Re: [MASOCH-L] Squid: Autenticar e "logar" tentativa de acesso não autorizado
marcos rocha
mczueira at yahoo.com.br
Sat Aug 20 21:45:44 BRT 2005
Marlon,
eu resolvi da seguinte forma:
- nas primeiras linha do http_access, eu coloco tudo o
que eh proibido - http_access deny ...
- na ultima linha eu coloco http_access allow all
autenticado
com isso eu tenho:
- para se acessar todo e qualquer site deve-se
primeiramente se autenticar
- o squid faz log de todos os sites acessados por
todos os usuarios, inclusive aos sites proibidos.
isso resolve o meu problema, espero que te ajude tb.
Marcos
--- MARLON BORBA <MBORBA at trf3.gov.br> escreveu:
> Srs.,
>
> Estou configurando um Squid (2.5-STABLE9) em um
> servidor Fedora Core, de modo a que ele exija
> autenticação contra uma base de dados LDAP, o que
> está funcionando corretamente.
>
> Meu problema, agora, é como fazer com que, depois de
> autenticado, caso o cidadão tente fazer acesso a um
> "site" não autorizado (pornográfico, por exemplo) a
> requisição seja "logada" com o "username".
>
> Sabemos que o Squid processa as diretivas
> http_access de cima para baixo, interrompendo o
> processamento na primeira diretiva que confere com a
> requisição. Assim, na minha configuração, o usuário
> consegue se autenticar com sucesso, mas os "sites"
> proibidos não são bloqueados e menos ainda logados.
>
> Trecho relevante do meu Squid.conf:
>
> [...]
> acl autenticados proxy_auth REQUIRED
> [...]
> # sites proibidos
> acl liberado dstdom_regex "/etc/squid/liberado.txt"
> acl semacesso dstdom_regex
> "/etc/squid/semacesso.txt"
> [...]
> # permitindo acesso a usuarios autenticados
> http_access allow autenticados
>
> # e proibindo sites nao permitidos
> http_access allow liberado
> http_access deny semacesso
>
> # And finally deny all other access to this proxy
> http_access allow localhost
> http_access deny all
> [...]
>
>
> As linhas estão EXATAMENTE nessa ordem. Se exijo a
> autenticação primeiro, não "logo" os sites
> proibidos; se faço isso depois, a entrada é "logada"
> no Cache.log, SEM o "login" do indivíduo que tentou
> fazer a lambança (como diria o Villas-Bôas Corrêa).
>
> Aceito sugestões... :-)
>
>
>
> Abraços,
> Marlon Borba, CISSP.
> --
> Nova campanha:
> Centro de Resposta a Incidentes de
> Segurança da Justiça Federal - Vamos criar!
> --
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
_______________________________________________________
Yahoo! Acesso Grátis - Internet rápida e grátis.
Instale o discador agora! http://br.acesso.yahoo.com/
More information about the masoch-l
mailing list