2核1G小服务器搞定ModSecurity！Nginx WAF防黑客实战，aaPanel Pro真值得吗？

阿银

13分钟前更新

小内存服务器部署WAF的真实体验，省钱又安全

本文旨在分享在有限资源的服务器上成功部署ModSecurity的经验，并提供实用指导，安全防护需根据自身情况持续调整和优化。

1 前言：为什么小服务器更需要WAF？

在网络安全事件频发的今天，即便是一台小配置的服务器（2核1G内存）运行着两个日IP 5000左右的网站，也同样会成为自动化攻击脚本的目标。Web应用防火墙（WAF） 不再是大型网站的专属，而是所有线上服务的标准配置。

ModSecurity是一款开源的Web应用防火墙（WAF），它通过与Web服务器（如Nginx）集成，对HTTP流量进行实时监控、记录和访问控制，能有效防御SQL注入、跨站脚本（XSS）等多种常见Web攻击。

接下来，我将为你详细讲解如何在资源有限的Debian 11.11服务器上，为Nginx 1.29.1、PHP 8.2.29和MariaDB 10.5.29的环境安装和配置ModSecurity，并分享一些优化技巧和深度思考。

2 ModSecurity与aaPanel Pro WAF 全方位对比

在开始安装之前，我们先简单了解一下开源ModSecurity和aaPanel Pro提供的WAF有哪些不同，方便你做出选择。

特性	开源ModSecurity	aaPanel Pro WAF
成本	免费	付费订阅
控制粒度	高度自定义，可精细调整每一规则	图形化界面，预设规则组，灵活性相对较低
规则生态	强大的OWASP CRS社区规则，可自行扩展	多基于OWASP CRS或类似规则，但更新节奏和透明度依赖面板方
性能开销	可针对低配服务器深度优化	优化选项可能受限，开销相对不可控
学习曲线	较高，需熟悉配置文件和日志	较低，图形界面操作简单
日志分析	原始日志详尽，但需自行分析	通常提供简化、可视化的日志界面
适用场景	追求极致控制、需要定制规则、预算有限的用户	追求快速上手、方便管理、愿意为便捷付费的用户

横向总结：
对于喜欢折腾、希望深度掌控且预算有限的用户（例如我们这台2核1G的服务器），开源ModSecurity是不二之选。它能让你真正理解WAF的工作原理，并能根据服务器性能和业务特点进行精准调优。

而aaPanel Pro WAF更适合那些使用aaPanel面板、希望开箱即用、不愿意花费太多时间在配置和命令行上的用户，用付费来换取便利性和时间。

3 Debian 11.11 安装与优化ModSecurity全攻略

以下操作均在Debian 11.11系统上完成，适用于Nginx 1.29.1。

3.1 前期准备：系统与环境检查

首先，确保你的系统是最新的，并安装必要的编译工具：

 sudo apt update sudo apt upgrade -y sudo apt install -y build-essential autoconf automake libtool pkg-config libpcre3-dev libyajl-dev libxml2-dev libcurl4-openssl-dev libgeoip-dev liblmdb-dev zlib1g-dev libssl-dev libmaxminddb-dev git curl

验证Nginx和PHP版本：

 nginx -v php-fpm8.2 -v

3.2 编译安装ModSecurity

我们将采用动态模块的方式编译ModSecurity，这样对现有Nginx影响最小。

下载ModSecurity源码并编译：

 git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity cd ModSecurity git submodule init git submodule update ./build.sh ./configure --prefix=/usr/local/modsecurity --with-yajl=/usr/lib/x86_64-linux-gnu/ make sudo make install

下载Nginx连接器并获取Nginx编译参数：

 git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git nginx -V 2>&1 | grep arguments > nginx_configure_args.txt # 这会把Nginx原有的编译参数保存到 nginx_configure_args.txt 中，备用。

下载同版本Nginx源码并编译动态模块：

 # 假设你的Nginx版本是1.29.1 wget http://nginx.org/download/nginx-1.29.1.tar.gz tar zxvf nginx-1.29.1.tar.gz cd nginx-1.29.1 # 使用之前保存的编译参数，并加上 `--with-compat` 和 `--add-dynamic-module` ./configure $(cat ../nginx_configure_args.txt) --with-compat --add-dynamic-module=../ModSecurity-nginx make modules

复制模块并配置Nginx加载：

 sudo cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules/ # 在 /etc/nginx/nginx.conf 的最顶部添加： load_module modules/ngx_http_modsecurity_module.so;

验证模块加载：

 sudo nginx -t # 如果成功，你会看到配置测试ok的提示，然后重启Nginx sudo systemctl restart nginx

3.3 配置OWASP核心规则集（CRS）

OWASP CRS提供了一套开箱即用的防护规则，能有效防御绝大多数常见Web攻击。

下载并设置OWASP CRS：

 sudo mkdir -p /etc/nginx/modsec sudo git clone https://github.com/coreruleset/coreruleset /etc/nginx/modsec/coreruleset sudo cp /etc/nginx/modsec/coreruleset/crs-setup.conf.example /etc/nginx/modsec/crs-setup.conf sudo cp /etc/nginx/modsec/coreruleset/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example /etc/nginx/modsec/coreruleset/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf sudo cp /etc/nginx/modsec/coreruleset/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example /etc/nginx/modsec/coreruleset/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

创建主配置文件：

创建 /etc/nginx/modsec/modsecurity.conf 文件，内容如下：

 SecRuleEngine On SecAuditEngine RelevantOnly SecAuditLog /var/log/nginx/modsec_audit.log SecDebugLog /var/log/nginx/modsec_debug.log SecDebugLogLevel 0 SecAuditLogType Serial SecAuditLogStorageDir /var/log/nginx/modsec_audit SecAuditLogParts ABCDEFGHIJKZ SecRequestBodyAccess On SecResponseBodyAccess On SecResponseBodyMimeType text/plain text/html text/xml application/json SecResponseBodyLimit 524288 SecResponseBodyLimitAction ProcessPartial

创建主规则文件：

创建 /etc/nginx/modsec/main.conf 文件，用于包含所有配置和规则：

 Include /etc/nginx/modsec/modsecurity.conf Include /etc/nginx/modsec/crs-setup.conf Include /etc/nginx/modsec/coreruleset/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf Include /etc/nginx/modsec/coreruleset/rules/*.conf Include /etc/nginx/modsec/coreruleset/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

3.4 为Nginx网站启用ModSecurity

在你的Nginx网站配置文件中（通常在 /etc/nginx/sites-available/ 下），你需要为特定的server块启用ModSecurity。

 server { listen 80; server_name your-domain.com; modsecurity on; modsecurity_rules_file /etc/nginx/modsec/main.conf; # 指向主规则文件 location / { # ... 你原有的配置（如root, index, try_files等） } location ~ \.php$ { # ... 你原有的PHP处理配置 } # 强烈建议为静态资源禁用ModSecurity，以提升性能 location ~* \.(jpg|jpeg|png|gif|ico|css|js|svg|woff2)$ { modsecurity off; expires 30d; add_header Cache-Control "public, immutable"; } }

修改配置后，务必测试并重载Nginx：

 sudo nginx -t sudo systemctl reload nginx

4 低内存服务器专用优化技巧

在2核1G的服务器上，ModSecurity的性能和内存消耗至关重要。以下是一些关键优化点：

调整SecRequestBodyLimit和SecRequestBodyInMemoryLimit：在 /etc/nginx/modsec/modsecurity.conf 中，限制请求体大小和在内存中处理的量，避免大请求耗尽内存。
```
 SecRequestBodyLimit 10485760 # 最大请求体10MB SecRequestBodyInMemoryLimit 524288 # 请求体在内存中最多存储512KB，超过部分会写入磁盘
```
调整SecPcreMatchLimit和SecPcreMatchLimitRecursion：降低正则表达式匹配限制，减少CPU消耗（谨慎调整，可能影响安全性）。
```
 SecPcreMatchLimit 1000 SecPcreMatchLimitRecursion 1000
```
有选择地禁用规则：通过分析日志 /var/log/nginx/modsec_audit.log，找到误报多且对业务影响小的规则ID，在 REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf 中禁用它们。例如，如果ID为123456的规则总是误报：
```
 SecRuleRemoveById 123456
```
这能显著减少不必要的检查。
使用DetectionOnly模式观察：初期如果不确定，可以先将 SecRuleEngine 设置为 DetectionOnly 模式。此模式下ModSecurity只记录匹配的请求而不进行拦截，方便你观察日志并调整规则而不会影响正常用户访问。

优化Nginx工作进程：在 /etc/nginx/nginx.conf 中，确保工作进程数与CPU核心数匹配，并合理配置连接数：

 worker_processes auto; # 自动匹配CPU核心数 events { worker_connections 2048; # 根据内存情况调整，1G内存不宜过大 multi_accept on; use epoll; # 使用高效的epoll事件模型 }

同时，可以启用SO_REUSEPORT选项，以改善连接处理性能并减少”惊群”问题。

 server { listen 80 reuseport; # ... 其他配置 }

定期清理日志： ModSecurity的审计日志可能增长很快。使用logrotate进行日志轮转和清理。

5 实战：测试ModSecurity是否生效

检查日志：查看ModSecurity的审计日志，观察是否有请求被记录：
```
 sudo tail -f /var/log/nginx/modsec_audit.log
```
发送测试请求：尝试访问一个可能触发规则的URL，例如经典的SQL注入测试：
```
 curl http://your-domain.com/?id=' OR '1'='1'
```
如果ModSecurity正常工作且规则启用，你应该会收到一个 403 Forbidden 的错误响应。

6 常见问题（FAQ）与解决方案

Q: Nginx启动失败，报错关于modsecurity的模块？
- A: 大概率是动态模块编译时依赖或版本不对。请确保使用与当前Nginx完全相同的版本号的源码进行编译，并包含了--with-compat参数。
Q: 网站出现大量403错误，误报很多？
- A: 1. 检查审计日志，找到触发规则的ID和请求。2. 在 REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf 中使用 SecRuleRemoveById 或 SecRuleRemoveByMsg 禁用导致误报的特定规则。3. 或者针对特定路径（如管理后台、API接口）精细调整规则。
Q: 服务器负载变高，内存消耗增加？
- A: 回顾第4部分的优化技巧，特别是调整请求体限制、禁用不必要的规则。对于低配服务器，优化是必不可少的步骤。
Q: 如何更新OWASP CRS规则？
- A: 进入 /etc/nginx/modsec/coreruleset 目录，执行 sudo git pull 即可。建议更新前备份配置，并在测试环境先进行。