Servidor Linux para CID

Servidor Linux para CID 1
c


a
p
Introdução ................................ ................................ ................................ ............................... 4
Instalação do Ubuntu Server ................................ ................................ ................................ .... 5
Atualizando servidor e criando usuário root................................ ................................ ............. 5
Instalando um gerenciador de arquivos e um editor de texto mais amigável............................ 5
Atualizando as interfaces de rede................................ ................................ ............................. 5
Configurando o servidor DHCP ................................ ................................ ................................ . 6
Ativando o compartilhamento................................ ................................ ................................ .. 6
Instalando o webmin................................ ................................ ................................ ................ 7
Instalando os pacotes necessários ................................ ................................ ............................ 7
Configurando o Squid................................ ................................ ................................ ............... 8
Redirecionando as requisições para obrigar usar o Proxy ................................ ......................... 9
Criando o arquivo que irá armazenar os logins e senhas dos usuários do Proxy...................... 10
Criando os usuários e senha para acesso a internet................................ ................................ 11
Configuração do Dansguardian................................ ................................ ............................... 11
Configuração Automática de proxy nos clientes ................................ ................................ ..... 12
Configuração do SARG................................ ................................ ................................ ............ 13
Criando um script para juntar os logs do Squid e Dansguardian................................ .............. 14
Instalando script para troca de senhas da internet ................................ ................................ . 15
Gerenciando usuários da internet ................................ ................................ .......................... 16
Configurando o Sarg para ser executado automaticamente................................ .................... 17
Configurando o acesso as páginas de configuração do Servidor................................ .............. 18
Instalando um servidor DNS ................................ ................................ ................................ ... 18
Personalizando as Páginas de Erro do Squid e do Dansguardian................................ ............. 19
Configurando usuário para Desligar o servidor ................................ ................................ ....... 20
Configurando o desligamento automático do Servidor................................ ........................... 21
Configurando alguns privilégios................................ ................................ .............................. 21
Criando um site pra gerenciar as funções do servidor................................ ............................. 21
Configurando sites no seu servidor apache................................ ................................ ............. 22
Conclusão ................................ ................................ ................................ .............................. 23
Anotações ................................ ................................ ................................ .............................. 24

a
Este manual visa orientar a instalação de um servidor de rede proxy cache com Linux Ubuntu Server, para uso em Centros de Inclusão
Digital, salas de informática de escolas e bibliotecas e quaisquer outros tipos de espaços que exijam o uso de um servidor dedicado para
compartilhar / controlar o uso da internet.
r

c - Fornecer um número de IP para cada máquina na rede e para outras eventuais maquinas que se conectem a mesma
via cabo ou wireless

! ʹ Trabalhar como Proxy no compartilhamento de internet com a rede filtrando e monitorando os conteúdos acessados para
assegurar o bom uso do espaço, bloqueando sites que são taxados como impróprios para o uso nas salas ou de uso indiscriminado como o
Orkut famoso site de relacionamento que não é bem vistos nesses ambientes.
Além disso a função de cache do Proxy melhora o desempenho da rede, tornado assim a navegação mais eficiente.
c " ʹ Arquivos necessários aos demais computadores da rede podem ser disponibilizados numa pasta no disco
rígido do servidor para uso comum a toda a rede.
# ʹ No Proxy diversos recursos da internet são filtrados mas podem ser liberados para determinados usuários
cadastrados no sistema de acordo com determinadas regras.
ʹ O servidor não necessita de monitor, teclado ou mouse conectado a ele para funcionar, basta apenas ligar
e pronto, toda a administração é realizada a partir de qualquer (ou não) computador da rede, como se estivéssemos sentado de frente ao
servidor, mesmo ele estando em outra sala por exemplo.
$ % Controla o acesso a sites de pornografia, drogas, violência, pirataria, etc.
Utilizaremos como sistema base o Ubuntu Server 8.04 instalado num PC com 512MB de RAM e 40GB de HD e duas interfaces de rede,
Internet OI Velox com modem em função r oteador. Sendo que essas configurações podem variar para mais ou para menos. Não precisar
ser um super computador com 4GB de RAM nem 500Gb de HD.
Este manual nasceu a partir da experiência no CID da Escola Luzia Laudelino que tem a seguinte topologia:
O computador que tem a legenda ponte é um PC com duas placas de rede configurado para servir como ponte de rede

a

s ç Se ve é s es se s ç es ss escevee s ees e c ece
! " $"
Se ve se es e s ee e e ce # c %%% é e e! %%%%ss ;- &

( (
' e e s s e v s ss % ) e v [ [[
pep e *+ v, pspsppsp
e-pp
p
È &. / /p
È &. / . 0 /pp
p
5
epe 1 pép20p
s2 pe3eeppce4 pp
7 8 5
ps
p pépp-e spp
pe6epepppepép
pe
sp sp spc
ç esps ps pe
speps
p
p p
sspe spepc
p psepv
p peep pc
pps
p pseppc
È ' pp

c
eppsepp pp
a

spspe
espepepppSe ve ppspp
spps
p psp esp sppssps
p
epvcêp
sepppepép pe ec
pep
vspepve pc pp ce
p pe
pepeppe pc
pepseps p
È &9 :

ep p
sçp p
p s
se p c
p sp ce esp ep eep sp p p e p ese ep v sp p p
c e epp
vp!ec!e" #!
e cespp
È '
e
epeepc eppee p
p p

Se v 5
/etc/network/interfaces
auto lo eth0 eth1

iface lo inet loopback
iface eth0 inet dhcp
iface eth1 inet static

address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
No Linux você tem uma grande vantagem sobre o Windows que é a de não precisar reiniciar todo o sistema para que uma
configuração entre em vigor, basta reiniciar o serviço que você fez mudanças usando o comando /etc/init.d/[serviço] restart
onde [serviço] é o nome do serviço ao qual você quer reiniciar, no caso acima:
( ;)
÷ ÷
Instalação, para instalar o DHCP Server use o comando abaixo:
Èc & ! *&
Configurações gerais:
/etc/dhcp3/dhcpd.conf
ddns-update-style none<
default-lease-time 600<
max-lease-time 7200<
authoritative<
option wpad-url code 252 = text <
subnet 192.168.0.0 netmask 255.255.255.0 {

range 192.168.0.2 192.168.0.99<
option routers 192.168.0.1<
option domain-name-servers 192.168.0.1,200.223.0.83,200.223.0.84<
option netbios-name-servers 192.168.0.254<
option broadcast-address 192.168.0.255<
option wpad-url "http://192.168.0.1/wpad.dat\n" <
}
host ProfessorPC {
hardware ethernet 00:E0:4D:B8:C0:71<
fixed-address 192.168.0.85<
}
A configuração de IP fixo acima pode ser usada no squid para controlar acessos de determinada maquina.
Depois de configurado reinicie o serviço com o comando:
È ! *&

Após configurar as Interfaces e o Servidor DHCP o servidor já está pro nto para compartilhar internet sem restrição nenhuma , isto é via
NAT, o papel do servidor aqui será apenas repassar as requisições vinda da placa de rede ligada a rede interna, para ativar o
compartilhamento use os seguintes comandos:
±

±


±

!"# $ %& '('
Adicione essas linhas no /etc/rc.local para ser ativado a cada inicialização.
a
O Webmin é um programa para administração via rede utilizando o browser para disponibilizar ao administrador da rede uma inte rface
gráfica de configuração dos diversos serviços do Servidor, Use o comando wget para baixar a ultima versão do webmin no site
http://www.webmin.com.
Exemplo:
È = != +,-,.&/+
Depois instale com o comando )* :
È )% +,-,.&/+
Caso você tenha algum problema com dependência use o:
È & %
Depois de instalado o webmin pode ser acessado pelo endereço https://servidor:10000
a
Antes de configurar o servidor a partir de outra estação vamos baixar alguns pacotes que precisaremos para a configuração e
administração do servidor no dia a dia, Digite:

È & " ! / !- !-&
) 00 ! !&

O pacote openssh-server instala o servidor ssh para administração remota via ssh, se suas estações usam Windows baixe o + um
programa simples de usar que faz com que você veja a tela do servidor em seu ambiente Windows.
Se suas estações usam Linux instale o openssh-client.
÷
Essa parte por comodidade já pode ser realizada via rede usando o Webmin, permitindo assim você usar a área de transferência para colar
conteúdos extensos de arquivos de configuração a partir de modelos, sem a necessidade de digitar tudo, recomendo utilizar ape nas o
gerenciador de arquivos do Webmin e fazer as configurações tradicionalmente, por conta de experiências não muito boa com a in terface
gráfica do Webmim, mas talvez, você tenha mais sorte. Use o Putty (a partir do Windows) para digitar os comandos via ssh.
A configuração do squid é simples desde que bem feita, recomendo que você procure aprender >
sobre
>
o squid antes de configurá-lo, pois
assim você pode criar regras que se adéquem as suas nescessidades. Edite o arquivo [ [ [ ? e copie a configuração abaixo,
>
não esquecendo de modificar o nome da máquina e o IP na configuração do ? .
http_port 3128
visible_hostname Servidor
cache_mem 128 MB
maximum_object_size_in_memory 96 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 8048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 10000
acl Safe_ports port 80 http
acl Safe_ports port 21 ftp
acl Safe_ports port 443 563 https, snews
acl Safe_ports port 70 gopher
acl Safe_ports port 210 wais
acl Safe_ports port 280 http-mgmt
acl Safe_ports port 488 gss-http
acl Safe_ports port 591 filemaker
acl Safe_ports port 777 multiling http
acl Safe_ports port 901 swat
acl Safe_ports port 10000
acl Safe_ports port 1025-65535 portas altas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl redelocal src 192.168.0.0/24
-------------------------------------------------------------------------------
acl domingo time S 0:00-23:59

http_access deny domingo
acl privilegio src 192.168.0.85

http_access allow privilegio
auth_param basic realm Identifique-se!

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
auth_param basic children 5
acl autenticados proxy_auth REQUIRID
acl horario time MTWHFA 06:00-23:00

http_access deny !horario autenticados
acl downloads url_regex -i "/etc/squid/restricoes/downloads"

http_access allow downloads autenticados
acl bloqueados dstdomain "/etc/squid/restricoes/sites"

http_access allow bloqueados autenticados
------------------------------------------------------------------------------
http_access allow localhost
http_access allow redelocal
http_access deny all

1

S domingo
M segunda-feira
T terça-feira
W quarta-feira
H quinta-feira
F sexta-feira
A sábado
G

!
É possível que na sua rede haja algum usuário que simplesmente desabilite o Proxy e use acesse sem passar pelos bloqueios e
filtros, por isso use o iptables para redirecionar todas as requisições vindas da rede interna para a porta do squid ou do
Dansguardian. Use os seguintes comandos:
( &&232r
1a&,4/,56../7& &&6.&23a231&&&*,/6

Adicione essas linhas no /etc/rc.local para ser ativado a cada inicialização.

÷
!
Você precisará de um arquivo para armazenar os logins e senhas dos usuários do Proxy, use o comando + para criar esses
arquivos em branco na pasta squid ou outra a sua escolha mas lembre-se: caso você mude a pasta padrão deste manunal terá que
fazer referencia a sua pasta sempre nas outras configurações. Digite:
È ! " " +

È !888 "
Criar arquivo de cache dos diretórios:
È ) ! "

È !888 ! "
Pastas das
:
È )
Para criar os arquivo das ACLs:
È ! "

È ! "
Reinicie o c @ e você verá que já pode adicionar o proxy ao seu navegador e irá pedir usuário e senha, lembrando que seu proxy
deve estar como IP do servidor e a porta selecionada:
È "
Exemplo abaixo da reinicialização do squid:

* Restarting Squid HTTP proxy squid
* Waiting...
* ...
* ...
* ...
* ...
* ...
* ...
...done.
...done.

÷
Para criar um novo usuário você usará o comando
o arquivo de senhas e o nome do usuário que você quer adicionar a
opção , diz ao sistema que é para criar um novo arquivo.
Use o comando:
È ! & " " +
Digite a senha e confirme. (Obs: adriano é um exemplo de nome de usuário que você deve colocar a sua escolha) Somente a
primeira vez usar o comando com para criar o arquivo. Pronto, na caixa de autenticação do seu navegador você já pode digitar
esse usuário criado que o acesso à internet já será liberado.
÷
O DanGuardian é um super-filtro de conteúdo, conseguindo barrar vários tipos de conteúdos diferentes, sejam sites, frase, ou até
mesmo tipos de arquivos. A configuração padrão é bem restrita, e você pode penar um pouco até ter uma configuração que lhe
permita acessar tudo o que você precisa, e bloqueie o resto. Sempre que possível, utilize os arquivos de exceção para liberar
apenas o necessário (exemplo, incluir o endereço da Caixa Econômica Federal como exceção, ao invés de liberar o acesso a
arquivos .zip).
Outro ponto é que você pode precisar configurar bastante o DG no quesito performance. Ele utiliza o Clamav para fazer uma
varredura antí-virus no que passa pelo proxy, o que pode ser bem ruim se você está usando um Pentium 100 como proxy para 100
máquinas͙ O Dansguardian é recomendado para ambientes corporativos preocupados com a segurança, e PRINCIPALMENTE em
escolas ou universidades.
Comece editando o arquivo: /etc/dansguardian/dansguardian.conf
Para uma configuração simples, comente a linha ͚UNCONFIGURED͛ e altere as linhas:
` A
` B` A
``
[A[`[ A
[ `

`

No ͚/etc/dansguardian/dansguardianf1.conf͚ verifique a opção ͚naughtynesslimit. Ele é o ͚medidor de semvergonhice͛ do

Dansguardian. Quanto menor esse valor, maior será a possibilidade da página ser bloqueada. Para adultos, um bom valor é 200.
Para crianças, pense em valores por volta de 40͙
Agora, precisamos baixar as definições em português. Execute os comandos:
+ * -

*+

.*
*
*+
*.
.*/
+
/0
*+
*.
.*/
+
*+
*1
*+

*+
* +*+
Agora, insira no arquivo ͚/etc/dansguardian/weightedphraselist͛ as linhas:
` [ [

[` [ [
`

` [ [
[` [ [
`

E, no ͚/etc/dansguardian/bannedphraselist͛
` [ [

[` [ [ `

Salve tudo, e reinicie o Dansguardian:
È + .

*+

Para utilizar o Danguardian na sua rede é preciso configurar os navegadores para acessarem pela porta 3129 (porta configurada no
dansguardian.conf) É necessário ter o squid instalado e ativo, pois ele vai continuar trabalhando da mesma maneira, o
Dansguardian agirá apenas como auxiliar filtrando o conteúdo das paginas exibidas.

÷

p
pc
p p
vpep epspc
ç esp p yp p

% -pspc
eesp pp ec
s p%e ppc
çp
pp yp
pp
p pc
epp
vp!v !"""!"p&pse v
'pc ppse
epce Cp
p
c
pF
yF ()& ps'p
{p
e p) *+p192168113128;pp
}p
p
e
sp ep
s

% p p
vp p esp c
p sp c
eesp p e e p p c
çp ep yp vésp eep , p
F
eppee eçpv
pp-
p.p ee êc
sp.pvçp.p)eep.p
ç esp.p-e eçp pc
çp
cpep
yp ep p $-p v
p p Fe esp .p ç esp p $e ep .p e esp .p
ç esp p ,p .p (s p sc
p ep
c
çp
cp
p
e
spepe
ppc
çpvcêpepcec ppspp ypespc
eesp
pp
vp!v !!s
!ccessp
pse v
pVcêpve pv
spe sp ee eespspcessspe
spespc
eesp
Se v
p
p p$p 12p
p
÷
G
Do ponto de vista ético o Sarg não é um amigo dos usuários pois ele é o fofoqueiro que habita o servidor, contando ao
administrador tudo o que os usuários acessam͙ D -) piadas a parte, o SARG na verdade é um programa que lê os relatorios do
acesso do squid e coloca tudo em uma tabela bem organizada para que o administrador da rede possa analisar o uso da internet
pelos usuários descobrindo assim possíveis sites para um bloqueio e sabendo por exemplo quem tentou acessar algum site
proibido͙ é uma ditadura? Talvez mas acredite, num laboratório de uma escola ou num CID é muito útil. Edite o aquivo
[ [
[ e altere as seguintes linhas.
Localize a linha:

Por padrão deve estar como "English", mude para "Portuguese" (esta é a linha que define a linguagem padrão do SARG).

Procure a linha:
+
E coloque o caminho e o nome do arquivo de log do c

, por padrão esse arquivo fica em "/var/log/squid/access.log", mas se
você estiver usando o dansguardian mude para: access_log /var/log/dansguardian/access.log
2 9
Encontre a linha:
+
E coloque . Essa linha define onde o relatório será colocado depois de pronto para que possa ser acessado.
+
Caso você queira deixar o sarg acessando no endereço padrão http://servidor/squid-reports pule esta parte
Para gerar o relatório no c

com o nome de usuário ao invés do IP, altere a seguinte linha.
Mude por padrão de:
+
Para "no":
+
TAG: Mostrar Usuário
"
Crie a pasta:

È )
È

÷ "

Quando se usa o log do Dansguardian no Sarg não é possível ver os acessos dos usuários autenticados, por isso temos que juntar
os logs do squid e do Dansguardian num único log que possa ser lido pelo sarg e que isso possa ser feito de maneira automática.
Pra isso vamos criar um script para fazer isso automaticamente.
Crie um arquivo +

*2. e digite as seguintes linhas
±3
44
4555 #'"( '67! (' 8' !"'"' 955554
44

*:+
.*
*
*+

.*

*
Depois use o comando para permitir a execução do script.
;0 +

*2.
Pronto!! agora ele está pronto para ser executado com o comando
È
*2.
Agora acesse pelo seu navegador no endereço: !


a
Como você não quer que o pessoal cadastrado no Proxy fique o tempo todo pedindo pra você mudar a senhas deles você pode
instalar o chpasswd e deixar que eles mesmos mudem a senha deles através da rede, ba sta você disponibilizar o endereço pra
digitarem no navegador.
Siga a sequencia de comandos abaixo, o que estiver depois do é um comentário NÃO DIGITE nem ele nem o símbolo.
È " entrar na pasta squid

È http://prdownloads.sourceforge.net/orsochpasswd/chpasswd -2.2.4.tar.gz?download ±

È &
: ! &//7:±
È ! &//7 ! ±

È ! ±
È ) & ! ±

È &
; " ! & & ; & & ; & !
±
`
È ) ± `

Edite o arquivo :
( " ! !
E altere o parâmetro e descomente:

48
* + :+
+
4
Para:

4
<=

4
Para entrar na página de alteração de senha:
-+*

.*

p
É preciso restringir ao máximo o acesso ao servidor de rede, mas, os monitores tem que cadastrar novos usuários, já que o
chpasswd só dá opção de modificar a senha, por isso é que instalamos o Admuser, uma aplicação que permite o total
gerenciamento de usuários via browser e sem a necessidade de lograr-se ao servidor.
Instalação
Para instalar o admuser baixe-o no site: http://sarg.sourceforge.net/admuser.php
Após o download do Admuser, descompacte o arquivo com o comando:
±
/0
+2.>.2.
./0
Mova a pasta criada para dentro do /etc/squid (ou outra pasta que você preferir):
±
+2.>.2 :+
Crie a pasta que vai guardar o programa:
± )
*
+
Execute o arquivo de configuração com os seguintes parâmetros:

± . *+ 05 :+
+2.>.2

*+
*5?
/
+*+
*5
*

+
Note que configuraremos para utilizar a pasta admuser -2.3.2, que se encontra em /etc/squid, habilitando o idioma português do
Brasil e mudando o diretório padrão do CGI para /var/www/cgi-bin/admuser.
Lembrando que se não houver a pasta cgi -bin criada em /var/www, você pode criar na mão mesmo, não esquecendo de colca -los
na lista de sites-avaliable e sites-enabled
Agora instale o aplicativo:

±
)

Configuração e administração de usuários
Editando os arquivos de configuração
Depois da instalação ter sido efetuada, você poderá configurar o Admuser através do arquivo admuser.conf, que se encontra na
pasta que você colocou dentro do /etc/squid.
No admuser.conf você pode definir cor de fundo, título e algumas outra tags que veremos adiante.
Entre na pasta do admuser (/etc/squid/admuser) e edite o arquivo admuser.conf.
Adicione as seguintes tags:

[ Arquivo que conterá o caminho para a gerência de contas e senhas ]

:+
+
Explicando: Esta linha parece um pouco confusa e é, entenda:
Se você quiser administrar os usuários do Squid através do Admuser, dentro do arquivo pwd_files deverá existir a seguinte linha:
:+:+
@
:+
Lembrando que os arquivos podem ter o nome que você desejar, desde que você os aponte corretamente na configuração.
Outras tags:
[ Usuários que poderão administrar o Admuser ]
+
:+
++

[ Título da Página de Administração ]

A
4
<= ++B
4
Acessando a página de administração
No seu navegador web pode-se acessar a página de administração de usuários pelo endereço:
-*
+.*

Lembre-se sempre de respeitar os caminhos dos arquivos, configurando e alterando conforme sua necessidade.
Caso o arquivo de senhas do squid não tenha permissão para escrita use o comando
± CCC :+:+

÷

Podemos programar o servidor para executar o sarg automaticamente, acabando assim com a necessidade do uso manual do
comando, a tarefa de gerar o relatório de acesso a interent, fica por conta do script que criamos e um agendamento no Cron
( %
Agora precisamos adicionar o preiodo (tempo) que o cron deve chamar o nosso script do sarg, as configurações do cron são bem
simples
mm HH DD MM DS comando
onde:
mm: minutos
HH: horas
DD: dia
MM: mês
DS: dia da semana
No nosso caso, vamos programar para ele executar o sarg todos os dias as 09:00.
...4<<< /!

Salve o arquivo e reinicie o cron para que a rotina funcione:
(

A partir de agora todos os dias as 09:00 será gerado automaticamente o relatório do sarg (o servidor tem que esta funcionando é
claro).

÷

As páginas de configuração/administração do servidor são muito expostas a modificações indesejadas e acessos indevidos no caso
dos relatórios do sarg, por isso vamos configurar o apache para restringir o acesso a essas paginas via rede.
Edite o arquivo [ [ [
Adicione as linhas abaixo:
<Directory /var/www/sarg.
Deny from all
AuthType Basic
AuthName "Acesso restrito, identifique-se"
AuthUserFile [ [
[

Require valid-user
Satisfy Any
</Directory.
<Directory /var/www/cgi-bin/admuser.
Deny from all
AuthType Basic
AuthName " Acesso restrito, identifique-se "
AuthUserFile [ [
[

Require valid-user
Satisfy Any
</Directory.
Crie o arquivo de senhas [ [

[
e depois adicione os usuários que vão ter acesso aos serviços de
administração de senhas e relatórios do servidor.
È ! & " +
Você pode adicionar o usuário que desejar, no exemplo foi adriano.
Reinicie o
:
È ! /

Pronto, basta digitar no seu navegador as páginas configuradas, a página de alteração de senhas não foi protegida com
auteticação porque cada usuário só pode alterar sua própria senha, assim não precisa de uma segunda proteção.
a #

Para acelerar um pouco a navegação, é recomendável instalar um servidor DNS na máquina. Com isso, as resoluções de nome
ficarão mais rápidas, pois haverá um cache de endereços na sua máquina, instalaremos então os dois pacotes abaixo que no nosso
caso não precisarão de configuração alguma.
È & 4
p p

$

Para personalizar as páginas de erro do Squid e do Dansguardian, colocando uma a seu gosto ou com o logo da sua empresa por
exemplo:
"
Edite os arquivos existentes na pasta +

:+ * (se você não alterou a linguagem padrão do squid)
Ou
Crie uma página HTML a seu gosto salve na pasta das paginas de erro do squid e no squid.conf defina como no exemplo:

*

/

ou
-
*

/

DE +
+

*
F
OBS: no caso de acls que exigem autenticação o + deverá se referir a acl da autenticação.
Quando você cria uma pagina personalizada dentro das pastas de erro do squid pode inserir a tag ß para que a página mostre a
URL que foi bloqueada.

Para personalizar a página de erro do Dansguardian basta subistituir o arquivo

. dentro da pasta
(ou o idioma que o dansguardian estiver configurado) você ainda pode usar as
seguitnes tags para colocar dados na sua pagina de erro do Dansguardian:
&
2& Mostra a URL que foi bloqueada.
&23cra3& Informa a razão pela qual foi bloqueada
&23crr3& Informa a razão com detalhes
&
c32& Informa o usuário atual (quando conhecido)
&a&Mostra o IP da máquina
&rc1&Mostra o nome da máquina
&a1322r
& Mostra o grupo do filtro
&13r2a3c& Informa a categoria do filtro

÷
p
Primeiramente crie um usuário com um nome bem sugestivo tipo " ".
(
Crie um arquivo em /home/desligando.sh nele criaremos um scritp que tem como objetivo desligar a máquina e nele digite as
seguintes linhas
!/bin/bash
/sbin/shutdown -t1 -a -h now
Faça login na conta desliga e torne-se root com o comando:

Temos que alterar as permissões para o arquivo desligando.sh, dando permissão de execução somente para o grupo root e
desliga
( ! ! !
Em seguida atribua a permissão 750 para que apenas usuário root e grupo "desliga" consigam executar o script, além de só o root
poder alterá-lo:
( !8-.! !
É necessário ser superusuário (id 0) para executar o comando shutdown. Desta forma precisaremos do auxílio da técnica de suid
bit.
A ativação do suid bit permitirá a execução do shutdown por qualquer usuário como se fosse root, assim como é feito o comando
passwd que nativamente tem o suid bit ativo.
Primeiro é necessário alterar o grupo do comando shutdown para o grupo "desliga". Faz-se isso através do comando:
( ! !
Em seguida, ativa-se o suid bit:
( !78-7!
Caso queira uma garantia de que os comandos funcionaram, observe se o arquivo ficará da seguinte forma:
(! %

· · ·· `
·· [
[
Até este momento já resolvemos nosso problema, pois o usuário poderá logar-se no terminal ou remotamente e executando o
script, desligar a máquina. Porém, pode-se facilitar as coisas ainda mais.
Edite o arquivo /etc/passwd e altere o caminho do comando de shell do usuário para que o mesmo seja o script. Desta forma
basta que o usuário digite o login e senha para que o script entre em funcionamento, sem liberar shell para o usuário, fechan do
assim a segurança no que tange a criação de usuários desnecessários e consequentemente possíveis de se utilizar para invasão.
Linha alterada no
Antes:
`

`
[ [ `

Depois:
`

`
[ [ `
*
.
Pronto! Agora é só lograr-se como ͞desligar͟ que o servidor irá desligar.
se for possível o acesso físico ao servidor, um procedimento é ainda mais fácil, altere o arquivo &&
trocando o comando de reiniciar pelo de desligar
Antes:
3
! %
Depois:
3
! %!


÷
É bem mais cômodo confiugar o servidor para desligar automaticamente num determinado horário, por isso vamos aproveitar o
script de desligar que criamos e o agendamento no cron que já vimos para criar uma tarefa de desligar o servidor
automaticamente no final do expediente.

( %
Agora inclua a linha
..//<<<! !
Salve o arquivo e reinicie o cron para que a rotina funcione:
(

A partir de agora todos os dias as 22:00 o servidor se desligará automaticamente.

÷ %

É possível que na rede exista maquinas privilegiadas, no nosso caso talvez não queiramos monitorar nem restringir o acesso a
internet por parte do monitor, então vamos direcionar em todos os programas configurados até agora para não restringir acesso
nem monitor as requisições vindas do computador do monitor da sala.
No Squid pra não passar por autenticação insira a seguinte linha antes da autenticação.
acl privilegio scr Ip_privilegiado

http_access allow privilegio
No Dansguardian inclua o ip da maquina que não vai passar pelo bloqueio no arquivo
*+

0
Para não ser monitorado pelo sarg insira o ip no :+

*.+
p
÷
São tantas interfaces de configuração tantos endereços que acabam nem sendo realmente práticos usá -los, Vamos criar um site e
insala-lo em nosso servidor para acessar os diversos recursos disponível através do browser para administração do servidor,
acessando apenas o endereço: http://servidor/
Pra isso você vai modificar, ou subistituir o arquivo índex.html na pasta /var/www
Crie a pagina em HTML e sete os links para os endereços:
https://ip_servidor:10000 ʹ Webmim
http://ip_servidor/cgi-bin/chpasswd/chpasswd.cgi - Alterar senha do usuário
http://ip_servidor/cgi-bin/admuser/admuser.cgi - Gerenciar usuários
http://ip_servidor/manual.pdf - Manual do usuário do servidor Linux
http://ip_servidor/sobre/index.html - Página com informações sobre o servidor
Um exemplo é o site abaixo que criei para servir de índex de configuração do servidor.

p
Pronto! Agora você acessa o índex do servidor pelo endereço http://servidor para ter acesso a todas as funções. Aproveite bem.
p
÷

p
As aplicações de gerenciamento de usuários, alteração de senha e acesso a relatórios do sarg e outras páginas do servidor, sã o
feitos através de paginas web instaladas em seu servidor apache. Para uma correta configuração devemos conhecer o
funcionamento e configuração dessas paginas no apache.
A pasta padrão do seu servidor web é /var/www e a pasta de scripts CGI é /var/www/cgi-bin, configuradas no arquivo
/etc/apache2/sites-avaliable/default.
Dentro da pasta /var/www/ é possível criar outras pastas, mas para o correto funcionamento dos scripts principalmente copie o
conteúdo do arquivo default e cole num arquivo com o nome de seu site (pagina desejada)então faça as modificações necessárias.
Depois de incluir sua pagina em sites-avaliable, ative-as com o comando:

(/

Por padrão o arquivo /etc/apache2/sites-avaliable/default tem o seguinte conteúdo:
p
<VirtualHost *:80.
ServerAdmin exemplo@exemplo.com.br
DocumentRoot /home/pedro/www/exemplo
ServerName www.exemplo.com.br
ServerAlias exemplo.com.br *.exemplo.com.br
<Directory /.
Options FollowSymLinks
AllowOverride All
</Directory.
<Directory /var/www/.
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all

</Directory.
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

<Directory "/usr/lib/cgi-bin".
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory.
ErrorLog /var/log/apache2/error.log
Possible values include: debug, info, notice, warn, error, crit,

alert, emerg.
LogLevel warn
CustomLog /var/log/apache2/access.log combined

ServerSignature On
Alias /doc/ "/usr/share/doc/"

<Directory "/usr/share/doc/".
Options Indexes MultiViews FollowSymLinks

AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory.
</VirtualHost.
p
p
÷
p
Não se pode dizer que concluímos a configuração e encontramos um padrão para um bom servidor de internet porque sempre
terá alguma função a mais, alguma configuração, mas com as configurações contidas neste manual já teremos um bom servidor
para prover um bom acesso as redes dos CIDs e Salas de Informática de escolas.
Até a próxima!!

%
2GG




Servidor Linux para CID

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Servidor Linux para CID

Enviado por

Direitos autorais:

Formatos disponíveis

Servidor Linux para CID 1

Servidor Linux para CID 2

Servidor Linux para CID 3

r     

Servidor Linux para CID 4

auto lo eth0 eth1

iface eth1 inet static

(   ;)  

Èc  &  ! *& 

subnet 192.168.0.0 netmask 255.255.255.0 {

Depois de configurado reinicie o serviço com o comando:

È   ! *&   

      

Servidor Linux para CID 6

Adicione essas linhas no /etc/rc.local para ser ativado a cada inicialização.

Depois instale com o comando )* :

È  )% +,-,.&/+  

Caso você tenha algum problema com dependência use o:

È  &  %

Depois de instalado o webmin pode ser acessado pelo endereço https://servidor:10000

Servidor Linux para CID 7

Se suas estações usam Linux instale o openssh-client.

acl all src 0.0.0.0/0.0.0.0

Servidor Linux para CID 8

acl domingo time S 0:00-23:59

acl privilegio src 192.168.0.85

auth_param basic realm Identifique-se!

acl horario time MTWHFA 06:00-23:00

acl downloads url_regex -i "/etc/squid/restricoes/downloads"

acl bloqueados dstdomain "/etc/squid/restricoes/sites"

G          

Servidor Linux para CID 9

È  !  " " +  

Criar arquivo de cache dos diretórios:

È )  ! " 

È )     

Para criar os arquivo das ACLs:

È  !  "     

È   "   

Exemplo abaixo da reinicialização do squid:

Servidor Linux para CID 10

È !  &   " " +   

Para uma configuração simples, comente a linha ͚UNCONFIGURED͛ e altere as linhas:

No ͚/etc/dansguardian/dansguardianf1.conf͚ verifique a opção ͚naughtynesslimit. Ele é o ͚medidor de semvergonhice͛ do

+ *  -

Agora, insira no arquivo ͚/etc/dansguardian/weightedphraselist͛ as linhas:

 ` [ [ 

 ` [ [ 

Salve tudo, e reinicie o Dansguardian:

È +    .

Servidor Linux para CID 11

E coloque o caminho e o nome do arquivo de log do c

 2  9     

Para gerar o relatório no c

Mude por padrão de:

 TAG: Mostrar Usuário

    "     

Servidor Linux para CID 13

Crie um arquivo + 

Depois use o comando para permitir a execução do script.

Servidor Linux para CID 14

È   " entrar na pasta squid

Edite o arquivo   :

r

( ;)

Èc & ! *&

È ! *&

Depois instale com o comando )* :

È )% +,-,.&/+

È & %

G

È ! " " +

È ) ! "

È )

È ! "

È "

È ! & " " +

+ * -

` [ [

` [ [

È + .

E coloque o caminho e o nome do arquivo de log do c

2 9

TAG: Mostrar Usuário

"

Crie um arquivo +

È " entrar na pasta squid

Edite o arquivo :

( " ! !

-+*

[ Título da Página de Administração ]

± CCC :+:+

÷

...4<<< /!

(

Edite o arquivo [ [ [

Crie o arquivo de senhas [ [

È ! & " +

È ! /

a #

È & 4

Edite os arquivos existentes na pasta +

Para personalizar a página de erro do Dansguardian basta subistituir o arquivo

(

Faça login na conta desliga e torne-se root com o comando:

( ! ! !

( !8-.! !

( ! !

( !78-7!

(! %

Linha alterada no

..//<<<! !

(

÷ %

Para não ser monitorado pelo sarg insira o ip no :+

÷

Possible values include: debug, info, notice, warn, error, crit,