СКФ на школьном сервере

[ruslandh]

Где есть?
Я ни одной не видел.

То что вы не видели не значит, что их нет.

http://freeschool.altlinux.ru/
http://docs.altlinux.org/
http://heap.altlinux.org/engine/HeapMain
http://linux.armd.ru/ru/documentation/metod/

Уж если уж государству нужен массовый переход на линукс в школе то нужно было потратить кучу денег на то что организовать бесплатные курсы по линукс и везде давать ссылки на то как малознакомому человеку настраивать линукс

Найдите информацию про НП-12. Это и сделала компания АйТи в прошлом году.

[HAW]

спасибо!
минут за 20 нашёл в журнале. http://katalog.iot.ru/
но судя по обратной связи оно подохло в 2008г., а я хотел список, что бы дансгуарду скормить. :(

[Doctor_ORZ]

список можно тут скачать

[HAW]

список можно тут скачать

во! сенькую

[vanchope]

Так, на всякий случай брошу прямую ссылку http://www.altlinux.org/СКФ

А как быть с Alt Linux 5? Там нужно что-то доустанавливать? Хорошо бы такую же инструкцию для Master, Junior и Server 5...

[YYY]

Так, на всякий случай брошу прямую ссылку http://www.altlinux.org/СКФ

А как быть с Alt Linux 5? Там нужно что-то доустанавливать? Хорошо бы такую же инструкцию для Master, Junior и Server 5...

Сейчас разбираюсь тоже с Лайтом 5 вроде как доделанным до 5.0.1 - думал СКФ сам собой заработает - нифига...
Я уже писал что делал по  (без шагов 1 и 2)
http://www.altlinux.org/СКФ
и на шаге
5. Заходим браузером по адресу http://localhost/cgi-bin/login.cgi
облом.
Скриптов в  /var/www/cgi-bin нет
Но они есть в
/var/www/apache2/cgi-bin
Сейчас буду ковырять дальше

итак...
скопировал 2 ссылки
@printenv
@test-cgi
из  /var/www/cgi-bin в /var/www/apache2/cgi-bin
Удалил  /var/www/cgi-bin
Создал ссылку
ln -s /var/www/apache2/cgi-bin /var/www/cgi-bin
Теперь шаг 5 и 6 работают %)
На 3128 прокся отвечает...

Но вообще ситуация КРАЙНЕ странная !
гляжу в /etc/httpd2/conf конфиг  httpd2.conf
+++
# Include module configuration:
Include conf/mods-enabled/*.load
Include conf/mods-enabled/*.conf

# Various default settings
Include conf/extra-enabled/*.conf
++++
В соответствующих каталогах есть
mods-enabled/@alias.load
mods-enabled/@cgi.load
extra-enabled/@host2cat.conf
в host2cat.conf
<IfModule alias_module>
        ScriptAlias /cgi-bin/ "/var/www/apache2/cgi-bin/"
</IfModule>

Но оно не работает. Ошибки в логе апача
[notice] Apache/2.2.14 (Unix) configured -- resuming normal operations
[client 127.0.0.1] script not found or unable to stat: /var/www/cgi-bin/main.cgi, referer: http://localhost/cgi-bin/login.cgi
Других нет.
Но почему-то не фурычит....

А если сделать ссылку - работает...
ln -s /var/www/apache2/cgi-bin /var/www/cgi-bin

Черт..
Создал юзера, пароль ему.
Спрашивает. Заходит.
Но не блокирует... :(

Редактирование роли my_student ->
Чёрный список ->
^http://dark\.narod\.ru.*$    
Но на сайт http://dark\.narod\.ru все равно пускает...
service c-icap restart Делал...
В  /var/log/c-icap/access.log одни
Sat Mar 20 18:03:22 2010, 127.0.0.1, 127.0.0.1, REQMOD, url_filter?, OK

[vanchope]

Поставил Server 5, набрал http://10.50.105.1/cgi-bin/login.cgi - появилось окно с логином и паролем. Поначалу я обрадовался, выполнил последовательно шаги из  http://www.altlinux.org/СКФ:

5. Заходим браузером по адресу http://localhost/cgi-bin/login.cgi
Имя пользователя: root
Пароль: root

6. Создаём нового администратора, назначаем ему пароль, заходим под его логином

7. Заводим пользователя в группе student (Создать нового юзера). Пример:
Имя юзера: user
IP адрес: 10.1.1.249 (реальный IP пользователя)
Маска подсети/суффикс: <пусто>
Роль: my_student

8. Устанавливаем пользователю пароль
htpasswd2 /etc/squid/passwd user

9. Устанавливаем доступ через прокси-сервер <IP-сервера>, порт 3128 для компьютеров пользователей.

10. Блокируемые сайты заносятся в центре управления http://<сервер>:80/cgi-bin/role.cgi?action=edit&value=my_student в поле «Чёрный список»

11. После ввода всех пользователей (и в дальнейшем после любых административных изменений или проблемах работоспособности СКФ) перезапускаем службу c-icap:
service c-icap restart

После этого при попытке зайти на веб-страницу запрашивается имя пользователя (в нашем примере — user) и пароль. При доступе на запрещённый ресурс (например, porno.ru) выдаётся Permition deny!

Итог - по адресам, занесённым в чёрный список пускает без зазрения совести. В общем, тоже, что и

Создал юзера, пароль ему.
Спрашивает. Заходит.
Но не блокирует...

Редактирование роли my_student ->
Чёрный список ->
^http://dark\.narod\.ru.*$   
Но на сайт http://dark\.narod\.ru все равно пускает...
service c-icap restart Делал...
В  /var/log/c-icap/access.log одни
Sat Mar 20 18:03:22 2010, 127.0.0.1, 127.0.0.1, REQMOD, url_filter?, OK

Шаг 10 изменил - занёс один адрес в белый список. По идее не должен пукать никуда кроме белого адреса - пускает везде.  :(

[ruslandh]

На всякий случай http://www.netpolice.ru/filters/altlinux/

[YYY]

Снова добрался до подопытного альта :)

Поглядел...
Поглядел...

И не понял а как оно вообще работает :)

Итак сквид запускается с конфигом
/etc/squid/squid.conf
В котором вообще ничего нету хотя есть нашел :)
+++
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
acl password proxy_auth REQUIRED

acl manager proto cache_object

acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

acl localnet src 10.0.0.0/8<---># RFC1918 possible internal network
acl localnet src 172.16.0.0/12<># RFC1918 possible internal network
acl localnet src 192.168.0.0/16># RFC1918 possible internal network

acl SSL_ports port 443<><------># https
acl SSL_ports port 563<><------># snews
acl Rsync_ports port 873
acl Jabber_ports port 5222 5223
acl Safe_ports port 80<><------># http
acl Safe_ports port 21<><------># ftp
acl Safe_ports port 443><------># https
acl Safe_ports port 70<><------># gopher
acl Safe_ports port 210><------># wais
acl Safe_ports port 1025-65535<># unregistered ports
acl Safe_ports port 280><------># http-mgmt
acl Safe_ports port 488><------># gss-http
acl Safe_ports port 563><------># snews
acl Safe_ports port 591><------># filemaker
acl Safe_ports port 777><------># multiling http
acl Safe_ports port 631><------># cups
acl Safe_ports port 873><------># rsync
acl Safe_ports port 901><------># SWAT
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager


http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports !Jabber_ports !Rsync_ports
http_access allow password

http_access deny all

icp_access allow localnet
icp_access deny all

htcp_access allow localnet
htcp_access deny all

http_port 3128


refresh_pattern ^ftp:<-><------>1440<-->20%<--->10080
refresh_pattern ^gopher:<------>1440<-->0%<---->1440
refresh_pattern (cgi-bin|\?)<-->0<----->0%<---->0
refresh_pattern .<-----><------>0<----->20%<--->4320

negative_ttl 0

visible_hostname localhost

icp_port 3130

icap_enable on

icap_connect_timeout 1 second

icap_io_timeout 1 second

icap_send_client_ip on

icap_send_client_username on

icap_client_username_header X-Authenticated-User

icap_client_username_encode on

icap_class class_url_filter service_url_filter

icap_access class_url_filter allow all

+++
Остальное просто закомментировано.
Естественно Странно СКФ не работает :)
Вопрос в том как оно должно быть настроено?

ЗЫ: Пойду спрошу у гугля

[YYY]

Может кто-нибудь знает как сабж работает?
Смотрел... смотрел.
До конца так и не понял.

Понял что есть БД (sqllite ?)
Там хранятся данные, которые я могу забить через веб-морду (http://localhost/cgi-bin/login.cgi)
Сквид отправляет URL и Юзер-ID демону icap который через url_filter обращается к базе и проверяет ЧЕРНЫЙ и БЕЛЫЙ списки.
Если url_filter считает что юзер не должен видеть URL - он сообщает через  icap это сквиду и сквид юзера не пускает

Но есть еще host2cap который работает с DNS сервером http://www.netpolice.ru/filters/dns-filter/ - есть настройки.
Вот только как он работает я не понял... В настройках сквида нет... Тоже через icap и url_filter ?
Дак вроде глядел глядел в исходник url_filter - не понял связан он с host2cap или нет...

[MisHel64]

Понял что есть БД (sqllite ?)
Там хранятся данные, которые я могу забить через веб-морду (http://localhost/cgi-bin/login.cgi)
Сквид отправляет URL и Юзер-ID демону icap который через url_filter обращается к базе и проверяет ЧЕРНЫЙ и БЕЛЫЙ списки.
Если url_filter считает что юзер не должен видеть URL - он сообщает через  icap это сквиду и сквид юзера не пускает

Хоть кто-то рассказал, принцип работы этого фильтра.
А прямой ссылочкой на доку не поделитесь, хочется почитать первоисточник, что бы грамотно ответить на возникающие тут вопросы.

[ruslandh]

http://c-icap.sourceforge.net/

[YYY]

http://c-icap.sourceforge.net/

Там же самописные штуковины.
srv_url_filter.c
host2cat.c
Видимо придется исходники глядеть...
На следующей неделе как раз время будет...

Вот он плюс опен-сорса :)

[mk]

Blacklist'ы можно скачать здесь

А это нечто похожее из МинЮст - некоторым после проверки прислали в качестве указания
http://www.minjust.ru/ru/activity/nko/fedspisok/

[Doctor_ORZ]

Перезалил свой белый список сюда.