Stilla SquidGuard, virkja efnisreglur og greina smokkfiskskrár - Part 6

LFCE (Linux Foundation Certified Engineer) er fagmaður sem hefur nauðsynlega kunnáttu til að setja upp, stjórna og leysa netþjónustu í Linux kerfum og hefur umsjón með hönnun, innleiðingu og áframhaldandi viðhald kerfisarkitektúrsins í heild sinni.

Við kynnum Linux Foundation vottunaráætlunina.

Í fyrri færslum ræddum við hvernig á að setja upp Squid + squidGuard og hvernig á að stilla smokkfisk til að meðhöndla eða takmarka aðgangsbeiðnir á réttan hátt. Gakktu úr skugga um að þú farir yfir þessi tvö kennsluefni og settir upp bæði Squid og squidGuard áður en þú heldur áfram þar sem þeir setja bakgrunn og samhengi fyrir það sem við munum fjalla um í þessari færslu: að samþætta squidguard í starfandi smokkfiskumhverfi til að innleiða reglur um svartan lista og innihaldsstjórnun yfir proxy-þjónn.

  1. Settu upp Squid og SquidGuard – Part 1
  2. Stilling Squid Proxy Server með takmarkaðan aðgang – Part 5

Til hvers get/get ég ekki notað SquidGuard?

Þó squidGuard muni vissulega auka og auka eiginleika Squid, þá er mikilvægt að draga fram hvað það getur og hvað það getur ekki gert.

squidGuard er hægt að nota til að:

  1. takmarka leyfilegan vefaðgang fyrir suma notendur við lista yfir viðurkennda/velþekkta netþjóna og/eða vefslóðir, á sama tíma og þú neitar aðgangi að öðrum vefþjónum og/eða vefslóðum á svörtum lista.
  2. loka aðgang að vefsvæðum (með IP-tölu eða lénsheiti) sem passa við lista yfir reglulegar orðasambönd eða orð fyrir suma notendur.
  3. krefjast notkunar lénsheita/banna notkun IP-tölu í vefslóðum.
  4. framsenda lokaðar vefslóðir á villu- eða upplýsingasíður.
  5. notaðu sérstakar aðgangsreglur byggðar á tíma dags, vikudegi, dagsetningu osfrv.
  6. innleiða mismunandi reglur fyrir mismunandi notendahópa.

Hins vegar er hvorki squidGuard né Squid hægt að nota til að:

  1. greina texta inni í skjölum og bregðast við því.
  2. greina eða loka fyrir innbyggð forskriftarmál eins og JavaScript, Python eða VBscript í HTML kóða.

Svartir listar eru ómissandi hluti af squidGuard. Í grundvallaratriðum eru þetta einfaldar textaskrár sem gera þér kleift að innleiða innihaldssíur byggðar á sérstökum leitarorðum. Það eru bæði frjálsir fáanlegir og svartir listar í auglýsingum og þú getur fundið niðurhalstenglana á vefsíðu squidguard blacklists verkefnisins.

Í þessari kennslu mun ég sýna þér hvernig á að samþætta svarta lista sem Shalla Secure Services veitir við squidGuard uppsetninguna þína. Þessir svarti listar eru ókeypis fyrir persónulega/ekki viðskiptalega notkun og eru uppfærðir daglega. Þær innihalda frá og með deginum í dag yfir 1.700.000 færslur.

Til þæginda skulum við búa til möppu til að hlaða niður svarta listapakkanum.

# mkdir /opt/3rdparty
# cd /opt/3rdparty 
# wget http://www.shallalist.de/Downloads/shallalist.tar.gz

Nýjasti niðurhalstengillinn er alltaf tiltækur eins og auðkenndur er hér að neðan.

Eftir að hafa tekið nýlega niðurhalaða skrá af tjöldun munum við fletta í svarta lista (BL) möppuna.

# tar xzf shallalist.tar.gz 
# cd BL
# ls

Þú getur hugsað um möppurnar sem sýndar eru í úttakinu á ls sem baklistaflokka og samsvarandi (valfrjáls) undirmöppur þeirra sem undirflokka, allt niður í tilteknar vefslóðir og lén, sem eru skráð í skránum vefslóðir og lén, í sömu röð. Sjá mynd fyrir neðan til að fá frekari upplýsingar.

Uppsetning á öllum svarta lista pakkanum, eða einstökum flokkum, er framkvæmd með því að afrita BL möppuna, eða eina af undirmöppunum hennar, í sömu röð, í /var/ lib/squidguard/db skrá.

Auðvitað hefðirðu getað hlaðið niður svartan lista tarball í þessa möppu í fyrsta lagi, en nálgunin sem útskýrð var áðan gefur þér meiri stjórn á því hvaða flokka ætti að loka (eða ekki) á tilteknum tíma.

Næst mun ég sýna þér hvernig á að setja upp anonvpn, hakk og spjall svarta listana og hvernig á að stilla squidGuard til að nota þá.

Skref 1: Afritaðu endurtekið anonvpn, hakk og spjall möppur úr /opt/3rdparty/ BL til /var/lib/squidguard/db.

# cp -a /opt/3rdparty/BL/anonvpn /var/lib/squidguard/db
# cp -a /opt/3rdparty/BL/hacking /var/lib/squidguard/db
# cp -a /opt/3rdparty/BL/chat /var/lib/squidguard/db

Skref 2: Notaðu lén og vefslóð skrár til að búa til gagnagrunnsskrár squidguard. Vinsamlegast athugaðu að eftirfarandi skipun mun virka til að búa til .db skrár fyrir alla uppsettu svarta listana - jafnvel þegar ákveðinn flokkur hefur 2 eða fleiri undirflokka.

# squidGuard -C all

Skref 3: Breyttu eignarhaldi /var/lib/squidguard/db/ möppunnar og innihaldi hennar í proxy-notandann svo að Squid geti lesið gagnagrunnsskrárnar.

# chown -R proxy:proxy /var/lib/squidguard/db/

Skref 4: Stilltu Squid til að nota squidGuard. Við munum nota url_rewrite_program tilskipun Squid í /etc/squid/squid.conf til að segja Squid að nota squidGuard sem endurritara/endurstjóra vefslóða.

Bættu eftirfarandi línu við squid.conf og vertu viss um að /usr/bin/squidGuard sé rétta algera leiðin í þínu tilviki.

# which squidGuard
# echo "url_rewrite_program $(which squidGuard)" >> /etc/squid/squid.conf
# tail -n 1 /etc/squid/squid.conf

Skref 5: Bættu nauðsynlegum leiðbeiningum við stillingarskrá squidGuard (staðsett í /etc/squidguard/squidGuard.conf).

Vinsamlegast skoðaðu skjámyndina hér að ofan, á eftir eftirfarandi kóða til frekari skýringar.

src localnet {
        ip      192.168.0.0/24
}

dest anonvpn {
        domainlist      anonvpn/domains
        urllist         anonvpn/urls
}
dest hacking {
        domainlist      hacking/domains
        urllist         hacking/urls
}
dest chat {
        domainlist      chat/domains
        urllist         chat/urls
}

acl {
        localnet {
                        pass     !anonvpn !hacking !chat !in-addr all
                        redirect http://www.lds.org
                }
        default {
                        pass     local none
        }
}

Skref 6: Endurræstu Squid og prófaðu.

# service squid restart 		[sysvinit / Upstart-based systems]
# systemctl restart squid.service 	[systemctl-based systems]

Opnaðu vafra í biðlara innan staðarnetsins og flettu að síðu sem er að finna í einhverri af svarta listanum (lén eða vefslóðir – við munum nota http://spin.de/ spjall í eftirfarandi dæmi ) og þér verður vísað á aðra vefslóð, www.lds.org í þessu tilfelli.

Þú getur staðfest að beiðnin hafi verið send til proxy-þjónsins en henni var hafnað (301 http-svar – Fært varanlega) og var vísað á www.lds.org í staðinn.

Ef þú þarft af einhverjum ástæðum að virkja flokk sem hefur verið lokaður áður, fjarlægðu samsvarandi möppu úr /var/lib/squidguard/db og skrifaðu athugasemd (eða eyða) tengdu acl í squidguard.conf skránni.

Til dæmis, ef þú vilt virkja lénin og vefslóðirnar sem eru á svörtum lista af anonvpn flokknum, þá þarftu að framkvæma eftirfarandi skref.

# rm -rf /var/lib/squidguard/db/anonvpn

Og breyttu squidguard.conf skránni sem hér segir.

Vinsamlegast athugaðu að hlutum sem auðkenndir eru með gulu undir ÁÐUR hefur verið eytt í EFTER.

Stundum gætirðu viljað leyfa ákveðnar vefslóðir eða lén, en ekki heila skrá á svörtum lista. Í því tilviki ættir þú að búa til möppu sem heitir myWhiteLists (eða hvaða nafn sem þú velur) og setja inn æskilegar URLs og lén undir /var/lib/squidguard/db/myWhiteLists í skrám sem heita vefslóðir og lén, í sömu röð.

Síðan skaltu frumstilla nýju innihaldsreglurnar eins og áður,

# squidGuard -C all

og breyttu squidguard.conf á eftirfarandi hátt.

Sem fyrr gefa hlutarnir sem eru auðkenndir með gulu til kynna þær breytingar sem þarf að bæta við. Athugaðu að myWhiteLists strengurinn þarf að vera fyrst í röðinni sem byrjar á pass.

Að lokum, mundu að endurræsa Squid til að beita breytingum.

Niðurstaða

Eftir að hafa fylgt skrefunum sem lýst er í þessari kennslu ættirðu að hafa öfluga innihaldssíu og vefslóða umvísun sem vinnur hönd í hönd með Squid umboðinu þínu. Ef þú lendir í einhverjum vandræðum meðan á uppsetningar-/stillingarferlinu stendur eða hefur einhverjar spurningar eða athugasemdir gætirðu viljað vísa í vefskjöl squidGuard en ekki hika við að senda okkur línu með því að nota eyðublaðið hér að neðan og við munum hafa samband við þig eins fljótt og mögulegt.