rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:dansguardian

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision		Previous revision
doc:appunti:linux:sa:dansguardian [2018/03/01 10:19] – created niccolodoc:appunti:linux:sa:dansguardian [2018/03/01 12:15] (current) – [Aggiunta Scansione Antivirus] niccolo
Line 1: Line 1:
 ====== Dansguardian su Debian Stretch ====== ====== Dansguardian su Debian Stretch ======
  
-Sistema di filtraggio dei contenuti web. Installati i pacchetti:+Si vuole fare l'installazione di una singola macchina client che effettui il filtraggio dei contenuti web. Tutto il software sarà in esecuzione sul client, senza filtraggi da parte del firewall. 
 + 
 +Installati i pacchetti:
  
   * **dansguardian**   * **dansguardian**
Line 9: Line 11:
 Per attivare il servizio Dansguardian si deve configurare il file **/etc/dansguardian/dansguardian.conf**, almeno commentando la riga che contiene **UNCONFIGURED**. Una volta avviato il servizio con **systemctl start dansguardian.service**, il demone resta in ascolto sulla port **8080/TCP**. Per attivare il servizio Dansguardian si deve configurare il file **/etc/dansguardian/dansguardian.conf**, almeno commentando la riga che contiene **UNCONFIGURED**. Una volta avviato il servizio con **systemctl start dansguardian.service**, il demone resta in ascolto sulla port **8080/TCP**.
  
 +A sua volta il cache proxy **Squid** è in ascolto sulla porta **3128/TCP**.
 +
 +Per attivare il proxy http ogni browser utilizza sistemi diversi, ad esmepio con Chromium si può aggiungere una opzione sulla riga di comando:
 +
 +<code>
 +chromium --proxy-server="http://127.0.0.1:8080"
 +</code>
 +
 +In altri casi può essere sufficiente impostare una variabile di ambiente (ma alcuni desktop come KDE e Gnome potrebbero avere il sopravvento):
 +
 +<code>
 +export http_proxy="http://127.0.0.1:8080"
 +export https_proxy="http://127.0.0.1:8080"
 +</code>
 +
 +Se il browser accede tramite il proxy Dansguardian, si vedono le relative righe nel file **/var/log/dansguardian/access.log**, a sua volta Dansguardian si rivolge a Squid e quindi si trovano le righe di log in **/var/log/squid/access.log**.
 +
 +FIXME Come aggiungere regole iptables per bloccare la navigazione diretta senza proxy?
 +===== Aggiunta Blacklist Siti =====
 +
 +Con l'impostazione predefinita Dansguardian non applica molti filtri, vogliamo almeno **aggiungere dei filtri che bloccano siti per adulti**.
 +
 +Esiste un plugin per Squid chiamato **[[http://www.squidguard.org/|SquidGuard]]**, che implementga delle blacklist per Squid; **non installaremo tale plugin**, perché Dansguardian può utilizzare direttamente le stesse blacklist. Scarichiamone una apposita:
 +
 +<code>
 +ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/adult.tar.gz
 +</code>
 +
 +scompattiamo il contenuto in modo che i file siano in **/usr/local/lib/squidguard/db/adult/** e creiamo un link simbolico nella directory di Dansguardian:
 +
 +<code>
 +ln -s /usr/local/lib/squidguard/db/adult /etc/dansguardian/lists/blacklists/
 +</code>
 +
 +e includiamo l'elenco dei siti bannati in **/etc/dansguardian/lists/bannedsitelist** scommentando la riga:
 +
 +<file>
 +.Include</etc/dansguardian/lists/blacklists/adult/domains>
 +</file>
 +
 +Dopo aver riavviato il servizio con **systemctl restart dansguardian.service** sarà impossibile navigare sui siti bannati, nel file di log **/var/log/dansguardian/access.log** si troveranno righe del tipo:
 +
 +<file>
 +2018.3.1 11:07:15 - 127.0.0.1 https://www.youporn.com:443 *DENIED*
 +    Banned site: youporn.com CONNECT 0 0  1 403 -   -
 +</file>
 +
 +===== Aggiunta Scansione Antivirus =====
 +
 +Dopo aver installato il pacchetto **clamav-daemon** verificare che il processo **clamd** sia in esecuzione che sia presente il socket **/var/run/clamav/clamd.ctl**. Scommentare la riga nel file di configurazione **/etc/dansguardian/dansguardian.conf**:
 +
 +<file>
 +contentscanner = '/etc/dansguardian/contentscanners/clamdscan.conf'
 +</file>
 +
 +FIXME: Non funziona perché i file creati da Dansguardian in /tmp non possono essere letti dal processo **clamd**:
 +
 +**/var/log/dansguardian/access.log**:
 +
 +<file>
 +2018.3.1 11:26:00 - 127.0.0.1 http://www.rigacci.org/eicar_antivirus_test.com *INFECTED*
 +    *DENIED* /tmp/tfuCDk1C: Access denied. ERROR GET 337 0 Content scanning 1 403 -   -
 +</file>
 +
 +in **/var/log/syslog**
 +
 +<file>
 +dansguardian[27754]: ClamD error: /tmp/tfxGwbT5: Access denied. ERROR
 +</file>
 +
 +FIXME: Soluzione non funzionante:
 +
 +<code>
 +mkdir -p /var/tmp/dansguardian
 +chown dansguardian.dansguardian /var/tmp/dansguardian
 +chmod 777 /var/tmp/dansguardian
 +adduser clamav dansguardian
 +</code>
 +
 +<file>
 +filecachedir = '/var/tmp/dansguardian'
 +</file>
 +===== Riferimenti Web =====
 +
 +  * **[[http://guide.debianizzati.org/index.php/Proxy_Server_con_filtraggio_della_navigazione_su_Debian_Jessie|Proxy Server con filtraggio della navigazione su Debian Jessie]]**
 +  * **[[https://howto.biapy.com/en/debian-gnu-linux/servers/http/install-the-parental-control-filtering-proxy-server-dansguardian-on-debian|Install the parental control filtering proxy server DansGuardian on Debian]]**
doc/appunti/linux/sa/dansguardian.1519895983.txt.gz · Last modified: 2018/03/01 10:19 by niccolo