Instalando o Módulo Dinâmico Wallarm OOB para NGINX Plus usando Pacotes Linux¶

Estas instruções descrevem os passos para instalar o Wallarm como um módulo dinâmico OOB para o NGINX Plus.

Wallarm suporta os seguintes sistemas operacionais:

Debian 11.x (bullseye)
Ubuntu 18.04 LTS (bionic)
Ubuntu 20.04 LTS (focal)
Ubuntu 22.04 LTS (jammy)
CentOS 7.x
Amazon Linux 2.0.2021x e inferior
AlmaLinux, Rocky Linux ou Oracle Linux 8.x
RHEL 8.x

Casos de uso¶

Dentre todas as opções de implantação do Wallarm suportadas, os pacotes DEB/RPM para NGINX Plus são recomendados para a implantação do Wallarm nestes casos de uso:

Sua infraestrutura é baseada em metal nu ou máquinas virtuais sem o uso de métodos baseados em contêineres. Normalmente, essas configurações são gerenciadas com ferramentas de Infraestrutura como código (IaC), como Ansible ou SaltStack.
Seus serviços são construídos em torno do NGINX Plus. O Wallarm pode estender suas funcionalidades usando esses pacotes.

Requisitos¶

Acesso à conta com a função de Administrador e autenticação de dois fatores desativada no Wallarm Console para a Nuvem dos EUA ou Nuvem da UE
SELinux desativado ou configurado de acordo com as instruções
Versão de lançamento NGINX Plus 28 (R28)

Versões personalizadas do NGINX Plus

Se você possui uma versão diferente, consulte as instruções sobre como conectar o módulo Wallarm à compilação personalizada do NGINX
A execução de todos os comandos como superusuário (por exemplo, root)
Acesso a https://repo.wallarm.com para baixar pacotes. Certifique-se de que o acesso não esteja bloqueado por um firewall
Acesso a https://us1.api.wallarm.com para trabalhar com a Nuvem Wallarm dos EUA ou a https://api.wallarm.com para trabalhar com a Nuvem Wallarm da UE. Se o acesso só pode ser configurado via servidor proxy, então use as instruções
Access to the IP addresses below for downloading updates to attack detection rules, as well as retrieving precise IPs for your allowlisted, denylisted, or graylisted countries, regions, or data centers
US CloudEU Cloud
34.96.64.17 34.110.183.149 35.235.66.155 34.102.90.100 34.94.156.115 35.235.115.105
34.160.38.183 34.144.227.90 34.90.110.226
Editor de texto instalado vim, nano, ou qualquer outro. Na instrução, vim é usado

1. Instale o NGINX Plus e as dependências¶

Instale o NGINX Plus e suas dependências usando estas instruções oficiais do NGINX.

Instalando no Amazon Linux 2.0.2021x e inferior

Para instalar o NGINX Plus no Amazon Linux 2.0.2021x e inferior, use as instruções do CentOS 7.

2. Adicione os repositórios Wallarm¶

O nó Wallarm é instalado e atualizado a partir dos repositórios Wallarm. Para adicionar repositórios, use os comandos para sua plataforma:

Debian 11.x (bullseye)Ubuntu 18.04 LTS (bionic)Ubuntu 20.04 LTS (focal)Ubuntu 22.04 LTS (jammy)CentOS 7.xAmazon Linux 2.0.2021x e inferiorAlmaLinux, Rocky Linux ou Oracle Linux 8.xRHEL 8.x

sudo apt -y install dirmngr
curl -fSsL https://repo.wallarm.com/wallarm.gpg | sudo gpg --no-default-keyring --keyring gnupg-ring:/etc/apt/trusted.gpg.d/wallarm.gpg --import
sudo chmod 644 /etc/apt/trusted.gpg.d/wallarm.gpg
sh -c "echo 'deb https://repo.wallarm.com/debian/wallarm-node bullseye/4.8/' | sudo tee /etc/apt/sources.list.d/wallarm.list"
sudo apt update

curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
sh -c "echo 'deb https://repo.wallarm.com/ubuntu/wallarm-node bionic/4.8/' | sudo tee /etc/apt/sources.list.d/wallarm.list"
sudo apt update

curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
sh -c "echo 'deb https://repo.wallarm.com/ubuntu/wallarm-node focal/4.8/' | sudo tee /etc/apt/sources.list.d/wallarm.list"
sudo apt update

curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
sh -c "echo 'deb https://repo.wallarm.com/ubuntu/wallarm-node jammy/4.8/' | sudo tee /etc/apt/sources.list.d/wallarm.list"
sudo apt update

sudo yum install -y epel-release
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/7/4.8/x86_64/wallarm-node-repo-4.8-0.el7.noarch.rpm

sudo yum install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/7/4.8/x86_64/wallarm-node-repo-4.8-0.el7.noarch.rpm

sudo yum install -y epel-release
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/8/4.8/x86_64/wallarm-node-repo-4.8-0.el8.noarch.rpm

sudo dnf install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/8/4.8/x86_64/wallarm-node-repo-4.8-0.el8.noarch.rpm

3. Instale os pacotes Wallarm¶

Os seguintes pacotes são necessários:

nginx-plus-module-wallarm para o módulo NGINX Plus-Wallarm
wallarm-node para o módulo postanalytics, banco de dados Tarantool e pacotes adicionais NGINX Plus-Wallarm

DebianUbuntuCentOS ou Amazon Linux 2.0.2021x e inferiorAlmaLinux, Rocky Linux ou Oracle Linux 8.xRHEL 8.x

sudo apt -y install --no-install-recommends wallarm-node nginx-plus-module-wallarm

sudo apt -y install --no-install-recommends wallarm-node nginx-plus-module-wallarm

sudo yum install -y wallarm-node nginx-plus-module-wallarm

sudo yum install -y wallarm-node nginx-plus-module-wallarm

sudo yum install -y wallarm-node nginx-plus-module-wallarm

4. Conecte o módulo Wallarm¶

Abra o arquivo /etc/nginx/nginx.conf:
```
sudo vim /etc/nginx/nginx.conf
```

Adicione a seguinte diretiva logo após a diretiva worker_processes:

load_module modules/ngx_http_wallarm_module.so;

Exemplo de configuração com a diretiva adicionada:

user  nginx;
worker_processes  auto;
load_module modules/ngx_http_wallarm_module.so;

error_log  /var/log/nginx/error.log notice;
pid        /var/run/nginx.pid;

Copie os arquivos de configuração para a configuração do sistema:

sudo cp /usr/share/doc/nginx-plus-module-wallarm/examples/*.conf /etc/nginx/conf.d/

5. Conecte o nó de filtragem à Wallarm Cloud¶

The Wallarm filtering node interacts with the Wallarm Cloud. You need to connect the node to the Cloud.

When connecting node to the Cloud, you can set the node name, under which it will be displayed in the Wallarm Console UI and put the node into the appropriate node group (used to logically organize nodes in UI).

To connect the node to the Cloud, use a Wallarm token of the appropriate type:

API tokenNode token

Open Wallarm Console → Settings → API tokens in the US Cloud or EU Cloud.
Find or create API token with the Node deployment/Deployment usage type.
Copy this token.
Run the register-node script on a machine where you install the filtering node:
US CloudEU Cloud
sudo /usr/share/wallarm-common/register-node -t <TOKEN> --labels 'group=<GROUP>' -H us1.api.wallarm.com
sudo /usr/share/wallarm-common/register-node -t <TOKEN> --labels 'group=<GROUP>'
- <TOKEN> is the copied value of the API token with the Deploy role.
- --labels 'group=<GROUP>' parameter puts your node to the <GROUP> node group (existing, or, if does not exist, it will be created). If you are installing filtering and postanalytics modules separately, it is recommended to put them into the same group.

Open Wallarm Console → Nodes in the US Cloud or EU Cloud.
Do one of the following:
- Create the node of the Wallarm node type and copy the generated token.
- Use existing node group - copy token using node's menu → Copy token.

Run the register-node script on a machine where you install the filtering node:

US CloudEU Cloud

sudo /usr/share/wallarm-common/register-node -t <TOKEN> -H us1.api.wallarm.com

sudo /usr/share/wallarm-common/register-node -t <TOKEN>

<TOKEN> is the copied value of the node token. If you are installing filtering and postanalytics modules separately, it is recommended to put them into the same group using the same node token.

You may add -n <HOST_NAME> parameter to set a custom name for your node instance. Final instance name will be: HOST_NAME_NodeUUID.

6. Habilitar Wallarm para analisar o tráfego¶

Por padrão, o nó Wallarm implantado não analisa o tráfego de entrada.

Realize a seguinte configuração no arquivo /etc/nginx/conf.d/default.conf na máquina com o nó instalado para configurar o Wallarm para processar o espelho de tráfego:

Para o nó Wallarm aceitar o tráfego espelhado, defina a seguinte configuração no bloco NGINX server:
```
wallarm_force server_addr $http_x_server_addr;
wallarm_force server_port $http_x_server_port;
# Altere 222.222.222.22 para o endereço do servidor de espelhamento
set_real_ip_from  222.222.222.22;
real_ip_header    X-Forwarded-For;
real_ip_recursive on;
wallarm_force response_status 0;
wallarm_force response_time 0;
wallarm_force response_size 0;
```
- As diretivas set_real_ip_from e real_ip_header são necessárias para que o Console Wallarm exiba os endereços IP dos invasores.
- As diretivas wallarm_force_response_* são necessárias para desativar a análise de todas as solicitações, exceto as cópias recebidas do tráfego espelhado.
Para o nó Wallarm analisar o tráfego espelhado, defina a diretiva wallarm_mode como monitoring:
```
server {
    listen 80;
    listen [::]:80 ipv6only=on;
    wallarm_mode monitoring;

    ...
}
```
Como as solicitações maliciosas não podem ser bloqueadas, o único modo que o Wallarm aceita é o de monitoramento. Para implementação em linha, também existem modos de bloqueio seguro e bloqueio, mas mesmo que você defina a diretiva wallarm_mode para um valor diferente do monitoramento, o nó continua a monitorar o tráfego e apenas registra o tráfego malicioso (além do modo definido para desligado).

7. Reinicie o NGINX Plus¶

Concedendo permissão de root ao usuário

Se você está executando o NGINX como um usuário que não possui permissão de root, adicione este usuário ao grupo wallarm utilizando o seguinte comando:

usermod -aG wallarm <nome_do_usuário>;

onde <nome_do_usuário> é o nome do usuário sem permissão de root.

DebianUbuntuCentOS ou Amazon Linux 2.0.2021x e versões anterioresAlmaLinux, Rocky Linux ou Oracle Linux 8.xRHEL 8.x

sudo systemctl restart nginx

sudo service nginx restart

sudo systemctl restart nginx

sudo systemctl restart nginx

sudo systemctl restart nginx

8. Configure o envio de tráfego para a instância Wallarm¶

Configure o seu ambiente para espelhar o tráfego de entrada para uma instância com o nó Wallarm que você está implantando. Para detalhes de configuração, recomendamos referir-se à documentação da solução que você planeja usar para produzir o espelhamento de tráfego (servidor web, servidor proxy, etc.).

Dentro do link, você encontrará o exemplo de configuração para NGINX, Traefik, Envoy.

9. Teste a operação do nó Wallarm¶

Envie a solicitação com o ataque de teste Path Traversal para um endereço de recurso protegido:
```
curl http://localhost/etc/passwd
```
Abra o Console Wallarm → seção Eventos na Nuvem dos EUA ou Nuvem da UE e certifique-se de que o ataque está exibido na lista.

10. Afinar a solução implantada¶

O módulo dinâmico Wallarm com as configurações padrão está instalado para o NGINX Plus. O nó de filtragem pode exigir alguma configuração adicional após a implantação.

As configurações do Wallarm são definidas usando as diretrizes do NGINX ou a interface do usuário do console Wallarm. As diretrizes devem ser definidas nos seguintes arquivos na máquina com o nó Wallarm:

/etc/nginx/conf.d/default.conf com as configurações do NGINX
/etc/nginx/conf.d/wallarm.conf com as configurações globais do nó de filtragem

O arquivo é usado para configurações aplicadas a todos os domínios. Para aplicar configurações diferentes para diferentes grupos de domínios, use o arquivo default.conf ou crie novos arquivos de configuração para cada grupo de domínio (por exemplo, example.com.conf e test.com.conf). Mais informações detalhadas sobre os arquivos de configuração do NGINX estão disponíveis na documentação oficial do NGINX.
/etc/nginx/conf.d/wallarm-status.conf com as configurações de monitoramento do nó Wallarm. Uma descrição detalhada está disponível no link
/etc/default/wallarm-tarantool ou /etc/sysconfig/wallarm-tarantool com as configurações do banco de dados Tarantool

Abaixo, há algumas das configurações típicas que você pode aplicar, se necessário: