Re: [MASOCH-L] Squid: Autenticar e "logar" tentativa de acesso não autorizado
João Carlos Mendes Luis
jonny at jonny.eng.br
Fri Aug 19 19:51:37 -03 2005
MARLON BORBA wrote:
> Srs.,
>
> Estou configurando um Squid (2.5-STABLE9) em um servidor Fedora Core, de modo a que ele exija autenticação contra uma base de dados LDAP, o que está funcionando corretamente.
>
> Meu problema, agora, é como fazer com que, depois de autenticado, caso o cidadão tente fazer acesso a um "site" não autorizado (pornográfico, por exemplo) a requisição seja "logada" com o "username".
>
> Sabemos que o Squid processa as diretivas http_access de cima para baixo, interrompendo o processamento na primeira diretiva que confere com a requisição. Assim, na minha configuração, o usuário consegue se autenticar com sucesso, mas os "sites" proibidos não são bloqueados e menos ainda logados.
É logado sim, com o código do erro: 407 para autenticação e 403 para permissão
negada.
O problema é que na sua regra baixo, uma vez autenticado o cidadao tem acesso a
tudo, pois a regra de bloquear sites nunca é atinginda.
Mude para:
http_access allow autenticados liberado
http_access deny semacesso
http_access allow localhost
http_access deny all
>
> Trecho relevante do meu Squid.conf:
>
> [...]
> acl autenticados proxy_auth REQUIRED
> [...]
> # sites proibidos
> acl liberado dstdom_regex "/etc/squid/liberado.txt"
> acl semacesso dstdom_regex "/etc/squid/semacesso.txt"
> [...]
> # permitindo acesso a usuarios autenticados
> http_access allow autenticados
>
> # e proibindo sites nao permitidos
> http_access allow liberado
> http_access deny semacesso
>
> # And finally deny all other access to this proxy
> http_access allow localhost
> http_access deny all
> [...]
>
>
> As linhas estão EXATAMENTE nessa ordem. Se exijo a autenticação primeiro, não "logo" os sites proibidos; se faço isso depois, a entrada é "logada" no Cache.log, SEM o "login" do indivíduo que tentou fazer a lambança (como diria o Villas-Bôas Corrêa).
>
> Aceito sugestões... :-)
>
>
>
> Abraços,
> Marlon Borba, CISSP.
> --
> Nova campanha:
> Centro de Resposta a Incidentes de
> Segurança da Justiça Federal - Vamos criar!
> --
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list