Blokovacie automaty

linux_pas V pred­chád­za­jú­cej čas­ti sme si uká­za­li, ako mô­že­me ria­diť prís­tup k ne­do­vo­le­ným strán­kam. Uvied­li sme, že mô­že­me vy­tvo­riť ur­či­té zoz­na­my blo­ko­va­ných a po­vo­le­ných strá­nok a už vie­me, že strán­ky mô­že­me za­blo­ko­vať natvr­do ale­bo ich preh­lia­da­nie po­vo­liť na zá­kla­de auten­ti­fi­ká­cie me­nom a hes­lom.

Slo­ven­ské hlá­se­nia
Na za­čiat­ku tre­ba dopl­niť nie­koľ­ko drob­nos­tí, sú­vi­sia­cich s pre­doš­lou čas­ťou. Na ob­ráz­koch v pred­chád­za­jú­cej čas­ti sme si moh­li všim­núť, že hlá­se­nia o blo­ko­va­ní prís­tu­pu či je­ho prí­pad­nom po­vo­le­ní po­mo­cou auten­ti­fi­ká­cie ne­bo­li v an­glič­ti­ne, ale po slo­ven­sky. Je to veľ­mi správ­ne, le­bo hlá­se­nie ne­ro­bí­me pre se­ba (a mô­že­me po­ve­dať, že tec­hnic­ká an­glič­ti­na by nám ne­mu­se­la ro­biť žiad­ny prob­lém), ale pre na­šich po­uží­va­te­ľov. A tí už ne­mu­sia ov­lá­dať an­glič­ti­nu a po slo­ven­sky sa ľah­šie doz­ve­dia, pre­čo sa im da­ná strán­ka ne­zob­ra­zu­je. Chy­bo­vé hlá­se­nia sú ulo­že­né v ad­re­sá­ri /usr/sha­re/squid/errors/. Tu náj­de­me po­dad­re­sá­re zod­po­ve­da­jú­ce mno­hým ja­zy­kom vrá­ta­ne slo­ven­či­ny. Štan­dar­dne je v sú­bo­re squid.conf pred­nas­ta­ve­ná an­glič­ti­na, ale to zme­ní­me úp­ra­vou po­lož­ky error_di­rec­to­ry tak­to:

error_di­rec­to­ry /usr/sha­re/squid/errors/Slo­vak

(po­zor na veľ­ké pís­me­no S!).

V da­nom ad­re­sá­ri sa nac­hád­za­jú sú­bo­ry HTML s chy­bo­vý­mi hlá­se­ním. Čo jed­na chy­ba, to jed­no hlá­se­nie, a te­da je­den sú­bor. Ob­sah týc­hto sú­bo­rov mô­že­me, sa­moz­rej­me, up­ra­vo­vať po­dľa ľu­bo­vô­le a po­dľa po­tre­by.

Ne­fun­kčná auten­ti­fi­ká­cia
Ďalej tre­ba uviesť, že tá­to auten­ti­fi­ká­cia ne­fun­gu­je v prí­pa­de, ak zá­ro­veň po­uží­va­me tran­spa­rent­ný proxy server. Jed­no­duc­ho pri preh­lia­da­ní strán­ky zo zoz­na­mu blo­ko­va­ných ne­vys­ko­čí ok­no po­ža­du­jú­ce me­no a hes­lo, ale strán­ka sa spo­koj­ne zob­ra­zí. Je to pre squid nor­mál­ny jav, kto­rý nám správ­com troc­hu skom­pli­ku­je ži­vot. Ak tr­vá­me na po­uží­va­ní auten­ti­fi­ká­cie z nám už zná­mych dô­vo­dov, mu­sí­me uro­biť tie­to opat­re­nia, aby sme pred­sa do­nú­ti­li po­uží­va­te­ľa po­uží­vať proxy:

- Nas­ta­ví­me preh­lia­dač na po­uží­va­nie proxy server­a (tak ako sme si to uká­za­li mi­nu­le)
- V nas­ta­ve­ní pro­to­ko­lu TCP/IP vy­pne­me brá­nu (obr. č. 1).

obr.č.1 - výmaz brány.BMP
obr. č. 1

Ak sa te­raz po­uží­va­teľ po­kú­si obísť proxy server nas­ta­ve­ním inter­ne­to­vé­ho preh­lia­da­ča na pria­me pri­po­je­nie k inter­ne­tu, vzhľa­dom na ne­nas­ta­ve­nú brá­nu v pro­to­ko­le TCP/IP na sie­ťo­vom roz­hra­ní sa na po­ža­do­va­nú strán­ku nep­ri­po­jí. Po­dmien­kou je, aby po­uží­va­teľ ne­mo­hol sám nas­ta­vo­vať pro­to­kol TCP/IP, v čom mu za­brá­ni­me nas­ta­ve­ním vhod­ných práv na da­nom klien­tskom po­čí­ta­či.

Po­znám­ka:
Tak­to má­me za­bez­pe­če­nú učeb­ňu. Aj zna­lí štu­den­ti, kto­rí ve­dia, že sa dá proxy server obísť, ne­do­ká­žu bez ad­mi­nis­trá­tor­ských práv pres­ta­viť TCP/IP.

Blo­ko­va­cie auto­ma­ty
Už mi­nu­le sme spo­me­nu­li, že sle­do­vať, kto­rú strán­ku chce­me blo­ko­vať a kto­rú nie, je ča­so­vo veľ­mi ná­roč­né. Den­ne vzni­ka­jú strán­ky, kto­ré by sme ne­ra­di po­vo­ľo­va­li, a ver­te či nie, štu­dent ale­bo po­uží­va­teľ v ne­ja­kom po­dni­ku je tvor vy­na­lie­za­vý a vždy je o krok pred na­mi správ­ca­mi. Spra­vid­la na no­vé nev­hod­né strán­ky na­ra­zí­me iba ná­hod­ne. A len tak na ok­raj, ko­mu by sa stá­le chce­lo dopĺňať sú­bor blo­ko­va­ne.list. Pre­to exis­tu­jú tzv. blo­ko­va­cie auto­ma­ty. Tie ma­jú ve­ľa mož­nos­tí, rôz­ne me­tó­dy filtrá­cie, do­ká­žu si pra­vi­del­ne ob­no­vo­vať da­ta­bá­zu blo­ko­va­ných strá­nok a po­dob­ne. V Li­nuxe sú naj­zná­mej­šie dva blo­ko­va­cie auto­ma­ty – squid­Guard a Dan­sGuar­dian. Te­raz ich struč­ne pred­sta­ví­me.

squid­Guard
squid­Guard sa nac­hád­za na inter­ne­to­vej strán­ke www.squid­guard.org.
Umož­ňu­je:
- ob­med­zo­vať prís­tup k inter­ne­tu na zá­kla­de zoz­na­mu (len) po­vo­le­ných strá­nok
- blo­ko­va­nie prís­tu­pu pre de­fi­no­va­ných po­uží­va­te­ľov
- blo­ko­va­nie na zá­kla­de re­gu­lár­nych vý­ra­zov
- pres­me­ro­va­nie blo­ko­va­ných strá­nok na in­for­mač­nú strán­ku
- pres­me­ro­va­nie ne­re­gis­tro­va­ných po­uží­va­te­ľov na strán­ku s re­gis­trač­ným for­mu­lá­rom
- pres­me­ro­va­nie sťa­ho­va­nia ob­ľú­be­ných prog­ra­mov na lo­kál­ne kó­pie
- pres­me­ro­va­nie rek­lam­ných ban­ne­rov na „prázd­ny“ ob­rá­zok
- de­le­nie rôz­nych prís­tu­pov po­dľa dní, ča­su, dá­tu­mu a po­dob­ne
- de­le­nie rôz­nych prís­tu­pov pre roz­diel­ne sku­pi­ny po­uží­va­te­ľov
- a eš­te ove­ľa viac
squid­Guard vy­uží­va tak­zva­ný re­di­rec­tor inter­fa­ce, te­da so squidom pra­cu­je tak, že squid vo svo­jom kon­fi­gu­rač­nom sú­bo­re za­vo­lá squid­Guard k čin­nos­ti (uká­že­me nes­kôr).

In­šta­lá­cia
squid­Guard si mô­že­me stiah­nuť z do­mov­skej strán­ky ako ba­lí­ček so zdro­jo­vý­mi kód­mi, prí­pad­ne po­hľa­dá­me na inter­ne­te ba­lí­ček pre na­šu dis­tri­bú­ciu.

Ak si stiah­ne­me zdro­jo­vý kód, bu­de­me po­stu­po­vať tak­to:
- pred­pok­la­daj­me, že v na­šej dis­tri­bú­cii má­me nain­šta­lo­va­nú Ber­ke­ley DB kniž­ni­cu vo ver­zii 2.X; v dis­tri­bú­cii Red­Hat a Fe­do­ra na to mô­že­me po­užiť prí­kaz rpm –qa|grep db
- ak nie, stiah­ne­me si ju – prís­luš­ný link a opis náj­de­me na strán­ke www.squid­guard.org/in­stall
- ba­lí­ček so zdro­jo­vý­mi kód­mi prog­ra­mu squid­Guard roz­ba­lí­me na vhod­né mies­to
- v da­nom ad­re­sá­ri spus­tí­me prí­ka­zy:
a. ./con­fi­gu­re
b. ma­ke
c. ma­ke in­stall

Kon­fi­gu­rá­cia a nas­ta­ve­nie
Kon­fi­gu­rá­cia a nas­ta­ve­nie prog­ra­mu squid­Guard po­zos­tá­va z týc­hto kro­kov:
- z úp­ra­vy kon­fi­gu­rač­né­ho sú­bo­ru squid­guard.conf prog­ra­mu sguid­Guard
- z na­čí­ta­nia da­ta­bá­zy blo­ko­va­ných strá­nok
- z úp­ra­vy kon­fi­gu­rač­né­ho sú­bo­ru squid.conf prog­ra­mu squid

Kon­fi­gu­rač­ný sú­bor squid­guard.conf sa spra­vid­la nac­hád­za v ad­re­sá­ri /etc/squid/. Ob­sa­hu­je množ­stvo po­lo­žiek na je­ho nas­ta­ve­nie. Na inter­ne­to­vej strán­ke prog­ra­mu squid­Guard je nie­koľ­ko vzo­ro­vých prík­la­dov úp­ra­vy sú­bo­ru po­dľa na­šich po­trieb. Mi­ni­mál­na kon­fi­gu­rá­cia sú­bo­ru squid­guard.conf ob­sa­hu­je:

dbho­me /var/lib/squid­guard
log­dir    /var/log/squid­guard

     acl {
 de­fault {
     pass all
 }
     }

Pr­vý ria­dok opi­su­je, kde je ulo­že­ná da­ta­bá­za s blo­ko­va­ný­mi strán­ka­mi. Dru­hý ria­dok opi­su­je ulo­že­nie lo­go­va­cích sú­bo­rov prog­ra­mu. (V niek­to­rých dis­tri­bú­ciách sa tie­to ces­ty mô­žu lí­šiť!)

Da­ta­bá­za blo­ko­va­ných strá­nok (blac­klist)
Da­ta­bá­za blo­ko­va­ných strá­nok je aký­si zá­klad čin­nos­ti blo­ko­va­cie­ho auto­ma­tu. Da­ta­bá­zu spra­vid­la ak­tua­li­zu­jú tak­zva­né dumb ro­bo­ty, a pre­to sa mô­že stať, že sa v nej bu­dú nac­hád­zať aj strán­ky, kto­ré nec­hce­me blo­ko­vať. Da­ta­bá­za sa ak­tua­li­zu­je pra­vi­del­ne (asi raz týž­den­ne) a mô­že­me si ju stiah­nuť na ad­re­se http://ftp.tdcnor­ge.no/pub/www/proxy/squid­Guard/con­trib/blac­klists.tar.gz. Da­ta­bá­za (blac­klist) sa skla­dá z nie­koľ­kých ka­te­gó­rií (ad­re­sá­rov), nap­rík­lad ads, drugs, gam­bling, hac­king, po­rn, warez, vio­len­ce a po­dob­ne. Kaž­dá ka­te­gó­ria (ad­re­sár) po­zos­tá­va zo zoz­na­mov do­mains, urls a expres­sions. Zoz­na­my do­mains a urls sú v po­dsta­te sú­bo­ry, ob­sa­hu­jú­ce od­ka­zy na strán­ky, kto­ré bu­dú blo­ko­va­né.

Prík­lad sú­bo­ru do­mains z ka­te­gó­rie po­rn je v skrá­te­nom vý­pi­se č. 2.

.
.
.
av­spa­ges.com
avspla­ces.com
avspla­net.com
av­spor­tal.com
avspre­mium.com
av­sra­ted.com
aweso­me-asian-girls.com
aweso­me-ebo­ny.com
aweso­me-la­ti­na-women.com
.
.
.
Prík­lad sú­bo­ru urls z ka­te­gó­rie po­rn je na skrá­te­nom vý­pi­se č. 3.
.
.
.
atk-na­tu­ral-and-hai­ry.com/si­tes/atk-hai­ry
atk-na­tu­ral-and-hai­ry.com/si­tes/na­tu­ral-hai­ry-pus­sy
at­kna­tu­ral­hai­ry.com/avs
aug­sbur­gec­ho.com/har­dco­re
aun­tie­jay­ne.com/tgp
aun­tso­nya.com/9_03_02013
aun­tso­nya.com/9_03_03903
aural­cam.net/aural­kid/ak2
aural­cam.net/aural­kid/ct
aural­cam.net/sexkey
.
.
.

Sú­bor expres­sions ob­sa­hu­je re­gu­lár­ne vý­ra­zy na kon­tro­lu náz­vov strá­nok, kto­ré sa ma­jú blo­ko­vať. Prík­lad sú­bo­ru expres­sions z ka­te­gó­rie po­rn je na skrá­te­nom vý­pi­se č. 4.

(adul­tos|adul­tsight|adul­tsi­te|adul­tson­ly|adultweb|blow-?job|bon­da­ge|cen­ter­fold|cum­shot|cy­berlust|cy­ber­co­re|har­dco­re|in­cest|mas­tur­bat|ob­sce­ne|pe­dop­hil|pe­do­fil|play­ma­te|po­rnstar|sexdream|showgirl|sof­tco­re|strip­tea­se) (^|[-.\?+=/_0-9])(all|big|cu­te|cy­ber|fa­ke|firm|hard|hu­ge|litt­le|me­ga|mi­ni|naugh­ty|new|old|pu­re|real|small|se­rious|soft|su­per|ti­ny|young)?(anal|ba­be|bha­rath|boob|breast|bu­sen|bus­ty|clit|cum|cunt|di­ck|fe­tish|fuck|hoo­ter|lez|lust|na­ked|nu­de|oral|or­gy|po­rno?|pup­per|pus­sy|rot­ten|sex|shit|smut­pump|teen|tit|topp?les|vixen|xxx)s?(ca­fe|si­te|surf|sur­fing|web|web­si­te)?([-.\?+=/_0-9]|$) (^|[-.\?+=/_0-9])(all|big|cu­te|cy­ber|fa­ke|firm|hard|hu­ge|litt­le|me­ga|mi­ni|naugh­ty|new|old|pu­re|real|small|se­rious|soft|su­per|ti­ny|young)(girl|vir­gin)s?(ca­fe|si­te|surf|sur­fing|web|web­si­te)?([-.\?+=/_0-9]|$) V prí­pa­de, že sa v týc­hto sú­bo­roch nac­hád­za­jú strán­ky, kto­ré nec­hce­me blo­ko­vať, z do­tyč­ných sú­bo­rov ich vy­ma­že­me.

Zos­ta­ve­nie da­ta­bá­zy
Uve­de­né sú­bo­ry da­ta­bá­zy sú vo for­má­te „čis­té­ho“ (plain) textu. Aby s tou­to da­ta­bá­zou mo­hol prog­ram squid­Guard pra­co­vať, mu­sí­me ju pre­viesť do for­má­tu Ber­ke­ley DB (tak­zva­ných B – stro­mov). To­mu­to pre­ve­de­niu sa ho­vo­rí aj zos­ta­ve­nie (build) da­ta­bá­zy. Zos­ta­ve­nie da­ta­bá­zy vy­ko­ná­me prí­ka­zom

 [root@ru­bin squid]# squid­guard –C all

Ak­tua­li­zá­cia da­ta­bá­zy
V niek­to­rých ad­re­sá­roch sú­bo­ru blac­klists sa nac­hád­za­jú zvláš­tne sú­bo­ry s prí­po­nou .di­ff. Tie ob­sa­hu­jú zme­ny op­ro­ti pô­vod­né­mu blac­klis­tu. Ak po­lož­ka v sú­bo­re ob­sa­hu­je zna­mien­ko mí­nus, zna­čí to, že sa uve­de­ná po­lož­ka z da­ta­bá­zy zma­že. Ak po­lož­ka ob­sa­hu­je zna­mien­ko plus, tá­to po­lož­ka sa do da­ta­bá­zy pri­dá. Nič neb­rá­ni to­mu, aby sme si sa­mi vy­tvo­ri­li po­dob­ný sú­bor .di­ff, aby sme up­ra­vi­li da­ta­bá­zu po­dľa svo­jich po­trieb. Ak­tua­li­zá­ciu da­ta­bá­zy vy­ko­ná­me prí­ka­zom

 [root@ru­bin squid]# squid­guard –u

Spo­je­nie prog­ra­mov squid a squid­Guard
Aby squid­Guard pra­co­val správ­ne, mu­sí byť vo­la­ný prog­ra­mom squid. Pre­to mu­sí­me up­ra­viť sú­bor squid.conf. Vy­hľa­dá­me po­lož­ku re­di­rect_prog­ram. Od­strá­ni­me ko­men­tár (od­ko­men­tu­je­me ho) a dopl­ní­me tak­to:

re­di­rect_prog­ram /usr/bin/squid­Guard -c /etc/squid/squid­guard.conf 
Zá­ro­veň nas­ta­ví­me po­čet pro­ce­sov re­di­rek­to­ra. Vy­hľa­dá­me po­lož­ku re­di­rect_children a nas­ta­ví­me na hod­no­tu
re­di­rect_children 4 
Sú­bor /etc/squid.conf ulo­ží­me. Po tej­to zme­ne reš­tar­tu­je­me prog­ram squid prí­ka­zom servic­e squid res­tart.

Prá­cu prog­ra­mu squid­Guard otes­tu­je­me spô­so­bom opí­sa­ným v pred­chád­za­jú­cej čas­ti. Na­bu­dú­ce sa bu­de­me ve­no­vať prog­ra­mu Dan­sGuar­dian a vy­hod­no­co­va­niu efek­tív­nos­ti prog­ra­mu squid.

Ďal­šie čas­ti >>

Zdroj: Infoware 8/2006



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Li­nux prak­tic­ky ako server úvod
Linux ako server je pomerne zložitá technológia. Jej výhodou je určitá modularita, keď sa nemusí nastaviť celý server naraz, ale postupne. čítať »
 
Syn­chro­ni­zá­cia ča­su v Li­nuxe
V predchádzajúcich dvoch častiach sme si ukázali, že Linux a všeobecne open source softvér sa nenachádza iba v serveroch a počítačových sieťach, ale aj v iných zariadeniach bežnej domácej potreby a v oblasti hobby. čítať »
 
Za­ria­de­nia za­lo­že­né na Li­nuxe
V predchádzajúcej časti sme si spomenuli definície nie - ktorých pojmov z oblasti nášho záujmu, teda Linuxu. Vysvetlili sme si, čo je to Open Source, Public Domain, proprietárny softvér a GNU GPL. Tentoraz ukážeme, ako sa tieto pojmy využívajú v praxi. čítať »
 
Po­jmy z ob­las­ti
Tentoraz na chvíľu trochu odbočíme od bezpečnosti Linuxu a jeho siete. V tejto neštandardnej časti seriálu sa mu budeme venovať len okrajovo. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí II.
V predchádzajúcej časti sme sa začali zaoberať bezpečnosťou bezdrôtových sietí. Poukázali sme na rôzne faktory zneužitia siete, podstatu rizika a vysvetlili sme základné prvky bezpečnosti. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí I.
V predchádzajúcich častiach sme sa venovali bezpečnosti linuxového servera. Riešili sme firewall, bezpečnosť prístupu na internet, zaoberali sme sa demilitarizovanou zónou a podobne. čítať »
 
Údr­žba lo­gov – kon­fi­gu­rá­cia log­ro­ta­te
V predchádzajúcej časti sme sa venovali rotácii logov. Vysvetlili sme princíp ukladania logov, spôsob, ako sa rotujú, a uviedli sme niečo o tom, čo a ako treba nastaviť čítať »
 
Údr­žba lo­gov – ro­tá­cia
V predošlej časti sme sa zaoberali spôsobom logovania informácií na iný alebo vzdialený počítač a ukázali sme, ako riešiť problém s logovaním uzavretých procesov pomocou chroot. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter