Koozali.org: home of the SME Server

Limitazione di accesso alle pagine web tramite squidGuard

Limitazione di accesso alle pagine web tramite squidGuard
« on: December 20, 2008, 10:37:36 AM »
Salve a tutti.
Sto cercando di mettere su il contrib in oggetto, per ora mi sono basato unicamente su quello che ho reperito qui su Contribs (Italiano, Inglese e Spagnolo), tralasciando il resto della Rete.
Mi sono basato sulle seguenti pagine:
http://wiki.contribs.org/SquidGuard
http://forums.contribs.org/index.php?topic=36217.msg160088#msg160088

C'è un passaggio che non mi è chiaro nella prima pagina:
You will know when things are ready when you see this in the /var/log/squidguard/squidguard.log file:

2007-03-18 17:14:54 [3687] squidGuard 1.2.0 started (1174256093.054)

2007-03-18 17:14:54 [3687] squidGuard ready for requests (1174256094.968)


Intanto penso ci sia un errore di case, dal momento che il file dovrebbe essere
Code: [Select]
/var/log/squidguard/squidGuard.log ma questa è una pinzillacchera. Il vero problema per me è che quel file è vuoto.
Ah, e nel caso che ve lo steste chiedendo, dquidGuard non blocca un bel niente, per ora.

Faccio un piccolo offtopic: nonsoperché sul mio SME molti comandi non sono inseriti nelle variabili d'ambiente, in particolare quelli contenuti in /sbin/e-smith, quindi nel mio sistema non si scrive
Code: [Select]
signal-event post-upgrade (comando non riconosciuto) bensì
Code: [Select]
/sbin/e-smith/signal-event post-upgradeE' normale sta cosa? Prima di sistemarla mi piacerebbe saperlo, magari è una misura di sicurezza...

Un'ultima precisazione: non essendo un utente abituale di siti dai contenuti pericolosi, ho fatto fatica a trovarne uno da provare sul terminale di uno dei miei dipendenti per testare l'effettivo funzionamento di squidGuard. Per chi come me fosse a corto di idee, come suggerito in questo sito:
http://forums.contribs.org/index.php?topic=34337.msg151745#msg151745
potete provare www.playboy.com :-D

Federico

Offline Stefano

  • *
  • 10,894
  • +3/-0
Re: Limitazione di accesso alle pagine web tramite squidGuard
« Reply #1 on: December 20, 2008, 02:49:10 PM »
ciao

al momento non so dirti nulla su squidguard, ma mi riservo di fare dei test e vedere se a me l'howto funziona

comunque, solo per sapere... non è che il tuo squid sia in modalità trasparente? o che i client NON usino il proxy?
nei log di squid vedi le entry relative alle pagine visitate?
squidguard è in funzione? vedi il processo?


Faccio un piccolo offtopic: nonsoperché sul mio SME molti comandi non sono inseriti nelle variabili d'ambiente, in particolare quelli contenuti in /sbin/e-smith, quindi nel mio sistema non si scrive
Code: [Select]
signal-event post-upgrade (comando non riconosciuto) bensì
Code: [Select]
/sbin/e-smith/signal-event post-upgradeE' normale sta cosa? Prima di sistemarla mi piacerebbe saperlo, magari è una misura di sicurezza...

qui dovresti dirci tu la storia di quella macchina, lo stato di aggiornamento ed eventuali contribs installati

comunque no, non è assolutamente normale..

hai personalizzato il profilo?
cosa ti sputa fuori
Code: [Select]
/sbin/e-smith/audittools/templates
?

Ciao

Stefano

Dunque, andando con ordine:
per quanto riguarda l'esecuzione di squidguard, non ho un processo attivo con quel nome, ma dal momento che nel tutorial da me citato si dice:
Code: [Select]
Add your entries, then restart squid with
/etc/rc7.d/S90squid stop
/etc/rc7.d/S90squid start
pensavo che NON dovesse esistere un processo con quel nome, bensì che squidguard fosse integrato in qualche modo dentro squid.
Poi, per la modalità trasparente, anche qui non ne so niente, nel senso che non l'ho mai impostato in tal senso, ma, dal momento che squidguard in pratica non fa altro che aggiungere nuove funzionalità a squid, e che quest'ultimo NON è in modalità trasparente, pensavo non ce ne fosse bisogno. Anzi direi che non mi ero neanche posto il problema. Mi sembra strano comunque che nel tutorial ti spieghino come installare, configurare e usare squidguard, tralasciando una cosa importante come questa.
Per quanto riguarda i client, non ho eseguito alcuna operazione su di essi, quindi non gli ho mai detto ne' di usare ne' di non usare i proxy. Scusa la mia ignoranza, ma io pensavo che il proxy fosse utilizzato automaticamente dai client connessi al server SME, a prescindere da quello che io ho impostato sui client, altrimenti ad un utente "malevolo" non basterebbe disattivare questa impostazione per tornare a perder tempo su facebook...?

L'unico comando "diagnostico" che conosco su squidguard è
Code: [Select]
/sbin/e-smith/config show squidguardche dà come risultato
Code: [Select]
squidguard=service
    Blacklist=http://squidguard.shalla.de/Downloads/shallalist.tar.gz
    Squidguard_Allow=trusted
    Squidguard_Block=adult,aggressive,drugs,gambling,hacking,porn,proxy,untrusted,violence,warez
    Squidguard_FullAccess=all
    Squidguard_NoAccess=none
A vederlo così come configurazione sembra tutto in regola... Certo, questo non significa che il processo sia attivo e ben funzionante.
EDIT Anzi, sono sicuro che non lo è:
Code: [Select]
/var/log/squidguard/squidguard.log

2008-12-22 04:06:26 [24383] squidGuard 1.2.0 started (1229915101.870)
2008-12-22 04:06:26 [24383] db update done
2008-12-22 04:06:26 [24383] squidGuard stopped (1229915186.561)

Parlando invece del mio excursus, immaginavo che non fosse una cosa normale. Il path del mio server è
Code: [Select]
PATH=/usr/local/bin:/bin:/usr/bin:/usr/X11R6/binNell'output del nuovo comando che mi hai fatto scoprire (madonna quanti ce ne sono!) ho sicuramente trovato la possibile causa del problema, ovvero:
Code: [Select]
/etc/e-smith/templates-custom/etc/profile/profile: MANUALLY_ADDED, ADDITION
una template che all'epoca mi ero creato per modificare il prompt della root.
Premetto che /etc/profile non è un file nella cui intestazione è scritto "non modificare questo file manualmente ma creati una template ecc. ecc.", ma che da esperienze passato ho notato che tende a resettarsi come un file templatizzato, e quindi ho preferito modificarlo come se fosse tale.
Attualmente il mio /etc/profile contiene i seguenti valori:
Code: [Select]
# /etc/profile

# System wide environment and startup programs, for login setup
# Functions and aliases go in /etc/bashrc

pathmunge () {
        if ! echo $PATH | /bin/egrep -q "(^|:)$1($|:)" ; then
                if [ "$2" = "after" ] ; then
                        PATH=$PATH:$1
                else
                        PATH=$1:$PATH
                fi
        fi
}

# Path manipulation
if [ `id -u` = 0 ]; then
        pathmunge /sbin
        pathmunge /usr/sbin
        pathmunge /usr/local/sbin
fi

pathmunge /usr/X11R6/bin after

# No core files by default
ulimit -S -c 0 > /dev/null 2>&1

USER="`id -un`"
LOGNAME=$USER
MAIL="/var/spool/mail/$USER"

HOSTNAME=`/bin/hostname`
HISTSIZE=1000

if [ -z "$INPUTRC" -a ! -f "$HOME/.inputrc" ]; then
        INPUTRC=/etc/inputrc
fi

export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE INPUTRC

for i in /etc/profile.d/*.sh ; do
        if [ -r "$i" ]; then
                . $i
        fi
done

unset i
unset pathmunge

PS1="[\u@\h:\w] \> "
PROMPT_COMMAND="echo -n [$(date +%H:%M)]"
Ho aggiunto solo le ultime 2 righe, il resto è ("dovrebbe essere") uguale all'originale. Ero tra l'altro indeciso se inserirle lì o in etc/bashrc, ma "su internet" (= non ricordo dove) avevo letto che era meglio metterle in /etc/profile. Sbagliai?

Ciao
Federico
« Last Edit: December 22, 2008, 10:04:44 AM by Lord Quicksilver »

Re: Limitazione di accesso alle pagine web tramite squidGuard
« Reply #3 on: December 22, 2008, 10:40:22 AM »
Boh non ci capisco più niente... ho fatto partire manualmente squidGuard con un semplice
Code: [Select]
squidGuard start & e ho ottenuto di far partire il processo (controllato da ps aux) e scrivere finalmente nel log:
Code: [Select]
2008-12-22 10:26:37 [26387] squidGuard ready for requests (1229937997.661)Ciononostante, non blocca nulla.
:-(

Federico


Offline Stefano

  • *
  • 10,894
  • +3/-0
Re: Limitazione di accesso alle pagine web tramite squidGuard
« Reply #4 on: January 01, 2009, 09:43:38 AM »
ciao

mi sono accorto che questo 3ad è rimasto "appeso"..

come detto non ho esperienza diretta con squidguard e fare delle simulazioni mi viene un po' scomodo.. ritengo che la cosa migliore sia postare la richiesta nei forum in inglese e sperare in un maggiore aiuto

Ciao e buon anno

Stefano

Offline nicolatiana

  • *
  • 724
  • +0/-0
Re: Limitazione di accesso alle pagine web tramite squidGuard
« Reply #5 on: January 26, 2009, 06:17:25 PM »
Domanda banale già fatta da Stefano: hai forzato il proxy sul browser ? Non è che hai sul pc un default gateway diverso dal server sme/proxy (che potrebbe essere se lo sme non è direttamente sulla wan con due schede di rete: in questo caso lo sme server ha come default gateway l'indirizzo ip del router ed è la stessa impostazione che distribuisce ai client con il dhcp).

Io lo uso da due clienti con successo, fatto salvo che lavorando su una blacklist qualche cosa può sempre sfuggire.

Saluti

Nicola
Consulente di Smeserver.it -  Soluzioni e supporto su Sme server in Italia.

Re: Limitazione di accesso alle pagine web tramite squidGuard
« Reply #6 on: January 27, 2009, 11:30:00 AM »
Ciao, il proxy sul browser non l'ho forzato, pensavo non fosse necessario, cioè pensavo che SME filtrasse direttamente i contenuti a prescindere da quello che il client vuole fare. Per forzarlo quali sono i parametri di default, localhost con porta 8118?
Il client su cui sto testando Squidguard è portatile con windows xp + firefox, e ipconfig /all dà quanto segue:
Code: [Select]
Scheda Ethernet Connessione rete senza fili:

        Suffisso DNS specifico per connessione: ******.***
        ......
        Configurazione automatica abilitata   : Sì
        Indirizzo IP. . . . . . . . . . . . . : 192.168.1.145
        Subnet mask . . . . . . . . . . . . . : 255.255.255.0
        Gateway predefinito . . . . . . . . . : 192.168.1.1
        Server DHCP . . . . . . . . . . . . . : 192.168.1.1
        Server DNS . . . . . . . . . . . . .  : 192.168.1.1
        .......
192.168.1.1 corrisponde all'indirizzo del server SME.

Aggiungo una cosa ancora: da quando ho modificato la blacklist di default come consigliato qui:
http://wiki.contribs.org/SquidGuard
tutti i giorni mi arriva una notifica di RKHunter che dice
Code: [Select]
/etc/cron.daily/supdate.cron:

04:05:33 URL:http://www.shallalist.de/Downloads/shallalist.tar.gz [9106722/9106722] -> "shallalist.tar.gz" [1]

Ciao
Federico

Offline Incognito

  • *****
  • 195
  • +0/-0
  • Linux User
Re: Limitazione di accesso alle pagine web tramite squidGuard
« Reply #7 on: January 27, 2009, 11:45:11 AM »
Dovresti impostare il server dhcp in modo che invii anche degli "extra" come ad esempio il server proxy da utilizzare o lo script di configurazione.
Inoltre dovrai impostare nei browser, a seconda dell'opzione scelta, di ricercare le impostazioni del proxy via rete o mettere direttamente l'url dello script o altro.

Altrimenti non viene filtrato nulla sui client.
#Linux User
:0:
* ^X-Spam: YES
/dev/null

Re: Limitazione di accesso alle pagine web tramite squidGuard
« Reply #8 on: January 27, 2009, 11:52:28 AM »
Finalmente sono riuscito a far funzionare squidGuard (e squid) correttamente. In pratica nonostante sul pannello di amministrazione (server-manager) fosse segnato come abilitato, non lo era o comunque non funzionava bene. L'ho disabilitato, e poi ri-abilitato e adesso funzionano tutti e due. Mah?
Spesso ho notato che la gente che ne sa a pacchi, tipo Stefano, non sembra gradire molto l'utilizzo dell'interfaccia web proprio per prevenire rotture di co....ni come questa. Mi piacerebbe poter fare lo stesso....

Comunque adesso mi posso divertire con il content filtering, addio facebook, anobii e corriere della sera (almeno dall'ufficio) muahahahaha
Preciso che sul browser del mio pc client, come pensavo, non ho avuto bisogno di impostare alcun parametro proxy (attualmente firefox è impostato su "no proxy").

Appena ho un po' di tempo libero ripeto tutto il processo e posto una guida "for dummies" come me al riguardo, sperando che possa servire.

Ciao a tutti e grazie per la pazienza.
Federico

Offline Incognito

  • *****
  • 195
  • +0/-0
  • Linux User
Re: Limitazione di accesso alle pagine web tramite squidGuard
« Reply #9 on: January 27, 2009, 12:07:06 PM »
...CUT...
Preciso che sul browser del mio pc client, come pensavo, non ho avuto bisogno di impostare alcun parametro proxy (attualmente firefox è impostato su "no proxy").
...CUT...

Scusa, magari mi è sfuggito, il gateway è il server SME e non il router, giusto? In questo caso funziona proprio così, ma se il gateway era direttamente il router avresti dovuto cambiare le impostazioni.
#Linux User
:0:
* ^X-Spam: YES
/dev/null

Re: Limitazione di accesso alle pagine web tramite squidGuard
« Reply #10 on: January 27, 2009, 12:18:40 PM »
Quote
Scusa, magari mi è sfuggito, il gateway è il server SME e non il router, giusto? In questo caso funziona proprio così, ma se il gateway era direttamente il router avresti dovuto cambiare le impostazioni.

Esattamente :)

Ciao
Federico

Offline Stefano

  • *
  • 10,894
  • +3/-0
Re: Limitazione di accesso alle pagine web tramite squidGuard
« Reply #11 on: January 27, 2009, 02:44:39 PM »
Spesso ho notato che la gente che ne sa a pacchi, tipo Stefano, non sembra gradire molto l'utilizzo dell'interfaccia web proprio per prevenire rotture di co....ni come questa. Mi piacerebbe poter fare lo stesso....

intanto grazie per avermi descritto come quello che ne sa a pacchi.. fosse vero :)

comunque, non è necessario essere particolarmente preparati per fare delle modifiche a SME via console.. diciamo che quando conosci
- la sintassi del comando db
- quella del signal-event
- quella dell'expand-template
- come funziona la templatizzazione
- come verificare lo stato di un servizio

sei in grado di fare il 99% delle cose..

per quanto riguarda db, expand-template, signal-event e concetti di templatizzazione qui trovi un esempio un esempio (in italiano)

per l'ultima cosa, basta ricordarsi [1]
Code: [Select]
service name start|stop|status|restart

come già detto, sperimentare sul server in produzione è MALE e per mettere su SME su vmware/virtualbox anche sotto windows bastano 5 minuti, 2gb di spazio e 160 mb di ram (anche meno, ma suvvia...)

Ciao

Stefano

[1] alcune delle opzioni potrebbero non esserci e il comando "service" è stato mantenuto su SME per "retrocompatibilità", visto che si dovrebbe usare "sv" o "svc".. io comunque continuo ad usare la sintassi proposta
« Last Edit: January 27, 2009, 02:46:27 PM by Stefano a.k.a. nenonano »

Offline Fumetto

  • *
  • 899
  • +1/-0
Re: Limitazione di accesso alle pagine web tramite squidGuard
« Reply #12 on: January 27, 2009, 03:52:07 PM »
... diciamo che quando conosci
- la sintassi del comando db
- quella del signal-event
- quella dell'expand-template
- come funziona la templatizzazione
- come verificare lo stato di un servizio

sei in grado di fare il 99% delle cose...
E hai detto niente... io a malapena riesco a controllare lo stato dei servizi...

Cmq è questo il bello... studiando si imparano tante cose, ad esempio oggi ho imparato che non posso installare i VMware tools su IpCop virtualizzato perchè non ci sono alcune librerie...  :P