SquidGuardin määrittäminen, sisältösääntöjen käyttöönotto ja Squid-lokien analysointi - osa 6
LFCE ( Linux Foundation Certified Engineer ) on ammattilainen, jolla on tarvittavat taidot verkkopalvelujen asentamiseen, hallintaan ja vianetsintään Linux-järjestelmissä, ja hän vastaa koko arkkitehtuurin suunnittelu, toteutus ja jatkuva ylläpito.
Esittelyssä Linux Foundation -sertifiointiohjelma.
Aikaisemmissa viesteissä keskustelimme Squid + squidGuard -asennuksen asentamisesta ja miten kalmari määritetään käsittelemään tai rajoittamaan käyttöoikeuspyyntöjä. Varmista, että olet käynyt läpi nämä kaksi opetusohjelmaa ja asentanut sekä Squid että SquidGuard ennen jatkamista, koska ne asettavat taustan ja kontekstin sille, mitä käsittelemme tässä viestissä: Squidguardin integrointi toimivaan kalmariympäristöön mustan listan sääntöjen ja sisällön hallinnan toteuttamiseksi välityspalvelin.
- Asenna Squid ja SquidGuard - osa 1
- Squid-välityspalvelimen määrittäminen rajoitetulla pääsyllä - osa 5
Mihin SquidGuardia voi/ei voi käyttää?
Vaikka squidGuard varmasti lisää ja parantaa kalmarin ominaisuuksia, on tärkeää korostaa, mitä se voi ja mitä se ei voi tehdä.
squidGuardia voidaan käyttää:
- rajoittaa joidenkin käyttäjien sallittu verkkoyhteys luetteloon hyväksytyistä/tunnetuista verkkopalvelimista ja/tai URL-osoitteista, samalla kun estetään pääsy muihin mustalla listalla oleviin verkkopalvelimiin ja/tai URL-osoitteisiin.
- estä pääsy sivustoille (IP-osoitteen tai verkkotunnuksen nimellä), joka vastaa joidenkin käyttäjien säännöllisten lausekkeiden tai sanojen luetteloa.
- vaatia verkkotunnusten käyttöä/kieltää IP-osoitteiden käyttö URL-osoitteissa.
- ohjaa estetyt URL-osoitteet virhe- tai tietosivuille.
- käytä erillisiä käyttöoikeuksia kellonajan, viikonpäivän, päivämäärän jne. perusteella.
- ota käyttöön erilaiset säännöt erillisille käyttäjäryhmille.
SquidGuardia tai Squidia ei kuitenkaan voida käyttää:
- analysoi asiakirjoissa olevaa tekstiä ja toimi tuloksena.
- havaita tai estää HTML-koodin sisällä upotetut komentokielet, kuten JavaScript, Python tai VBscript.
Mustat listat ovat olennainen osa squidGuardia. Pohjimmiltaan ne ovat pelkkää tekstitiedostoa, jonka avulla voit toteuttaa sisältösuodattimia tiettyjen avainsanojen perusteella. Löydät sekä vapaasti saatavilla olevia että kaupallisia mustia listoja, ja latauslinkit löydät kalmarisuojan mustan listan projektin verkkosivustolta.
Tässä opetusohjelmassa näytän sinulle, kuinka integroida Shalla Secure Servicesin tarjoamat mustat listat squidGuard -asennukseesi. Nämä mustat listat ovat ilmaisia henkilökohtaiseen/ei-kaupalliseen käyttöön ja niitä päivitetään päivittäin. Ne sisältävät tästä päivästä lähtien yli 1.700.000 merkintää.
Luomaan hakemistomme helpottamiseksi mustan listan paketti.
# mkdir /opt/3rdparty # cd /opt/3rdparty # wget http://www.shallalist.de/Downloads/shallalist.tar.gz
Uusin latauslinkki on aina saatavana alla korostettuna.
Kun olet purkanut äskettäin ladatun tiedoston kohdistamisen, selataan mustalle listalle ( BL ).
# tar xzf shallalist.tar.gz # cd BL # ls
Voit ajatella hakemistoja, jotka näkyvät ls : n tuloksessa backlist-luokkina, ja niiden vastaavat (valinnaiset) alihakemistot alaluokkina, laskemalla aina tietyissä URL-osoitteissa ja toimialueissa, jotka on lueteltu tiedostoissa URL-osoitteet ja verkkotunnukset . Katso lisätietoja alla olevasta kuvasta.
Koko mustan listan paketti tai yksittäiset luokat asennetaan kopioimalla BL -hakemisto tai yksi sen alihakemistoista /var/lib/squidguard/db -hakemisto.
Tietysti olisit voinut ladata mustan listan tarballin ensin tähän hakemistoon, mutta aiemmin selitetty lähestymistapa antaa sinulle paremman hallinnan siitä, mitkä luokat tulisi estää (tai ei) tietyllä hetkellä.
Seuraavaksi näytän sinulle, miten anonvpn , hakkerointi ja chat mustat listat asennetaan ja miten squidGuard määritetään käyttämään niitä.
Vaihe 1 : Kopioi rekursiivisesti anonvpn , hakkerointi ja chat -hakemistot kansiosta /opt/3rdparty/BL - /var/lib/squidguard/db .
# cp -a /opt/3rdparty/BL/anonvpn /var/lib/squidguard/db # cp -a /opt/3rdparty/BL/hacking /var/lib/squidguard/db # cp -a /opt/3rdparty/BL/chat /var/lib/squidguard/db
Vaihe 2 : Luo squidguard-tietokantatiedostot verkkotunnusten ja URL-tiedostojen avulla. Huomaa, että seuraava komento toimii .db -tiedostojen luomisessa kaikille asennetuille mustille listoille, vaikka tietyssä luokassa olisi vähintään 2 alaluokkaa.
# squidGuard -C all
Vaihe 3 : Vaihda /var/lib/squidguard/db/ -hakemiston ja sen sisällön välityspalvelimen käyttäjä, jotta Squid voi lukea tietokantatiedostot.
# chown -R proxy:proxy /var/lib/squidguard/db/
Vaihe 4 : Määritä Squid käyttämään squidGuardia. Käytämme Squidin url_rewrite_program -direktiiviä /etc/squid/squid.conf -sovelluksessa kertomaan Squidille, että se käyttää squidGuardia URL-kirjoittajana/uudelleenohjaajana.
Lisää seuraava rivi squid.conf -kansioon varmistaen, että /usr/bin/squidGuard on oikea absoluuttinen polku tapauksessasi.
# which squidGuard # echo "url_rewrite_program $(which squidGuard)" >> /etc/squid/squid.conf # tail -n 1 /etc/squid/squid.conf
Vaihe 5 : Lisää tarvittavat ohjeet squidGuardin määritystiedostoon (sijaitsee /etc/squidguard/squidGuard.conf -palvelussa).
Katso lisätietoja yllä olevasta kuvakaappauksesta seuraavan koodin jälkeen.
src localnet {
ip 192.168.0.0/24
}
dest anonvpn {
domainlist anonvpn/domains
urllist anonvpn/urls
}
dest hacking {
domainlist hacking/domains
urllist hacking/urls
}
dest chat {
domainlist chat/domains
urllist chat/urls
}
acl {
localnet {
pass !anonvpn !hacking !chat !in-addr all
redirect http://www.lds.org
}
default {
pass local none
}
}
Vaihe 6 : Käynnistä kalmari uudelleen ja testaa.
# service squid restart [sysvinit / Upstart-based systems] # systemctl restart squid.service [systemctl-based systems]
Avaa verkkoselain asiakkaan lähiverkossa ja selaa mistä tahansa mustan listan tiedostoista (toimialueet tai URL-osoitteet - käytämme seuraavassa esimerkissä http://spin.de/ -keskustelua) ) ja sinut ohjataan toiseen URL-osoitteeseen, tässä tapauksessa www.lds.org .
Voit tarkistaa, että pyyntö tehtiin välityspalvelimelle, mutta se hylättiin (301 http -vastausta - Siirretty pysyvästi ) ja ohjataan sen sijaan osoitteeseen www.lds.org .
Jos jostain syystä sinun on otettava käyttöön luokka, joka on estetty aiemmin, poista vastaava hakemisto hakemistosta /var/lib/squidguard/db ja kommentoi (tai poista) siihen liittyvä acl tiedostossa squidguard.conf .
Jos esimerkiksi haluat ottaa käyttöön anonvpn -luokan mustalla listalla olevat verkkotunnukset ja URL-osoitteet, sinun on suoritettava seuraavat vaiheet.
# rm -rf /var/lib/squidguard/db/anonvpn
Ja muokkaa squidguard.conf -tiedostoa seuraavasti.
Huomaa, että keltaisella korostetut osat kohdassa ENNEN on poistettu kohdasta JÄLKEEN .
Joskus haluat ehkä sallia tietyt URL-osoitteet tai verkkotunnukset , mutta et koko mustalla listalla olevaa hakemistoa. Siinä tapauksessa sinun tulisi luoda hakemisto nimeltä myWhiteLists (tai mikä tahansa valitsemasi nimi) ja lisätä haluamasi URL-osoitteet ja verkkotunnukset kohtaan /var/lib/squidguard/db/myWhiteLists tiedostoissa, joiden nimi on vastaavasti URL ja verkkotunnus.
Alusta sitten uudet sisältösäännöt kuten aiemmin,
# squidGuard -C all
ja muokkaa squidguard.conf seuraavasti.
Kuten aiemmin, keltaisella korostetut osat osoittavat muutokset, jotka on lisättävä. Huomaa, että myWhiteLists -merkkijonon on oltava ensimmäinen rivillä, joka alkaa passilla.
Lopuksi, muista käynnistää Squid uudestaan muutosten soveltamiseksi.
Johtopäätös
Kun olet suorittanut tässä opetusohjelmassa kuvatut vaiheet, sinulla on oltava tehokas sisältösuodatin ja URL-uudelleenohjain, jotka toimivat yhdessä Squid-välityspalvelimesi kanssa. Jos sinulla on ongelmia asennus- tai määritysprosessin aikana tai sinulla on kysyttävää tai kommentteja, kannattaa ehkä viitata squidGuardin verkkodokumentaatioon, mutta voit aina pudottaa meille rivin alla olevan lomakkeen avulla ja otamme sinuun yhteyttä heti kun mahdollista.