Руководство администратора Linux по безопасности


SQUID - часть 3


acl ads dstdomain ads.blah.com http_access deny ads

Объявление acl задает шаблон домена назначения, исходного домена, регулярного выражения и так далее, директива http_access фактически определяет, что делать с этим (deny, allow или что-то еще). Правильная установка этого дает чрезвычайно мощный инструмент, чтобы ограничить доступ к WWW. К сожалению, это имеет одну Ахиллесову пяту: не поддерживает идентификацию пользователя и управление на ее основе (многие UNIX proxy такое умеют). Не забудьте, что подобно любому набору правил они читаются сверху вниз. Squid FAQ есть на

http://squid.nlanr.net/Squid/FAQ/FAQ.html.

Одна важная деталь защиты: протоколы Squid. По умолчанию Squid может протоколировать или нет каждый запрос, который обрабатывает (зависит от файла конфигурации), от ?http://www.nsa.gov/? до ?http://www.example.org/cgi-bin/access&member=john&password=bob?. Вы определенно захотите отключать файлы регистрации доступа, если Вы не хотите иметь позицию наблюдателя за тем, что люди рассматривают в Internet (по закону это сомнительно, возможны БОЛЬШИЕ проблемы!). Директива ?cache_access_log? и нацеливание записей в ?/dev/null?, положат этому конец. Еще одна директива ?cache_store_log?, является полезной для ведения статистики по эффективности Вашего кэша, она не регистрирует кто сделал запрос, просто пишет каково состояние объектов в кэше, так что Вы видите, что изображения на pornographic-сайте обслуживаются неоднократно... Чтобы отключить это, установите в ?none?. ?cache_log? должен вероятно быть оставлен включенным, протокол содержит базисную информацию отладки типа того, когда станция была запущена и когда остановлена, отключить это можно установкой на "/dev/null". Еще один не очень ясно документированный файл протокола задан ?cache_swap_log?. Он хранит запись того, что происходит с кэшем, и также покажет Вам, какие URL посещают (но не кто туда ходит!), установка его на ?/dev/null? не работает (фактически Squid вимательно за этим следит), установка ? none? просто меняет имя файла с ?log? на ?none?. Единственный способ остановить это состоит в том, чтобы связать файл с ?/dev/null? и связать ?log-last-clean? с ?/dev/null ?. Итак,




- Начало -  - Назад -  - Вперед -



Книжный магазин