Mein Linux-Blog

Es gibt eine Alternative! Wissenswertes über das Betriebssystem Linux
 

Ich werde heute beschreiben wie man den Proxy-Server Squid mit SquidGard einrichtet und Zugriff per Benutzer-Authentifizierung.
Anlass ist, das ich selbst bei mir zuhause diese Kombination einsetze, um meinen Kindern manche nicht kinderfreundlichen Inhalte im Web zu ersparen und zu blocken.
Es gibt verschiedene Einsatz-Scenarien von Squid z.B als Caching von Webseiten zum schnellen Anzeigen im Browser.
Zuerst muss man die Pakete dafür installieren, bei mir im Fall von openSUSE-Leap. Pakete können sich bei anderen Linux Distributionen unterscheiden.
zypper in squid squidGuard
Anschließend den Proxyserver Squid beim Systemstart aktivieren:
systemctl enable squid.service
Starten von Squid
systemctl start squid.service
Bei der fertigen Umgebung wird Squid die Anfragen über den SquidGuard leiten, zum die URL's oder Domains zu überprüfen, ob derjenige Benutzer die Inhalte sehen darf oder nicht.

Als erstes konfiguriere ich den Squid, Konfigurationsdatei liegt unter:

cd /etc/squid/ && vim squid.confz.B meine squid.conf
auth_param basic program /usr/sbin/basic_pam_auth #----> Wichtig Authentifizierung von Usern, wird per Popup erscheinen
auth_param basic children 5 startup=0 idle=1
auth_param basic realm Squid proxy-caching web server
acl localnet src 192.168.100.0/24 # RFC1918 possible internal network #----> Wichtig Zugriff Regel für das Netz von Squid
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet password
http_access allow localhost
http_access deny all
http_port 3145
coredump_dir /var/cache/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
err_page_stylesheet /etc/squid/errorpage.css
redirect_program /usr/sbin/squidGuard -c /etc/squidguard.conf #-----> Wichig weiterleitung über SquidGuard und liest Konfig von squid ein
redirect_children 5 #----> Wieviele Kindprozesse darf Squidguard öffnen.

Es wird in dieser Konfig-Datei vieles per Kommentar erklärt, hier empfiehlt sich es mal gelesen zu haben.

Dann müssen noch Berechtigungen der Datei
/usr/sbin/basic_pam_auth
gesetzt werden, damit die Authentifizierung über die angelegten Benutzer funktioniert:
chgroup shadow /usr/sbin/basic_pam_auth
chmod g+s /usr/sbin/basic_pam_auth

Damit alles aktiv geschaltet wird müssen wird den Proxyserver neustarten:
systemctl restart squid.service

So jetzt damit kommen wir zum SquidGuard:
Die Konfigurationsdatei heisst:
vim /etc/squidguard.conf;
Ein Beispiel von mir:
logdir /var/log/squidGuard
dbhome /var/lib/squidGuard/db
src parents {
ip 192.168.100.0/24 # range 192.168.10.0 - 192.168.10.255
# AND
user papa mama # ident Papa und Mama
}
src kids {
ip 192.168.10.17 # Notebook Kind 1
user username # ident Kind1
# AND
ip 192.168.10.14 # Notebook Kind 2
user username (Kind # ident Kind2
}
dest blacklist {
domainlist blacklist/domains
urllist blacklist/urls
}
#####
#
# Zeitregeln
#####
# abbrev for weekdays:
s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat
time tagsueber {
weekly mtwhfas 12:00-16:00 # Unter der Woche
}
acl {
parents {
pass all
}
kids {
pass !blacklist all
}
default {
pass none
redirect http://hostname/cgi-bin/squidGuard.cgi/blocked?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&url=%u

Die Datei ist eigentlich sehr einfach strukturiert und auf der Webseite von SquidGuard gut erklärt, deswegen verlinke ich hier gern:
http://www.squidguard.org/Doc/configure.html

Für das Blocken von nicht kinderfreundlichen Seiten gibt es schon fertige Listen, die das meiste auch schon abdecken:
Block-Listen
Diese Listen müssen entpackt und in das Verzeichnis:
cd /var/lib/squidGuard/db/blacklist/
kopiert werden und anschließend initialisiert werden:
squidGuard -C all

So, jetzt sollte alles soweit funktionieren, testen kann man am besten, in dem man mit einem Benutzer, der für das Blocken eingerichtet ist, geblockte URL's oder Domains aufzurufen, um zu sehen ob diese Seite aufgerufen werden kann.

In diesem Sinne Have Fun

Ich möchte in diesem Blog-Beitrag zum Thema Konfiguration-Check machen.

Zum Beispiel kann man bestimmte Statis abfragen, ob der Cluster synchronisiert ist oder wie viele Nodes der Cluster besitzt und noch einiges mehr.
Kurz zum Verständnis bei MySQL ist das Prozentzeichen(%) das Wildcard wie bei der Bash das Sternchen(*).
Das werde ich Anhand nachfolgender Beispiele erklären.

Die Anzahl der Nodes im Cluster:

mariaDB [(none)]> show status like 'wsrep_cluster_size%';
+--------------------+-------+
| Variable_name | Value |
+--------------------+-------+
| wsrep_cluster_size | 3 |
+--------------------+-------+

Wie man sehen kann sind hier 3 Nodes im Cluster.

Den aktuellen Sync-Status im Cluster wird so ermittelt:

MariaDB [(none)]> show status like 'wsrep_local_state_comment%';
+---------------------------+--------+
| Variable_name | Value |
+---------------------------+--------+
| wsrep_local_state_comment | Synced |
+---------------------------+--------+

Die Ausgabe sollte hier selbsterklärend sein.

Um alle Statis von dem Cluster abzurufen kann man dieses Kommando benutzen:
show status like 'wsrep_%';
| wsrep_provider_name | Galera |
| wsrep_provider_vendor | Codership Oy <info@codership.com> |
| wsrep_provider_version | 25.3.19(r3667) |
| wsrep_ready | ON |
| wsrep_received | 56804 |
| wsrep_received_bytes | 2506329647 |
| wsrep_repl_data_bytes | 352492270

Das ist nur ein kleiner Ausschnitt aus dem Ouput der hier herauskommt

Jetzt kommen wir zur eingestellten Konfiguration, die man hier auch auslesen kann, um spätere Anpassungen vorzunehmen kann.
Die Werte dafür sind in Variablen bei MySQL gespeichert und können wie folgt abgerufen werden:

Die max_allow Variablen kann man so ermitteln:

MariaDB [(none)]> show variables like '%max_allow%';
+--------------------------+------------+
| Variable_name | Value |
+--------------------------+------------+
| max_allowed_packet | 536870912 |
| slave_max_allowed_packet | 1073741824 |
+--------------------------+------------+

Wenn man hier etwas herumspielt mit den Werten, kann man erstaunliches und informatives herausfinden.

So als kleiner Einstieg sollte dieser Beitrag ausreichen damit man die wichtigsten Einstellungen beim Galera-Cluster ausgegeben bekommt.
Lesenswert Link:
Galera Dokumtentation

OSDC 2016 | NETWAYS GmbH

| 0 Kommentare | 0 TrackBacks

https://www.netways.de/en/events_trainings/osdc/overview/

Diese Jahr habe ich die Ehre das erste Mal auf so einer Konferenz teilzunehmen, bin schon ganz aufgeregt.

Das erste Mal werde ich in Berlin sein, mal sehen, ob ich was so von Berlin zu sehen bekommen werde.

Bin mal gespannt, was mich dort alles erwartet und werde bestimmt Fun haben.

Btrfs / snapper und Tools › NETWAYS Blog

| 0 Kommentare | 0 TrackBacks

https://blog.netways.de/2016/04/06/btrfs-snapper-und-tools-2/

Mein kleiner eventuell hilfereicher Task für alle die BTRFS mögen und sich damit befassen möchten

Vorallem Snapper ist ein so find ich ziemlich cooles Tool von anlegen von Snapshots unter BTRFS


Viel Spaß beim lesen!

OSDC 2016 | NETWAYS GmbH

| 0 Kommentare | 0 TrackBacks

https://www.netways.de/events_schulungen/osdc/overview/

Da ich ja jetzt seit Februar 2016 auch Mitarbeiter der NETWAYS GmbH bin, freue ich mich auf diese Veranstaltung.

https://www.netways.de/ueber_netways/team/johannes_carraro/

Wird bestimmt sehr informativ und interessant.


Ich hoffe, das der eine oder andere Nerd hat auch Lust bekommen.... und ....

man sieht sich in BERLIN!!

Mehr zur NETWAYS GmbH => https://www.netways.de

Dieser Mann spricht mir aus der Seele :-) So manche dieser Fälle kenne ich auch.

Es lohn sich, dieses Video bis zum Schluß anzuschauen..

https://www.youtube.com/watch?v=WW_KFbcBetc

http://linux-presentation-day.de/mitmachen/#veranstalter
Das find ich doch mal eine super Kampagne zu Linux und rund herum und unsere LUG-AN (Linux User Group Ansbach) www.lug-an.de ist mit von der Partie, was ich einfach Klasse findet.

Neuigkeiten diesbezüglich werde ich online stellen.

Domain-Umzug auf VServer erfolgreich

| 0 Kommentare | 0 TrackBacks

Aufgrund der Tatsache, das Backups lokal nur so gut sind, wenn kein Feuer ausbricht, habe ich mich entschieden, mir einen VServer (KVM von netcup.de)im Internet zu besorgen, auf dem ich dann gleich meine Domain inklusive E-Mail-Server, Webserver und Feuerbackup habe, zugelegt.

Denn was hilft die ein Backup von wichtigen Dokumenten, Anleitungen, digitale Bilder von Famile und Co in deinem Haus, wenn dir die Hütte aus welchen Gründen auch immer abbrennt und die Daten der Backups gleich mit. Natürlich geht sowas auch günstiger und einfacher mit einem Online Speicher im Internet.


Mein VServer (KVM) von netcup besteht ist:

Intel(R) Xeon(R) CPU E5-2670 v2 @ 2.50GHz mit 4GB RAM und 240GB HDD

Folgende Dienste sind eingerichtet:

Webserver Apache Prefork

Postfix SMTP mit TLS

Dovecot Imaps und POP3s

BTRFS-Snapshots von root und Daten via snapper

Als Linux Distribution habe ich mich für openSUSE entschieden, weil diese schon lange privat einsetze und der ich vertraue.

Einmal wöchentlich wird ein Abgleich von Home-Server zu VServer per 'rsync' gemacht um diesen Stand gleich zu halten.

Alternativen zu Windows XP

| 0 Kommentare | 0 TrackBacks

Das Thema, das in letzter Zeit überall durch Medien getreten worden ist, ja der Support von Windows XP endet und es gibt keine Sicherheitsupdates mehr in Zukunft dafür. 

Alternativen zu neueren Windows Versionen sind ja bekannt und dürften meistens mit einem neuen PC-System zusammen hängen.

Für die Benutzer, die das nicht möchten steht noch die Variante Linux-Distribution.
Das komische ist, das immer die Distribution Ubuntu als Linux-Alternative fällt, egal in welchen Medien.

Für mich hat das schon den Anschein als würde hier finanziell nachgeholfen...

Ich als alter Linux-Hase kann das nicht nachvollziehen, Ubuntu sieht völlig anders aus, verhält sich anders und hat mit Windows nicht mal annähernd eine Ähnlichkeit. Ich arbeite mit Windows und Ubuntu bei uns auf der Arbeit und  ich weiss von was ich spreche.

Ich bin damals von Windows 2000 auf S.U.S.E-Professional 7.2 umgestiegen und ich fand den Umstieg nicht schwer, jetzt heißt es openSUSE, aber mit KDE -Desktop lässt es sich ähnlich bedienen wie Windows. Seit damals herrscht bei mir Windows-Freie-Zone :-)

Auch meine Frau hatte damals keine großen Umstellungsprobleme und sie hat auf der Arbeit Windows..

Ich kann nur jedem Umsteiger openSUSE ans Herz legen, denn ich benutze diese seit dem Jahr 2001 und habe viele Linux-Distributionen ausprobiert, aber als Franke hängt mein Herz an openSUSE, weil Nürnberg/Erlangen die Geburtstädte von openSUSE/SUSE-Enterprise sind und sie für mich die beste ist.

http://www.opensuse.org/de/

Link-Tip: http://www.opensuse-lernen.de/

Eine andere Linux Alternative die ich sehr gut finde und empfehlen könnte wäre Linux-Mint Debian Cinnamon, sehr aktuell und verhielt sich beim ersten Test auf einem ehemaligen Windows 8 Notebook von HP sehr gut, auch die Hardware-Erkennung war keine Thema, mehr Infos unter Linux Mint in der Suchmaschine ihrer Wahl.

http://www.pro-linux.de/umfragen/2/185/welche-distribution-setzen-sie-bevorzugt-auf-dem-server-ein.html

Eine nette Umfrage...!

Aber es ist nicht verwunderlich das Debian da die Nase vorne hat, ohne die Enterprise Distributionen mit eingerechnet.

Obwohl es auch in Zukunft zu überlegen wäre, openSUSE hier eine Chance zu geben, durch das Evergreen-Repository bekommt man jetzt länger Sicherheits-Updates.

Für openSUSE 13.1 bedeutet das, dass wenn sie am 13. November 2013 erscheint die offizielle Unterstützung im Mai 2015 endet. Ab da an übernimmt dann das Evergreen Team und versorgt 13.1 bis mind. November 2016 mit Updates.

  • Konfiguration des Proxyserver Squid mit SquidGuard und Authenifizierung(Mein Linux-Blog)
  • Analyse der Konfigration bei Galera-MySQL-Cluster(Mein Linux-Blog)
  • OSDC 2016 | NETWAYS GmbH(Mein Linux-Blog)
  • Btrfs / snapper und Tools › NETWAYS Blog(Mein Linux-Blog)
  • OSDC 2016 | NETWAYS GmbH(Mein Linux-Blog)
  • Peer Heinlein: Umdenken! 11 Gebote zum IT-Management - YouTube(Mein Linux-Blog)
  • Linux Presentation Day - mitmachen / unterstützen(Mein Linux-Blog)
  • Domain-Umzug auf VServer erfolgreich(Mein Linux-Blog)
  • Alternativen zu Windows XP(Mein Linux-Blog)
  • Welche Distribution setzen Sie bevorzugt auf dem Server ein? - Pro-Linux(Mein Linux-Blog)

April 2018

So Mo Di Mi Do Fr Sa
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

Archiv