SquidGuardin määrittäminen, sisältösääntöjen ottaminen käyttöön ja Squid-lokien analysointi - Osa 6


LFCE (Linux Foundation Certified Engineer) on ammattilainen, jolla on tarvittavat taidot verkkopalvelujen asentamiseen, hallintaan ja vianmääritykseen Linux-järjestelmissä ja joka vastaa järjestelmäarkkitehtuurin suunnittelu, toteutus ja jatkuva ylläpito kokonaisuudessaan.

Esittelyssä Linux Foundation -sertifiointiohjelma.

Aiemmissa viesteissä keskustelimme, kuinka Squid + squidGuard asennetaan ja kuinka squid määritetään käsittelemään tai rajoittamaan käyttöpyyntöjä oikein. Varmista, että käyt läpi nämä kaksi opetusohjelmaa ja asennat sekä Squid että squidGuard, ennen kuin jatkat, sillä ne asettavat taustan ja kontekstin sille, mitä käsittelemme tässä viestissä: squidguardin integrointi toimivaan squid-ympäristöön mustan listan sääntöjen ja sisällön hallinnan toteuttamiseksi välityspalvelin.

Vaatimukset

  1. Asenna Squid ja SquidGuard – Osa 1
  2. Squid-välityspalvelimen määrittäminen rajoitetulla pääsyllä – Osa 5

Mihin voin/en voi käyttää SquidGuardia?

Vaikka squidGuard varmasti parantaa ja parantaa Squidin ominaisuuksia, on tärkeää korostaa, mitä se voi tehdä ja mitä se ei voi tehdä.

squidGuardia voidaan käyttää:

  1. rajoittaa joidenkin käyttäjien sallittu verkkokäyttö vain hyväksyttyjen/tunnettujen verkkopalvelimien ja/tai URL-osoitteiden luetteloon, samalla kun estät pääsyn muille mustalle listalle oleville verkkopalvelimille ja/tai URL-osoitteille.
  2. estää pääsyn sivustoille (IP-osoitteen tai verkkotunnuksen nimen perusteella), jotka vastaavat säännöllisten lausekkeiden tai sanojen luetteloa joillekin käyttäjille.
  3. vaatia verkkotunnusten käyttöä/kieltää IP-osoitteiden käyttö URL-osoitteissa.
  4. uudelleenohjaa estetyt URL-osoitteet virhe- tai tietosivuille.
  5. käytä erillisiä pääsysääntöjä vuorokaudenajan, viikonpäivän, päivämäärän jne. perusteella.
  6. ottaa käyttöön erilaisia sääntöjä eri käyttäjäryhmille.

SquidGuardia tai Squidiä ei kuitenkaan voida käyttää:

  1. analysoida asiakirjojen sisällä olevaa tekstiä ja toimia tuloksena.
  2. havaita tai estää HTML-koodin sisällä upotetut komentosarjakielet, kuten JavaScript, Python tai VBscript.

Mustat listat – perusasiat

Mustat listat ovat olennainen osa squidGuardia. Pohjimmiltaan ne ovat pelkkiä tekstitiedostoja, joiden avulla voit toteuttaa sisältösuodattimia tiettyjen avainsanojen perusteella. Siellä on sekä vapaasti saatavilla olevia että kaupallisia mustia listoja, ja latauslinkit löydät squidguard blacklists -projektin verkkosivuilta.

Tässä opetusohjelmassa näytän sinulle, kuinka voit integroida Shalla Secure Servicesin tarjoamat mustat listat squidGuard-asennukseesi. Nämä mustat listat ovat ilmaisia henkilökohtaiseen/ei-kaupalliseen käyttöön, ja niitä päivitetään päivittäin. Nykyään ne sisältävät yli 1 700 000 merkintää.

Luodaan avuksemme hakemisto mustan listan paketin lataamista varten.

mkdir /opt/3rdparty
cd /opt/3rdparty 
wget http://www.shallalist.de/Downloads/shallalist.tar.gz

Uusin latauslinkki on aina saatavilla alla korostetulla tavalla.

Kun äskettäin ladatusta tiedostosta on poistettu tarra, siirrymme mustan listan (BL) kansioon.

tar xzf shallalist.tar.gz 
cd BL
ls

Voit ajatella ls:n tulosteessa näkyvät hakemistot backlist-luokkiksi ja niitä vastaavat (valinnaiset) alihakemistot alaluokiksi, jotka laskeutuvat aina tiettyihin URL-osoitteisiin ja verkkotunnuksiin, jotka on lueteltu tiedostoissa. URL-osoitteet ja verkkotunnukset. Katso lisätietoja alla olevasta kuvasta.

Mustien listojen asentaminen

Koko mustan listan paketin tai yksittäisten luokkien asennus suoritetaan kopioimalla BL-hakemisto tai yksi sen alihakemistoista /var/ lib/squidguard/db -hakemistosta.

Tietenkin olisit voinut ladata mustan listan tarballin tähän hakemistoon alun perin, mutta aiemmin selitetty lähestymistapa antaa sinulle enemmän hallintaa siihen, mitkä luokat tulisi estää (tai ei) tiettynä ajankohtana.

Seuraavaksi näytän sinulle, kuinka anonvpn-, hakkerointi ja chat-mustat listat asennetaan ja kuinka squidGuard määritetään käyttämään niitä.

Vaihe 1: Kopioi rekursiivisesti anonvpn-, hakkerointi- ja chat-hakemistot osoitteesta /opt/3rdparty/ BL osoitteeseen /var/lib/squidguard/db.

cp -a /opt/3rdparty/BL/anonvpn /var/lib/squidguard/db
cp -a /opt/3rdparty/BL/hacking /var/lib/squidguard/db
cp -a /opt/3rdparty/BL/chat /var/lib/squidguard/db

Vaihe 2: Luo squidguardin tietokantatiedostoja verkkotunnus- ja URL-tiedostojen avulla. Huomaa, että seuraava komento toimii .db-tiedostojen luomisessa kaikille asennetuille mustille listoille – myös silloin, kun tietyllä luokalla on 2 tai useampia alakategorioita.

squidGuard -C all

Vaihe 3: Vaihda hakemiston /var/lib/squidguard/db/ ja sen sisällön omistajuus välityspalvelimen käyttäjälle, jotta Squid voi lukea tietokantatiedostoja.

chown -R proxy:proxy /var/lib/squidguard/db/

Vaihe 4: Määritä Squid käyttämään squidGuardia. Käytämme Squidin url_rewrite_program-direktiiviä tiedostossa /etc/squid/squid.conf käskemään SquidGuardia käyttämään URL-osoitteen uudelleenkirjoittajana/uudelleenohjaajaa.

Lisää seuraava rivi tiedostoon squid.conf ja varmista, että /usr/bin/squidGuard on oikea absoluuttinen polku tapauksessasi.

which squidGuard
echo "url_rewrite_program $(which squidGuard)" >> /etc/squid/squid.conf
tail -n 1 /etc/squid/squid.conf

Vaihe 5: Lisää tarvittavat käskyt squidGuardin asetustiedostoon (sijaitsee osoitteessa /etc/squidguard/squidGuard.conf).

Katso lisätietoja yllä olevasta kuvakaappauksesta seuraavan koodin jälkeen.

src localnet {
        ip      192.168.0.0/24
}

dest anonvpn {
        domainlist      anonvpn/domains
        urllist         anonvpn/urls
}
dest hacking {
        domainlist      hacking/domains
        urllist         hacking/urls
}
dest chat {
        domainlist      chat/domains
        urllist         chat/urls
}

acl {
        localnet {
                        pass     !anonvpn !hacking !chat !in-addr all
                        redirect http://www.lds.org
                }
        default {
                        pass     local none
        }
}

Vaihe 6: Käynnistä Squid uudelleen ja testaa.

service squid restart 		[sysvinit / Upstart-based systems]
systemctl restart squid.service 	[systemctl-based systems]

Avaa verkkoselain paikallisverkon asiakassovelluksessa ja selaa missä tahansa mustalla listalla olevaan tiedostoon (verkkotunnukset tai URL-osoitteet – käytämme seuraavassa esimerkissä http://spin.de/-chattia) ) ja sinut ohjataan toiseen URL-osoitteeseen, tässä tapauksessa www.lds.org.

Voit varmistaa, että pyyntö lähetettiin välityspalvelimelle, mutta se evättiin (301 http-vastaus – Siirretty pysyvästi) ja sen sijaan ohjattiin osoitteeseen www.lds.org.

Rajoitusten poistaminen

Jos jostain syystä sinun on otettava käyttöön aiemmin estetty luokka, poista vastaava hakemisto hakemistosta /var/lib/squidguard/db ja kommentoi (tai poista) liittyvä acl. squidguard.conf-tiedostossa.

Jos esimerkiksi haluat ottaa käyttöön anonvpn-luokan mustalle listalle merkityt verkkotunnukset ja URL-osoitteet, sinun on suoritettava seuraavat vaiheet.

rm -rf /var/lib/squidguard/db/anonvpn

Ja muokkaa squidguard.conf-tiedostoa seuraavasti.

Huomaa, että kohdassa ENNEN keltaisella korostetut osat on poistettu kohdassa JÄLKEEN.

Tiettyjen verkkotunnusten ja URL-osoitteiden lisääminen sallittujen luetteloon

Joskus saatat haluta sallia tietyt URL-osoitteet tai verkkotunnukset, mutta et koko mustalle listalle merkittyä hakemistoa. Siinä tapauksessa sinun tulee luoda hakemisto nimeltä myWhiteLists (tai mikä tahansa valitsemasi nimi) ja lisätä haluamasi URL-osoitteet ja verkkotunnukset kohtaan /var/lib/squidguard/db/myWhiteLists tiedostoissa, joiden nimi on urls ja domains.

Alusta sitten uudet sisältösäännöt kuten ennenkin,

squidGuard -C all

ja muokkaa tiedostoa squidguard.conf seuraavasti.

Kuten ennenkin, keltaisella korostetut osat osoittavat lisättävät muutokset. Huomaa, että myWhiteLists-merkkijonon on oltava pass-alkuisen rivin ensimmäisenä.

Muista lopuksi käynnistää Squid uudelleen, jotta muutokset otetaan käyttöön.

Johtopäätös

Kun olet noudattanut tässä opetusohjelmassa esitettyjä vaiheita, sinulla pitäisi olla tehokas sisältösuodatin ja URL-uudelleenohjaus, jotka toimivat käsi kädessä Squid-välityspalvelimesi kanssa. Jos sinulla on ongelmia asennuksen/määritysprosessin aikana tai sinulla on kysyttävää tai kommentteja, voit halutessasi tutustua squidGuardin verkkodokumentaatioon, mutta voit aina lähettää meille viestin alla olevalla lomakkeella, niin otamme sinuun yhteyttä heti, kun mahdollista.