Procédure informatique

Transcription

1 Système d exploitation Objet Références Procédure informatique Debian Sarge Impression le 29/03/2007 Informations générales Installation d un proxy Squid avec le module de filtrage SquidGuard ou DansGuardian Validation Rédigé par Vérifié par Validé par Julien Lamure Nom Signature Historique des versions Version Objet de la révision Date 0 Version initiale 10/05/ Corrections pour la partie concernant Squidguard + lien pour authentification transparente sur l Active Directory d un serveur Windows bug SARG 29/03/2007 1

2 1. INSTALLATION DU SYSTEME 3 2. SQUID INSTALLATION CONFIGURATION DE SQUID LES MODES DE FONCTIONNEMENT LE MODE «STANDARD» LE PROXY TRANSPARENT LE PROXY AUTHENTIFIE AUTHENTIFICATION TRANSPARENTE SUR UN DOMAINE WINDOWS LE FILTRAGE SQUIDGUARD DANSGUARDIAN EXPLOITATION DE LOGS AVEC SARG 18 2

3 1. Installation du système NB : si vous souhaitez réaliser l authentification transparente des utilisateurs sur l Active Directory d un serveur Windows 2003, rendez vous directement au point Au démarrage sur le CD d installation de Debian, il faut rentrer la commande «linux26» pour que l installation de la distrution se fasse avec le noyau 2.6 et non le 2.4 installé par défaut. Cela permet de moins avoir de problèmes de reconnaissance matériel. Ensuite, l installation de la Debian Sarge doit être réalisée en suivant la procédure décrite sur la page correspondant au 1 er lien de mes références jusqu au chapitre 13 de la partie I, mis à part ce qui concerne le partitionnement du disque qui doit être réalisé comme suit : - entre 5 et 10 Go pour la partition /var en EXT3 - un swap de 2 x RAM si RAM < 1 Go, ou de RAM + 20 % si RAM 1Go - le reste du disque pour la partition racine (/) en EXT3 N.B. : pour qu il n y ait pas de problème au démarrage de la machine, il vaut mieux créer la partition racine en premier. 2. Squid 2.1. Installation Pour récupérer le paquet Squid, il faut utiliser la commande : # apt-get install squid Une fois le paquet téléchargé, Squid va tenter de démarrer mais normalement une erreur doit se produire et va l en empêcher. Il faut alors éditer le fichier /etc/squid/squid.conf : # vi /etc/squid/squid.conf et donner une valeur au paramètre visible_hostname : # TAG: visible_hostname # If you want to present a special hostname in error messages, etc, # define this. Otherwise, the return value of gethostname() # will be used. If you have multiple caches in a cluster and # get errors about IP-forwarding you must set them to have individual # names with this setting. # #Default: # none visible_hostname proxy Il est maintenant possible de démarrer Squid : # /etc/init.d/squid start Starting proxy server: Creating squid spool directory structure 3

4 2006/05/10 12:23:57 Creating Swap Directories squid. # 2.2. Configuration de SQUID Tout se trouve dans le fichier /etc/squid/squid.conf. La partie principale à modifier pour autoriser les postes du réseau à passer par le proxy concerne les section ACL et HTTP_ACCESS. acl localhost src / acl our_networks src / http_access allow our_networks http_access allow localhost Grâce à ces quelques lignes, les machines se trouvant sur le réseau /24 sont autorisées à passer par le proxy pour naviguer sur Internet. On peut également modifier la taille allouée au cache de Squid : cache_dir ufs /var/spool/squid Seul le premier chiffre est à modifier, il précise ici une taille de 1,5 Go d occupation disque dans /var/spool/squid (le défaut est de 100 Mo). Les deux autres chiffres sont relatifs à l arborescence des sous répertoires du cache, les valeurs par défaut convenant complètement. Pour que ces modifications soient effectives, il reste encore à redémarrer le démon Squid : # /etc/init.d/squid restart Dans le fichier de configuration de Squid, on peut également modifier le port (3128 par défaut) pour le mettre à sa convenance Les modes de fonctionnement Un proxy possède trois modes de fonctionnement : le mode standard, sans configuration additionnelle particulière, le mode transparent qui est une règle de firewall redirigeant tous les accès sur un port vers un autre port, rendant superflu de déclarer le proxy dans les navigateurs mais le rendant ainsi incontournable, et le mode authentifié qui impose aux utilisateurs de saisir leurs nom et mot de passe pour utiliser Squid, permettant ainsi de consigner tous les accès dans des journaux. Ces deux derniers modes sont exclusifs l un de l autre : un proxy est soit transparent, soit authentifié. 4

5 Le mode «standard» Il suffit de déclarer dans un navigateur que le proxy utilisé se trouve à l adresse IP de notre serveur sur le port 3128 et le fichier /var/spool/squid/logs/access.log indiquera toutes les requêtes traitées Le proxy transparent C est une solution confortable puisqu aucun paramétrage n est requis sur les stations clientes. Il suffit de faire en sorte, dans le câblage du réseau, que le routeur qui redirige vers Squid soit incontournable pour qu il soit matériellement impossible d éviter le proxy et son éventuel filtrage. La configuration d un Squid transparent (dans /etc/squid/squid.conf) : http_port 8080 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Et la configuration du firewall : # iptables -t nat -A PREROUTING -i eth0 -s! p tcp --dport 80 -j DNAT --to :8080 # iptables -t nat -A POSTROUTING -o eth0 -s /24 -d j SNAT --to # iptables -A FORWARD -s /24 -d p tcp --dport j ACCEPT Le réseau local a ici pour adresse /24, le Squid tournant sur et le routeur / Firewall ayant l adresse Le proxy authentifié C est la solution la plus lourde, qui impose à chaque utilisateur une nouvelle saisie de son nom et de son mot de passe, déjà saisis à l ouverture de session, pour chaque utilisation du proxy, donc d internet, et à chaque lancement d un navigateur. Cette solution est très discutable d un point de vue juridique car elle consigne toutes les traces et tous les accès de tout le monde de manière extrêmement précise et surtout nominale. Pour bien faire les choses, on branchera Squid sur le serveur d authentification de cette manière : - Pour Active Directory (authentification non transparente : l utilisateur doit saisir son identifiant et son mot de passe à chaque ouverture du navigateur) : Dans /etc/squid/squid.conf, modifier : acl our_networks src / En acl our_networks proxy_auth REQUIRED src /

6 Repérer les auth_param et ajouter la ligne suivante : auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=squale,dc=local" -D "cn=administrateur,cn=users,dc=squale,dc=local" -w "Julesxx" -f samaccountname=%s -h Où correspond à l adresse IP de l annuaire dont la racine est «squale.local» qui a pour administrateur «Administrateur.Users.squale.local» avec «Julesxx» pour mot de passe. Ajouter également ou «décommenter» : auth_param basic children 5 auth_param basic realm Monproxyamoi auth_param basic credentialsttl 5 hours - Pour Netware : La première chose à faire est la récupération du paquet stunnel : # apt-get install stunnel Cet utilitaire va permettre de réaliser la connexion sécurisée (SSL) avec l annuaire LDAP géré par Netware, puisque par défaut les demandes de connexion circulant «en clair» sont rejetées. Pour créer ce tunnel SSL, il faut utiliser la commande suivante : # stunnel c r :636 d 389 Où correspond à l adresse du serveur NetWare. Cette commande va donc créer un tunnel sécurisé entre le port 636 (LDAPS) du serveur distant et le port 389 de la machine locale. Toutes les données circulant sur le port 389 du proxy seront donc transmise en SSL sur le port 636 du serveur LDAP. Maintenant, on va faire en sorte que cette commande soit exécutée au démarrage du serveur. Pour y arriver, on va devoir créer un script de démarrage. Avant cela, on va installer un paquet nous permettant d utiliser l utilitaire gawk dans notre script : # apt-get install gawk Ensuite, se déplacer dans le répertoire /etc/init.d, créer un fichier stunnel.sh et le rendre exécutable : # cd /etc/inid.d # touch stunnel.sh # chmod 755 stunnel.sh Il ne reste maintenant plus qu à remplir le fichier stunnel.sh avec le script adéquat (remplacer la valeur de IPSRVLDAP par l IP de votre serveur NetWare) : #!/bin/bash # description : script de contrôle du tunnel ssh entre le serveur LDAP # NetWare et le proxy 6

7 PATHSTUNNEL="/usr/sbin/" IPSRVLDAP=" " DESION="tunnel SSL" function getpid { PID=`netstat -tpan grep stunnel gawk 'BEGIN{FS=" +" {print $7' cut -d/ -f1` function stop { getpid if [ -s $PID ] ; then echo Arrêt du $DESION impossible else echo Arrêt du $DESION kill -s 2 $PID sleep 1 fi status function start { getpid if [ -s $PID ] ; then echo Démarrage du $DESION... cd $PATHSTUNNEL./stunnel -c -r $IPSRVLDAP:636 -d 389 sleep 1 else echo Démarrage du $DESION impossible! fi status function restart { stop sleep 1 7

8 start function status { getpid if [ -s $PID ] ; then echo Le $DESION est arrêté! else echo Le $DESION fonctionne! fi case "$1" in start) start;; stop) stop;; status) status;; restart) restart;; *) echo "usage: $0 {start stop restart status" esac Enfin, pour installer ce script en tant que script de démarrage, il faut utiliser la commande update-rc.d comme suit : # update-rc.d stunnel.sh defaults Maintenant que cette première étape concernant le canal de communication entre le serveur NetWare et le proxy est terminée, on va pouvoir passer au paramétrage de Squid. Dans /etc/squid/squid.conf, remplacer : acl our_networks src / Par : acl our_networks proxy_auth REQUIRED src / Repérer le bloc concernant la directive auth_param et ajouter la ligne suivante (les sauts de lignes ne sont présents que pour des raisons de confort de lecture de ce document, dans le fichier /etc/squid/squid.conf tout doit être sur la même ligne) : auth_param basic program /usr/lib/squid/ldap_auth b o= 8

9 u cn s sub D cn=browserldap,o= w browser f (&(objetclass=person)(cn=%s)) h Où -b o= correspond à la base pour la recherche des utilisateurs dans la NDS, «-s sub» indique que l on doit descendre dans l arbre, «-D cn=browserldap,o=» indique le login à utiliser pour la recherche dans l arbre, «w browser» indique le mot de passe de l utilisateur, «f (&(objetclass=person)(cn=%s))» correspond au filtre de recherche et enfin «h » indique l adresse du serveur LDAP (on indique cette valeur en raison du tunnel SSL créé auparavant. Pour terminer, ajouter également ou «décommenter» : auth_param basic children 5 auth_param basic realm Monproxyamoi auth_param basic credentialsttl 5 hours Authentification transparente sur un domaine Windows 2003 Suivre les procédures Flash disponibles à l adresse 3. Le filtrage Nous allons voir dans cette partie 2 solutions de filtrage différentes. Il faut donc utiliser l une ou l autre, suivant le type de filtrage souhaité SquidGuard SquidGuard permet de filtrer l accès à certains sites Web en se basant sur une blacklist d URL classées dans différentes catégories. Dans notre cas, nous utiliserons la blacklist de l Université de Toulouse qui répertorie énormément de sites dans différentes catégories, et qui fréquemment mise à jour. Nous allons d abord installer le paquet correspondant à SquidGuard : # apt-get install squidguard Une question au sujet des listes noires vous sera posée une fois le téléchargement terminé, repondez par non. On va également créer un script dont on programmera l exécution par cron, et qui permettra de faire la mise à jour des blacklists à intervalle régulier. Nous allons nommer ce script maj_bl : 9

10 #!/bin/sh # Mise à jour des blacklists de SquidGuard # Récupération de la blacklist de l université de Toulouse # et décompression de l archive cd /tmp wget ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz tar -zxf blacklists.tar.gz rm blacklists.tar.gz # Arrêt de Squid /etc/init.d/squid stop # On fait le ménage dans le répertoire des blacklists de Squidguard rm -R /var/lib/squidguard/db/* # On déplace la nouvelle blacklist dans le répertoire de Squidguard mv blacklists/* /var/lib/squidguard/db/ # On change le propriétaire des fichiers de blacklist pour que # l utilisateur système correspondant à Squidguard y ait accès chown -R proxy:proxy /var/lib/squidguard/db # On compile les fichiers de blacklist squidguard -C all # On change le propriétaire des fichiers de blacklist et de log pour que # l utilisateur système correspondant à Squidguard y ait accès chown -R proxy:proxy /var/lib/squidguard/db chown -R proxy:proxy /var/log/squid # On redémarre Squid /etc/init.d/squid start Ensuite, il faut rendre ce script exécutable avec la commande : # chmod 755 maj_bl Enfin, il faut utiliser cron pour programmer l exécution de maj_bl. Pour configurer Squidguard, il faut modifier le fichier /etc/squid/squidguard.conf. La définition des catégories à bloquer se gère ainsi (exemple de configuration) : 10

11 # CONFIG FILE FOR SQUIDGUARD # dbhome /var/lib/squidguard/db logdir /var/log/squid # TIME RULES: pour définir des périodes sur lesquelles on veut filtrer ou non # abbrev for weekdays: # s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat # Ici on défini une période correspondant aux jours de semaine entre # 8:00 et 18:30 time workhours { weekly mtwhf 08:00-18:30 # SOURCES : ip des postes que l on filtre source CDI { ip source Eleves { ip # # REWRITE RULES: listes sur lesquelles on filtre # # porno dest bl_adult { domainlist urllist log adult/domains adult/urls adult.log # warez dest bl_warez { domainlist urllist log warez/domains warez/urls warez.log 11

12 # gore dest bl_agressif { domainlist urllist log agressif/domains agressif/urls agressif.log # hacking dest bl_hacking { domainlist urllist log hacking/domains hacking/urls hacking.log # jeux dest bl_games { domainlist urllist log games/domains games/urls games.log # ACL : regles de filtrage # - pour le CDI et les postes eleve : on bloque sur la période que l on # a défini toutes les categories que l on a identifié plus haut et on # redirige vers une page d erreur # - pour le reste on laisse tout passer acl { CDI within workhours { pass!bl_adult!bl_warez!bl_agressif!bl_hacking!bl_games all redirect Eleves within workhours { pass!bl_adult!bl_warez!bl_agressif!bl_hacking!bl_games all redirect default { pass all 12

13 NB : dans le fichier de configuration précédent, je fais une redirection vers la page squidguard.cgi lorsqu il y a blocage d un site. Ceci implique donc l installation d un serveur Web (par exemple Apache2) ainsi que la récupération du fichier CGI. Pour l installation d Apache2, il suffit de procéder ainsi : # apt-get install apache2 Pour ce qui est du fichier CGI, on peut récupérer celui fourni avec l installation de Squidguard : # cp /usr/share/doc/squidguard/examples/squidguard.cgi.gz /usr/lib/cgi-bin/ # gunzip /usr/lib/cgi-bin/squidguard.cgi.gz # chmod 755 /usr/lib/cgi-bin/squidguard.cgi Enfin, il faut modifier la configuration de Squid (/etc/squid/squid.conf) pour activer le filtrage par SquidGuard : redirect_program /usr/bin/squidguard c /etc/squid/squidguard.conf redirect_children Dansguardian Dansguardian permet lui aussi de filtrer en se basant sur une liste d URL, mais il effectue également un filtage de contenu base sur des expressions régulière. La première étape est la récupération de Dansguardian : # apt-get install dansguardian Maintenant, il faut éditer le fichier /etc/dansguardian/dansguardian.conf (ne pas oublier le «#» devant «UNCONFIGURED»): #UNCONFIGURED reportinglevel = 3 language = 'french' loglevel = 2 logexceptionhits = on logfileformat = 1 loglocation = '/var/log/dansguardian/access.log' filterip = filterport = 8080 proxyip = proxyport = 3128 accessdeniedaddress = ' /cgi-bin/dansguardian.pl' nonstandarddelimiter = on usernameidmethodproxyauth = on forwardedfor = on usexforwardedfor = on 13

14 Où est l adresse du proxy. Comme pour SquidGuard, on va également créer un script dont on programmera l exécution par cron, et qui permettra de faire la mise à jour des blacklists à intervalle régulier. Nous allons nommer ce script maj_bl : #!/bin/sh # Mise à jour des blacklists de Dansguardian /etc/init.d/dansguardian stop cd /tmp wget ftp://ftp.univtlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz tar -zxf blacklists.tar.gz rm blacklists.tar.gz rm -R /etc/dansguardian/blacklists mv blacklists /etc/dansguardian/ /etc/init.d/dansguardian start Ensuite, il faut rendre ce script exécutable avec la commande : # chmod 755 maj_bl Enfin, il faut utiliser cron pour programmer l exécution de maj_bl. Fichiers de paramétrages pour le filtrage de contenu : /etc/dansguardian/bannedphraselist.include</etc/dansguardian/phraselists/pornography/banned>.include</etc/dansguardian/phraselists/illegaldrugs/banned>.include</etc/dansguardian/phraselists/gambling/banned> /etc/dansguardian/weightedphraselist.include</etc/dansguardian/phraselists/chat/weighted>.include</etc/dansguardian/phraselists/drugadvocacy/weighted>.include</etc/dansguardian/phraselists/dutchbadwords/weighted>.include</etc/dansguardian/phraselists/frenchbadwords/weighted>.include</etc/dansguardian/phraselists/frenchpornography/weighted>.include</etc/dansguardian/phraselists/gambling/weighted>.include</etc/dansguardian/phraselists/germanpornography/weighted>.include</etc/dansguardian/phraselists/goodphrases/weighted>.include</etc/dansguardian/phraselists/gore/weighted>.include</etc/dansguardian/phraselists/illegaldrugs/weighted>.include</etc/dansguardian/phraselists/intolerance/weighted>.include</etc/dansguardian/phraselists/legaldrugs/weighted>.include</etc/dansguardian/phraselists/personals/weighted>.include</etc/dansguardian/phraselists/pornography/weighted> 14

15 .Include</etc/dansguardian/phraselists/violence/weighted>.Include</etc/dansguardian/phraselists/warezhacking/weighted>.Include</etc/dansguardian/phraselists/weapons/weighted> /etc/dansguardian/bannedregexpurllist (adultsight adultsite adultsonly adultweb blowjob bondage centerfold cum shot cyberlust cybercore hardcore incest masturbat obscene pedophil pedo fil playmate pornstar sexdream showgirl softcore striptease) (^ [- \?+=&/_])(big cyber hard huge mega small soft super tiny)?(anal babe bha rath boob breast busen busty clit cum cunt dick fetish fuck hooter lez l ust naked nude oral orgy porn porno pupper pussy rotten sex shit smutpum p teen tit topp?les xxx)s?([-\?+=&/_] $) (^ [\?+=&/])(girls babes)([\?+=&/] $) #Use this to block web counters: #(adlog.php cnt.cgi count.cgi count.dat count.jsp count.pl count.php cou nter.cgi counter.js counter.pl countlink.cgi fpcount.exe logitpro.cgi rc ounter.dll track.pl w_counter.js) #Contributed by proxy@barendse.to Fichiers à modifier pour le filtrage basé sur les catégories d URL des blacklist (pour voir les catégories disponibles, regarder dans /etc/dansguardian/blacklists) /etc/dansguardian/bannedurllist (commenter le mebers/porn situé en début de fichier) #Remove the # from the following and edit as needed to use a stock #squidguard blacklists collection..include</etc/dansguardian/blacklists/ads/urls>.include</etc/dansguardian/blacklists/adult/urls>.include</etc/dansguardian/blacklists/aggressive/urls>.include</etc/dansguardian/blacklists/agressif/urls> #.Include</etc/dansguardian/blacklists/cleaning/urls> #.Include</etc/dansguardian/blacklists/audio-video/urls> #.Include</etc/dansguardian/blacklists/chat/urls> #.Include</etc/dansguardian/blacklists/cleaning/urls> #.Include</etc/dansguardian/blacklists/drugs/urls> #.Include</etc/dansguardian/blacklists/drogue/urls> #.Include</etc/dansguardian/blacklists/dangerous_material/urls> #.Include</etc/dansguardian/blacklists/entertainment/urls> #.Include</etc/dansguardian/blacklists/frencheducation/urls> #.Include</etc/dansguardian/blacklists/forums/urls> #.Include</etc/dansguardian/blacklists/gambling/urls> #.Include</etc/dansguardian/blacklists/government/urls> #.Include</etc/dansguardian/blacklists/hacking/urls> 15

16 #.Include</etc/dansguardian/blacklists/liste_bu/urls> #.Include</etc/dansguardian/blacklists/jobsearch/urls> #.Include</etc/dansguardian/blacklists/kidstimewasting/urls> #.Include</etc/dansguardian/blacklists/mail/urls> #.Include</etc/dansguardian/blacklists/news/urls>.Include</etc/dansguardian/blacklists/porn/urls> #.Include</etc/dansguardian/blacklists/proxy/urls> #.Include</etc/dansguardian/blacklists/publicite/urls> #.Include</etc/dansguardian/blacklists/redirector/urls> #.Include</etc/dansguardian/blacklists/tricheur/urls>.Include</etc/dansguardian/blacklists/violence/urls> #.Include</etc/dansguardian/blacklists/virusinfected/urls>.Include</etc/dansguardian/blacklists/warez/urls> #.Include</etc/dansguardian/blacklists/webmail/urls> # You will need to edit to add and remove categories you want /etc/dansguardian/bannedsitelist (commenter badboys.com en début de fichier) #Remove the # from the following and edit as needed to use a stock #squidguard/urlblacklist blacklists collection..include</etc/dansguardian/blacklists/ads/domains>.include</etc/dansguardian/blacklists/adult/domains>.include</etc/dansguardian/blacklists/aggressive/domains>.include</etc/dansguardian/blacklists/agressif/domains> #.Include</etc/dansguardian/blacklists/artnudes/domains> #.Include</etc/dansguardian/blacklists/audio-video/domains> #.Include</etc/dansguardian/blacklists/cleaning/domains> #.Include</etc/dansguardian/blacklists/dangerous_material/domains> #.Include</etc/dansguardian/blacklists/beerliquorinfo/domains> #.Include</etc/dansguardian/blacklists/beerliquorsale/domains> #.Include</etc/dansguardian/blacklists/chat/domains> #.Include</etc/dansguardian/blacklists/childcare/domains> #.Include</etc/dansguardian/blacklists/clothing/domains> #.Include</etc/dansguardian/blacklists/culinary/domains> #.Include</etc/dansguardian/blacklists/dialers/domains> #.Include</etc/dansguardian/blacklists/drugs/domains> #.Include</etc/dansguardian/blacklists/drogue/domains> #.Include</etc/dansguardian/blacklists/entertainment/domains> #.Include</etc/dansguardian/blacklists/forums/domains> #.Include</etc/dansguardian/blacklists/frencheducation/domains> #.Include</etc/dansguardian/blacklists/gambling/domains> 16

17 #.Include</etc/dansguardian/blacklists/government/domains> #.Include</etc/dansguardian/blacklists/hacking/domains> #.Include</etc/dansguardian/blacklists/homerepair/domains> #.Include</etc/dansguardian/blacklists/hygiene/domains> #.Include</etc/dansguardian/blacklists/jewelry/domains> #.Include</etc/dansguardian/blacklists/jobsearch/domains> #.Include</etc/dansguardian/blacklists/kidstimewasting/domains> #.Include</etc/dansguardian/blacklists/liste_bu/domains> #.Include</etc/dansguardian/blacklists/mail/domains> #.Include</etc/dansguardian/blacklists/news/domains> #.Include</etc/dansguardian/blacklists/onlineauctions/domains> #.Include</etc/dansguardian/blacklists/onlinegames/domains> #.Include</etc/dansguardian/blacklists/onlinepayment/domains> #.Include</etc/dansguardian/blacklists/personalfinance/domains> #.Include</etc/dansguardian/blacklists/pets/domains> #.Include</etc/dansguardian/blacklists/mobile-phone/domains> #.Include</etc/dansguardian/blacklists/phishing/domains>.Include</etc/dansguardian/blacklists/porn/domains> #.Include</etc/dansguardian/blacklists/proxy/domains> #.Include</etc/dansguardian/blacklists/radio/domains> #.Include</etc/dansguardian/blacklists/publicite/domains> #.Include</etc/dansguardian/blacklists/redirector/domains> #.Include</etc/dansguardian/blacklists/ringtones/domains> #.Include</etc/dansguardian/blacklists/sportnews/domains> #.Include</etc/dansguardian/blacklists/sports/domains> #.Include</etc/dansguardian/blacklists/vacation/domains> #.Include</etc/dansguardian/blacklists/tricheur/domains>.Include</etc/dansguardian/blacklists/violence/domains> #.Include</etc/dansguardian/blacklists/virusinfected/domains>.Include</etc/dansguardian/blacklists/warez/domains> #.Include</etc/dansguardian/blacklists/webmail/domains> # You will need to edit to add and remove categories you want Pour terminer, on peut redémarrer Dansguardian : # /etc/init.d/dansguardian restart N.B. : dans la config proxy des navigateurs, remplacer le port 3128 par

18 4. Exploitation de logs avec SARG SARG est l acronyme de Squid Analysis Report Generator. Comme son nom l indique, il s agit donc d un analyseur de log Squid qui permet de générer des rapports HTML très complets et faciles à comprendre. Pour l utiliser encore plus facilement, on va l installer conjointement à Webmin qui nous fournira une interface Web pour l utiliser. # apt-get install sarg webmin webmin-sarg Pour avoir accès à Webmin depuis n importe quel poste du réseau, on va avant toute chose modifier la valeur de allow le fichier /etc/webmin/miniserv.conf : allow= Où correspond à l adresse du réseau local. On peut alors redémarrer Webmin : # /etc/init.d/webmin restart Pour se connecter à l interface de Webmin, on peut alors ouvrir un navigateur Web à l adresse Sur la page qui apparaît, il faut se loguer en utilisant le compte «root» du système. On peut ensuite aller sur l onglet «Servers» pour voir que le module SARG est bien présent. Si l on clic sur SARG, il est alors demandé de configurer le module : La configuration doit être réalisée comme suit : 18

19 En cliquant sur «Save», on obtient l écran suivant : Il est possible de paramétrer SARG pour qu il génère périodiquement des rapport grâce au menu «Scheduled Report Generation». Sur le menu principal de SARG, il est également possible de générer un rapport immédiatement ou de visualiser les rapports déjà disponibles (boutons «Generate Report Now» et «View Generated Report»). Voici un exemple de rapport généré pour les 19 et 20 avril 2006 : Si plusieurs rapports avaient été disponibles, alors on aurait eu plusieurs choix dans la liste précédente. Si l on clic sur «19Apr Apr2006», alors on obtient l écran suivant : 19

20 Enfin, si SquidGuard est installé, SARG peut également générer un rapport des blocages réalisés par le filtre (pour que le lien SquidGuard apparaisse dans le menu des rapports disponibles, il faut avoir renseigné la valeur de «SquidGuard log file» dans le menu «Log source and Report destination» du module Webmin, ainsi que la valeur de «squidguard_conf» dans le fichier /etc/squid/sarg.conf). Dans notre cas, on obtient l affichage suivant : 20

21 NB : si vous utilisez Squidguard et que vous filtrez sur la catégorie «blog», vous allez obtenir une erreur lors de la génération du rapport de SARG. En effet, lorsque SARG analyse le fichier squidguard.conf pour récupérer les noms des fichiers de log générés, il repère la suite de caractères «log» et considère ce qui suit comme étant un nom de fichier, or «blog» contient «log» d où l erreur que fait remonter SARG en tentant de générer son rapport. Pour contourner ce bug, il suffit de ne pas faire mention de «blog» mais par exemple de «bloog» (il faut par conséquent également renommer le répertoire «blog» contenu dans la blacklist en «bloog»). Grâce à ce rapport, on peut donc savoir que les postes et ont été bloqués par Squidguard lorsqu ils ont tenté d aller sur des sites faisant parti des catégories Warez et Adult, et à quel heure ces tentatives d accès ont eu lieu. Pour avoir un aperçu des accès bloqués lorsqu on a installé Squid et Dansguardian, il faut modifier la valeur de «logfileformat» dans /etc/dansguardian/dansguardian.conf pour la passer à 3 («Squid Log File Format»), relancer DansGuardian avec la commande «/etc/init.d/dansguardian restart», et mettre la valeur de «Source Squid log file» dans le menu «Log source and Report destination» du module Webmin à /var/log/dansguardian/access.log. 21