Перейти к содержанию

Обновление NGINX-модулей Валарм 2.18 и ниже

Инструкция описывает способ обновления NGINX‑модулей Валарм версии 2.18 и ниже до версии 3.6. Используйте этот способ, если нода установлена по следующим инструкциям:

Нода версии 2.18 и ниже больше не поддерживается

Обратите внимание, что нода версии 2.18 и ниже больше не поддерживается, поэтому мы рекомендуем обновить модули.

В версии 3.6 значительно упрощена настройка ноды и повышено качество фильтрации трафика. Некоторые настройки ноды 2.18 несовместимы с новой версией ноды. Перед обновлением компонентов внимательно изучите набор изменений и рекомендации по обновлению.

Порядок обновления

  • Если модули WAF‑ноды и постаналитики установлены на одном сервере, выполните шаги ниже.

  • Если модули WAF‑ноды и постаналитики установлены на разных серверах, сначала обновите модуль постаналитики, затем выполните шаги ниже для модуля WAF‑ноды.

Шаг 1: Сообщите об обновлении в техническую поддержку Валарм

Сообщите технической поддержке Валарм об обновлении и оставьте запрос на включение новой логики списков IP-адресов для вашего аккаунта. Когда новая логика будет включена, убедитесь, что в Консоли управления Валарм доступна секция Списки IP-адресов.

Шаг 2: Отключите модуль активной проверки атак (для ноды 2.16 и ниже)

Если вы обновляете ноду версии 2.16 и ниже, отключите активную проверку атак в Консоли управления Валарм → Сканер → Настройки.

При обновлении нод 2.16 и ниже работа модуля может привести к ложным срабатываниям. Отключение модуля на время обновления нод позволит минимизировать этот риск.

Шаг 3: Обновите NGINX до последней стабильной версии

Обновите NGINX / NGINX Plus до последней стабильной версии из официального репозитория.

Если в вашей инфраструктуре необходимо использовать другую версию NGINX, пожалуйста, напишите в техническую поддержку Валарм для сборки модуля WAF для кастомной версии NGINX.

Шаг 4: Подключите новый репозиторий Валарм WAF

Отключите предыдущий репозиторий Валарм WAF и подключите новый, используя команды для подходящей платформы.

CentOS и Amazon Linux 2.0.2021x и ниже

sudo yum remove wallarm-node-repo
sudo yum clean all
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/6/3.6/x86_64/Packages/wallarm-node-repo-1-6.el6.noarch.rpm
sudo yum remove wallarm-node-repo
sudo yum clean all
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/7/3.6/x86_64/Packages/wallarm-node-repo-1-6.el7.noarch.rpm

Поддержка CentOS 8.x прекращена

Поддержка CentOS 8.x прекращена. Вы можете установить ноду 3.6 на альтернативную операционную систему AlmaLinux, Rocky Linux или Oracle Linux 8.x:

Debian и Ubuntu

  1. Откройте для редактирования файл /etc/apt/sources.list.d/wallarm.list:

    sudo vim /etc/apt/sources.list.d/wallarm.list
    
  2. Закомментируйте или удалите предыдущий адрес репозитория.

  3. Добавьте новый адрес репозитория:

    deb http://repo.wallarm.com/debian/wallarm-node stretch/3.6/
    
    deb http://repo.wallarm.com/debian/wallarm-node stretch/3.6/
    deb http://repo.wallarm.com/debian/wallarm-node stretch-backports/3.6/
    
    deb http://repo.wallarm.com/debian/wallarm-node buster/3.6/
    
    deb http://repo.wallarm.com/ubuntu/wallarm-node bionic/3.6/
    
    deb http://repo.wallarm.com/ubuntu/wallarm-node focal/3.6/
    

Шаг 5: Перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую

Перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую.

Шаг 6: Обновите пакеты Валарм WAF

WAF‑нода и постаналитика на одном сервере

  1. Выполните команду для обновления модулей WAF‑ноды и постаналитики:

    sudo apt update
    sudo apt dist-upgrade
    

    Ошибка вида "signatures couldn't be verified"

    Если срок добавленных GPG-ключей истек, при обновлении пакетов возникнет ошибка вида:

    W: GPG error: http://repo.wallarm.com/ubuntu/wallarm-node focal/3.6/ Release:The following
    signatures couldn't be verified because the public key is not available: NO_PUBKEY 1111FQQW999
    E: The repository 'http://repo.wallarm.com/ubuntu/wallarm-node focal/3.6/ Release' is not signed.
    N: Updating from such a repository can't be done securely, and is therefore disabled by default.
    N: See apt-secure(8) manpage for repository creation and user configuration details.
    

    Чтобы исправить ошибку, необходимо импортировать новые ключи для пакетов Валарм и затем обновить пакеты. Используйте следующие команды:

    curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
    sudo apt update
    sudo apt dist-upgrade
    
    sudo apt update
    sudo apt dist-upgrade
    

    Ошибка вида "signatures couldn't be verified"

    Если срок добавленных GPG-ключей истек, при обновлении пакетов возникнет ошибка вида:

    W: GPG error: http://repo.wallarm.com/ubuntu/wallarm-node focal/3.6/ Release:The following
    signatures couldn't be verified because the public key is not available: NO_PUBKEY 1111FQQW999
    E: The repository 'http://repo.wallarm.com/ubuntu/wallarm-node focal/3.6/ Release' is not signed.
    N: Updating from such a repository can't be done securely, and is therefore disabled by default.
    N: See apt-secure(8) manpage for repository creation and user configuration details.
    

    Чтобы исправить ошибку, необходимо импортировать новые ключи для пакетов Валарм и затем обновить пакеты. Используйте следующие команды:

    curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
    sudo apt update
    sudo apt dist-upgrade
    
    sudo yum update
    
  2. Если менеджер пакетов запросит подтверждение на перезапись конфигурационного файла /etc/cron.d/wallarm-node-nginx:

    1. Убедитесь, что миграция списков IP‑адресов выполнена.
    2. Введите Y для подтверждения перезаписи файла.

      Запрос появится, если вы изменяли конфигурационный файл /etc/cron.d/wallarm-node-nginx в предыдущих версиях. В версиях 3.x изменилась логика работы списков IP‑адресов, поэтому содержимое конфигурационного файла /etc/cron.d/wallarm-node-nginx было обновлено. Для корректной работы черных списков IP‑адресов в новой версии необходимо использовать обновленный конфигурационный файл.

      По умолчанию менеджер пакетов использует опцию N, но для коррекной работы черного списка IP‑адресов необходимо отправить опцию Y.

WAF‑нода и постаналитика на разных серверах

Порядок обновления модулей

Если WAF‑нода и постаналитика установлены на разных серверах, необходимо обновить пакеты постаналитики перед обновлением пакетов WAF‑ноды.

  1. Обновите пакеты постаналитики.

  2. Обновите пакеты WAF‑ноды:

    sudo apt update
    sudo apt dist-upgrade
    

    Ошибка вида "signatures couldn't be verified"

    Если срок добавленных GPG-ключей истек, при обновлении пакетов возникнет ошибка вида:

    W: GPG error: http://repo.wallarm.com/ubuntu/wallarm-node focal/3.6/ Release:The following
    signatures couldn't be verified because the public key is not available: NO_PUBKEY 1111FQQW999
    E: The repository 'http://repo.wallarm.com/ubuntu/wallarm-node focal/3.6/ Release' is not signed.
    N: Updating from such a repository can't be done securely, and is therefore disabled by default.
    N: See apt-secure(8) manpage for repository creation and user configuration details.
    

    Чтобы исправить ошибку, необходимо импортировать новые ключи для пакетов Валарм и затем обновить пакеты. Используйте следующие команды:

    curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
    sudo apt update
    sudo apt dist-upgrade
    
    sudo apt update
    sudo apt dist-upgrade
    

    Ошибка вида "signatures couldn't be verified"

    Если срок добавленных GPG-ключей истек, при обновлении пакетов возникнет ошибка вида:

    W: GPG error: http://repo.wallarm.com/ubuntu/wallarm-node focal/3.6/ Release:The following
    signatures couldn't be verified because the public key is not available: NO_PUBKEY 1111FQQW999
    E: The repository 'http://repo.wallarm.com/ubuntu/wallarm-node focal/3.6/ Release' is not signed.
    N: Updating from such a repository can't be done securely, and is therefore disabled by default.
    N: See apt-secure(8) manpage for repository creation and user configuration details.
    

    Чтобы исправить ошибку, необходимо импортировать новые ключи для пакетов Валарм и затем обновить пакеты. Используйте следующие команды:

    curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
    sudo apt update
    sudo apt dist-upgrade
    
    sudo yum update
    
  3. Если менеджер пакетов запросит подтверждение на перезапись конфигурационного файла /etc/cron.d/wallarm-node-nginx:

    1. Убедитесь, что миграция списков IP‑адресов выполнена.
    2. Введите Y для подтверждения перезаписи файла.

      Запрос появится, если вы изменяли конфигурационный файл /etc/cron.d/wallarm-node-nginx в предыдущих версиях. В версиях 3.x изменилась логика работы списков IP‑адресов, поэтому содержимое конфигурационного файла /etc/cron.d/wallarm-node-nginx было обновлено. Для корректной работы черных списков IP‑адресов в новой версии необходимо использовать обновленный конфигурационный файл.

      По умолчанию менеджер пакетов использует опцию N, но для коррекной работы черного списка IP‑адресов необходимо отправить опцию Y.

Шаг 7: Обновите страницу блокировки Валарм

В новой версии ноды изменилась страница блокировки Валарм, &/usr/share/nginx/html/wallarm_blocked.html. После обновления пакетов, по этому пути будет доступна новая версия страницы.

Теперь на странице по умолчанию не заданы логотип и почта. Если вы используете страницу &/usr/share/nginx/html/wallarm_blocked.html, скопируйте и отредактируйте ее по инструкции.

Шаг 8: Переименуйте параметры ноды

В новой версии ноды Валарм изменились названия некоторых параметров. Если в текущей конфигурации ноды эти параметры заданы явно, рекомендуем их переименовать.

Изменились названия следующих параметров:

Параметры с устаревшими названиями временно поддерживаются, но в будущих релизах их поддержка прекратится полностью. Логика параметров не изменилась.

Шаг 9: Адаптируйте настройку режимов фильтрации трафика

  1. Убедитесь, что ожидаемое поведение следующих настроек соответствует изменениям в логике работы режимов off и monitoring:

  2. Если ожидаемое поведение не соответствует изменениям в логике работы режимов off и monitoring, адаптируйте настройку режимов фильтрации.

Шаг 10: Перезапустите NGINX

sudo systemctl restart nginx
sudo service nginx restart
sudo systemctl restart nginx

Шаг 11: Протестируйте работу Валарм

  1. Отправьте тестовый запрос с атаками SQLI и XSS на адрес приложения:

    curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
    
  2. Перейдите в Консоль управления Валарм → секция События для EU‑Облака или для RU‑Облака и убедитесь, что атаки появились в списке.

    Атаки в интерфейсе

Шаг 12: Включите модуль активной проверки атак (при обновлении ноды 2.16 и ниже)

Ознакомьтесь с рекомендациями по настройке модуля активной проверки атак и заново включите модуль, если требуется.

После обновления ноды и повторного включения модуля, убедитесь, что работа модуля не приводит к ложным срабатываниям. При обнаружении ложных срабатываний, пожалуйста, обратитесь в техническую поддержку Валарм.

Настройка

Модули Валарм WAF обновлены до версии 3.6. Остальные настройки Валарм WAF из предыдущей версии применятся к новой версии автоматически. Чтобы применить дополнительные настройки, используйте доступные директивы.

Частые настройки:

К началу