Linux运维之路-安全防护OpenResty

码中飞翔 2019-06-30

1 OpenResty简介

OpenResty是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。

2 OpenSty安装

系统环境说明:
[root@jranson ~]# cat /etc/redhat-release 
CentOS Linux release 7.4.1708 (Core) 
[root@jranson ~]# uname -r
3.10.0-693.21.1.el7.x86_64

安装步骤:
1、安装依赖包
yum install -y readline-devel pcre-devel openssl-devel  openssl-devel gcc 

2、下载软件包
wget https://openresty.org/download/ngx_openresty-1.9.3.2.tar.gz --no-check-certificate

3、解压
tar -zxvf ngx_openresty-1.9.3.2.tar.gz

4、进入目录,初始化
cd ngx_openresty-1.9.3.2
./configure --prefix=/usr/local/openresty --with-luajit --with-http_stub_status_module --with-pcre --with-pcre-jit

5、编译安装
gmake
gmake install

3 功能列表

  • 支持白名单和黑名单功能,直接将黑名单的IP访问拒绝。
  • 支持URL白名单,将不需要过滤的URL进行定义。
  • 支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
  • 支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。
  • 支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
  • 支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
  • 支持URL参数过滤,原理同上。
  • 支持日志记录,将所有拒绝的操作,记录到日志中去。
  • 日志记录为JSON格式,便于日志分析,例如使用ELKStack进行攻击日志收集、存储、搜索和展示。

4 配置waf规则

1、克隆git项目
git clone https://github.com/unixhot/waf.git

2、拷贝至nginx配置文件目录下
cp -a ./waf/waf /usr/local/openresty/nginx/conf/

3、编辑nginx配置文件,配置规则
vim /usr/local/openresty/nginx/conf/nginx.conf

4、在http块配置里面添加下列配置
http{
    lua_shared_dict limit 50m;
    lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua";
    init_by_lua_file "/usr/local/openresty/nginx/conf/waf/init.lua";
    access_by_lua_file "/usr/local/openresty/nginx/conf/waf/access.lua";

5、waf/config.lua文件可以自定义规则,错误信息等。



6、检查语法,启动openresty
/usr/local/openresty/nginx/sbin/nginx -t
/usr/local/openresty/nginx/sbin/nginx

5 测试

在浏览器输入ip/a.sql,如果没有定义规则之前的web服务器,用户浏览器会弹出一个下载文件的页面。定义完规则的web服务器会自动匹配到规则,然后拒绝访问,或者重定向到错误页面等等。

码中飞翔

码中飞翔

相关推荐

使用coredns 的template plugin实现一个xip 服务

xip dns 服务在我们的实际开发中,还是挺有用的,我们可以基于dns模式方便的进行软件开发,同时。结合nginx 的虚拟主机,可以实现灵活的软件部署,以下是基于coredns 的template plugin 实现一个。我们基于正则以及templat

oLeiShen / 0评论 2020-06-25

基于nginx proxy dns server

原理实际行就是stream模式,因为nginx 支持基于stream 模式的lb同时支持以下是一个简单的配置。有点不太好的,默认的不支持health check,当然我们可以基于openresty 的stream 模块进行扩展,这样就可以更好的利用dns

dahege / 0评论 2020-06-25

!OpenResty HTTP库 request_uri方法set_keepalive报错源码中的BUG分析

OpenResty HTTP库 request_uri方法set_keepalive报错源码中的BUG分析

wqiaofujiang / 0评论 2020-06-16

openresty用haproxy2.0实现负载均衡

yum install pcre-devel openssl-devel gcc curl wget. built by gcc 8.3.1 20190311 (Red Hat 8.3.1-3) (GCC). listen 801;server_name

zllbirdonland / 0评论 2020-06-16

Nginx 入门及基本命令行操作

Nginx 是一个高性能的 Web 服务器,从 2001 年发展至今,由于 Nginx 对硬件和操作系统内核特性的深度挖掘,使得在保持高并发的同时还能够保持高吞吐量。Nginx 还采用了模块设计,有大量的第三方模块可以扩展 Nginx 的功能,因此 Ngi

咻咻ing / 0评论 2020-06-14

使用lua-resty-repl 调试openresty

lua-resty-repl 是一个方便的openresty 包,我们可以用来方便的调试openresty. lua-resty-repl 是一个不错的openresty 调试工具,可以帮助我们调试一些问题,相比使用ngx.say 以及ngx.log 方便

liwf / 0评论 2020-06-10

openresty + lua+项目环境搭建

在openresty/conf目录下新建lua.conf。当项目的lua文件越来越大,管理起来就会很麻烦。我们把原来的lua文件夹和lualib 一块移动到我们新建的路径下,然后修改nginx.conf中的内容和lua.conf配置,建议使用绝对路径。

CSDNMrWang / 0评论 2020-05-11

OpenResty:worker间通信

在 Lua 中, table 是唯一的数据结构。共享内存字典shared dict, 是在 OpenResty 编程中最为重要的数据结构。它不仅支持数据的存放和读取,还支持原子计数和队列操作。基于 shared dict,可以实现多个 worker 之间的

陈云佳 / 0评论 2020-04-21

OpenResty:特性与动态处理

在同一个进程内的所有协程,都会共享这个 VM,并在这个 VM 中运行 Lua 代码。NGINX 实际上是通过 epoll 的事件驱动,来减少等待和空转,才尽可能地让 CPU 资源都用于处 理用户的请求。毕竟,只有单个的请求被足够快地处理完,整体才能达到高性

Neptune / 0评论 2020-04-20

Openresty安装

# openresty - this script starts and stops the openresty daemin. # description: OpenResty is a full-fledged web platform that i

aolishuai / 0评论 2020-04-15

国产微服务网关Apache APISIX安装

license-check: Check lua souce code for Apache License. The dashboard allows any remote IP by default, and you can modify allow_

工作中的点点滴滴 / 0评论 2020-02-15

OpenResty+缓存穿透基本介绍

OpenResty 1.lua表达式 2.Nginx的安装 3.OpenResty 因为咱们已经意识到了Nginx 很强大,咱们也想使用它来进行逻辑上的开发,但是由于Nginx 是

长安长夜Saint / 0评论 2020-02-14

浅谈openresty

OpenResty 是一个基于 NGINX 的可伸缩的 Web 平台,由中国人章亦春发起,提供了很多高质量的第三方模块。OpenResty 致力于将你的服务器端应用完全运行于 Nginx 服务器中,充分利用 Nginx 的事件模型来进行非阻塞 I/O 通信

liwf / 0评论 2020-01-10

openresty http

openresty默认没有提供http客户端,需要第三方提供插件。GitHub - ledgetech/lua-resty-http: Lua HTTP client cosocket driver for OpenResty / ngx_lua.

taoqilin / 0评论 2020-01-09

Nginx + Lua + Cookie 控制灰度发布

Nginx + Lua + Cookie 控制灰度发布。修改nginx 文件夹为 conf 名。查看安装目录,将cookie.lua 写入lualib/resty目录中

始终不够 / 0评论 2019-12-06

利用开源软件自建WAF系统--OpenResty+unixhot

OpenResty是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。OpenResty通过汇

byourb / 0评论 2019-11-29

《用OpenResty搭建高性能服务端》笔记

《用OpenResty搭建高性能服务端》是OpenResty系列课程中的入门课程,主讲人:温铭老师。课程分为10个章节,侧重于OpenResty的基本概念和主要特点的介绍,包括它的指令、nginx_lua API、缓存、如何连接数据库、执行阶段等,并通过几

徐中海C / 0评论 2019-11-17

OpenResty一些重要特性的整理

OpenResty 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的Lua Api,第三方模块以及常用的依赖项,基于这些能力,我们可以利用OR快速方便的搭建能够处理超高并发的,极具动态性和扩展的Web应用、Web服务和动

hong0 / 0评论 2019-11-17

(学习到实践)六、docker自定义nginx/openresty

为什么要使用openresty?但openresty官方没有发布docker相关东西,所以以:结合openresty安装、参考docker-nginx官方的为原则编写。libpcre2-32-10.32-r1 #貌似最新版本了,32位的?初始安装清华源,切

houjinkai / 0评论 2019-11-16

linux环境nginx的安装、配置

今天在安装nginx的时候,总监推荐安装OpenResty,查了一下OpenResty的资料,OpenResty是国内大牛对nginx的改装版,功能强大。下面是OpenResty 的简单介绍。OpenResty 是一个基于 Nginx 与 Lua 的高性能

SZStudy / 0评论 2016-07-27

美团张志桐:美团 HTTP 服务治理实践

2019 年 7 月 6 日,OpenResty 社区联合又拍云,举办 OpenResty × Open Talk 全国巡回沙龙·上海站,美团基础架构部技术专家张志桐在活动上做了《美团 HTTP 服务治理实践》的分享。OpenResty x Open Ta

卷确 / 0评论 2019-11-04

微服务最强开源流量网关之Kong

在微服务架构中,由于系统和服务的细分,导致系统结构变得非常复杂, 为了跨平台,为了统一集中管理api,同时为了不暴露后置服务。API网关作为分散在各个业务系统微服务的API聚合点和统一接入点,外部请求通过访问这个接入点,即可访问内部所有的REST API服

智能的世界 / 0评论 2019-10-04

OpenResty入门技术

因此我们从如上几个点出发即可。

SZStudy / 0评论 2017-07-26

OpenResty使用-安装及开发环境

3.1 常用Lua开发库1-redis、mysql、http客户端 附-Redis/SSDB+Twemproxy安装与使用

zongyuewang / 0评论 2017-07-21

再谈 APISIX 高性能实践

2019 年 8 月 31 日,OpenResty 社区联合又拍云,举办 OpenResty × Open Talk 全国巡回沙龙·成都站,APISIX 主要作者王院生在活动上做了《APISIX 高性能实践》的分享。OpenResty × Open Tal

beibeijia / 0评论 2019-11-01

聊聊开发中经历的几种后端语言

谈这个话题,没有任何语言之争,只是个人开发的经历。LB上的安全防火墙也是使用lua开发的。原则就是,对外的高访问量的项目和中间件的项目使用GO开发,简单项目,LB上的需求都是使用lua开发,后台管理系统使用PHP开发。lua作为后端语言,主要是指OpenR

luckymaoyy / 0评论 2019-10-20

微服务入门:Openresty实现API网关

如果大家清楚“网关”这个概念,那就很容易理解“API网关“,即所有API的入口。 从面向对象设计的角度看,它与外观模式类似,封装了系统内部架构。在单体应用架构中,没有「 API网关 」的概念,每个项目都会用到filter/过滤器之类的东西,filter

jinxinliu / 0评论 2019-09-24

openresty 前端开发序

还记得第一次尝试前后端分离的时候,是使用nginx + react 构建的spa应用,后端是java,主要处理业务逻辑逻辑部分,返回json数据,在nginx里面配置好html + js纯静态文件,再通过反向代理到java后端,解决跨域问题,然后使用aja

那些年写过的代码 / 0评论 2016-12-09

简单网址缩短short

nginx配置。location /_z/ {. }. location /short {. }. 修改config.lua redis地址

xiaopc / 0评论 2017-12-05

在 OpenResty 里实现进程间通讯

在 Nginx 里面,每个 worker 进程都是平等的。但是有些时候,我们需要给它们分配不同的角色,这时候就需要实现进程间通讯的功能。一种简单粗暴但却被普遍使用的方案,就是每个进程划分属于自己的 list 类型的 shdict key,每隔一段时间查看是

jingz / 0评论 2019-08-16

nginx+lua+kafka实现日志统一收集汇总

可用于计数上报、用户行为分析、接口质量、性能监控等需求。但传统nginx记录日志的方式数据会散落在各自nginx上,而且大流量日志本身对磁盘也是一种冲击。我们需要把这部分nginx日志统一收集汇总起来,收集过程和结果需要满足如下需求:. 支持不同业务获取数

小昌昌 / 0评论 2016-04-17

通过 OpenResty + Redis 高效缓存 WordPress

更多内容请参考:《用Nginx+RedisCache给WordPress提速》。因为我们一开始就选择了OpenResty作为Web软件,所以简单粗暴,直接设置虚拟主机就行。

书山有路勤为径 / 0评论 2017-08-04

如何应对 OpenResty 为支持 ARM64 引入的 break change

本文不是关于新版 OpenResty 如何支持 ARM64 的,而是关于如何应对这一过程引入的 break change。另外,如果你没用 OpenResty 自己的 LuaJIT 分支,那么可以直接关掉这个页面了,因为这些 break change 只有

长安长夜Saint / 0评论 2019-07-01

京东云罗玉杰:OpenResty 在直播场景中的应用

2019 年 3 月 23 日,OpenResty 社区联合又拍云,举办 OpenResty × Open Talk 全国巡回沙龙·北京站,京东云技术专家罗玉杰在活动上做了《 OpenResty 在直播场景中的应用 》的分享。活动已经在深圳、北京两地举办,

夜雨倚琴 / 0评论 2019-07-01

在 OpenSSL 1.1.1 下支持 OpenResty 的非阻塞 SSL session fetch

然而 OpenSSL 的 session get callback 并不支持 yield,所以只靠原生 OpenSSL 是没办法支持在该阶段发起非阻塞的网络请求的。因此,Cloudflare 的工程师贡献了一个 OpenSSL 的补丁给 OpenResty

夜雨倚琴 / 0评论 2019-07-01

【openresty】蓝绿发布(ip白名单)

什么是蓝绿发布?通常生产环境需要两组配置,一组是active的生产环境的配置(绿配置),一组是inactive的配置(蓝配置)。在绿色环境运行当前生产环境中的应用,也就是旧版本应用version1。当你想要升级到version2 ,在蓝色环境中进行操作,即

fansenjun / 0评论 2019-07-01

OpenResty下使用Apache Ant Path匹配库

OpenResty下使用Apache Ant Path匹配库一、简介OpenResty是一个基于 Nginx 与 Lua 的高性能 Web 平台,而lua相对于编译型语言性能比较差,所以我们使用编写sharedobject库的方式集成到OpenResty项

jingz / 0评论 2019-07-01

Lua在Nginx的应用

当 Nginx 标准模块和配置不能灵活地适应系统要求时,就可以考虑使用 Lua 扩展和定制 Nginx 服务。OpenResty 集成了大量精良的 Lua 库、第三方模块,可以方便地搭建能够处理超高并发、扩展性极高的 Web 服务,所以这里选择 OpenR

缓行者 / 0评论 2019-07-01

使用idea调试lua代码-Openresty

使用idea调试lua代码Openresty是基于nginx与lua的高性能web框架,继承了大量的高质量的lua库、第三方模块以及大多数依赖项。目前对于lua主流开发工具有vscode+lua插件、IntelliJ IDEA+EmmyLua、ZeroBr

carolAnn / 0评论 2019-07-01

openresty/nginx升级http2

sudo make install此时安装的openresty配置http2会报错 the "http2" parameter requires ngx_http_v2_module. 不先停止nginx的话会出现 cp: 无法创建普通

jingz / 0评论 2019-07-01

已安装nginx新增模块(以新增headers-more-nginx-module模块为例)

需求场景编译好的nginx需要添加headers-more-nginx-module模块来自定义响应头。tar -zxvf v0.33.tar.gz加载模块# 查看安装参数命令。# 将上面取出的configure arguments后面追加 --add-m

jianxing / 0评论 2019-07-01

OpenResty使用-安装及开发环境

3.1 常用Lua开发库1-redis、mysql、http客户端 附-Redis/SSDB+Twemproxy安装与使用

Freshairx / 0评论 2017-07-21

A Rate-Limiting HTTP Proxy(7)Docker and Deployment

Solution:. IMAGE=sillycat/public. TAG=raspberrypi-openresty. NAME=raspberrypi-openresty. app-init:. rm-frinstall. mkdirinstall.

lihy0 / 0评论 2017-06-01

【转】使用Nginx+Lua(OpenResty)开发高性能Web应用

在互联网公司,Nginx可以说是标配组件,但是主要场景还是负载均衡、反向代理、代理缓存、限流等场景;而把Nginx作为一个Web容器使用的还不是那么广泛。从而非常轻松就能开发出高性能的Web服务。接下来我们就认识下Nginx、Lua、ngx_lua模块和n

fenghuoliuxing0 / 0评论 2017-01-15

[缘起] 前端 E2E 测试的困境

与其它自动化测试不同,前端的 E2E 测试一直是个老大难问题,难点主要在于 如何描述测试。自动化测试的核心是检查特定输入能不能得到符合预期的结果。对于单元测试和 API 测试来说,“特定输入”就是函数或者接口的参数,结果也是当前语言的数据类型或者通用的比如

thug / 0评论 2019-06-30

linux环境nginx的安装、配置

今天在安装nginx的时候,总监推荐安装OpenResty,查了一下OpenResty的资料,OpenResty是国内大牛对nginx的改装版,功能强大。下面是OpenResty 的简单介绍。OpenResty 是一个基于 Nginx 与 Lua 的高性能

uglyman / 0评论 2016-07-27

使用Nginx+Lua(OpenResty)开发高性能Web应用

在互联网公司,Nginx可以说是标配组件,但是主要场景还是负载均衡、反向代理、代理缓存、限流等场景;而把Nginx作为一个Web容器使用的还不是那么广泛。从而非常轻松就能开发出高性能的Web服务。接下来我们就认识下Nginx、Lua、ngx_lua模块和n

fenghuoliuxing0 / 0评论 2016-03-06

如何编写正确且高效的 OpenResty 应用

本文内容,由我在 OpenResty Con 2018 上的同名演讲的演讲稿整理而来。PPT 可以在 这里 下载,因为内容比较多,我就不在这里一张张贴出来了。有些内容需要结合 PPT 才能理解,请多包涵。编写正确且高效的应用,最为关键是一系列软件工程上的实

jianxing / 0评论 2019-06-30

跟我学OpenResty(Nginx+Lua)开发目录贴

使用Nginx+Lua开发近一年的时间,学习和实践了一些Nginx+Lua开发的架构,为了让更多人使用Nginx+Lua架构开发,利用春节期间总结了一份基本的学习教程,希望对大家有用。也欢迎谈探讨学习一些经验。

Magicpang / 0评论 2015-03-07