OpenBSD Proxy - Squid, SquidGuard, SquidClamAV e AdZapper

cvs

Nesse artigo abordaremos a instalação de um servidor proxy utilizando como base o robusto OpenBSD e o grande Squid. Também vamos utilizar alguns softwares/plugins para melhorar a filtragem do conteúdo e aumentar a segurança da rede. Dentre eles, além do Squid, vamos utilizar o SquidGuard, SquidClamAV e AdZapper.

[ Hits: 59.376 ]

Por: Thiago Alves em 31/08/2009 | Blog: http://www.seeufosseopresidente.com.br

2 0
Denuncie   Favoritos   Indicar   Impressora

SquidClamAV: Instalação e configuração



Vamos agora fazer a instalação do SquidClamAV de forma rápida e simples, assim esperamos.

Instalando o ClamAV:

# cd /usr/ports/security/clamav/
# make install clean

Após essa longa instalação, vamos configurar o ClamAV.

Nele vamos editar o arquivo freshclam.conf para a atualização correr sempre bem. Edite o arquivo /etc/freshclam.conf para ficar assim (comente a linha que tenha escrito Example): 

DatabaseDirectory	/var/db/clamav
DatabaseOwner		_clamav
DNSDatabaseInfo		current.cvd.clamav.net
DatabaseMirror		db.it.clamav.net
DatabaseMirror		database.clamav.net
MaxAttempts		3
checks			24

Salve e saia, depois crie o arquivo de log:

# touch /var/log/freshclam.log
# chow _clamav /var/log/freshclam.log

E agora faça a atualização:

# freshclam

Adicione no crontab com o comando "crontab -e" a seguinte linha:

* 23 * * * /usr/local/bin/freshclam >/dev/null 2>&1

Assim todos os dias às 23h ele vai executar o programa de atualização das assinaturas de vírus e tudo mais. Então assim vai se manter atualizado.

Agora edite o arquivo /etc/clamd.conf para ficar da seguinte forma: 

DatabaseDirectory	/var/db/clamav
LocalSocket		/var/clamav/clamd.socket
User			_clamav

Faça o mesmo procedimento para a criação do arquivo de log do Clamd que foi feito com o freshclam:

# touch /var/log/clamd.log
# chow _clamav /var/log/clamd.log

Adicione as seguintes linhas ao arquivo /etc/rc.local para que o clamd seja inicializado no boot do servidor:

if [ -x /usr/local/sbin/clamd ]; then
    echo -n ' clamd'
    [ -S /var/clamav/clamd.socket ] && rm -f /var/clamav/clamd.socket
    /usr/local/sbin/clamd >/dev/null 2>&1
fi

Agora vamos fazer a instalação do SquidClamav.

Antes de iniciar a instalação dele, vamos instalar o curl:

# cd /usr/ports/net/curl
# make install clean

E também o gwak:

# cd /usr/ports/lang/gawk
# make install clean

Porque o SquidClamav precisa dele para ser instalado.

Faça o download dele em: http://www.darold.net/projects/squidclamav/

# ftp http://www.darold.net/projects/squidclamav/squidclamav-4.0.tar.gz

Assim vamos descompactá-lo e instalá-lo, seguindo os passos.

# tar zxvf squidclamav-4.0.tar.gz
# cd squidclamav-4.0
# env LDFLAGS=-L/usr/local/lib/ CPPFLAGS=-I/usr/local/include/ ./configure
# make
# make install
# cp squidclamav.conf.dist /etc/squidclamav.conf
# touch /var/log/squidclamav.log
# chown _squid /var/log/squidclamav.log

Vamos agora fazer sua configuração editando o arquivo:

# vi /etc/squidclamav.conf



Lembrando que os bloqueios são feitos através de expressões regulares, usando os parâmetros regex e regexi, no qual o regex é "case sensitive" e o regexi não é. Para determinar que não seja feito o scan usa-se o abort e aborti, na mesma questão anterior, o abort é sensível a maiúsculas e minúsculas e o aborti não.

Vamos lá então! Adicione as seguintes linhas: 

#verificando os seguintes arquivos, 
#independente de maiúsculas ou minúsculas
regexi    ^.*\.exe$
regexi    ^.*\.com$
regexi    ^.*\.zip$
regexi    ^.*\.rar$
regexi    ^.*\.tar.gz$
regexi    ^.*\.tgz$

# não verificar os seguintes tipos de arquivos
aborti    ^.*\.gif$
aborti    ^.*\.png$
aborti    ^.*\.jpg$
aborti    ^.*\.jpeg$
abort     ^.*\.html$
abort     ^.*\.htm$

Podemos determinar também sites com carta branca para não serem verificados ao acessarem, ou seja, nenhum conteúdo baixado do determinado site será verificado por ele, por exemplo:

whitelist www.minhaempresa.com.br

É possível fazer a detecção baseado no tipo de conteúdo, por exemplo:

content ^.*application\/.*$

Tudo que for uma aplicação, seja de vídeo, swf, wav, será varrido pelo clamav.

As outras opções são bem instintivas, apenas lembrando que é importante inserir no final do arquivo a seguinte linha:

squidguard  /usr/local/bin/squidGuard

Para que ele use o squidguard, pois no squid.conf será necessário alterar o parâmetro url_rewrite_program para o seguinte valor:

url_rewrite_program  /usr/local/bin/squidclamav

Insira também a seguinte linha:

http_access allow localhost

Para que a verificação de vírus possa funcionar o localhost precisa ter acesso para navegar.

O squidclamav.conf deve ficar mais ou menos assim: 

# início do arquivo de conf
squid_ip    127.0.0.1
squid_port  3128
logfile     /var/log/squidclamav.log
redirect    http://www.minhaempresa.com.br/virus.php
trust_cache 1
timeout     60
debug       0
force       1
stat        0
maxredir    10
clamd_ip    127.0.0.1
clamd_port  3310

aborti      ^.*\/cgi-bin\/.*$
aborti      ^.*\.pdf$
aborti      ^.*\.html$
aborti      ^.*\.css$
aborti      ^.*\.xml$
regexi      ^.*\.exe
regexi      ^.*\.zip
regexi      ^.*\.gz
content     ^.*application\/.*$
whitelist   www.minhaempresa.com.br

squidguard  /usr/local/bin/squidGuard

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Squid: Instalação de configuração
   3. SquidGuard: Instalação e configuração
   4. SquidClamAV: Instalação e configuração
   5. AdZapper - Instalação e configuração
   6. Conclusão
Outros artigos deste autor

Instalando o VMWare no Slackware

Kernel 2.6 hacks

Compilação distribuída usando o distcc

Tornando o OpenBSD stable

Compilando Apache 2 com PHP, MySQL, mod_perl e mod_ssl

Leitura recomendada

Squid 3.1.5 com suporte a TPROXY (sem bridge)

Configurando Squid para liberação de messenger em horário específico, dentre outros

Analisando log Squid do Mikrotik no SARG

Mandriva 2006 - Configurando servidor proxy transparente completo

Automatic ACL Blocking List - Sistema automático de listas de bloqueio de ACLs

  
Comentários
[1] Comentário enviado por roberto_espreto em 31/08/2009 - 02:23h

Se tem OpenBSD no meio, com certeza é excelente!
Ótimo artigo.
Abraços.

[2] Comentário enviado por pitombera em 31/08/2009 - 11:28h

São artigos como esse que fazem minha conta na VOl valerem a pena.

Como sempre, Parabéns :D

[]'s

[3] Comentário enviado por y2h4ck em 31/08/2009 - 12:53h

E ae CVS :) muito tempo que eu não comento um artigo seu hein.
Vamos ver se eu me inspiro com seu artigo e resolvo postar alguma coisa tambem :S

forte abraço e parabéns.

y2h4ck


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Como atualizar sua versão estável do Debian

Cirurgia para acelerar o openSUSE em HD externo via USB

Void Server como Domain Control

Modo Simples de Baixar e Usar o bash-completion

Instalar/habilitar o Linux nativo dentro do Windows com WSL (Windows Subsystem for Linux - Subsistema do Windows para Linux)

Dicas

Quer auto-organizar janelas (tiling) no seu Linux? Veja como no Plasma 6 e no Gnome

Copiando caminho atual do terminal direto para o clipboard do teclado

Script de montagem de chroot automatica

Atualizar Linux Mint 22.2 para 22.3 beta

Jogar games da Battle.net no Linux com Faugus Launcher

Tópicos

Quem sabe faz ao vivo. (3)

resolução abaixou (4)

Feliz Natal, VOL! (4)

Microsoft é assustada! (0)

Eaí? Já programou no windows? (7)

Top 10 do mês

Scripts

[Shell Script] Script para Teste de Rede

[Shell Script] Script que sincroniza a mensagem de cópia de pendrive com o processo real

[Python] Cadastro de Distros

[Shell Script] Pós Instalação Fedora 43+

[Shell Script] Task Manager para Terminal

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: