SquidGuardi seadistamine, sisureeglite lubamine ja kalmaaride logide analüüs - 6. osa


LFCE ( Linux Foundationi sertifitseeritud insener ) on professionaal, kellel on vajalikud oskused Linuxi süsteemide võrguteenuste installimiseks, haldamiseks ja tõrkeotsinguks, ning vastutab kogu süsteemi arhitektuuri kujundamine, juurutamine ja pidev hooldamine.

Tutvustame Linux Foundationi sertifitseerimisprogrammi.

Eelmistes postitustes arutasime, kuidas installida Squid + squidGuard ja kuidas seadistada kalmaare juurdepääsutaotluste õigeks käsitsemiseks või piiramiseks. Enne jätkamist veenduge, et läbiksite need kaks õpetust ja installiksite nii Squid kui ka squidGuard, kuna need määravad tausta ja konteksti sellele, mida selles postituses käsitleme: squidguardi integreerimine töötavasse kalmaarikeskkonda, et rakendada musta nimekirja reegleid ja sisu kontrolli puhverserver.

  1. Installige Squid ja SquidGuard - 1. osa
  2. Piiratud juurdepääsuga kalmaaride puhverserveri seadistamine - 5. osa

Milleks saan/ei saa SquidGuardi kasutada?

Kuigi squidGuard kindlasti suurendab ja täiustab kalmaari funktsioone, on oluline rõhutada, mida ta suudab ja mida ei saa teha.

squidGuardi saab kasutada:

  1. piirake mõnede kasutajate jaoks lubatud veebipääsu ainult aktsepteeritud/tuntud veebiserverite ja/või URL-ide loendiga, keelates samal ajal juurdepääsu teistele musta nimekirja kantud veebiserveritele ja/või URL-idele.
  2. blokeerige juurdepääs saitidele (IP-aadressi või domeeninime järgi), mis sobib mõne kasutaja regulaaravaldiste või sõnade loendiga.
  3. nõuda domeeninimede kasutamist/keelata URL-ides IP-aadressi kasutamine.
  4. suunake blokeeritud URL-id vea- või infolehtedele.
  5. kasutage erinevaid juurdepääsureegleid, mis põhinevad kellaajal, nädalapäeval, kuupäeval jne.
  6. rakendada erinevatele kasutajagruppidele erinevaid reegleid.

Kuid ei squidGuardi ega kalmaari ei saa kasutada:

  1. analüüsige dokumentides olevat teksti ja tegutsege selle tulemusel.
  2. tuvastage või blokeerige HTML-koodi sees manustatud skriptikeeled, näiteks JavaScripti, Pythoni või VBscript.

Mustad nimekirjad on squidGuardi oluline osa. Põhimõtteliselt on need lihttekstifailid, mis võimaldavad konkreetsete märksõnade põhjal juurutada sisufiltreid. Seal on nii vabalt saadaval olevaid kui ka kaubanduslikke musti nimekirju ning allalaadimislingid leiate kalmaaride mustade nimekirjade projekti veebisaidilt.

Selles õpetuses näitan teile, kuidas integreerida Shalla Secure Servicesi pakutavad mustad loendid oma squidGuardi installi. Need mustad nimekirjad on isiklikuks/mitteäriliseks kasutamiseks tasuta ja neid uuendatakse iga päev. Need sisaldavad tänasest alates üle 1 700 000 kirjet.

Oma mugavuse huvides looge musta nimekirja paketi allalaadimiseks kataloog.

# mkdir /opt/3rdparty
# cd /opt/3rdparty 
# wget http://www.shallalist.de/Downloads/shallalist.tar.gz

Uusim allalaadimislink on alati saadaval, nagu allpool esile tõstetud.

Pärast äsja allalaaditud faili määramise tühistamist sirvime musta nimekirja ( BL ) kausta.

# tar xzf shallalist.tar.gz 
# cd BL
# ls

Võite mõelda kataloogides, mis kuvatakse ls väljundis, tagaliste kategooriatena, ja nende vastavatele (valikulistele) alamkataloogidele kui alamkategooriatele, kahanedes kuni konkreetsete URL-ide ja domeenideni, mis on failides loetletud URL-id ja domeenid . Lisateavet leiate allolevalt pildilt.

Kogu paketi must nimekiri või üksikute kategooriate installimine toimub kataloogi BL või vastavalt selle ühe alamkataloogide kopeerimisega kausta /var/kataloog lib/squidguard/db .

Muidugi oleksite võinud kõigepealt sellesse kataloogi alla laadida musta nimekirja tarballi, kuid varem selgitatud lähenemisviis annab teile suurema kontrolli selle üle, millised kategooriad tuleks konkreetsel ajal blokeerida (või mitte).

Järgmisena näitan teile, kuidas installida anonvpn , häkkimine ja vestlus mustad loendid ning kuidas squidGuard nende kasutamiseks konfigureerida.

1. samm : kopeerige rekursiivselt anonvpn , häkkimise ja vestluse kataloogid saidilt /opt/3rdparty/BL kuni /var/lib/squidguard/db .

# cp -a /opt/3rdparty/BL/anonvpn /var/lib/squidguard/db
# cp -a /opt/3rdparty/BL/hacking /var/lib/squidguard/db
# cp -a /opt/3rdparty/BL/chat /var/lib/squidguard/db

2. samm : kasutage squidguardi andmebaasifailide loomiseks domeene ja URL-faile. Pange tähele, et järgmine käsk töötab kõigi installitud mustade nimekirjade .db failide loomiseks - isegi kui teatud kategoorias on 2 või enam alamkategooriat.

# squidGuard -C all

3. samm : muutke kataloogi /var/lib/squidguard/db/ ja selle sisu puhverserveri kasutajaks, et kalmaar saaks andmebaasifaile lugeda.

# chown -R proxy:proxy /var/lib/squidguard/db/

4. samm : seadistage kalmaar squidGuardi kasutamiseks. Kasutame Squidi käsku url_rewrite_program saidil /etc/squid/squid.conf , et käskida Squidil kasutada URL-i ümberkirjutajana/ümbersuunajana squidGuardi.

Lisage järgmine rida saidile squid.conf ja veenduge, et /usr/bin/squidGuard oleks teie puhul õige absoluutne tee.

# which squidGuard
# echo "url_rewrite_program $(which squidGuard)" >> /etc/squid/squid.conf
# tail -n 1 /etc/squid/squid.conf

5. samm : lisage squidGuardi konfiguratsioonifaili (mis asub saidil /etc/squidguard/squidGuard.conf ) vajalikud juhised.

Lisateabe saamiseks vaadake ülaltoodud ekraanipilti pärast järgmist koodi.

src localnet {
        ip      192.168.0.0/24
}

dest anonvpn {
        domainlist      anonvpn/domains
        urllist         anonvpn/urls
}
dest hacking {
        domainlist      hacking/domains
        urllist         hacking/urls
}
dest chat {
        domainlist      chat/domains
        urllist         chat/urls
}

acl {
        localnet {
                        pass     !anonvpn !hacking !chat !in-addr all
                        redirect http://www.lds.org
                }
        default {
                        pass     local none
        }
}

6. samm : taaskäivitage kalmaar ja testige.

# service squid restart 		[sysvinit / Upstart-based systems]
# systemctl restart squid.service 	[systemctl-based systems]

Avage kohalikus võrgus kliendis veebibrauser ja sirvige mis tahes mustas nimekirjas failidest (domeenid või URL-id) leitud saiti - järgmises näites kasutame vestlust http://spin.de/ ) ja teid suunatakse teisele URL-ile, sel juhul aadressile www.lds.org .

Saate kontrollida, kas taotlus tehti puhverserverisse, kuid lükati tagasi (301 http-vastus - Teisaldati jäädavalt ) ja suunati selle asemel aadressile www.lds.org .

Kui peate mingil põhjusel lubama kategooria, mis on varem blokeeritud, eemaldage vastav kataloog /var/lib/squidguard/db -st ja kommenteerige (või kustutage) seotud acl failis squidguard.conf .

Näiteks kui soovite lubada kategoorias anonvpn musta nimekirja kantud domeenid ja URL-id, peate tegema järgmised toimingud.

# rm -rf /var/lib/squidguard/db/anonvpn

Ja muutke faili squidguard.conf järgmiselt.

Pange tähele, et jaotises ENNE kollasega esile tõstetud osad kustutatakse jaotisest PÄRAST .

Mõnikord võite lubada teatud URL-e või domeene , kuid mitte tervet musta nimekirja kantud kataloogi. Sellisel juhul peaksite looma kataloogi nimega myWhiteLists (või mis tahes nime valite) ja sisestama soovitud URL-id ja domeenid jaotise alla/var/lib/squidguard/db/myWhiteLists failides, mille nimi on vastavalt URL ja domeen.

Seejärel lähtestage uued sisureeglid nagu varem,

# squidGuard -C all

ja muutke squidguard.conf järgmiselt.

Nagu varemgi, näitavad kollasega esile tõstetud osad muudatusi, mis tuleb lisada. Pange tähele, et string myWhiteLists peab olema esimene passiga algavas reas.

Lõpuks pidage muudatuste rakendamiseks Squid taaskäivitama.

Järeldus

Pärast selles õpetuses kirjeldatud sammude järgimist peaks teil olema võimas sisufilter ja URL-i ümbersuunaja, mis töötab teie kalmaari puhverserveriga käsikäes. Kui teil tekib installimise/seadistamise käigus mingeid probleeme või kui teil on küsimusi või kommentaare, võiksite viidata squidGuardi veebidokumentatsioonile, kuid visake alati meile alloleva vormi abil rida ja võtame teiega ühendust niipea kui võimalik võimalik.