CLAMAV + SQUID : Qualcuno l'ha fatto ???

[The X]

Quote:

Originariamente inviato da _YTS_
lo immaginavo ma non lo credevo ma è cosi...........
con la knoppix non va ma con la woodyna secca si e meno male.
cmq si il test eicar lo passa bene, ma per il resto no

sono andato su un paio di siti innominabili e in un paio di secondi
avevo da prendere trojan ovunque: safesquid non mi ha avvisato

bisogna ora prendere in considerazione quello gia detto poco su, ovvero la creazione di una catena per quanto riguarda i files da scaricare con controllo in real time da parte di clamav e poi un altro prog come squid guard per garantire un rigetto alle pagine non affidabili.
proviamo

ciao

Ma sulla woody hai già installato e configurato sia safesquid ke clamav? Hai aggiornato il db d clamav e detto a safesquid d usare quel db invece ke il suo interno ?

Per il resto mi passi, magari in PM, i siti in cui hai fatto TU i test così lunedì c riprovo nel sistema in cui ho messo safesquid ?

[The X]

Guarda cosa ho trovato qui :
http://www.clamav.net/doc/0.80rc3/html/node47.html

In particolare mi ha subito colpito mod_clamav e File::Scan::ClamAV MA nn ho ctrl cosa sono gli altri moduli......

Il primo sembra fare al caso ns. ^_^

[_YTS_]

ciao

allora si ho configurato tutto sulla woody, poco dopo il mio ultimo post di oggi ero gia all opera.

ora lo faccio andare cosi:

client===>squid:3128===>safesquid localhost:8080===>internet

il db di clamav l ho sistemato aggiornando il path alla cartella di clamav.
poi ho aggiunto a squid alcune linee per farlo andare in parent con safesquid (cha anche lui fa da proxy, non dimentichiamolo).
ecco le linee da aggiungere:

cache_peer 127.0.0.1 parent 8080 0 no-query no-digest default
acl SSL method CONNECT
always_direct allow SSL
never_direct allow ALL

vabbe le acl poi le configuri come vuoi tu, io per fare veloce ho messo un :

acl localnet src 192.168.1.0/255.255.255.0
http_access allow localnet

per controllare che effettivamente si sta naviganto in catena, si deve stoppare il servizio safesquid e provare a navigare.
ovviamente se riesci vuol dire che squid non sta forwardando le richieste a safesquid ma esce lui sul web, viceversa se navighi (prova a navigare non refreshare, la cache ogni tanto rompe), vuol dire che sei ok, poi lo vedi anche da un netstat o da un tail sui log.

per quanto riguarda i siti ti mando un pvt, ma ti dico gia che basta che navigi su quelli porno o di warez win ed ecco li che sei investito di banner, dialer, trojan activeX che solo la nostra configurazione non riesce a fermare ma che il nod32 di prova su win intercetta.

ho dato un occhiata ai soft di terze parti, ma in parte li avevo gia visti quando cercavo una soluzione.
sono convinto che giocando anche con squidguard e le stringhe si possa riuscire ad essere quasi al sicuro dagli attacchi di cui sopra.

ciao

[The X]

Quote:

Originariamente inviato da _YTS_
ciao

allora si ho configurato tutto sulla woody, poco dopo il mio ultimo post di oggi ero gia all opera.

ora lo faccio andare cosi:

client===>squid:3128===>safesquid localhost:8080===>internet

Non è meglio invertire l'ordine tra squid e safesquid ? Usando anke squidguard insieme a squid nel modo ke dico io SE il sito è fra quelli bloccati t appare subito l'access denied quindi tutto quello ke c'è dentro nn lo vedi neanche; viceversa come hai fatto TU se 1 sito è fra le blacklist PRIMA passa cmq da safesquid e poi a squid.. 1 passaggio in + inutile ^_^

Quindi io direi :

client===>safesquid localhost:8080===>squid:3128===>internet

o meglio, x come la ragiono io :

internet==>squid==>safesquid==>client

[_YTS_]

si certo è meglio come dici tu, ho fatto il contrario perche non riuscivo a fare andare il forward di safesquid, tutto li.

ora ho aggiunto anche il redirect di squidguard, ma nonostante i log di quest ultimo funzionino anche se dice poco e niente, il redirect non avviene: prendo i siti della blacklist li apro e ci navigo tranquillamente, quindi non mi funzia.

tu sei riuscito a configurarlo un poco?

PS: hai pvt pieno

ciao

[The X]

Quote:

Originariamente inviato da _YTS_
si certo è meglio come dici tu, ho fatto il contrario perche non riuscivo a fare andare il forward di safesquid, tutto li.

ora ho aggiunto anche il redirect di squidguard, ma nonostante i log di quest ultimo funzionino anche se dice poco e niente, il redirect non avviene: prendo i siti della blacklist li apro e ci navigo tranquillamente, quindi non mi funzia.

tu sei riuscito a configurarlo un poco?

PS: hai pvt pieno

ciao

Prova, x prima cosa, a vedere se Squidguard t funziona da solo Ovvero utilizzando solo squid; se nn t va dimmelo ke t aiuto...

Per la storia del forward io nn ho ancora capito la teoria che c sta dietro... In pratica nella tua configurazione ki è il proxy master e quello slave (o figlio che sia) ? Squid prendi i dati via localhost dalla porta 8080?

Prova a vedere qui se c'è qlc d utile
http://www.safesquid.com/html/index.shtml in particolare qui http://www.safesquid.com/html/chains...ithsquid.shtml

[_YTS_]

squid è master, con il client chiamo lui, poi tramite local host passo la ricerca a safesquid sulla 8080 che esce su internet.

avevo letto i due link che hai postato, e infatti è una delle due soluzioni quella che sto usando.
l altra riprovero a testarla sperando di riuscire.

ora ho provato ad usare squid senza forwarder ma insieme a squidguard: non riesco a filtrare niente, i log di squidguard dicono questo:

squidGuard 1.2.0 started (1096813545.623)
2004-10-03 16:25:45 [20031] recalculating alarm in 255 seconds
2004-10-03 16:25:45 [20031] squidGuard ready for requests (1096813545.640)
2004-10-03 16:25:45 [20032] destblock good missing active content, set inactive
2004-10-03 16:25:45 [20032] destblock local missing active content, set inactive
2004-10-03 16:25:45 [20032] squidGuard 1.2.0 started (1096813545.634)
2004-10-03 16:25:45 [20032] recalculating alarm in 255 seconds
2004-10-03 16:25:45 [20032] squidGuard ready for requests (1096813545.644)

a parte la data un po avanti.... sti log non dicono niente.

in squid ho messo la stringa di redirect :

redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

bha se hai qualche idea ben venga

ciao

[The X]

Domani, quando avrò fra le mani il PC su cui c'è installato squidguard t faccio sapere esattamente come l'ho configurato io...

Per il resto domani proverò, tramite pannello d controllo s safesquid, ad impostare il forward d esso verso squid; anke xkè mi pare d avere capito ke il forward d safesquid si fa via Web-GUI....Giusto ?

[_YTS_]

si, guarda qua:

http://www.safesquid.com/html/chains...ithsquid.shtml

ciao

[The X]

Già.... domani c provo....

[The X]

Avevo preso 1 abbaglio... c'è scritto come fare x usare Viralator con squid e squidguard insieme a clamav ^_^

http://viralator.sourceforge.net/install.html

Ke fig d m€rd@

Si apre 1 altra soluzione... forse anke + semplice ^_^

[_YTS_]

PROVACI!!!!!
io ora sono impossibilitato perche non ho il pc sottomano.

apena puoi se mi spieghi un attimo la conf di squidguard a casa provo e ti dico.
ciao

[The X]

Quote:

Originariamente inviato da _YTS_
apena puoi se mi spieghi un attimo la conf di squidguard a casa provo e ti dico.
ciao

T invio in allegato i conf d squid e squidguard ripuliti dai commenti....

Ho inoltre creato, personalmente, uno script (messo nel cron.daily) ke scarica da 3 siti diversi 3 blacklists, le mergia insieme, li compila nel formato ke squidguard accetta e poi li sposta nella dbhome predefinita.... Non è il massimo in termine di script-bash xkè ha tutti path assoluti e nn c sono cicli d for o if MA funziona... SE vuoi te lo posso passare....

Puoi cmq controllare da subito se compili nel modo corretto le blacklists lanciando da shell il seguente comando :

squidGuard -d -C all

L'opzione -d T fa il debug così t accorgi se c'è qlc ke nn va....

[The X]

Ho testato safesquid in forward a squid e direi ke funziona MA c'è 1 problema...

Squidguard funziona quasi come prima (cioè perfettamente) tranne ke per 1 cosa :

Mi banna http://www.google.it MA la cosa ancor + strana è ke, solo ed esclusivamente quando accedo a questo sito, NON mi identifica col gruppo di appartenenza giusto (quello definito in src dentro squidguard.conf) MA col default; se provo, invece, ad andare in 1 qlc altro sito bloccato nel msg d'errore appare "Gruppo del Client : my_network" invece su google.it "Gruppo del Client : default"

[_YTS_]

niente non mi va:

ameba:/var/lib/squidguard/db# squidGuard -d -C all
2004-10-04 14:55:00 [578] init domainlist /var/lib/squidguard/db/blacklists/ads/domains
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/ads/domains.db
2004-10-04 14:55:00 [578] init urllist /var/lib/squidguard/db/blacklists/ads/urls
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/ads/urls.db
2004-10-04 14:55:00 [578] init domainlist /var/lib/squidguard/db/blacklists/aggressive/domains
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/aggressive/domains.db
2004-10-04 14:55:00 [578] init urllist /var/lib/squidguard/db/blacklists/aggressive/urls
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/aggressive/urls.db
2004-10-04 14:55:00 [578] init domainlist /var/lib/squidguard/db/blacklists/audio-video/domains
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/audio-video/domains.db
2004-10-04 14:55:00 [578] init urllist /var/lib/squidguard/db/blacklists/audio-video/urls
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/audio-video/urls.db
2004-10-04 14:55:00 [578] init domainlist /var/lib/squidguard/db/blacklists/drugs/domains
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/drugs/domains.db
2004-10-04 14:55:00 [578] init urllist /var/lib/squidguard/db/blacklists/drugs/urls
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/drugs/urls.db
2004-10-04 14:55:00 [578] init domainlist /var/lib/squidguard/db/blacklists/gambling/domains
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/gambling/domains.db
2004-10-04 14:55:00 [578] init urllist /var/lib/squidguard/db/blacklists/gambling/urls
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/gambling/urls.db
2004-10-04 14:55:00 [578] init domainlist /var/lib/squidguard/db/blacklists/hacking/domains
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/hacking/domains.db
2004-10-04 14:55:00 [578] init urllist /var/lib/squidguard/db/blacklists/hacking/urls
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/hacking/urls.db
2004-10-04 14:55:00 [578] init domainlist /var/lib/squidguard/db/blacklists/mail/domains
2004-10-04 14:55:00 [578] create new dbfile /var/lib/squidguard/db/blacklists/mail/domains.db
2004-10-04 14:55:00 [578] init urllist /var/lib/squidguard/db/blacklists/mail/urls
2004-10-04 14:55:00 [578] /var/lib/squidguard/db/blacklists/mail/urls: No such file or directory
ameba:/var/lib/squidguard/db#

ho modificato le entry del file di config con le impostazioni della mia rete, e il path del db delle blacklists.
ho provato altresi a usare il path originale che mi hai messo ha disposizione con il tuo file e cambiare la posizione della blacklists, ma niente lo stesso.
ho provato un :
squidGuard -d -C /etc/squid/squidGuard.conf
squidGuard -d -C all /etc/squid/squidGuard.conf

ancora niente.

sicuramente mi perdo in un bicchiere d acqua.

AIUTO!!!

ciao

[The X]

Codice:

2004-10-04 14:55:00 [578] /var/lib/squidguard/db/blacklists/mail/urls: No such file or directory

è questo l'errore.... crea 1 file vuoto chiamato urls dentro la dir mail con permessi 755 e proprietari squid:squid

la compilazione deve finire, xkè avvenga con successo con :

Codice:

2004-10-04 13:48:08 [16320] squidGuard 1.2.0 started (1096912050.728)
2004-10-04 13:48:08 [16320] db update done
2004-10-04 13:48:08 [16320] squidGuard stopped (1096912088.223)

P.S. il path dei DB può essere 1 qlc... basta ke quello ke scrivi dentro squidguard.conf combacia con la directory in cui vai a mettere le blacklist da compilare (e poi i compilati)

[_YTS_]

ok ora va, c erano anche altri file da creare, tutto ok:

2004-10-04 15:36:15 [640] squidGuard 1.2.0 started (1096896968.313)
2004-10-04 15:36:15 [640] db update done
2004-10-04 15:36:15 [640] squidGuard stopped (1096896975.231)
ameba:/var/lib/squidguard/db/blacklists/porn#

il prob è che non filtra niente....

ho aggiunto nel mio file di squid il redirect, pero se prendo una urls qualsiasi dentro le urls sotto porn (porn perche mi piacciono ahahha, scherzo), e la pasto nel browser che punta a squid, io accedo tranquillamente al sito che invece dovrebbe essere bannato.
credo che la prova per vedere se blocca o no si faccia cosi, almeno spero.
cmq grazie per l intervento tempestivo e l aiuto, tu a che punto sei con la prova di viralator e company?

ciao

[The X]

Quote:

Originariamente inviato da _YTS_
ok ora va, c erano anche altri file da creare, tutto ok:

2004-10-04 15:36:15 [640] squidGuard 1.2.0 started (1096896968.313)
2004-10-04 15:36:15 [640] db update done
2004-10-04 15:36:15 [640] squidGuard stopped (1096896975.231)
ameba:/var/lib/squidguard/db/blacklists/porn#

il prob è che non filtra niente....

ho aggiunto nel mio file di squid il redirect, pero se prendo una urls qualsiasi dentro le urls sotto porn (porn perche mi piacciono ahahha, scherzo), e la pasto nel browser che punta a squid, io accedo tranquillamente al sito che invece dovrebbe essere bannato.
credo che la prova per vedere se blocca o no si faccia cosi, almeno spero.
cmq grazie per l intervento tempestivo e l aiuto, tu a che punto sei con la prova di viralator e company?

ciao

Hai controllato i permessi sui file db ? squidguard si avvia quando starti squid ?
Ora sono a casa, domani t faccio sapere le news...

[_YTS_]

andiamo per gradi:

l utente squid nel mio sistema si chiama ssquid
ho dato alla cartella blacklist un chown -R ssquid.ssquid blacklists
e di conseguenza un chmod -R 755 blacklists

ora i processi riportati da pstree prima di fare una connessione a squid sono questi:

ameba:/opt/safesquid# pstree -c -p
init(1)─┬─atd(341)
├─cron(344)
├─getty(350)
├─getty(351)
├─getty(352)
├─getty(353)
├─getty(354)
├─getty(355)
├─i2oevtd(7)
├─inetd(290)
├─keventd(2)
├─khubd(102)
├─kjournald(9)
├─klogd(285)
├─squid(315)───squid(318)───unlinkd(324)
├─sshd(302)───sshd(364)───sshd(367)───bash(+
└─syslogd(282)

dopo una richiesta ed in questo caso la pagina di google:

ameba:/opt/safesquid# pstree -c -p
init(1)─┬─atd(341)
├─cron(344)
├─getty(350)
├─getty(351)
├─getty(352)
├─getty(353)
├─getty(354)
├─getty(355)
├─i2oevtd(7)
├─inetd(290)
├─keventd(2)
├─khubd(102)
├─kjournald(9)
├─klogd(285)
├─squid(315)
├─sshd(302)───sshd(364)───sshd(367)───bash(+
└─syslogd(282)

è cambiato qualcosa in squid pero di squidguard non c e l ombra.... e infatti non va.

se lancio un squidGuard -d -C all il pstree mi ritira fuori la schermata come quella che ho postato per prima.
non ho capito se squidguard deve rimanere un processo attivo, oppure se squid lo chiama e poi lo chiude.

potresti pastarmi un paio di url che fanno redirigere la connessione alla pagina bannata di squidguard?
almeno cosi provo e vedo se le banna anche a me.

grazie


ciao

[The X]

Da me ssquid è l'utente apparso dopo l'installazione di safesquid mentre squid è quello vero e proprio d squid... Prova a controllare....

Squidguard si apre quando parte squid; prova a controllare per bene i conf ke t ho dato.....

Io come link d riferimento uso questo :

http://100free.com/