Tengine 3.1.0 安装与 WAF 配置教程 (基于 Nginx 升级)

已于 2025-06-19 11:43:55 修改
阅读量262 收藏 2
点赞数 9
CC 4.0 BY-SA版权
文章标签: nginx 运维
于 2025-06-18 11:11:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/crazy_rays/article/details/148735185

Tengine 3.1.0 安装与 WAF 配置教程 (基于 Nginx 升级)

0. 约定

文中所有的域名以 <domain> 显示

1. 准备工作

1.1 备份现有 Nginx 配置

cp -r /etc/nginx /etc/nginx_backup
cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx_backup

1.2 安装必要依赖

apt update
apt upgrade -y
apt-get install -y build-essential autoconf automake libtool pkg-config libpcre2-dev libmodsecurity3 libmodsecurity-dev libmaxminddb-dev libpcre3 libpcre3-dev

2. 下载 Tengine 和模块

2.1 下载 Tengine 3.1.0

cd /data/downloads/
curl -OL https://tengine.taobao.org/download/tengine-3.1.0.tar.gz
tar zxf tengine-3.1.0.tar.gz

2.2 下载所需模块

cd /opt/
curl -OL https://github.com/owasp-modsecurity/ModSecurity-nginx/releases/download/v1.0.4/ModSecurity-nginx-v1.0.4.tar.gz
tar zxf ModSecurity-nginx-v1.0.4.tar.gz

curl -OL https://github.com/leev/ngx_http_geoip2_module/archive/refs/tags/3.4.tar.gz
tar zxf 3.4.tar.gz
mv ngx_http_geoip2_module-3.4 /opt/

curl -OL https://github.com/openresty/headers-more-nginx-module/archive/refs/tags/v0.37.tar.gz
tar zxf v0.37.tar.gz
mv headers-more-nginx-module-0.37 /opt/

2.3 下载 OWASP Core Rule Set

curl -OL https://github.com/coreruleset/coreruleset/releases/download/v4.15.0/coreruleset-4.15.0-minimal.tar.gz
tar zxf coreruleset-4.15.0-minimal.tar.gz
mv coreruleset-4.15.0 /etc/nginx/modsec

2.4 暂时删除有问题的规则

mv /etc/nginx/modsec/crs/rules/REQUEST-922-MULTIPART-ATTACK.conf /etc/nginx/modsec/crs/rules/REQUEST-922-MULTIPART-ATTACK.conf.bak

3. 编译安装 Tengine

3.1 配置编译选项

cd /data/downloads/tengine-3.1.0
./configure \
    --prefix=/usr/local/nginx \
    --conf-path=/etc/nginx/nginx.conf \
    --http-log-path=/var/log/nginx/access.log \
    --error-log-path=/var/log/nginx/error.log \
    --lock-path=/var/lock/nginx.lock \
    --pid-path=/run/nginx.pid \
    --modules-path=/usr/lib/nginx/modules \
    --http-client-body-temp-path=/var/lib/nginx/body \
    --http-fastcgi-temp-path=/var/lib/nginx/fastcgi \
    --http-proxy-temp-path=/var/lib/nginx/proxy \
    --http-scgi-temp-path=/var/lib/nginx/scgi \
    --http-uwsgi-temp-path=/var/lib/nginx/uwsgi \
    --with-debug \
    --with-pcre-jit \
    --with-http_ssl_module \
    --with-http_stub_status_module \
    --with-http_realip_module \
    --with-http_auth_request_module \
    --with-http_v2_module \
    --with-http_dav_module \
    --with-http_slice_module \
    --with-threads \
    --with-http_addition_module \
    --with-http_gunzip_module \
    --with-http_gzip_static_module \
    --with-http_sub_module \
    --with-stream \
    --add-module=/opt/ngx_http_geoip2_module-3.4 \
    --add-module=/opt/headers-more-nginx-module-0.37 \
    --add-module=/opt/ModSecurity-nginx-v1.0.4

3.2 编译并安装

make
sudo make install

4. 配置 ModSecurity WAF

4.1 创建 ModSecurity 配置文件

mkdir -p /etc/nginx/modsec
cp /etc/nginx/modsec/crs-setup.conf.example /etc/nginx/modsec/crs-setup.conf

4.2 创建主配置文件

cat > /etc/nginx/modsec/main.conf <<EOF
# 基本配置
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess On
SecResponseBodyMimeType text/plain text/html text/xml
SecResponseBodyLimit 524288
SecResponseBodyLimitAction ProcessPartial
SecTmpDir /tmp/
SecDataDir /tmp/
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus "^(?:5|4(?!04))"
SecAuditLogParts ABIJDEFHZ
SecAuditLogType Serial
SecAuditLog /var/log/nginx/modsec_audit.log
SecDebugLog /var/log/nginx/modsec_debug.log
SecDebugLogLevel 0
SecDefaultAction "phase:1,log,auditlog,pass"
SecDefaultAction "phase:2,log,auditlog,pass"

# 包含 CRS 规则
Include /etc/nginx/modsec/crs/crs-setup.conf
Include /etc/nginx/modsec/crs/rules/*.conf
EOF

4.3 配置 Nginx 加载 ModSecurity

/etc/nginx/nginx.conf 顶部添加:

load_module /usr/lib/nginx/modules/ngx_http_modsecurity_module.so;
load_module /usr/lib/nginx/modules/ngx_http_geoip2_module.so;
load_module /usr/lib/nginx/modules/ngx_http_headers_more_filter_module.so;
load_module /usr/lib/nginx/modules/ngx_stream_geoip2_module.so;

在 http 块中添加:

# ModSecurity 基本配置
modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main.conf;

5. 配置虚拟主机 WAF 规则

示例配置 (/etc/nginx/conf.d/<domain>.conf):

server {
    listen 443 ssl;
    server_name <domain>;
    ssl_certificate certs/<domain>_nginx/<domain>_bundle.crt;
    ssl_certificate_key certs/<domain>.cn_nginx/<domain>.key;

    modsecurity on;
    more_clear_headers 'Server';

    # 自定义错误页面
    error_page 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 /40x.html;
    location = /40x.html {
        internal;
        root /etc/nginx/err_page/;
    }

    # 根路径返回 404 并触发自定义页面
    location = / {
        try_files /nonexistent-file @notfound;
    }
    location @notfound {
        return 404;
    }
}

6. 测试并重启服务

6.1 测试配置

nginx -t

6.2 重启服务

service nginx restart

7. 验证 WAF 是否工作

7.1 检查日志

tail -f /var/log/nginx/modsec_audit.log

7.2 测试 WAF 规则

curl -k "https://<domain>/?param=../../etc/passwd"
crazy_rays
关注
《Linux运维总结:基于ARM64架构CPU使用docker-compose一键离线部署tengine 3.1.0
东城绝神
07-30 581
《Linux运维总结:基于ARM64架构CPU使用docker-compose一键离线部署tengine 3.1.0
nginxtengine的区别
m0_45899013的博客
06-17 7473
Tengine官方定义: Tengine是由淘宝网发起的Web服务器项目。它在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性。Tengine的性能和稳定性已经在大型的网站如淘宝网,天猫商城等得到了很好的检验。它的最终目标是打造一个高效、稳定、安全、易用的Web平台。 原来是淘宝网发起的,也可以认为淘宝网在nginx上的二次开发,那么淘宝网为什么要二次开发呢?原因是:针对大访问量网站的需求,并且更加的稳定,性能更加的强大! Nginx官方定义: Nginx (engine x) 是一个高
Tengine安装使用及配置
qiang928的博客
12-09 5271
Tengine是由淘宝发起的Web服务器项目。它在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性。Tengine的性能和稳定性已经在大型的网站如淘宝,天猫,优酷,全球速卖通,Lazada,阿里云等得到了很好的检验 --- 这是官方原话。
tengine安装配置
热门推荐
liaomin416100569的专栏
06-07 3万+
一。安装过程 1》下载 http://tengine.taobao.org/download.html找到下载包并且下载(Tengine-2.2.0.tar.gz) 2》解压 tar zxvf Tengine-2.2.0.tar.gz 3配置检查 进入解压后的目录 ./configure 异常1: [ro...
tengine安装
lgw_999的博客
12-25 509
1.下载tengine 可以到淘宝官网进行下载 http://tengine.taobao.org/download_cn.html wget http://tengine.taobao.org/download/tengine-2.2.0.tar.gz 2.解压软件 tar -zxf tengine-2.2.0.tar.gz 3.测试软件的完整性
Tengine安装
qq_38107043的博客
06-23 182
tengine.taobao.org下载tengine将其上传到Linux 1、解压: tar -zxf tengine-2.1.0.tar.gz 将tengine解压到当前目录 2、配置tengine 打开解压后的tengine使用命令./configure进行配置信息的设置,直接使用./configure是使用默认的配置信息。 配置tengine需要预置gcc pcre pcre-devel openssl openssl-devel zlib zlib-devel 3、编译安装 ma
tengine淘宝Web服务器 v3.1.0.zip
04-02
Tengine是由淘宝网发起的Web服务器项目,它基于Nginx并对其进行了一系列的定制和优化,以满足大规模网站的需求。TengineNginx的基础上增加了许多特性,如动态模块加载、访问统计、URL重写、防盗链等,为高性能、高...
基于ARM64架构CPU使用docker-compose一键离线部署tengine 3.1.0工具
07-31
原文链接:https://blog.csdn.net/m0_37814112/article/details/140790908 实现功能如下: 1、支持灵活修改配置文件 2、配置文件、日志文件、静态资源目录持久化
Nginx/Tengine服务器】TLS/SSL证书安装指南:提升网站安全性的详细配置流程步骤
最新发布
07-21
内容概要:本文档详细...③掌握NginxTengine服务器上安装配置SSL证书的完整流程。 阅读建议:在实际操作过程中,需根据具体的服务器环境调整命令和路径,同时注意备份原始配置文件,以便出现问题时能够快速恢复。
tengine_waf:Tengine_waf,具有WAF防火墙功能的te​​ngine系统,防止网络攻击和cc攻击的功能,小巧灵便,简单可依赖
03-11
Tengine WAFF 基于tengine的防攻击模块,最初我尝试了mod-security,但有一个bug,在大并发的时候狂吃内存,直到拖垮应用,不后来转向ngx_lua_waf(感谢loveshell),并在此基础上做了改良,觉得效果不错,就推荐给大家。 一,部署 部署简单,拿来就能用。整个工程是基于centos6.x,已经编译好了。 如果是其他系统,需要重新编译一遍,参考loveshell的编译步骤。 (1) 下载 到/usr/local/ 目录 (2) chown –R nobody:nobody /usr/local/tengine (3) cp –r /usr/local/tengine/lib/* /usr/lib64/ (4) 配置 /usr/local/tengine/conf/server/ 站点 参照模板,比普通的vhosts配置只在location
Tengine-3.1.0的编译安装
ssssola的博客
01-11 2211
tengine 3.1.0的编译安装
tengine安装(包含常用模块)【ubuntu22.04】
fireshark
11-28 760
tengine安装详细文档,包含常用模块,lua,适配系统ubuntu22.04
通过tengine-3.1.0访问fastdsf
11-20 287
是由淘宝网发起的Web服务器项目。它在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性。3.1、下载fastdfs-nginx-module-1.23模块。3.3、解压缩fastdfs-nginx-module。二、tengine-3.1.0下载。3.2、解压缩tengine3.3安装tengine。一、tengine介绍。三、tengine安装
tengine 安装配置
Sylvia_0218的博客
02-08 1393
tengine 安装配置 1 进入官网下载tengine-2.3.2.tar.gz 上传并解压 scp -P36000 /user/tengine-2.3.2.tar.gz root@10.0.2.208:/data/app tar -zxvf tengine-2.3.2.tar.gz 2 安装gcc以及依赖库 yum -y install gcc-c++ yum -y install pcre pcre-devel yum -y install zlib zlib-devel yum -y inst
tengine简单安装_Tengine编译安装
weixin_31681589的博客
12-30 319
实战环境LNMP项目实战:L:Linux(centos 7.6) http://mirrors.cqu.edu.cn/CentOS/7.6.1810/isos/x86_64/N:Tengine(1.12.2)http://tengine.taobao.org/download/tengine-2.1.2.tar.gz主机信息:部署规划:172.24.77.242(sr2.dj.com):运行Ten...
Tengine 编译安装
知码青年
10-31 542
# 换成阿里源 wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo # 安装编译环境 yum install -y gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel # 生成 MakeFile ./configure --prefix=/usr/local/nginx --with-http_v2_modul
CentOS7安装Tengine及负载均衡配置教程
"本文档主要介绍了如何在CentOS7系统中安装Tengine以及配置负载均衡,Tengine是由淘宝开发的基于Nginx的应用服务器和反向代理服务器,它增强了Nginx的功能并提供了动态模块加载、lua语言扩展等功能。" Tengine是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值