Ricerca nel sito web

Configurazione di SquidGuard, abilitazione delle regole di contenuto e analisi dei registri di Squid - Parte 6

Un LFCE (Linux Foundation Certified Engineer) è un professionista che possiede le competenze necessarie per installare, gestire e risolvere i problemi dei servizi di rete nei sistemi Linux ed è responsabile della progettazione, implementazione e manutenzione continua dell'architettura del sistema nella sua interezza.

Presentazione del programma di certificazione Linux Foundation.

Nei post precedenti abbiamo discusso come installare Squid + squidGuard e come configurare Squid per gestire o limitare correttamente le richieste di accesso. Assicurati di seguire questi due tutorial e di installare sia Squid che squidGuard prima di procedere poiché impostano lo sfondo e il contesto per ciò che tratteremo in questo post: integrazione di squidguard in un ambiente squid funzionante per implementare le regole della lista nera e il controllo dei contenuti sul server proxy.

Requisiti

  1. Installa Squid e SquidGuard – Parte 1
  2. Configurazione del server proxy Squid con accesso limitato – Parte 5

Per cosa posso/non posso utilizzare SquidGuard?

Sebbene squidGuard aumenterà e potenzierà sicuramente le funzionalità di Squid, è importante evidenziare cosa può e cosa non può fare.

squidGuard può essere utilizzato per:

  1. limitare l'accesso Web consentito ad alcuni utenti solo a un elenco di server Web e/o URL accettati/noti, negando l'accesso ad altri server Web e/o URL inseriti nella lista nera.
  2. bloccare l'accesso ai siti (tramite indirizzo IP o nome di dominio) che corrispondono a un elenco di espressioni regolari o parole per alcuni utenti.
  3. richiedere l'uso di nomi di dominio/vietare l'uso dell'indirizzo IP negli URL.
  4. reindirizzare gli URL bloccati a pagine di errore o di informazioni.
  5. utilizzare regole di accesso distinte in base all'ora del giorno, al giorno della settimana, alla data, ecc.
  6. implementare regole diverse per gruppi di utenti distinti.

Tuttavia, né squidGuard né Squid possono essere utilizzati per:

  1. analizzare il testo all'interno dei documenti e agire di conseguenza.
  2. rilevare o bloccare linguaggi di scripting incorporati come JavaScript, Python o VBscript all'interno del codice HTML.

Liste nere: nozioni di base

Le liste nere sono una parte essenziale di squidGuard. Fondamentalmente, sono semplici file di testo che ti permetteranno di implementare filtri di contenuto basati su parole chiave specifiche. Esistono blacklist sia disponibili gratuitamente che commerciali e puoi trovare i collegamenti per il download nel sito Web del progetto Squidguard Blacklists.

In questo tutorial ti mostrerò come integrare le blacklist fornite da Shalla Secure Services alla tua installazione squidGuard. Queste liste nere sono gratuite per uso personale/non commerciale e vengono aggiornate quotidianamente. Includono, ad oggi, oltre 1.700.000 voci.

Per nostra comodità, creiamo una directory per scaricare il pacchetto blacklist.

mkdir /opt/3rdparty
cd /opt/3rdparty 
wget http://www.shallalist.de/Downloads/shallalist.tar.gz

Il collegamento per il download più recente è sempre disponibile come evidenziato di seguito.

Dopo aver decompresso il file appena scaricato, andremo alla cartella della lista nera (BL).

tar xzf shallalist.tar.gz 
cd BL
ls

Puoi pensare alle directory mostrate nell'output di ls come categorie di backlist e alle corrispondenti sottodirectory (facoltative) come sottocategorie, scendendo fino a URL e domini specifici, che sono elencati nei file URL e domini, rispettivamente. Fare riferimento all'immagine seguente per ulteriori dettagli.

Installazione di liste nere

L'installazione dell'intero pacchetto blacklist, o di singole categorie, viene eseguita copiando rispettivamente la directory BL o una delle sue sottodirectory nella cartella /var/ directory lib/squidguard/db.

Naturalmente avresti potuto scaricare innanzitutto il file tar della lista nera in questa directory, ma l'approccio spiegato in precedenza ti dà un maggiore controllo su quali categorie dovrebbero essere bloccate (o meno) in un momento specifico.

Successivamente, ti mostrerò come installare le blacklist anonvpn, hacking e chat e come configurare squidGuard per utilizzarle.

Passaggio 1: copia ricorsivamente le directory anonvpn, hacking e chat da /opt/3rdparty/ BL in /var/lib/squidguard/db.

cp -a /opt/3rdparty/BL/anonvpn /var/lib/squidguard/db
cp -a /opt/3rdparty/BL/hacking /var/lib/squidguard/db
cp -a /opt/3rdparty/BL/chat /var/lib/squidguard/db

Passaggio 2: utilizza i file dei domini e degli URL per creare i file del database di Squidguard. Tieni presente che il seguente comando funzionerà per creare file .db per tutte le blacklist installate, anche quando una determinata categoria ha 2 o più sottocategorie.

squidGuard -C all

Passaggio 3: modificare la proprietà della directory /var/lib/squidguard/db/ e dei suoi contenuti con l'utente proxy in modo che Squid possa leggere i file del database.

chown -R proxy:proxy /var/lib/squidguard/db/

Passaggio 4: configura Squid per utilizzare squidGuard. Utilizzeremo la direttiva url_rewrite_program di Squid in /etc/squid/squid.conf per dire a Squid di utilizzare squidGuard come riscrittore/reindirizzatore di URL.

Aggiungi la seguente riga a squid.conf, assicurandoti che /usr/bin/squidGuard sia il percorso assoluto corretto nel tuo caso.

which squidGuard
echo "url_rewrite_program $(which squidGuard)" >> /etc/squid/squid.conf
tail -n 1 /etc/squid/squid.conf

Passaggio 5: aggiungi le direttive necessarie al file di configurazione di squidGuard (situato in /etc/squidguard/squidGuard.conf).

Fare riferimento allo screenshot qui sopra, dopo il seguente codice per ulteriori chiarimenti.

src localnet {
        ip      192.168.0.0/24
}

dest anonvpn {
        domainlist      anonvpn/domains
        urllist         anonvpn/urls
}
dest hacking {
        domainlist      hacking/domains
        urllist         hacking/urls
}
dest chat {
        domainlist      chat/domains
        urllist         chat/urls
}

acl {
        localnet {
                        pass     !anonvpn !hacking !chat !in-addr all
                        redirect http://www.lds.org
                }
        default {
                        pass     local none
        }
}

Passaggio 6: riavvia Squid ed esegui il test.

service squid restart 		[sysvinit / Upstart-based systems]
systemctl restart squid.service 	[systemctl-based systems]

Apri un browser web in un client all'interno della rete locale e naviga verso un sito trovato in uno qualsiasi dei file della lista nera (domini o URL – utilizzeremo la chat http://spin.de/ nel seguente esempio ) e verrai reindirizzato a un altro URL, www.lds.org in questo caso.

Puoi verificare che la richiesta è stata effettuata al server proxy ma è stata respinta (risposta http 301 – Spostato permanentemente) ed è stata invece reindirizzata a www.lds.org.

Rimozione delle restrizioni

Se per qualche motivo hai bisogno di abilitare una categoria che è stata bloccata in passato, rimuovi la directory corrispondente da /var/lib/squidguard/db e commenta (o cancella) il relativo acl nel file squidguard.conf.

Ad esempio, se desideri abilitare i domini e gli URL inseriti nella lista nera dalla categoria anonvpn, dovrai eseguire i seguenti passaggi.

rm -rf /var/lib/squidguard/db/anonvpn

E modifica il file squidguard.conf come segue.

Tieni presente che le parti evidenziate in giallo sotto PRIMA sono state cancellate in DOPO.

Whitelist di domini e URL specifici

A volte potresti voler consentire determinati URL o domini, ma non un'intera directory inserita nella lista nera. In tal caso, dovresti creare una directory denominata myWhiteLists (o qualunque nome tu scelga) e inserire gli URL e i domini desiderati in /var/lib/squidguard/db/myWhiteLists nei file denominati rispettivamente url e domini.

Quindi, inizializza le nuove regole di contenuto come prima,

squidGuard -C all

e modificare squidguard.conf come segue.

Come prima, le parti evidenziate in giallo indicano le modifiche da aggiungere. Tieni presente che la stringa myWhiteLists deve essere la prima nella riga che inizia con pass.

Infine, ricorda di riavviare Squid per applicare le modifiche.

Conclusione

Dopo aver seguito i passaggi delineati in questo tutorial dovresti avere un potente filtro dei contenuti e un reindirizzamento URL che funzionano mano nella mano con il tuo proxy Squid. Se riscontri problemi durante il processo di installazione/configurazione o hai domande o commenti, potresti fare riferimento alla documentazione web di squidGuard ma sentiti sempre libero di scriverci utilizzando il modulo sottostante e ti risponderemo al più presto possibile.