Konfiguration af SquidGuard, aktivering af indholdsregler og analyse af blækspruttelogfiler - Del 6
En LFCE ( Linux Foundation Certified Engineer ) er en professionel, der har de nødvendige færdigheder til at installere, administrere og fejlfinde netværkstjenester i Linux-systemer og har ansvaret for design, implementering og løbende vedligeholdelse af systemarkitekturen i sin helhed.
Introduktion til Linux Foundation-certificeringsprogrammet.
I tidligere indlæg diskuterede vi, hvordan man installerer Squid + squidGuard, og hvordan man konfigurerer blæksprutte til korrekt håndtering eller begrænsning af adgangsanmodninger. Sørg for at gå igennem de to selvstudier og installere både blæksprutte og blæksprutte, før du fortsætter, da de sætter baggrunden og konteksten for, hvad vi vil dække i dette indlæg: integration af blækspruttebeskyttelse i et fungerende blækspruttermiljø for at implementere sortlisteregler og indholdskontrol over proxyserver.
- Installer blæksprutte og SquidGuard - del 1
- Konfiguration af blæksprutte-proxyserver med begrænset adgang - del 5
Hvad kan/kan jeg ikke bruge SquidGuard til?
Selvom squidGuard helt sikkert vil styrke og forbedre Squid's funktioner, er det vigtigt at fremhæve, hvad det kan, og hvad det ikke kan.
squidGuard kan bruges til at:
- begræns kun den tilladte webadgang for nogle brugere til en liste over accepterede/velkendte webservere og/eller URL'er, mens du nægter adgang til andre sortlistede webservere og/eller URL'er.
- bloker adgang til websteder (efter IP-adresse eller domænenavn), der matcher en liste med regulære udtryk eller ord for nogle brugere.
- kræve brug af domænenavne/forbyde brugen af IP-adresse i webadresser.
- omdiriger blokerede webadresser til fejl- eller infosider.
- brug forskellige adgangsregler baseret på tidspunkt på dagen, ugedagen, datoen osv.
- implementere forskellige regler for forskellige brugergrupper.
Hverken squidGuard eller Squid kan dog bruges til at:
- analysere tekst inde i dokumenter og handle i resultat.
- registrer eller bloker indlejrede scripting-sprog som JavaScript, Python eller VBscript inde i HTML-kode.
Sorte lister er en vigtig del af squidGuard. Dybest set er det almindelige tekstfiler, der giver dig mulighed for at implementere indholdsfiltre baseret på specifikke nøgleord. Der er både frit tilgængelige og kommercielle sortlister, og du kan finde downloadlinkene på squidguard blacklists-projektets websted.
I denne vejledning vil jeg vise dig, hvordan du integrerer de sorte lister, der leveres af Shalla Secure Services, til din squidGuard-installation. Disse sortlister er gratis til personlig/ikke-kommerciel brug og opdateres dagligt. De inkluderer fra i dag over 1.700.000 poster.
For nemheds skyld skal vi oprette et bibliotek til download af sortlistepakken.
# mkdir /opt/3rdparty # cd /opt/3rdparty # wget http://www.shallalist.de/Downloads/shallalist.tar.gz
Det seneste downloadlink er altid tilgængeligt som fremhævet nedenfor.
Efter fjernelse af stjerne for den nyligt downloadede fil, gennemsøger vi til den sorte liste ( BL ) -mappe.
# tar xzf shallalist.tar.gz # cd BL # ls
Du kan tænke på de mapper, der vises i output fra ls som baglistekategorier, og deres tilsvarende (valgfrie) underkataloger som underkategorier, der falder helt ned til specifikke webadresser og domæner, som er angivet i filerne urls og domæner . Se nedenstående billede for yderligere detaljer.
Installation af hele sortliste -pakken eller af individuelle kategorier udføres ved at kopiere BL -mappen eller en af dens underkataloger til henholdsvis /var/biblioteket lib/squidguard/db .
Selvfølgelig kunne du have downloadet sortlisten tarball til denne mappe i første omgang, men den fremgangsmåde, der blev forklaret tidligere, giver dig mere kontrol over, hvilke kategorier der skal blokeres (eller ikke) på et bestemt tidspunkt.
Dernæst viser jeg dig, hvordan du installerer sortlisterne anonvpn , hacking og chat , og hvordan du konfigurerer squidGuard til at bruge dem.
Trin 1 : Kopier rekursivt mappen anonvpn , hacking og chat fra /opt/3rdparty/BL til /var/lib/blæksprutte/db .
# cp -a /opt/3rdparty/BL/anonvpn /var/lib/squidguard/db # cp -a /opt/3rdparty/BL/hacking /var/lib/squidguard/db # cp -a /opt/3rdparty/BL/chat /var/lib/squidguard/db
Trin 2 : Brug domænerne og webadresserne til at oprette blæksprutterens databasefiler. Bemærk, at følgende kommando fungerer til oprettelse af .db filer til alle de installerede sortlister - selv når en bestemt kategori har 2 eller flere underkategorier.
# squidGuard -C all
Trin 3 : Skift ejerskabet af mappen /var/lib/squidguard/db/ og dets indhold til proxybrugeren, så Squid kan læse databasefilerne.
# chown -R proxy:proxy /var/lib/squidguard/db/
Trin 4 : Konfigurer blæksprutte til at bruge squidGuard. Vi bruger Squid's url_rewrite_program direktiv i /etc/squid/squid.conf til at fortælle Squid at bruge squidGuard som en URL-omskriver/omdirigering.
Føj følgende linje til squid.conf , og sørg for, at /usr/bin/squidGuard er den rigtige absolutte sti i dit tilfælde.
# which squidGuard # echo "url_rewrite_program $(which squidGuard)" >> /etc/squid/squid.conf # tail -n 1 /etc/squid/squid.conf
Trin 5 : Føj de nødvendige direktiver til squidGuards konfigurationsfil (findes i /etc/squidguard/squidGuard.conf ).
Se skærmbilledet ovenfor efter følgende kode for yderligere afklaring.
src localnet {
ip 192.168.0.0/24
}
dest anonvpn {
domainlist anonvpn/domains
urllist anonvpn/urls
}
dest hacking {
domainlist hacking/domains
urllist hacking/urls
}
dest chat {
domainlist chat/domains
urllist chat/urls
}
acl {
localnet {
pass !anonvpn !hacking !chat !in-addr all
redirect http://www.lds.org
}
default {
pass local none
}
}
Trin 6 : Genstart blæksprutte og test.
# service squid restart [sysvinit / Upstart-based systems] # systemctl restart squid.service [systemctl-based systems]
Åbn en webbrowser i en klient inden for det lokale netværk og gennemse et websted, der findes i en af de sorte listefiler (domæner eller webadresser - vi bruger http://spin.de/ chat i det følgende eksempel ), og du vil blive omdirigeret til en anden URL, www.lds.org i dette tilfælde.
Du kan kontrollere, at anmodningen blev sendt til proxyserveren, men blev afvist (301 http-svar - Flyttet permanent ) og blev omdirigeret til www.lds.org i stedet.
Hvis du af en eller anden grund har brug for at aktivere en kategori, der tidligere er blevet blokeret, skal du fjerne den tilsvarende mappe fra /var/lib/squidguard/db og kommentere (eller slette) den relaterede acl i filen squidguard.conf .
Hvis du f.eks. Vil aktivere domæner og webadresser, der er sortlistet af kategorien anonvpn , skal du udføre følgende trin.
# rm -rf /var/lib/squidguard/db/anonvpn
Og rediger filen squidguard.conf som følger.
Bemærk, at dele fremhævet med gult under FØR er blevet slettet i EFTER .
Nogle gange vil du muligvis tillade visse URL'er eller domæner , men ikke en hel sortlistet mappe. I så fald skal du oprette et bibliotek med navnet myWhiteLists (eller hvilket som helst navn du vælger) og indsætte de ønskede URL'er og domæner under /var/lib/squidguard/db/myWhiteLists i filer med henholdsvis webadresser og domæner.
Initialiser derefter de nye indholdsregler som før,
# squidGuard -C all
og rediger squidguard.conf som følger.
Som før angiver de dele, der er fremhævet med gult, de ændringer, der skal tilføjes. Bemærk, at strengen myWhiteLists skal være først i rækken, der starter med pas.
Endelig skal du huske at genstarte blæksprutte for at anvende ændringer.
Konklusion
Efter at have fulgt trinene beskrevet i denne vejledning, skal du have et kraftigt indholdsfilter og URL-omdirigering, der arbejder hånd i hånd med din Squid-proxy. Hvis du oplever problemer under din installations-/konfigurationsproces eller har spørgsmål eller kommentarer, kan du henvise til squidGuards webdokumentation, men du er altid velkommen til at sende os en linje ved hjælp af nedenstående formular, så vender vi tilbage til dig så snart muligt.