Servidor proxy autenticado (Squid + DansGuardian + OpenLDAP)

hendrigo

Este artigo ensina a implementar um servidor proxy com autenticação LDAP no Linux. O Squid trabalhará propriamente com cache e autenticação, enquanto que a política de acesso será feita pelo DansGuardian.

[ Hits: 123.006 ]

Por: Gustavo Hendrigo Marcon em 24/10/2008

0 0

Denuncie Favoritos Indicar Impressora

DansGuardian: Acertando e conhecendo mais arquivos de configuração

Na instalação padrão do DansGuardian ele instala o antivírus clamav versão 0.92, é bom atualizarmos essa versão para que o clamav trabalhe corretamente suas atualizações.

Adicione o seguinte mirror no seu sources.list:

# vim /etc/apt/sources.list

#Somente para o Clamav
deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free

# apt-get update
# apt-get install clamav

Lembre-se de reiniciar o DansGuardian:

# /etc/init.d/dansguardian restart

Vamos conhecer alguns arquivos do DansGuardian para manipularmos os bloqueios:

# ls /etc/dansguardian/

bannedextensionlist - bloqueio por extensão de arquivos, aqui ficam as extensões de arquivo que queira bloquear o acesso;
bannedsitelist - site bloqueados, aqui ficam os includes de suas blacklist;
bannediplist - lista de ips bloqueados, ips contidos aqui não acessam nada;
bannedurllist - urls bloqueadas;
exceptionsitelist - sites liberados, sites contidos aqui não são consultados por potuação, liberado todo o conteúdo;
banneduserlist - usuários bloqueados, usuários sem acesso a internet;
exceptionurllist - urls liberadas;
weightedphraselist - include de frases para contagem de conteúdo;
bannedphraselist - frases bloqueadas;
filtergroupslist - aqui se pode atribuir a que grupo um usuário pertence, por padrão todos são do grupo 1.

Existem mais arquivos que nos ajudam a manipular os bloqueios, o que torna o DansGuardian um grande estraga prazer. :)

Pesquisem mais no site: DansGuardian Wiki

Conclusão

O DansGuardian é um excelente bloqueador de conteúdos, o único problema que encontrei que ainda não consegui a solução foi o bloqueio e desbloqueio de certos conteúdos por horários como o Squid faz trabalhando com acls.

Caso alguém já tenho feito, peço que poste esse conteúdo para contribuir também com a comunidade Viva o Linux!

Até mais.

Página anterior

Páginas do artigo

   1. Instalação e configuração do Squid
   2. Acertando a configuração com o LDAP
   3. Instalação e configuração do DansGuardian
   4. DansGuardian: Acertando e conhecendo mais arquivos de configuração

Outros artigos deste autor

Configuração: Servidor de nomes slave com Bind9 no Debian 4.0

Bind9 + Debian Linux 4.0: Configuração de um servidor de nomes interno

Adicionando baterias automotivas extras em nobreaks

PhpDansAdmin, protótipo de ferramenta web para administração do DansGuardian

DansGuardian versões 2.9.3.0 e superiores em Debian 5.01

Leitura recomendada

Usando Linux em computadores de baixo processamento e pouca memória

Autofs no Slackware

Montando um servidor WAP

Instalando gerenciador de projetos Redmine usando o PostgreSQL sobre o nginx

Instalando Apache Hadoop

Comentários

[1] Comentário enviado por removido em 24/10/2008 - 12:52h

Legal, bom ARTIGO!

flw

0 0

[2] Comentário enviado por valtinho em 24/10/2008 - 15:54h

Ai hendrigo, blz? Fiz os procedimentos mas quando vou reiniciar o serviço do dansguardia esta dando alguns erros que não sei o que eh:

Restarting DansGuardian: Restarting DansGuardian: :Error reading file (does it exist?): /etc/squid/dansguardian/languages/weightedphraselist.pornsites.portuguese
Error opening weightedphraselist
Error opening filter list:/etc/dansguardian/dansguardianf1.conf
Error reading filter group conf file(s).
Error parsing the dansguardian.conf file or other DansGuardian configuration files
failed!

Me desculpe a ignorancia mas eh que sou novato em linux... o que poderia ser?

0 0

[3] Comentário enviado por hendrigo em 24/10/2008 - 16:00h

Verifique se existe o arquivo:
/etc/squid/dansguardian/languages/weightedphraselist geralmente ele fica em /etc/dansguardian/languages/ se for no Debian por ex:

0 0

[4] Comentário enviado por valtinho em 24/10/2008 - 16:13h

Eu estou usando o Debian Sarg 4.0 e o arquivo esta em /etc/dansguardian/weightedphraselist

Descomentei as linhas

.Include</etc/squid/dansguardian/languages/weightedphraselist.pornsites.portuguese>
.Include</etc/squid/dansguardian/languages/weightedphraselist.pornwords.portuguese>

e funcionou...

Mas essas linhas é onde seta para as listas em portugues correto?

nao teria que ficar assim: .Include</etc/squid/dansguardian/languages/portuguese

?

0 0

[5] Comentário enviado por hendrigo em 24/10/2008 - 16:21h

No meu está assim: dentro de /etc/dansguardian/phraselists/pornography/weighted_portuguese fica as palavras que e suas pontuações.

.Include</etc/dansguardian/phraselists/pornography/weighted_portuguese>

não se esqueça para os outros bloqueios, baixar uma blacklist e descompactá-la dentro de /etc/dansguardian
http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist

0 0

[6] Comentário enviado por comfaa em 28/10/2008 - 12:23h

boa dica

0 0

[7] Comentário enviado por nariz em 21/12/2008 - 00:14h

ótimo artigo hendrigo
parabéns

0 0

[8] Comentário enviado por elderjmp em 21/01/2009 - 08:55h

Gustavo... blz?
Estou tendo um problema com o squid autenticado... ele autentica no ldap somente se a senha estiver em texto plano. No meu ldap a senha está criptografada.

auth_param digest program /usr/lib/squid3/digest_ldap_auth -b "dc=empresa,dc=com,dc=br" -F "uid=%s" -e -A userPassword -D "cn=admin,dc=empresa,dc=com,dc=br" -w "senha" -p 389 -v 3 -h 192.168.0.107

Então estou usando ele para autenticar da seguinte forma:
auth_param basic program /usr/lib/squid3/smb_auth -W DOMINIO

O problema que tenho é que do navegador cliente até o squid a senha trafega em modo plano, podendo ser obtida farejando os pacotes na rede. Sabe de algum método para que essa senha seja enviada criptografada?

Valeu e parabéns pelo artigo

0 0

[9] Comentário enviado por hendrigo em 21/01/2009 - 13:51h

Olá, minha senha no ldap são criptografadas (ssha).
Mas no envio da senha não tinha nem testado que era enviada em modo texto.
Na verdade nem testei ainda... tenho que pesquisar.
Quando tiver a resposta posto aqui,
até mais.

vc usou SSL/TLS no ldap?
http://www.evertonmurilo.eti.br/node/41

0 0

[10] Comentário enviado por elderjmp em 20/02/2009 - 11:00h

Olá...
Minhas senhas no ldap também estão criptografadas.
Meu colega de serviço que testou e conseguiu pegar as senhas quando o proxy pede a autenticação. Então é do navegador para o proxy no momento da autenticação que isso acontece.
Iria testar o seguinte: http://wiki.squid-cache.org/KnowledgeBase/LdapBackedDigestAuthentication , mas teria que recuperar a senha de todos os usuários, e aqui é uma instituição de ensino, e todos os alunos tem senha.
Até mais e obrigado pela ajuda e atenção

0 0

[11] Comentário enviado por pelo em 07/07/2009 - 21:00h

Show...

Mas tu copiou do morimoto ou ele copiou de você?

Sérgio Abrantes
[]'s

0 0

[12] Comentário enviado por ghmarcheti em 14/07/2011 - 09:23h

Olá,

Alguem conseguiu uma solução qto a senha ser enviada em modo texto aberto entre o cliente e o servidor SQUID???

0 0