samedi 3 décembre 2005
Présentation de Squid
Par Fabien (Secrétaire), samedi 3 décembre 2005 à 16:49 :: Fiches Techniques
Rapide présentation de squid suite à la réunion du 1er decembre 2005.
Squid : Squid est un proxy HTTP et FTP. Il permet de faire des configuration assez fine sur les règles et les actions d’un proxy.
SquidGuard : SquidGuard apporte un plus non négligeable à Squid : Paramétrage fin avec les authentifications utilisateur, possibilités de catégoriser les url avec des listes maintenues par La communauté, etc...
SARG : SARG apporte une analyse de logs très détaillé. Coupler les trois, et vous obtennez alors un espionnage des utilisateurs trés poussé ! C’est MAL !
L’authentification
Il y a plusieurs possibilités pour réaliser le système d’authentification. Des comptes Unix, un annuaire LDAP, mais aussi une intégration avec un réseau Active Directory. L’utilisateur se loggue une fois sur le domaine et ne se ré-authentifie pas sur le proxy. C’est automatique.
Avantage d’un proxy
- sécurité
- rapidité
- gain de bande passante
Configuration de Squid
Fichier de configuration de Squid : /etc/squid/squid.conf
- Port d’écoute : http_ports
- pour ne pas mettre en cache, création d’une ACL avec une action no_cache.
Déclaration du cache :
- cache_dir typestockage chemin taille hash1 hash2
- cache_dir ufs /var/spool/squid 100 16 256
- Ce n’est pas la peine de mettre un trop gros cache, car vous risquez de ralentir fortement le proxy. 1 Go suffit, en général.
- redirect_program /usr/sbin/squidguard. Permet de faire le lien avec SquidGuard.
- Directive auth_param pour déclarer les modules d’authentification
Donner la possibiliter à notre LAN d’utiliser le proxy :
- acl notrelan src 10.0.0.0/24
- http_access allow notrelan
Penser à changer le lien symbolique "errors" dans le repertoire /etc/squid/ pour le faire pointer vers les pages d’erreur en francais :).
Configuration de SquidGuard
dbhome /var/lib/squidguard, permet de définir le repertoire de travail.
- Et ensuite on déclare des blocs :
dest porno {
domainlist fichier_liste_domaine
urllist fichier_liste_url
expressionlist fichier_expression_reguliere
log fichier_de_log
}
Chaque fichier est un fichier à plat, avec une valeur par ligne.
- Et on déclare les ACL pour définir la politique de sécurité :
acl {
usr_admin {
pass all
}
default {
pass !porno !blacklist all
redirect (url ou on renvoie l'internaute )
}
}
- Derniére étape, la compilation des règles : squidguard -C all