SquidGuard konfigurēšana, satura noteikumu iespējošana un kalmāru žurnālu analīze - 6. daļa


LFCE ( Linux Foundation sertificēts inženieris ) ir profesionālis, kuram ir nepieciešamās prasmes, lai instalētu, pārvaldītu un novērstu traucējumus tīkla pakalpojumos Linux sistēmās, un viņš ir atbildīgs par visas sistēmas arhitektūras projektēšana, ieviešana un pastāvīga uzturēšana.

Iepazīstinām ar Linux Foundation sertifikācijas programmu.

Iepriekšējos ierakstos mēs apspriedām, kā instalēt Squid + squidGuard un kā konfigurēt kalmārus, lai pareizi apstrādātu vai ierobežotu piekļuves pieprasījumus. Pirms turpināt, lūdzu, pārliecinieties, ka esat iepazinies ar šīm divām apmācībām un instalējis gan Squid, gan squidGuard, jo tie nosaka fonu un kontekstu tam, ko mēs aplūkosim šajā amatā: squidguard integrēšana darba kalmāru vidē, lai ieviestu melnā saraksta noteikumus un satura kontroli pār starpniekserveris.

  1. Instalējiet Squid un SquidGuard - 1. daļa
  2. Kalmāru starpniekservera konfigurēšana ar ierobežotu piekļuvi - 5. daļa

Kāpēc es varu/nevaru izmantot SquidGuard?

Lai arī squidGuard noteikti uzlabos un uzlabos Squid funkcijas, ir svarīgi uzsvērt, ko tā var un ko nevar.

squidGuard var izmantot, lai:

  1. ierobežojiet atļauto piekļuvi tīmeklim dažiem lietotājiem tikai ar pieņemtu/labi zināmu tīmekļa serveru un/vai URL sarakstu, vienlaikus liedzot piekļuvi citiem melnajā sarakstā iekļautajiem tīmekļa serveriem un/vai vietrāžiem URL.
  2. bloķēt piekļuvi vietnēm (pēc IP adreses vai domēna nosaukuma), kas dažiem lietotājiem atbilst regulāru izteicienu vai vārdu sarakstam.
  3. pieprasīt domēna vārdu izmantošanu/aizliegt IP adreses izmantošanu vietrāžos URL.
  4. bloķētos URL novirzīt uz kļūdu vai informācijas lapām.
  5. izmantojiet atšķirīgus piekļuves noteikumus, pamatojoties uz dienas laiku, nedēļas dienu, datumu utt.
  6. ieviest atšķirīgus noteikumus atsevišķām lietotāju grupām.

Tomēr ne squidGuard, ne Squid nevar izmantot, lai:

  1. analizējiet tekstu dokumentos un rīkojieties rezultātā.
  2. HTML kodā noteikt vai bloķēt iegultās skriptu valodas, piemēram, JavaScript, Python vai VBscript.

Melnie saraksti ir būtiska squidGuard sastāvdaļa. Būtībā tie ir vienkārša teksta faili, kas ļaus jums ieviest satura filtrus, pamatojoties uz konkrētiem atslēgvārdiem. Ir gan brīvi pieejami, gan komerciāli melnie saraksti, un lejupielādes saites varat atrast kalmāru aizsargu melno sarakstu projekta vietnē.

Šajā apmācībā es jums parādīšu, kā integrēt melnos sarakstus, ko nodrošina Shalla Secure Services, jūsu squidGuard instalācijā. Šie melnie saraksti ir bez maksas personīgai/nekomerciālai lietošanai un tiek atjaunināti katru dienu. No šodienas tie ietver vairāk nekā 1 700 000 ierakstus.

Ērtības labad izveidosim direktoriju melnā saraksta pakotnes lejupielādēšanai.

# mkdir /opt/3rdparty
# cd /opt/3rdparty 
# wget http://www.shallalist.de/Downloads/shallalist.tar.gz

Jaunākā lejupielādes saite vienmēr ir pieejama, kā norādīts zemāk.

Pēc nesen lejupielādētā faila atiestatīšanas mēs pārlūkosim melnā saraksta ( BL ) mapi.

# tar xzf shallalist.tar.gz 
# cd BL
# ls

Jūs varat domāt par direktorijiem, kas parādīti ls izvadā, kā aizmugurējā saraksta kategorijas, un to atbilstošos (neobligātos) apakšdirektorijus kā apakškategorijas, nolaižoties līdz noteiktiem vietrāžiem URL un domēniem, kas ir uzskaitīti failos. URL un domēni . Sīkāku informāciju skatiet zemāk esošajā attēlā.

Visas paketes melnais saraksts vai atsevišķu kategoriju instalēšana tiek veikta, nokopējot direktoriju BL vai kādu no tā apakšdirektorijiem attiecīgi /var/lib/squidguard/db direktorijā.

Protams, jūs vispirms varētu būt lejupielādējis melno sarakstu tarball šajā direktorijā, taču iepriekš paskaidrotā pieeja ļauj labāk kontrolēt, kuras kategorijas noteiktā laikā ir jābloķē (vai nav).

Pēc tam es parādīšu, kā instalēt anonvpn , uzlaušanu un tērzēšanas melnos sarakstus un kā konfigurēt squidGuard tos izmantot.

1. darbība : rekursīvi kopējiet anonvpn , uzlaušanas un tērzēšanas direktorijus no /opt/3rdparty/BL līdz /var/lib/squidguard/db .

# cp -a /opt/3rdparty/BL/anonvpn /var/lib/squidguard/db
# cp -a /opt/3rdparty/BL/hacking /var/lib/squidguard/db
# cp -a /opt/3rdparty/BL/chat /var/lib/squidguard/db

2. darbība : izmantojiet domēnu un URL failus, lai izveidotu squidguard datu bāzes failus. Lūdzu, ņemiet vērā, ka šī komanda darbosies, lai izveidotu .db failus visiem instalētajiem melnajiem sarakstiem, pat ja noteiktā kategorijā ir 2 vai vairāk apakškategoriju.

# squidGuard -C all

3. darbība : nomainiet direktorija /var/lib/squidguard/db/ īpašumtiesības un tā saturu starpniekservera lietotājam, lai Kalmārs varētu nolasīt datu bāzes failus.

# chown -R proxy:proxy /var/lib/squidguard/db/

4. darbība : konfigurējiet Squid, lai izmantotu squidGuard. Mēs izmantosim Kalmāru url_rewrite_program direktīvu /etc/squid/squid.conf , lai liktu Kalmāram izmantot squidGuard kā URL pārrakstītāju/novirzītāju.

Pievienojiet šādu rindu vietnei squid.conf , pārliecinoties, ka /usr/bin/squidGuard ir pareizais absolūtais ceļš jūsu gadījumā.

# which squidGuard
# echo "url_rewrite_program $(which squidGuard)" >> /etc/squid/squid.conf
# tail -n 1 /etc/squid/squid.conf

5. solis : pievienojiet nepieciešamās direktīvas squidGuard konfigurācijas failam (atrodas /etc/squidguard/squidGuard.conf ).

Lūdzu, skatiet iepriekš redzamo ekrānuzņēmumu pēc šī koda, lai saņemtu papildu skaidrību.

src localnet {
        ip      192.168.0.0/24
}

dest anonvpn {
        domainlist      anonvpn/domains
        urllist         anonvpn/urls
}
dest hacking {
        domainlist      hacking/domains
        urllist         hacking/urls
}
dest chat {
        domainlist      chat/domains
        urllist         chat/urls
}

acl {
        localnet {
                        pass     !anonvpn !hacking !chat !in-addr all
                        redirect http://www.lds.org
                }
        default {
                        pass     local none
        }
}

6. darbība : restartējiet kalmāru un pārbaudiet.

# service squid restart 		[sysvinit / Upstart-based systems]
# systemctl restart squid.service 	[systemctl-based systems]

Atveriet tīmekļa pārlūkprogrammu klientā vietējā tīklā un pārlūkojiet vietni, kas atrodama kādā no melnā saraksta failiem (domēni vai vietrāži URL - šajā piemērā mēs izmantosim tērzēšanu http://spin.de/ ), un šajā gadījumā jūs tiksiet novirzīts uz citu URL, www.lds.org .

Jūs varat pārbaudīt, vai pieprasījums tika veikts starpniekserverim, bet tika noraidīts (301 http atbilde - neatgriezeniski pārvietota ) un tā vietā tika novirzīta uz vietni www.lds.org .

Ja kāda iemesla dēļ jums ir jāiespējo kategorija, kas iepriekš ir bloķēta, noņemiet atbilstošo direktoriju no /var/lib/squidguard/db un komentējiet (vai izdzēsiet) saistīto acl failā squidguard.conf .

Piemēram, ja vēlaties iespējot domēnus un URL, kas melnajā sarakstā ir iekļauti kategorijā anonvpn , jums būs jāveic šādas darbības.

# rm -rf /var/lib/squidguard/db/anonvpn

Un rediģējiet failu squidguard.conf šādi.

Lūdzu, ņemiet vērā, ka daļas PIRMS dzeltenā krāsā iezīmētas sadaļā PĒC .

Dažreiz jūs varat atļaut dažus vietrāžus URL vai domēnus , bet ne visu melnajā sarakstā iekļauto direktoriju. Tādā gadījumā jums jāizveido direktorija ar nosaukumu myWhiteLists (vai kāds cits nosaukums izvēlaties) un zem jāievieto vēlamie URL un domēni /var/lib/squidguard/db/myWhiteLists failos ar attiecīgi URL un domēniem.

Pēc tam inicializējiet jaunos satura noteikumus kā iepriekš,

# squidGuard -C all

un modificējiet squidguard.conf šādi.

Tāpat kā iepriekš, dzeltenā krāsā iezīmētās daļas norāda uz izmaiņām, kas jāpievieno. Ņemiet vērā, ka virknei myWhiteLists jābūt pirmajai rindā, kas sākas ar pass.

Visbeidzot, atcerieties restartēt Squid, lai piemērotu izmaiņas.

Secinājums

Pēc šajā apmācībā aprakstīto darbību veikšanas jums vajadzētu būt jaudīgam satura filtram un URL novirzītājam, kas darbojas vienlaikus ar jūsu Squid starpniekserveri. Ja instalēšanas/konfigurācijas procesa laikā rodas kādas problēmas vai jums ir kādi jautājumi vai komentāri, varat atsaukties uz squidGuard tīmekļa dokumentāciju, taču vienmēr varat brīvi nomest mums rindiņu, izmantojot zemāk esošo veidlapu, un mēs sazināsimies ar jums, tiklīdz iespējams.