雷池 SafeLine 社区版 SSL站点部署

接上一篇，chaitin雷池出了社区版，换上来试试，目前版本功能还比较少，没有访问日志，只告警不阻断的模式，只有有攻击的时候才记录日志，希望能尽快迭代功能。（家用测试，侵删）

项目地址：https://github.com/chaitin/safeline

docker环境安装：https://docs.docker.com/engine/install/centos/

一、部署：还是上一次的一样虚机上，

100G硬盘，1核，1G内存，CentOS 7 最小化安装，装服务器就不写了

二、关闭防火墙

service firewalld stop

如果直接用上次部署的那个机器，注意杀掉之前的进程，不会杀的话直接重启服务器（reboot）就行了

三、安装docker及docker compose

网址：https://docs.docker.com/engine/install/centos/

按照文档直接一步一步复制粘贴即可

sudo yum install -y yum-utils

sudo yum-config-manager \

    --add-repo \

    https://download.docker.com/linux/centos/docker-ce.repo

sudo yum install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

一路y

安装常用工具

yum install wget

yum install unzip

yum install net-tools

yum install telnet

提前开启docker服务，等下安装会用到

service docker start

下载安装引导包：

`wget https://github.com/chaitin/safeline/releases/download/v1.0.2/safeline.zip -O safeline.zip && unzip safeline.zip`

这步可能报错或者卡住，需要能访问github，多试几次，实在不行我发包给你们

执行安装：

cd safeline

./safeline-ce.sh

按y

等所有的条加载完，就安装完毕了，装不上说明网有问题，多试几次，或者切换科学环境

docker ps查看当前起的容器：

docker image ls 查看下载的镜像：

四、界面配置

访问https://IP:9443进行访问

然后需要扫码绑定令牌，我个人用的synology的令牌 secure signin，Google的令牌或者微软的应该也都能用。

群晖的在下面链接里面搜下

https://www.synology.cn/zh-cn/support/download/DS920+?version=7.1#androids

或者直接下载：

https://cndl.synology.cn/download/Mobile/Android-SecureSignIn/1.1.1-121/Android-Authenticator.1.1.1-121.cn.apk

进来以后当前功能还比较少

新建站点吧，只讲HTTPS站点和证书制作，

1、域名：可填可不填，无所谓；

2、端口：waf用来代理业务的端口，假设为5001

3、证书：可以先点生成自签证书，确认部署状态无问题，后续再替换程对应的正确证书

4、上游服务器：填写上游服务器URL，如http://IPA:5000,注意这里只能填写http的，和之前httpwaf一样，做SSL加载，不支持直接加HTTPS的URL

配置完毕后，访问 https://wafip:5001

能够正确显示页面内容说明部署无问题，下一步替换正确的SSL证书

五、上传SSL证书

1、修改本地电脑hosts文件，将域名指到对应IP

C:\Windows\System32\drivers\etc

或者本地有dns服务器的话加一条重写：

2、下载SSL证书

找不见地方的看上一篇，有详细步骤

这次下载Apache对应的证书文件

解压后看到有三个文件，

key是私钥，直接拖到下面

crt的是证书文件，有俩，需要合成一下，顺序是先xxxxx.public.crt，后面跟着xxxxx.com.crt

点提交，无报错即可

如果有报错，很有可能就是crt文件合成的时候有了空格或者空行，或者顺序错了

路由器映射wafIP+业务代理端口即可，不要映射9443！！！

六、测试

目前没有访问日志，只能通过攻击进行测试了

打个小sql，刷个日志看看

https://domain:port/?id=1%20AND%201=1

防护效果：

产生对应日志，点击详情可以查看攻击报文：

顺便吐槽一下，那个“这是误报，点击反馈”点一下直接就提交了，没有确认窗口

chaitin的口碑和产品还是可以的，希望功能尽快多起来，同时还得观察下是否会上报防护日志、流量之类，有数据上报的话可能还是还回去httpwaf好一些，毕竟waf上是有SSL证书和私钥的，个人还是不太喜欢会收集用户数据的东西。