Escolar Documentos
Profissional Documentos
Cultura Documentos
c
! ʹ Trabalhar como Proxy no compartilhamento de internet com a rede filtrando e monitorando os conteúdos acessados para
assegurar o bom uso do espaço, bloqueando sites que são taxados como impróprios para o uso nas salas ou de uso indiscriminado como o
Orkut famoso site de relacionamento que não é bem vistos nesses ambientes.
Além disso a função de cache do Proxy melhora o desempenho da rede, tornado assim a navegação mais eficiente.
c " ʹ Arquivos necessários aos demais computadores da rede podem ser disponibilizados numa pasta no disco
rígido do servidor para uso comum a toda a rede.
# ʹ No Proxy diversos recursos da internet são filtrados mas podem ser liberados para determinados usuários
cadastrados no sistema de acordo com determinadas regras.
ʹ O servidor não necessita de monitor, teclado ou mouse conectado a ele para funcionar, basta apenas ligar
e pronto, toda a administração é realizada a partir de qualquer (ou não) computador da rede, como se estivéssemos sentado de frente ao
servidor, mesmo ele estando em outra sala por exemplo.
$ % Controla o acesso a sites de pornografia, drogas, violência, pirataria, etc.
Utilizaremos como sistema base o Ubuntu Server 8.04 instalado num PC com 512MB de RAM e 40GB de HD e duas interfaces de rede,
Internet OI Velox com modem em função r oteador. Sendo que essas configurações podem variar para mais ou para menos. Não precisar
ser um super computador com 4GB de RAM nem 500Gb de HD.
Este manual nasceu a partir da experiência no CID da Escola Luzia Laudelino que tem a seguinte topologia:
O computador que tem a legenda ponte é um PC com duas placas de rede configurado para servir como ponte de rede
( (
' e e s s e v s ss % ) e v [ [[
pep e *+ v, pspsppsp
e-pp
p
È &. / /p
È &. / . 0 /pp
p
5
epe 1 pép20p
s2 pe3eeppce4 pp
7 8 5
ps
p pépp-e spp
pe6epepppepép
pe
sp sp spc
ç esps ps pe
speps
p
p p
sspe spepc
p psepv
p peep pc
pps
p pseppc
È ' pp
c
eppsepp pp
a
spspe
espepepppSe ve ppspp
spps
p psp esp sppssps
p
epvcêp
sepppepép pe ec
pep
vspepve pc pp ce
p pe
pepeppe pc
pepseps p
È &9 :
ep p
sçp p
p s
se p c
p sp ce esp ep eep sp p p e p ese ep v sp p p
c e epp
vp!ec!e" #!
e cespp
È '
e
epeepc eppee p
p p
Se v 5
/etc/network/interfaces
No Linux você tem uma grande vantagem sobre o Windows que é a de não precisar reiniciar todo o sistema para que uma
configuração entre em vigor, basta reiniciar o serviço que você fez mudanças usando o comando /etc/init.d/[serviço] restart
onde [serviço] é o nome do serviço ao qual você quer reiniciar, no caso acima:
÷ ÷
Instalação, para instalar o DHCP Server use o comando abaixo:
Configurações gerais:
/etc/dhcp3/dhcpd.conf
ddns-update-style none<
default-lease-time 600<
max-lease-time 7200<
authoritative<
option wpad-url code 252 = text <
}
host ProfessorPC {
hardware ethernet 00:E0:4D:B8:C0:71<
fixed-address 192.168.0.85<
}
A configuração de IP fixo acima pode ser usada no squid para controlar acessos de determinada maquina.
±
±
a
O Webmin é um programa para administração via rede utilizando o browser para disponibilizar ao administrador da rede uma inte rface
gráfica de configuração dos diversos serviços do Servidor, Use o comando wget para baixar a ultima versão do webmin no site
http://www.webmin.com.
Exemplo:
È = != +,-,.&/+
a
Antes de configurar o servidor a partir de outra estação vamos baixar alguns pacotes que precisaremos para a configuração e
administração do servidor no dia a dia, Digite:
È & "
! / !- !-&
)
00
! !&
÷
Essa parte por comodidade já pode ser realizada via rede usando o Webmin, permitindo assim você usar a área de transferência para colar
conteúdos extensos de arquivos de configuração a partir de modelos, sem a necessidade de digitar tudo, recomendo utilizar ape nas o
gerenciador de arquivos do Webmin e fazer as configurações tradicionalmente, por conta de experiências não muito boa com a in terface
gráfica do Webmim, mas talvez, você tenha mais sorte. Use o Putty (a partir do Windows) para digitar os comandos via ssh.
A configuração do squid é simples desde que bem feita, recomendo que você procure aprender >
sobre
>
o squid antes de configurá-lo, pois
assim você pode criar regras que se adéquem as suas nescessidades. Edite o arquivo [ [ [ ?
e copie a configuração abaixo,
>
não esquecendo de modificar o nome da máquina e o IP na configuração do ?
.
http_port 3128
visible_hostname Servidor
cache_mem 128 MB
maximum_object_size_in_memory 96 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 8048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
------------------------------------------------------------------------------
http_access allow localhost
http_access allow redelocal
http_access deny all
1
S domingo
M segunda-feira
T terça-feira
W quarta-feira
H quinta-feira
F sexta-feira
A sábado
( &&232r
1a&,4/,56../7&
&&6.&23a231&&&*,/6
Adicione essas linhas no /etc/rc.local para ser ativado a cada inicialização.
Pastas das
:
Reinicie o c @ e você verá que já pode adicionar o proxy ao seu navegador e irá pedir usuário e senha, lembrando que seu proxy
deve estar como IP do servidor e a porta selecionada:
Use o comando:
Digite a senha e confirme. (Obs: adriano é um exemplo de nome de usuário que você deve colocar a sua escolha) Somente a
primeira vez usar o comando com para criar o arquivo. Pronto, na caixa de autenticação do seu navegador você já pode digitar
esse usuário criado que o acesso à internet já será liberado.
÷
O DanGuardian é um super-filtro de conteúdo, conseguindo barrar vários tipos de conteúdos diferentes, sejam sites, frase, ou até
mesmo tipos de arquivos. A configuração padrão é bem restrita, e você pode penar um pouco até ter uma configuração que lhe
permita acessar tudo o que você precisa, e bloqueie o resto. Sempre que possível, utilize os arquivos de exceção para liberar
apenas o necessário (exemplo, incluir o endereço da Caixa Econômica Federal como exceção, ao invés de liberar o acesso a
arquivos .zip).
Outro ponto é que você pode precisar configurar bastante o DG no quesito performance. Ele utiliza o Clamav para fazer uma
varredura antí-virus no que passa pelo proxy, o que pode ser bem ruim se você está usando um Pentium 100 como proxy para 100
máquinas͙ O Dansguardian é recomendado para ambientes corporativos preocupados com a segurança, e PRINCIPALMENTE em
escolas ou universidades.
Comece editando o arquivo: /etc/dansguardian/dansguardian.conf
`
A
` B` A
``
[A[`[
A
[ `
`
E, no ͚/etc/dansguardian/bannedphraselist͛
Para utilizar o Danguardian na sua rede é preciso configurar os navegadores para acessarem pela porta 3129 (porta configurada no
dansguardian.conf) É necessário ter o squid instalado e ativo, pois ele vai continuar trabalhando da mesma maneira, o
Dansguardian agirá apenas como auxiliar filtrando o conteúdo das paginas exibidas.
p
e
spepe
ppc
çpvcêpepcec ppspp ypespc
eesp
pp
vp!v !!s
!ccessp
pse v
pVcêpve pv
spe sp ee eespspcessspe
spespc
eesp
Se v
p
p p$p 12p
p
÷
G
Do ponto de vista ético o Sarg não é um amigo dos usuários pois ele é o fofoqueiro que habita o servidor, contando ao
administrador tudo o que os usuários acessam͙ D -) piadas a parte, o SARG na verdade é um programa que lê os relatorios do
acesso do squid e coloca tudo em uma tabela bem organizada para que o administrador da rede possa analisar o uso da internet
pelos usuários descobrindo assim possíveis sites para um bloqueio e sabendo por exemplo quem tentou acessar algum site
proibido͙ é uma ditadura? Talvez mas acredite, num laboratório de uma escola ou num CID é muito útil. Edite o aquivo
[ [
[
e altere as seguintes linhas.
Localize a linha:
Por padrão deve estar como "English", mude para "Portuguese" (esta é a linha que define a linguagem padrão do SARG).
Procure a linha:
+
Encontre a linha:
+
E coloque . Essa linha define onde o relatório será colocado depois de pronto para que possa ser acessado.
+
Caso você queira deixar o sarg acessando no endereço padrão http://servidor/squid-reports pule esta parte
+
Para "no":
+
Crie a pasta:
È )
È
±3
44
4555 #'"( '67! (' 8' !"'"' 955554
44
*:+
.*
*
*+
.*
*
;0 +
*2.
Pronto!! agora ele está pronto para ser executado com o comando
È
*2.
Agora acesse pelo seu navegador no endereço: !
Como você não quer que o pessoal cadastrado no Proxy fique o tempo todo pedindo pra você mudar a senhas deles você pode
instalar o chpasswd e deixar que eles mesmos mudem a senha deles através da rede, ba sta você disponibilizar o endereço pra
digitarem no navegador.
Siga a sequencia de comandos abaixo, o que estiver depois do é um comentário NÃO DIGITE nem ele nem o símbolo.
È
&
;
"
! & & ; & &
;
&
!
±
`
È ) ±
`
48
* + :+
+
4
Para:
4
<=
4
Instalação
±
/0
+2.>.2.
./0
Mova a pasta criada para dentro do /etc/squid (ou outra pasta que você preferir):
±
+2.>.2 :+
± )
*
+
Note que configuraremos para utilizar a pasta admuser -2.3.2, que se encontra em /etc/squid, habilitando o idioma português do
Brasil e mudando o diretório padrão do CGI para /var/www/cgi-bin/admuser.
Lembrando que se não houver a pasta cgi -bin criada em /var/www, você pode criar na mão mesmo, não esquecendo de colca -los
na lista de sites-avaliable e sites-enabled
Depois da instalação ter sido efetuada, você poderá configurar o Admuser através do arquivo admuser.conf, que se encontra na
pasta que você colocou dentro do /etc/squid.
No admuser.conf você pode definir cor de fundo, título e algumas outra tags que veremos adiante.
Se você quiser administrar os usuários do Squid através do Admuser, dentro do arquivo pwd_files deverá existir a seguinte linha:
:+:+
@
:+
Lembrando que os arquivos podem ter o nome que você desejar, desde que você os aponte corretamente na configuração.
Outras tags:
[ Usuários que poderão administrar o Admuser ]
+
:+
++
No seu navegador web pode-se acessar a página de administração de usuários pelo endereço:
-*
+.*
( %
Agora precisamos adicionar o preiodo (tempo) que o cron deve chamar o nosso script do sarg, as configurações do cron são bem
simples
mm HH DD MM DS comando
onde:
mm: minutos
HH: horas
DD: dia
MM: mês
DS: dia da semana
No nosso caso, vamos programar para ele executar o sarg todos os dias as 09:00.
As páginas de configuração/administração do servidor são muito expostas a modificações indesejadas e acessos indevidos no caso
dos relatórios do sarg, por isso vamos configurar o apache para restringir o acesso a essas paginas via rede.
<Directory /var/www/sarg.
Deny from all
AuthType Basic
AuthName "Acesso restrito, identifique-se"
AuthUserFile [ [
[
Require valid-user
Satisfy Any
</Directory.
<Directory /var/www/cgi-bin/admuser.
Deny from all
AuthType Basic
AuthName " Acesso restrito, identifique-se "
AuthUserFile [ [
[
Require valid-user
Satisfy Any
</Directory.
Reinicie o
:
p p
"
Ou
Crie uma página HTML a seu gosto salve na pasta das paginas de erro do squid e no squid.conf defina como no exemplo:
*
/
ou
-
*
/
DE +
+
*
F
OBS: no caso de acls que exigem autenticação o + deverá se referir a acl da autenticação.
Quando você cria uma pagina personalizada dentro das pastas de erro do squid pode inserir a tag ß para que a página mostre a
URL que foi bloqueada.
&
2& Mostra a URL que foi bloqueada.
&23cra3& Informa a razão pela qual foi bloqueada
&23crr3& Informa a razão com detalhes
&
c32& Informa o usuário atual (quando conhecido)
&a&Mostra o IP da máquina
&rc1&Mostra o nome da máquina
&a1322r
& Mostra o grupo do filtro
&13r2a3c& Informa a categoria do filtro
Crie um arquivo em /home/desligando.sh nele criaremos um scritp que tem como objetivo desligar a máquina e nele digite as
seguintes linhas
!/bin/bash
/sbin/shutdown -t1 -a -h now
Em seguida atribua a permissão 750 para que apenas usuário root e grupo "desliga" consigam executar o script, além de só o root
poder alterá-lo:
É necessário ser superusuário (id 0) para executar o comando shutdown. Desta forma precisaremos do auxílio da técnica de suid
bit.
A ativação do suid bit permitirá a execução do shutdown por qualquer usuário como se fosse root, assim como é feito o comando
passwd que nativamente tem o suid bit ativo.
Primeiro é necessário alterar o grupo do comando shutdown para o grupo "desliga". Faz-se isso através do comando:
Caso queira uma garantia de que os comandos funcionaram, observe se o arquivo ficará da seguinte forma:
Até este momento já resolvemos nosso problema, pois o usuário poderá logar-se no terminal ou remotamente e executando o
script, desligar a máquina. Porém, pode-se facilitar as coisas ainda mais.
Edite o arquivo /etc/passwd e altere o caminho do comando de shell do usuário para que o mesmo seja o script. Desta forma
basta que o usuário digite o login e senha para que o script entre em funcionamento, sem liberar shell para o usuário, fechan do
assim a segurança no que tange a criação de usuários desnecessários e consequentemente possíveis de se utilizar para invasão.
Antes:
`
`
[ [ `
Depois:
`
`
[ [ `
*
.
se for possível o acesso físico ao servidor, um procedimento é ainda mais fácil, altere o arquivo
&&
trocando o comando de reiniciar pelo de desligar
Antes:
3
! %
Depois:
3
! %!
No Squid pra não passar por autenticação insira a seguinte linha antes da autenticação.
No Dansguardian inclua o ip da maquina que não vai passar pelo bloqueio no arquivo
*+
0
p
÷
São tantas interfaces de configuração tantos endereços que acabam nem sendo realmente práticos usá -los, Vamos criar um site e
insala-lo em nosso servidor para acessar os diversos recursos disponível através do browser para administração do servidor,
acessando apenas o endereço: http://servidor/
Pra isso você vai modificar, ou subistituir o arquivo índex.html na pasta /var/www
https://ip_servidor:10000 ʹ Webmim
http://ip_servidor/cgi-bin/chpasswd/chpasswd.cgi - Alterar senha do usuário
http://ip_servidor/cgi-bin/admuser/admuser.cgi - Gerenciar usuários
http://ip_servidor/manual.pdf - Manual do usuário do servidor Linux
http://ip_servidor/sobre/index.html - Página com informações sobre o servidor
Um exemplo é o site abaixo que criei para servir de índex de configuração do servidor.
Pronto! Agora você acessa o índex do servidor pelo endereço http://servidor para ter acesso a todas as funções. Aproveite bem.
p
As aplicações de gerenciamento de usuários, alteração de senha e acesso a relatórios do sarg e outras páginas do servidor, sã o
feitos através de paginas web instaladas em seu servidor apache. Para uma correta configuração devemos conhecer o
funcionamento e configuração dessas paginas no apache.
A pasta padrão do seu servidor web é /var/www e a pasta de scripts CGI é /var/www/cgi-bin, configuradas no arquivo
/etc/apache2/sites-avaliable/default.
Dentro da pasta /var/www/ é possível criar outras pastas, mas para o correto funcionamento dos scripts principalmente copie o
conteúdo do arquivo default e cole num arquivo com o nome de seu site (pagina desejada)então faça as modificações necessárias.
ServerAdmin exemplo@exemplo.com.br
DocumentRoot /home/pedro/www/exemplo
ServerName www.exemplo.com.br
ServerAlias exemplo.com.br *.exemplo.com.br
<Directory /.
Options FollowSymLinks
AllowOverride All
</Directory.
<Directory /var/www/.
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
ErrorLog /var/log/apache2/error.log
</VirtualHost.
p
p
÷
p
Não se pode dizer que concluímos a configuração e encontramos um padrão para um bom servidor de internet porque sempre
terá alguma função a mais, alguma configuração, mas com as configurações contidas neste manual já teremos um bom servidor
para prover um bom acesso as redes dos CIDs e Salas de Informática de escolas.
Até a próxima!!
%
2GG