Weboldal keresés

A SquidGuard konfigurálása, a tartalmi szabályok engedélyezése és a Squid naplók elemzése – 6. rész


Az LFCE (Linux Foundation Certified Engineer) olyan szakember, aki rendelkezik a Linux rendszerek hálózati szolgáltatásainak telepítéséhez, kezeléséhez és hibaelhárításához szükséges készségekkel, és felelős a a teljes rendszerarchitektúra tervezése, megvalósítása és folyamatos karbantartása.

Bemutatkozik a Linux Foundation Certification Program.

Korábbi bejegyzéseinkben megvitattuk, hogyan kell telepíteni a Squid + squidGuard alkalmazást, és hogyan kell beállítani a squid-ot a hozzáférési kérelmek megfelelő kezelésére vagy korlátozására. Kérjük, feltétlenül nézze át ezt a két oktatóanyagot, és telepítse mind a Squid-et, mind a squidGuard-ot, mielőtt továbblépne, mivel ezek beállítják a hátteret és a kontextust annak, amit ebben a bejegyzésben tárgyalunk: a squidguard integrálását egy működő squid-környezetbe a feketelista-szabályok végrehajtásához és a tartalomszabályozáshoz a proxy szerver.

Követelmények

  1. A Squid és a SquidGuard telepítése – 1. rész
  2. Squid proxykiszolgáló konfigurálása korlátozott hozzáféréssel – 5. rész

Mire használhatom/nem használhatom a SquidGuard-ot?

Bár a squidGuard minden bizonnyal fokozza és javítja a Squid funkcióit, fontos kiemelni, hogy mire képes és mire nem.

A squidGuard a következőkre használható:

  1. korlátozza egyes felhasználók web-hozzáférését az elfogadott/jól ismert webszerverek és/vagy URL-ek listájára, miközben megtagadja a hozzáférést a tiltólistán szereplő webszerverekhez és/vagy URL-ekhez.
  2. blokkolja a hozzáférést azokhoz a webhelyekhez (IP-cím vagy domain név alapján), amelyek megfelelnek a reguláris kifejezések vagy szavak listájának egyes felhasználók számára.
  3. megkövetelik a domain nevek használatát/megtiltják az IP-címek használatát az URL-ekben.
  4. átirányítja a blokkolt URL-eket hiba- vagy információs oldalakra.
  5. különböző hozzáférési szabályokat használjon a napszak, a hét napja, a dátum stb. alapján.
  6. különböző szabályokat alkalmazzon a különböző felhasználói csoportokhoz.

Azonban sem a squidGuard, sem a Squid nem használható:

  1. a dokumentumokon belüli szöveg elemzése és az eredmény elérése.
  2. észleli vagy blokkolja a HTML-kódon belüli beágyazott szkriptnyelveket, mint például a JavaScript, a Python vagy a VBscript.

Feketelisták – Az alapok

A feketelista a squidGuard lényeges részét képezi. Alapvetően egyszerű szöveges fájlok, amelyek lehetővé teszik a tartalomszűrők konkrét kulcsszavak alapján történő megvalósítását. Vannak szabadon elérhető és kereskedelmi feketelisták is, a letöltési linkek pedig megtalálhatók a squidguard blacklists projekt weboldalán.

Ebben az oktatóanyagban megmutatom, hogyan integrálhatja a Shalla Secure Services által biztosított feketelistákat a squidGuard telepítésébe. Ezek a feketelisták személyes/nem kereskedelmi használatra ingyenesek, és naponta frissülnek. Ezek a mai állapot szerint több mint 1 700 000 bejegyzést tartalmaznak.

Kényelmünk érdekében hozzunk létre egy könyvtárat a feketelista-csomag letöltéséhez.

mkdir /opt/3rdparty
cd /opt/3rdparty 
wget http://www.shallalist.de/Downloads/shallalist.tar.gz

A legfrissebb letöltési link mindig elérhető az alábbiak szerint.

Az újonnan letöltött fájl tárcsa eltávolítása után a feketelista (BL) mappába lépünk.

tar xzf shallalist.tar.gz 
cd BL
ls

Az ls kimenetében megjelenített könyvtárakat háttérlista-kategóriáknak, a hozzájuk tartozó (opcionális) alkönyvtárakat pedig alkategóriáknak tekintheti, egészen a fájlok által felsorolt URL-ekig és domainekig. URL-ek és domainek. További részletekért tekintse meg az alábbi képet.

Feketelisták telepítése

A teljes feketelista csomag vagy az egyes kategóriák telepítése úgy történik, hogy a BL könyvtárat vagy annak valamelyik alkönyvtárát a /var/ mappába másoljuk. lib/squidguard/db könyvtárba.

Természetesen eleve letölthette volna a feketelista tarballt ebbe a könyvtárba, de a korábban ismertetett megközelítés jobban szabályozza, hogy egy adott időpontban mely kategóriákat kell letiltani (vagy nem).

Ezután megmutatom, hogyan kell telepíteni az anonvpn, a hacking és a chat feketelistákat, és hogyan kell beállítani a squidGuard-ot ezek használatára.

1. lépés: Másolja rekurzívan az anonvpn, hacking és chat könyvtárakat a /opt/3rdparty/ webhelyről BL-ről /var/lib/squidguard/db-re.

cp -a /opt/3rdparty/BL/anonvpn /var/lib/squidguard/db
cp -a /opt/3rdparty/BL/hacking /var/lib/squidguard/db
cp -a /opt/3rdparty/BL/chat /var/lib/squidguard/db

2. lépés: Használja a domain- és URL-fájlokat a squidguard adatbázisfájljainak létrehozásához. Kérjük, vegye figyelembe, hogy a következő parancs működik .db fájlok létrehozásához az összes telepített feketelistához – még akkor is, ha egy bizonyos kategória 2 vagy több alkategóriával rendelkezik.

squidGuard -C all

3. lépés: Változtassa meg a /var/lib/squidguard/db/ könyvtár és tartalmának tulajdonjogát a proxy felhasználóra, hogy a Squid elolvashassa az adatbázisfájlokat.

chown -R proxy:proxy /var/lib/squidguard/db/

4. lépés: Állítsa be a Squid-et a squidGuard használatára. A Squid url_rewrite_program direktíváját használjuk az /etc/squid/squid.conf fájlban, hogy megmondjuk a Squidnek, hogy a squidGuard-ot használja URL-újraíróként/-átirányítóként.

Adja hozzá a következő sort a squid.conf fájlhoz, ügyelve arra, hogy a /usr/bin/squidGuard a helyes abszolút elérési út az Ön esetében.

which squidGuard
echo "url_rewrite_program $(which squidGuard)" >> /etc/squid/squid.conf
tail -n 1 /etc/squid/squid.conf

5. lépés: Adja hozzá a szükséges direktívákat a squidGuard konfigurációs fájljához (a /etc/squidguard/squidGuard.conf fájlban található).

Kérjük, tekintse meg a fenti képernyőképet, a következő kód után a további magyarázatért.

src localnet {
        ip      192.168.0.0/24
}

dest anonvpn {
        domainlist      anonvpn/domains
        urllist         anonvpn/urls
}
dest hacking {
        domainlist      hacking/domains
        urllist         hacking/urls
}
dest chat {
        domainlist      chat/domains
        urllist         chat/urls
}

acl {
        localnet {
                        pass     !anonvpn !hacking !chat !in-addr all
                        redirect http://www.lds.org
                }
        default {
                        pass     local none
        }
}

6. lépés: Indítsa újra a Squid programot, és tesztelje.

service squid restart 		[sysvinit / Upstart-based systems]
systemctl restart squid.service 	[systemctl-based systems]

Nyisson meg egy webböngészőt a helyi hálózaton belüli kliensben, és böngésszen a tiltólistás fájlokban található webhelyre (domain vagy url – a következő példában a http://spin.de/ csevegést fogjuk használni) ), és átirányítunk egy másik URL-re, ebben az esetben a www.lds.org-ra.

Ellenőrizheti, hogy a kérést a proxyszerverhez küldték, de elutasították (301-es http-válasz – Véglegesen áthelyezve), és ehelyett a www.lds.org oldalra irányították át.

Korlátozások eltávolítása

Ha valamilyen oknál fogva engedélyeznie kell egy korábban letiltott kategóriát, távolítsa el a megfelelő könyvtárat a /var/lib/squidguard/db mappából, és írja megjegyzésbe (vagy törölje) a kapcsolódó acl-t. a squidguard.conf fájlban.

Ha például engedélyezni szeretné az anonvpn kategória tiltólistáján szereplő domaineket és URL-eket, akkor a következő lépéseket kell végrehajtania.

rm -rf /var/lib/squidguard/db/anonvpn

És szerkessze a squidguard.conf fájlt az alábbiak szerint.

Kérjük, vegye figyelembe, hogy a ELŐTT alatt sárgával kiemelt részek az UTÁNA alatt törölve lettek.

Adott domainek és URL-ek engedélyezési listája

Előfordulhat, hogy bizonyos URL-eket vagy domaineket szeretne engedélyezni, de nem egy teljes feketelistán szereplő könyvtárat. Ebben az esetben létre kell hoznia egy myWhiteLists nevű könyvtárat (vagy bármilyen nevet), és be kell illesztenie a kívánt URL-eket és domaineket a alá. /var/lib/squidguard/db/myWhiteLists url, illetve domain nevű fájlokban.

Ezután inicializálja az új tartalomszabályokat, mint korábban,

squidGuard -C all

és módosítsa a squidguard.conf fájlt az alábbiak szerint.

A korábbiakhoz hasonlóan a sárgával kiemelt részek jelzik a kiegészítendő változtatásokat. Vegye figyelembe, hogy a myWhiteLists karakterláncnak elsőnek kell lennie a pass karakterrel kezdődő sorban.

Végül ne felejtse el újraindítani a Squid programot a változtatások alkalmazásához.

Következtetés

Az oktatóanyagban ismertetett lépések végrehajtása után hatékony tartalomszűrővel és URL-átirányítóval kell rendelkeznie, amely kéz a kézben működik a Squid proxyval. Ha bármilyen problémát tapasztal a telepítési/konfigurálási folyamat során, vagy bármilyen kérdése vagy megjegyzése van, érdemes lehet olvasni a squidGuard webes dokumentációját, de mindig nyugodtan írjon nekünk az alábbi űrlap segítségével, és mi azonnal felvesszük Önnel a kapcsolatot. lehetséges.