Squid στο 12.04

Ξεκίνησε από ChrsMel, 17 Σεπ 2012, 10:07:52 ΠΜ

« προηγούμενο - επόμενο »

gidarakos

#30
Έστησα "καθαρό" LTSP 12.04.1 lyk (virtual box) και αφού "έτρεξα" sch-scripts, squid3, gsettings (.sh --> /etc/profile.d/), δημοσίευση εικονικού δίσκου, παρατήρησα τα εξής:

Όταν ένας καινούργιος χρήστης κάνει login από θέση εργασίας,

1) fat, proxy/chromium όλα ΟΚ!

2) thin, για να "παίξει" proxy/chromium θα πρέπει πριν ο χρήστης να έχει κάνει ένα login/logout από θέση εργασίας fat ή από τη θέση εργασίας του server. Έτσι αν στη συνέχεια πάει σε ένα thin και κάνει με τα ίδια στοιχεία login θα λειτουργεί και ο proxy/chromium.

Δηλαδή υπάρχει θέμα με τους χρήστες που κάνουν login από thin θέσεις εργασίας!

alkisg

Ναι ο LDM δεν εκτελεί το /etc/profile, δεν ξέρω γιατί δεν έχει φτιαχτεί ακόμα αυτό το bug, φαίνεται εντελώς απλή η λύση του... θα του ρίξω μια ματιά με την πρώτη ευκαιρία.
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=542270

Αλλά πάντως για squid, mandatory settings, transparent proxy, iptables κτλ αναμείνατε (δυστυχώς κάποιους μήνες αργότερα) μια λύση αυτοματοποιημένη + ενσωματωμένη στον Επόπτη. :)

apapakL

#32
Παράθεση από: apanagio στις 24 Οκτ 2012, 10:33:08 ΠΜ
...
περισσότερες λεπτομέριες έχει εδώ:
https://live.gnome.org/dconf/SystemAdministrators

και εδώ --> http://help.gnome.org/admin/system-admin-guide/stable/lockdown.html

ένα παράδειγμα για το πως κλειδώνουμε το wallpaper (άσχετο) αλλά λογικά κάπως έτσι θα κλειδώνουν και τα proxy settings

apapakL

#33
Κλείδωμα ρυθμίσεων proxy συστήματος

Το δοκίμασα σε virtual box και παίζει...

Μέθοδος:
sudo apt-get install dconf-tools


sudo mkdir -p /etc/dconf/profile/


sudo nano /etc/dconf/profile/user


Στο κενό αρχείο γράφουμε:

user-db:user
system-db:local


αποθηκεύουμε και κλείνουμε

Στη συνέχεια

sudo mkdir -p /etc/dconf/db/local.d/


sudo nano /etc/dconf/db/local.d/00_proxy_locksettings


και στο κενό αρχείο προσθέτουμε

[system/proxy]
mode='manual'
use-same-proxy=true

[system/proxy/http]
enabled=true
host='server'
port=3128


αποθηκεύουμε και κλείνουμε το αρχείο
και επανοφορτώνουμε τη βάση δεδομένων dconf

sudo dconf update



Στη συνέχεια

sudo mkdir /etc/dconf/db/local.d/locks


sudo nano /etc/dconf/db/local.d/locks/00_proxy_locksettings


και στο κενό αρχείο προσθέτουμε

# prevent changes to system proxy
/system/proxy/mode
/system/proxy/use-same-proxy
/system/proxy/http/enabled
/system/proxy/http/host
/system/proxy/http/port


αποθηκεύουμε κλείνουμε και στη συνέχεια τρέχουμε

sudo dconf update



Έπειτα κάνουμε δημοσίευση εικονικού δίσκου.

Σε συνδυασμό με το κλείδωμα και του firefox που περιγράφηκε προηγούμενα θα έλεγα οτι έχουμε μια πιο ολοκληρωμένη λύση.

Σε περίπτωση που κλειδώσουμε τις ρυθμίσεις του proxy τότε κατά το κλείδωμα του firefox (βλέπε σχετικά)  χρειάζεται μόνο το εξής
στο αρχείο mozilla.cfg:
//
 lockPref("network.proxy.type", 5); 

//  όπου 5 =  Χρήση ρυθμίσεων διαμεσολαβητή συστήματος


Παρατηρείστε ότι τα κλειδιά που χρησιμοποιούνται για τα κλειδώματα μπορείτε να τα δείτε και στο Εφαρμογές - Εργαλεία συστήματος- dconf Editor οπότε μπορούμε με αυτό το τρόπο να κλειδώσουμε διάφορες ρυθμίσεις...

Σημειώνεται ότι οι ρυθμίσεις κλειδώνονται και για τον administrator αλλά αν μπει στις whitelists του squid δε νομίζω ότι θα έχει πρόβλημα...

Επίσης επισημαίνω ότι το συγκεκριμένο δεν έχει δοκιμαστεί εκτενώς ώστε να διαπιστωθεί αν προκύπτουν προβλήματα....

update 22-02-2013:

Ιδιαίτερη προσοχή στις οδηγίες! Αν δεν εφαρμοστούν σωστά υπάρχει πιθανότητα να μην ξεκινήσει το
γραφικό περιβάλλον... αν συμβεί αυτό ctrl-alt-f1, συνδεθείτε με τα διαπιστευτήρια σας και σβήστε το φάκελο /etc/dconf

Προσοχή μη σβήσετε όλο το φάκελο /etc!!! Αν δεν είστε σίγουροι ζητήστε βοήθεια!

sudo rm -r /etc/dconf


και κάντε reboot

sudo shutdown -r now



bobptz

apapakL

Παράθεση από: apapakL στις 12 Φεβ 2013, 02:25:34 ΠΜ
sudo gedit /etc/dconf/db/local.d/locks/00_proxy_locksettings


Όταν το κάνω αυτό, μου βγάζει error:
** (gedit:19186): ERROR **: Unable to open '/etc/dconf/db/local', specified in dconf profile


Υπάρχει το path "/etc/dconf/db/local.d", το οποίο όμως είναι άδειο, δηλ δε βλέπω το directory  "locks".

bobptz

apapakL

Παράθεση από: apapakL στις 18 Οκτ 2012, 09:03:35 ΜΜ
3. Κατεβάζουε τα αρχεία ERR_SCH-SCRIPTS_BANNED_DOMAINS --> (http://wiki.ubuntu-gr.org/sch-scripts/squid?action=AttachFile&do=get&target=ERR_SCH-SCRIPTS_BANNED_DOMAINS) και ERR_SCH-SCRIPTS_BANNED_USERS --> (http://wiki.ubuntu-gr.org/sch-scripts/squid?action=AttachFile&do=get&target=ERR_SCH-SCRIPTS_BANNED_USERS)

και τα αντιγράφουμε στο /usr/share/squid3/errors/el

Δε μου επιτρέπει να τα αντιγράψω.  Στο drag+drop μου λέει πχ "Άρνηση Πρόσβασης".

apapakL

#36
1.
Παράθεση από: bobptz στις 21 Φεβ 2013, 11:17:25 ΠΜ
apapakL

Δε μου επιτρέπει να τα αντιγράψω.  Στο drag+drop μου λέει πχ "Άρνηση Πρόσβασης".

Πρέπει να έχεις δικαιώματα διαχειριστή για να τα μεταφέρεις.

δοκίμασε

sudo mv /etc/home/administrator/directory_sto_opoio_ta_exeis_katebasei/ERR_SCH-SCRIPTS_BANNED_DOMAINS /usr/share/squid3/errors/el/ERR_SCH-SCRIPTS_BANNED_DOMAINS


ανάλογα και για το ERR_SCH-SCRIPTS_BANNED_USERS

2. Δημιούργησε πρώτα το directory locks

sudo mkdir -p /etc/dconf/db/local.d/locks


και μετά το αρχείο

sudo gksu /etc/dconf/db/local.d/locks/00_proxy_locksettings



bobptz

Παράθεση από: apapakL στις 21 Φεβ 2013, 12:07:51 ΜΜ
Πρέπει να έχεις δικαιώματα διαχειριστή για να τα μεταφέρεις.
Μα είμαι στον server και έχω συνδεθεί σα pliroforikos, δηλαδή ο super-user.  Δεν έχω πλήρη δικαιώματα?

Θα δοκιμάσω πάλι αύριο.

apapakL

#38
'Οπως πολλές φορές φορές λέει και ο alkisg "λίγο θεωρία"  ;):

Στο Linux σε γενικές γραμμές οι διαχειριστές του συστήματος έχουν τη δυνατότητα να κάνουν διάφορες ενέργειες όπως εγκατάσταση προγραμμάτων, "πείραγμα" αρχείων που δεν βρίσκονται στον home φάκελο τους κτλ. ΔΕΝ μπορούν όμως να το κάνουν άμεσα όπως π.χ. να μεταφέρουν ένα αρχείο με drag & drop από το home φακελό τους σε ένα άλλο φάκελο που δεν βρίσκεται στο home τους.

Επίσης, θα έχεις παρατηρήσει ότι πάντοτε όταν κάνεις διαχειριστικές ενέργειες, όπως εγκατάσταση ή ακόμα και εκτέλεση των sch-scripts, σου ζητείται password... Ακόμα, θα έχεις διαπιστώσει (και από τις οδηγίες που μπορείς να δεις σε πολλά νήματα του forum) ότι όταν είσαι σε τερματικό και θέλεις να κάνεις, για παράδειγμα, μια εγκατάσταση ενός προγράμματος, χρησιμοποιείς την εντολή sudo! Με την εντολή αυτή, αν ο χρήστης σου (π.χ. administrator, pliroforikos, teacher) ανήκει  στην ομάδα των sudoers, έχει το δικαίωμα να χρησιμοποιήσει τα δικαιώματα του πραγματικού και μόνου super user του συστήματος, δηλαδή του root.

Γενικά, όταν φτιάχνεις ένα χρήστη από την αντίστοιχη λειτουργία του Ubuntu και τον ορίζεις σαν διαχειρστή συστήματος αυτός στην ουσία προστίθεται και στην ομάδα sudoers του συστήματος... Ωστόσο, η χρήση εντολών με δικαιώματα του root πρέπει να γίνονται με μεγάλη προσοχή γιατί μπορεί εύκολα να καταστρέψει κανείς το σύστημα...

Αν θέλεις μπορείς να διαβάσεις περισσότερα εδώ

bobptz

Παράθεση από: apapakL στις 21 Φεβ 2013, 12:07:51 ΜΜ
2. Δημιούργησε πρώτα το directory locks
sudo mkdir -p /etc/dconf/db/local.d/locks

Ίσως να παρέλειψα να το κάνω.  Ίσως να έδωσα την εντολή και να μου έβγαλε κάποιο error που το παράβλεψα.  Επειδή όμως η αποτυχημένη αυτή προσπάθεια μου μπλόκαρε το server και έχασα 2 ημέρες, προτιμώ να περιμένω να βγει κάποιο εύχρηστο εργαλείο που να κάνει αυτή τη δουλειά.

Αλήθεια, το ΠΣΔ μπλοκάρει τα porn-sites.  Γιατί δε μπλοκάρει και το facebook να τελειώνουμε?

bobptz

#40
Τελικά ποιές είναι οι σωστές οδηγίες?  Αυτές (« Απάντηση #33 στις: 12 Φεβ 2013, 02:25:34 am ») ή αυτές (« Απάντηση #18 στις: 18 Οκτ 2012, 09:03:35 pm »)?

Ενώ είχα οδηγίες να χρησιμοποιήσω αυτές (« Απάντηση #18 στις: 18 Οκτ 2012, 09:03:35 pm »), μάλλον μπέρδεψα τις οθόνες και εκτέλεσα εντολές και από τις δύο.


apapakL

Πρώτα εγκαθιστάς το Squid 3 και κάνεις τις απαραίτητες ρυθμίσεις ακολουθώντας τις οδηγίες ---> αυτές (« Απάντηση #18 στις: 18 Οκτ 2012, 09:03:35 pm »)

Στη συνέχεια εφαρμόζοντας τις οδηγίες --> (« Απάντηση #33 στις: 12 Φεβ 2013, 02:25:34 am ») κλειδώνεις τις ρυθμίσεις proxy έτσι ώστε να μη μπορούν να αλλαχθούν από τους μαθητές...

aspd

Δεν είχα ασχοληθεί με το squid στη 12.04. Το είχα στήσει στη 10.04 και δούλευε κανονικά.
Τώρα που υπάρχει περισσότερος χρόνος είπα να το εγκαταστήσω.
Αυτό που με ενδιαφέρει είναι να εξοικονομίσω bandwidth και μην μπορούν να μπαίνουν σε κάποιες ιστοσελίδες (π.χ. Facebook) οι μαθητές, ενώ να μπορούν να μπαίνουν κάποιοι λογαριασμοί (π.χ. teacher).  Δεν με ενδιαφέρει να κλειδώσω ρυθμίσεις, για ώστε να μην βρίσκουν οι μαθητές δρόμους παράκαμψης.
Αυτά που έκανα είναι τα ακόλουθα:

1. sudo apt-get install squid3
2 Έφτιαξα τα τρία αρχεία  /etc/squid3/whitelist_users.acl με περιεχόμενο
administrator
teacher

/etc/squid3/banned_users.acl με περιεχόμενο
user12

και /etc/squid3/banned_domains.acl με περιεχόμενο
facebook
myspace.com

3. Εκτέλεσα:   sudo apt-get install ident2

4. Κατέβασα τα αρχεία ERR_SCH-SCRIPTS_BANNED_DOMAINS και ERR_SCH-SCRIPTS_BANNED_USERS και τα αντέγραψα στο /usr/share/squid3/errors/el

5. Μετά στο /etc/squid3/squid.conf  άλλαξα  τη γραμμή
acl localhost src 127.0.0.1/32 ::1   σε
acl localhost src 127.0.0.0/8 ::1
6. Στη συνέχεια (νόμιζα ότι είχα ονομάσει το μηχάνημα server), αλλά είδα με την εντολή localhost ότι το μηχάνημα λέγεται:   administrator-G31M-ES2L
Οπότε στο τέλος του /etc/hosts    πρόσθεσα τη γραμμή 
server 127.0.2.1
7. Στη συνέχεια στο /etc/squid3/squid.conf   κάτω από τη γραμμή
INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS   έβαλα
#SCH-SCRIPTS begin
error_directory /usr/share/squid3/errors/el   
acl schoolnet src 192.168.1.0/24
acl banned_domains url_regex -i "/etc/squid3/banned_domains.acl"
acl banned_users ident "/etc/squid3/banned_users.acl"
acl whitelist_users ident "/etc/squid3/whitelist_users.acl"
deny_info ERR_SCH-SCRIPTS_BANNED_DOMAINS banned_domains
deny_info ERR_SCH-SCRIPTS_BANNED_USERS banned_users
http_access allow whitelist_users
http_access deny banned_users
http_access deny banned_domains
http_access allow localhost
http_access allow schoolnet
http_access deny all
#SCH-SCRIPTS end

8. Έδωσα την εντολή sudo service squid3 force-reload και εμφάνισε μήνυμα
reload: Unknown instance:

Δεν έκανα τίποτα με κλειδώματα στις ρυθμίσεις proxy του firefox. Είναι απαραίτητα;

Τι πρέπει να κάνω;
Δεν έχουμε cisco router. Έχουμε διευθύνσεις της μορφής 192.168.1.x
Γιατί έβγαλε μήνυμα uknown instance;


apapakL

Μήπως δεν έχει ξεκινήσει το squid3;

sudo service squid3 status


Αν θέλεις πόσταρε το αποτέλεσμα της εντολής

cat /etc/squid3/squid.conf | egrep -v "^s*(#|$)"


για να δούμε το configuration του squid3

aspd

Σήμερα στο sudo service squid3 force-reload  δεν έβγαλε μήνυμα λάθους.
Έκανα δημοσίευση του εικονικού δίσκου, αλλά δεν κόβεται π.χ. το facebook.

Πρέπει να κάνω και τα σχετικά με το  mozilla.cfg στο /usr/lib/firefox ..... και τα σχετικά με το sudo apt-get install dconf-tools ........;