新作:《Linux安全技术内幕》 试读1
为了让各位更好了解该书的内容和深度,特奉上部分试读,请大家欣赏,谢谢!
15.5.2 配置Squid Server的安全访问控制
使用访问控制特性,可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等等。Squid访问控制有两个要素:ACL元素和访问列表。访问列表可以允许或拒绝某些用户对此服务的访问。下面分别介绍ACL元素以及访问列表的使用方法。
1.ACL元素
该元素定义的语法如下:
acl aclname acltype string1…
acl aclname acltype “file”…
当使用文件时,该文件的格式为每行包含一个条目。
其中,acltype可以是src、dst、srcdomain、dstdomain、url_regex、urlpath_regex、time、port、proto、method中的一任意一种。
src:指明源地址。可以用以下的方法指定:
acl aclname src ip-address/netmask ... 客户ip地址
acl aclname src addr1-addr2/netmask ... 地址范围
dst:指明目标地址,即客户请求的服务器的IP地址。语法为:
acl aclname dst ip-address/netmask ...
srcdomain:指明客户所属的域,Squid将根据客户IP反向查询DNS。语法为:
acl aclname srcdomain foo.com ...
dstdomain:指明请求服务器所属的域,由客户请求的URL决定。语法为:
acl aclname dstdomain foo.com ...
time:指明访问时间。语法如下:
acl aclname time [day-abbrevs] [h1:m1-h2:m2][hh:mm-hh:mm]
日期的缩写指代关系如下:
Ø S:指代Sunday
Ø M:指代Monday
Ø T:指代Tuesday
Ø W:指代Wednesday
Ø H:指代Thursday
Ø F:指代Friday
Ø A:指代Saturday
另外,h1:m1必须小于h2:m2,表达式为[hh:mm-hh:mm]。
port:指定访问端口。可以指定多个端口,比如:
acl aclname port 80 70 21 ...
acl aclname port 0-1024 ... 指定一个端口范围
proto:指定使用协议。可以指定多个协议:
acl aclname proto HTTP FTP ...
method:指定请求方法。比如:
acl aclname method GET POST ...
url_regex:URL规则表达式匹配,语法为:
acl aclname url_regex[-i] pattern
urlpath_regex:URL-path规则表达式匹配,略去协议和主机名。其语法为:
acl aclname urlpath_regex[-i] pattern
在使用上述ACL元素的过程中,要注意如下几点:
acltype可以是任一个在ACL中定义的名称。
任何两个ACL元素不能用相同的名字。
每个ACL由列表值组成。当进行匹配检测的时候,多个值由逻辑或运算连接;换句话说,任一ACL元素的值被匹配,则这个ACL元素即被匹配。
并不是所有的ACL元素都能使用访问列表中的全部类型。
不同的ACL元素写在不同行中,Squid将这些元素组合在一个列表中。
2.http_access访问控制列表
根据访问控制列表允许或禁止某一类用户访问。如果某个访问没有相符合的项目,则默认为应用最后一条项目的“非”。比如最后一条为允许,则默认就是禁止。通常应该把最后的条目设为“deny all”或“allow all”来避免安全性隐患。
使用该访问控制列表要注意如下问题:
这些规则按照它们的排列顺序进行匹配检测,一旦检测到匹配的规则,匹配检测就立即结束。
访问列表可以由多条规则组成。
如果没有任何规则与访问请求匹配,默认动作将与列表中最后一条规则对应。
一个访问条目中的所有元素将用逻辑与运算连接(如下所示):
http_access Action声明1 AND 声明2 AND
多个http_access声明间用或运算连接,但每个访问条目的元素间用与运算连接。
列表中的规则总是遵循由上而下的顺序。
3.使用访问控制
上面详细讲述了ACL元素以及http_access访问控制列表的语法以及使用过程中需要注意的问题,下面给出使用这些访问控制方法的实例:
(1)允许网段61.0.3.188/24以及172.190.96.33/24内的所有客户机访问代理服务器,并且允许在文件/etc/squid/guest列出的客户机访问代理服务器,除此之外的客户机将拒绝访问本地代理服务器:
acl clients src 61.0.3.188/24 172.190.96.33/24
acl guests src “/etc/squid/guest”
acl all src 0.0.0 .0/0.0.0.0
http_access allow clients
http_access allow guests
http_access deny all
其中,文件“/etc/squid/guest”中的内容为:
172.168.10.3/24
210.113.24.8/16
10.0.1 .24/25
(2)允许域名为job.net、gdfq.edu.cn的两个域访问本地代理服务器,其他的域都将拒绝访问本地代理服务器:
acl permitted_domain src job.net gdfq.edu.cn
acl all src 0.0.0 .0/0.0.0.0
http_access allow permitted_domain
http_access deny all
(3)使用正则表达式,拒绝客户机通过代理服务器访问包含有诸如“sexy”等关键字的网站:
acl deny_url url_regex –i sexy
http_access deny deny_url
(4)拒绝客户机通过代理服务器访问文件中指定IP或者域名的网站,其中文件/etc/squid/ deny_ip中存放有拒绝访问的IP地址,文件/etc/squid/deny_dns中存放有拒绝访问的域名:
acl deny_ip dst “etc/squid/deny_ip”
acl deny_dns dst “etc/squid/deny_dns”
http_access deny deny_ip
http_access deny deny_dns
(5)允许和拒绝指定的用户访问指定的网站,其中,允许客户1访问网站http://www.sina. com.cn,而拒绝客户2访问网站http://www.163.com:
acl client1 src 192.168.0.118
acl client1_url url_regex ^http://www.sina.com.cn
acl client2 src 192.168.0.119
acl client2_url url_regex ^http://www.163.com
http_access allow client1 client1_url
http_access deny client2 client2_url
(6)允许所有的用户在规定的时间内(周一至周四的8:30到20:30)访问代理服务器,只允许特定的用户(系统管理员,其网段为:192.168.10.0/24)在周五下午访问代理服务器,其他的在周五下午一点至六点一律拒绝访问代理服务器:
acl allclient src 0.0.0 .0/0.0.0.0
acl administrator 192.168.10.0/24
acl common_time time MTWH 8:30-20:30
acl manage_time time F 13:00-18:00
http_access allow allclient common_time
http_access allow administrator manage_time
http_access deny manage_time
(7)/etc/squid.conf,系统软件包提供、推荐的最小化配置如下,用户可以根据实际情况来进行定制
acl all src 0.0.0 .0/0.0.0.0
acl manager proto cache_object
acl localhost src 192.168.10.3/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
(...)
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S)HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
#Default:
# icp_access deny all
#
#Allow ICP queries from eveyone
icp_access allow all
15.5.3 配置Squid Server的简单实例
下面给出一个最简单的squid.conf文件:
#squid.conf - a very basic config file for squid
#Turn logging to it's lowest level
debug_options ALL,1
#defines a group(or Access Control List)that includes all IP addresses
acl all src 0.0.0 .0/0.0.0.0
#define RAM used
cache_mem 64M
#defines the cache size
cache_dir /usr/local/squid/cache 100 16 256
#allow all sites to use connect to us via HTTP
http_access allow all
#allow all sites to use us as a sibling
icp_access allow all
#test the following sites to check that we are connected
dns_testnames test.net program.edu.cn motivate.com
#run as the squid user
cache_effective_user squid squid
这个配置文件允许所有人使用Squid,创建了 100M 缓存,使用 64M 内存,在默认位置“/usr/local/squid/cache”缓存数据,所有缓存数据以组squid和用户squid身份保存,端口默认为3128。
15.6 安全配置基于Squid的透明代理
在本章的前面小节中讲述的是对传统代理方式进行的配置方法,即在每台客户机上都要对使用代理服务的相关浏览器作配置。本节将要介绍一种基于Squid的透明代理的配置方法。
所谓透明代理,是相对传统代理而言的,是指用户可以在安装了Squid软件的路由主机上进行配置,而内网主机不用逐一设置浏览器代理配置就可以上网的一种代理形式。配置了这种透明代理之后,客户端用户使用浏览器浏览网页时,就像是在直接上网,但实际上是通过路由主机上的代理服务器获得网页内容的,这个过程对于客户来说是透明的。内网的客户机只要将默认网关设置为代理服务器地IP地址,并设置DNS客户即可。这种透明代理的技术原理是:在路由主机上,将内网用户对HTTP的请求重定向到Squid传输HTTP的端口,即由代理服务器向外请求所需数据,然后将得到的数据转交给客户端。
15.6.1 Linux内核的相关配置
透明代理的实现需要在内核版本Linux 2.0.29 以上,现在使用的通常是2.4.X以上的内核版本,所以使用前,一般并不必担心这个问题。但是为了安全起见,须要确定内核已经配置了以下特性,一般在Red Hat Linux 6.0以上的发行套件上,包括本书所介绍的Fedora 10发行套件,系统已经默认配置了这些特性。如果没有,则要重新编译内核,如图15-10所示(关于如何编译内核不是本书讲述的内容,请参看相应的技术书籍):
图15-9 配置内核选项
[*] Network firewalls
[ ] Socket Filtering
[*] Unix domain sockets
[*] TCP/IP networking
[ ] IP: multicasting
[ ] IP: advanced router
[ ] IP: kernel level autoconfiguration
[*] IP: firewalling
[ ] IP: firewall packet netlink device
[*] IP: always defragment(required for masquerading)
[*] IP: transparent proxy support
在Fedora 10中,上述内核选项可以通过使用如下命令来选择:
#cd /usr/src/kernels/ 2.6.27 .5-117.fc10.i686
#make menuconfig
然后根据图15-9中的内容进行选择编译即可。
15.6.2 squid的相关配置选项
对透明代理进行设置,还要使用squid.conf文件中的相关选项,如下所示:
http_port 3218
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
上述选项的具体含义如下:
http_port 3128:一般squid的HTTP监听端口为3128,即squid默认设置值。该选项把所有来自于客户端web请求的包(即目标端口为80)重定向到3128端口。
httpd_accel_host virtual、httpd_accel_port 80:这两个选项本来是用来定义squid加速模式的。在这里使用virtual来指定为虚拟主机模式。80端口为要加速的请求端口。采用这种模式时,Squid就取消了缓存及ICP功能,假如需要这些功能,必须设置httpd_accel_with_proxy选项。
httpd_accel_with_proxy on:该选项在透明代理模式下必须设置成o n。在该模式下squid既是w e b请求的加速器,又是缓存代理服务器。
httpd_accel_uses_host_header on:在透明代理模式下,如果想让代理服务器的缓存功能正确工作,必须将该选项设为 n。设为 n时,squid会把存储的对象加上主机名而不是IP地址作为索引。
15.6.3 iptables的相关配置
iptables是Linux中Netfilter/iptables防火墙机制的核心技术,在后述章节将对该项技术作详细介绍,在这里该技术所起的作用是端口重定向,所以只对其配置作简要介绍。一般可以使用下列语句实现将目标端口为80的TCP包(HTTP协议数据包)重定向到3128端口:
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables –t nat –A PREROUTING –I eth0 –p tcp –dport 80 –j REDIRECT \
> --to-port 3128
本文出自 “卓越始于足下” 博客,谢绝转载!