[Resolu] SquidGuard ne filtre plus les blacklists

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

[Resolu] SquidGuard ne filtre plus les blacklists

Messagepar Lifeisunfair » 30 Août 2011 13:51

Bonjour à tous.
Je viens pour un souci que je rencontre actuellement dans mon projet de stage.
Je dois monter un serveur proxy Squid, associé à SquidGuard et à Sarg pour l'analyse des logs. J'ai commencé il y a de ça 2 semaines, et la semaine dernière, tout était d'attaque. Devant documenter ma solution, j'ai donc fait de nouveaux tests dans SquidGuard, notamment au niveau des restrictions des blacklists, l'ajout de nouvelles blacklists. Et depuis que j'ai supprimé une restriction dans mes utilisateurs, SquidGuard ne fonctionne plus.
Comme j'avais la manipulation d'installation en tête, j'ai donc tenté de réinstaller Squid et SquidGuard, mais rien à faire, je me retrouve à chaque fois avec des blacklists non filtrés, dès que je déclare une destination dans mon fichier de configuration.
Je précise que Squid tout seul marche très très bien, et que Squidguard sans blacklist fonctionne aussi (j'ai la page de redirection). Le souçi n'arrive que lorsque je déclare mes blacklists...
Je précise également que j'ai installé BerkeleyDB3.3, je sais pas si ça peut venir de là :/
Voici mes fichiers de configuration (que j'ai fais basiques pour essayer de détecter une éventuelle erreur) :

SQUID.CONF

Code: Tout sélectionner
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/users
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16        # RFC1918 possible internal network
#acl localnet src fc00::/7       # RFC 4193 local private network range
#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl Users proxy_auth REQUIRED

acl localnet src 192.168.2.66

acl SSL_ports port 443
acl Safe_ports port 10000       # webmin
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost


#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet Users
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 8080

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

redirect_program /usr/bin/squidGuard -c /etc/squid/squidguard.conf
redirect_children 5


SQUIDGUARD.CONF

Code: Tout sélectionner
dbhome /var/lib/squidguard/blacklists
logdir /var/log/squid

src admin {
        ip              192.168.2.131
}

dest games {
        urllist         games/urls
        domainlist      games/domains
}

acl {
        admin {
                pass     any
        }

        default {
                pass     !games all
                redirect http://www.google.fr
        }
}


CONTENU DOSSIER BLACKLISTS

Code: Tout sélectionner
lrwxrwxrwx 1 squid squid     9 aoû 30 12:35 ads -> publicite
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 adult
lrwxrwxrwx 1 squid squid     8 aoû 30 12:35 aggressive -> agressif
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 agressif
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 arjel
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 astrology
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 audio-video
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 bank
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 blog
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 celebrity
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 chat
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 child
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 cleaning
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 dangerous_material
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 dating
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 drogue
lrwxrwxrwx 1 squid squid     6 aoû 30 12:35 drugs -> drogue
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 filehosting
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 financial
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 forums
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 gambling
drwxr-xr-x 2 squid squid  4096 aoû 30 12:44 games
-rw-r--r-- 1 squid squid 13747 mai  9 16:48 global_usage
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 hacking
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 jobsearch
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 liste_bu
lrwxrwxrwx 1 squid squid     6 aoû 30 12:35 mail -> forums
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 malware
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 manga
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 marketingware
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 mixed_adult
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 mobile-phone
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 phishing
lrwxrwxrwx 1 squid squid     5 aoû 30 12:35 porn -> adult
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 press
lrwxrwxrwx 1 squid squid    10 aoû 30 12:35 proxy -> redirector
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 publicite
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 radio
-rw-r--r-- 1 squid squid  3897 aoû 29 21:21 README
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 reaffected
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 redirector
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 remote-control
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 sect
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 sexual_education
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 shopping
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 social_networks
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 sports
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 strict_redirector
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 strong_redirector
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 tricheur
lrwxrwxrwx 1 squid squid     8 aoû 30 12:35 violence -> agressif
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 warez
drwxr-xr-x 2 squid squid  4096 aoû 29 21:21 webmail


RESULTAT TEST SQUIDGUARD

Code: Tout sélectionner
echo "http://www.tortue.com 192.168.2.66/- - GET" | squidGuard -d
2011-08-30 12:53:23 [11217] New setting: dbhome: /var/lib/squidguard/blacklists
2011-08-30 12:53:23 [11217] New setting: logdir: /var/log/squid
2011-08-30 12:53:23 [11217] init urllist /var/lib/squidguard/blacklists/games/urls
2011-08-30 12:53:23 [11217] loading dbfile /var/lib/squidguard/blacklists/games/urls.db
2011-08-30 12:53:23 [11217] init domainlist /var/lib/squidguard/blacklists/games/domains
2011-08-30 12:53:23 [11217] loading dbfile /var/lib/squidguard/blacklists/games/domains.db
2011-08-30 12:53:23 [11217] squidGuard 1.3 started (1314701603.240)
2011-08-30 12:53:23 [11217] Info: recalculating alarm in 12997 seconds
2011-08-30 12:53:23 [11217] squidGuard ready for requests (1314701603.241)
2011-08-30 12:53:23 [11217] source not found
2011-08-30 12:53:23 [11217] no ACL matching source, using default

2011-08-30 12:53:23 [11217] squidGuard stopped (1314701603.242)


Merci de votre aide précieuse, je vais continuer à chercher de mon côté...
Dernière édition par Lifeisunfair le 01 Sep 2011 08:10, édité 1 fois au total.
Lifeisunfair
Matelot
Matelot
 
Messages: 5
Inscrit le: 30 Août 2011 13:36

Re: SquidGuard ne filtre plus les blacklists

Messagepar Lifeisunfair » 30 Août 2011 14:02

Je rajoute mon fichier de logs de SquidGuard lorsqu'une destination est déclarée :
Code: Tout sélectionner
# tail -f squidGuard.log
2011-08-30 12:41:02 [10355] squidGuard stopped (1314700862.927)
2011-08-30 12:41:02 [10356] squidGuard stopped (1314700862.927)
2011-08-30 12:41:02 [10357] squidGuard stopped (1314700862.927)
2011-08-30 12:41:02 [10358] squidGuard stopped (1314700862.927)
2011-08-30 13:56:48 [12904] squidGuard 1.3 started (1314705404.274)
2011-08-30 13:56:48 [12904] db update done
2011-08-30 13:56:48 [12904] squidGuard stopped (1314705408.471)
2011-08-30 13:57:58 [12947] squidGuard 1.3 started (1314705475.382)
2011-08-30 13:57:58 [12947] db update done
2011-08-30 13:57:58 [12947] squidGuard stopped (1314705478.702)


et lorsqu'aucune destination n'est déclarée :
Code: Tout sélectionner
# tail -f squidGuard.log
2011-08-30 14:01:09 [13018] squidGuard ready for requests (1314705669.095)
2011-08-30 14:01:09 [13019] squidGuard 1.3 started (1314705669.109)
2011-08-30 14:01:09 [13019] Info: recalculating alarm in 8931 seconds
2011-08-30 14:01:09 [13019] squidGuard ready for requests (1314705669.110)
2011-08-30 14:01:09 [13020] squidGuard 1.3 started (1314705669.115)
2011-08-30 14:01:09 [13020] Info: recalculating alarm in 8931 seconds
2011-08-30 14:01:09 [13020] squidGuard ready for requests (1314705669.116)
2011-08-30 14:01:13 [13028] squidGuard 1.3 started (1314705673.859)
2011-08-30 14:01:13 [13028] db update done
2011-08-30 14:01:13 [13028] squidGuard stopped (1314705673.859)
Lifeisunfair
Matelot
Matelot
 
Messages: 5
Inscrit le: 30 Août 2011 13:36

Re: SquidGuard ne filtre plus les blacklists

Messagepar jdh » 30 Août 2011 14:07

Quelques remarques à noter :
- Squidguard est extrêmement strict concernant les droits fichiers (chown),
- les bases doivent être compilées (avec SquidGuard -C all),
- on teste avec la commande indiquée (bien !).
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: SquidGuard ne filtre plus les blacklists

Messagepar Lifeisunfair » 30 Août 2011 14:10

Salut jdh et merci de votre réponse ;)
Au niveau du chown, j'ai fais un chown -R squid:squid /var/lib/squidguard/blacklists...
idem au niveau des logs.
Ensuite, j'ai bien compilé avec squidGuard -C all (depuis l'utilisateur squid).
Ce qui m'inquiète, c'est que tout marchait vendredi avant que je ne teste certains changements (mais il vaut mieux que ça m'arrive à moi qu'une fois le serveur livré vous me direz :) )

edit :
Autre chose de troublant, lorsque j'essaie de compiler, j'ai ce message d'erreur :
squidGuard: can't write to logfile /var/log/squidguard/squidGuard.log
Or, j'ai bien dans mon fichier de configuration que le dossier de log est /var/log/squid
Lifeisunfair
Matelot
Matelot
 
Messages: 5
Inscrit le: 30 Août 2011 13:36

Re: SquidGuard ne filtre plus les blacklists

Messagepar Lifeisunfair » 31 Août 2011 10:28

J'ai tout réinstallé encore une fois, avec une version différente de squidguard, et rien à faire, toujours le même souci... J'ai l'impression que squidguard n'arrive pas à aller lire les bases de données, où que d'anciens paramètres sont quelques part, mais où? #-o

edit :
J'ai changé de blacklists pour tester, voici le résultat lorsque je refais le test (après avoir recompilé, changé les droits etc ;) )

Code: Tout sélectionner
$ echo "http://www.mask.org.za/ 192.168.2.66/- - GET" | squidGuard -d
2011-08-31 10:34:14 [6411] New setting: dbhome: /var/lib/squidguard
2011-08-31 10:34:14 [6411] New setting: logdir: /var/log/squid
2011-08-31 10:34:14 [6411] init domainlist /var/lib/squidguard/dest/porn/domains
2011-08-31 10:34:14 [6411] loading dbfile /var/lib/squidguard/dest/porn/domains.db
2011-08-31 10:34:14 [6411] init urllist /var/lib/squidguard/dest/porn/urls
2011-08-31 10:34:14 [6411] loading dbfile /var/lib/squidguard/dest/porn/urls.db
2011-08-31 10:34:14 [6411] squidGuard 1.3 started (1314779654.363)
2011-08-31 10:34:14 [6411] Info: recalculating alarm in 21346 seconds
2011-08-31 10:34:14 [6411] squidGuard ready for requests (1314779654.364)
2011-08-31 10:34:14 [6411] Request(utilisateur/porn/-) http://www.mask.org.za/ 192.168.2.66/- - GET REDIRECT
http://www.google.fr 192.168.2.66/- - GET
2011-08-31 10:34:14 [6411] squidGuard stopped (1314779654.365)


donc, le test marche bien, mais ça ne marche absolument pas sur le navigateur :shock:
Lifeisunfair
Matelot
Matelot
 
Messages: 5
Inscrit le: 30 Août 2011 13:36

Re: SquidGuard ne filtre plus les blacklists

Messagepar Lifeisunfair » 31 Août 2011 14:12

Bon, nous avons recompilé squidguard, refait un fichier de conf (le même que l'ancien), changé la déclaration de squidguard dans squid, et comme par enchantement, ça remarche ;)
Merci :)

edit : je viens de copier le fichier conf sur l'ancienne installation, ça ne marchait pas, jusqu'à ce que je vois un détail choquant, à savoir les propriétaires du fichier squidguard.conf... il fallait faire un chown squid:squid /etc/squid/squidguard.conf.
Reste à savoir comment les propriétaires du fichier ont changé sans rien touché :-k
Lifeisunfair
Matelot
Matelot
 
Messages: 5
Inscrit le: 30 Août 2011 13:36


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)