================================================================
Bạn có đồng ý BẬT các rule này? (y/n): y

Kết quả:

Các Rule mình vừa bật đã hiện trong trạng thái Rule

=========================================================================
Hoàn thành cấu hình Rule Nginx ModSecurity
=========================================================================
ModSecurity Rule BAT: 901 931 933 942 959
=========================================================================
        VPSSIM (6.2.4) - Quản Lý VPS/Server By HTTP://VPSSIM.COM
=========================================================================
               Anti DoS/DDoS, Flood, SQL Injection, XSS...
=========================================================================
Limit Request Rate: BẬT
=========================================================================
ModSecurity => Mode: Detection Only | Log: RelevantOnly
=========================================================================
ModSecurity Rule đang BẬT: 901 931 933 942 959
=========================================================================

1) Limit Request Rate Cho Server |  3) Số Kết Nối Đang SYN_RECV
---------------------------------|  4) Kết Nối Tới Cổng 80 & 443
2) Cấu Hình Nginx ModSecurity    |  5) IP Đang Kết Nối & Số Lượng Kết Nối
=========================================================================
Lựa chọn của bạn [0 -Thoát]:

4) TẮT/BẬT Log ModSecurity

Bật/tắt ghi log các truy cập bị nghi ngờ hoặc bị chặn.

=========================================================================
1) TẮT/BẬT ModSecurity Cho Website   4) TẮT/BẬT Log ModSecurity
2) Chọn DetectionOnly/Blocking Mode  5) Xem Log ModSecurity
3) BẬT/TẮT ModSecurity Rules         6) Xóa Log ModSecurity
=========================================================================
Lựa chọn của bạn [0 -Thoát]: 4
=========================================================================
Nếu không cần xem LOG, bạn có thể TẮT ghi LOG để tăng hiệu năng server.
=========================================================================
Đường dẫn file Log: /var/log/modsec_audit.log
=========================================================================
Ghi Log ModSecurity hiện đang BẬT, bạn muốn TẮT nó không? (y/N)y

5) Xem Log ModSecurity

Xem chi tiết các truy vấn đã bị ModSecurity ghi nhận.

=========================================================================
                          Xem Log ModSecurity
=========================================================================
Đường dẫn file log: /var/log/modsec_audit.log | Dung lượng: 4.0K
=========================================================================
Hiện tại chưa có Log
=========================================================================
Hết LOG. Nhấn [Enter] để quay trở lại menu VPSSIM

6) Xóa Log ModSecurity

Dọn sạch file log khi cần thiết.

=========================================================================
1) TẮT/BẬT ModSecurity Cho Website   4) TẮT/BẬT Log ModSecurity
2) Chọn DetectionOnly/Blocking Mode  5) Xem Log ModSecurity
3) BẬT/TẮT ModSecurity Rules         6) Xóa Log ModSecurity
=========================================================================
Lựa chọn của bạn [0 -Thoát]: 6
=========================================================================
Mặc định, file Log modsec_audit sẽ tự động xóa sau 7 ngày.
=========================================================================
Danh sách files:
-------------------------------------------------------------------------
modsec_audit.log: 4.0K
=========================================================================
Tổng dung lượng: 27B
=========================================================================
Bạn muốn xóa các file này? (y/n): y

Chúc bạn thành công !