DansGuardian : Différence entre versions
(→Activer/Désactiver module filtrage par niveau PICS) |
(→Activer/Désactiver module filtrage de l'en-tête HTTP) |
||
Ligne 251 : | Ligne 251 : | ||
{{Box Information | objet=Pour désactiver ce module vous devez commenter toutes les lignes des deux fichiers de bases de données.}} | {{Box Information | objet=Pour désactiver ce module vous devez commenter toutes les lignes des deux fichiers de bases de données.}} | ||
+ | <br /> | ||
+ | {{Box Remarque | objet=le fichier headerregexplist permet de modifier les en-têtes.}} | ||
+ | <br /> | ||
+ | {{Box Remarque | objet=le fichier bannedregexpheaderlist permet de bloquer certaines en-têtes.}} | ||
=== Blocage par mots clés === | === Blocage par mots clés === |
Version du 19 mai 2011 à 23:15
Sommaire
- 1 Présentation
- 2 Installation
- 3 Configuration du fichier dansguardianfX.conf
- 3.1 Organisation
- 3.2 Paramètres de bases
- 3.2.1 Type de groupe
- 3.2.2 Nom du groupe
- 3.2.3 Répertoire des filtres
- 3.2.4 Activer/Désactiver module filtrage des téléchargements
- 3.2.5 Activer/Désactiver module filtrage par niveau PICS
- 3.2.6 Activer/Désactiver module filtrage de l'en-tête HTTP
- 3.2.7 Blocage par mots clés
- 3.2.8 Ajouter des listes noires
- 3.3 Personnaliser les pages d'erreurs/informations
- 3.4 Quelques commandes utiles
article en construction Cette article doit être complétée. |
Présentation
DansGuardian est une extension pour Squid. DansGuardian est une extension puissante destinée à filtrer le contenu transitant entre l'Internet et la machine du client. DansGuardian se base sur un système de filtre par mots clés, néanmoins il est possible d'y coupler des listes noires de sites à bloquer.
Historique
DansGuardian est un script écrit en C++ compatible avec la plupart des distributions Linux. Développé principalement par Daniel Barron qui est également le créateur de DanGuardian, la communauté s'est agrandit avec l'adhésion de plusieurs personnes venant soutenir activement le développement du logiciel. Ainsi une première version de DansGuardian (v.0.5.0) dite alpha, c'est-à -dire stabilisée au niveau de la sécurité mais pouvant comporter quelques bogues mineures, est apparue le 14 janvier 2001. Dès lors, des correctifs ont été publiés au quotidient afin de corriger quelques bogues sur la version de base - modifier le code - ajouter de nouvelles fonctionnalités.
Fonctionnalités
DansGuardian peut être utilisé seul ou couplé avec un serveur proxy cache tel que Squid ou encore Oops. Le but de DansGuardian est d'analyser le contenu qui lui est soumis par les stations clientes afin d'en autoriser/refuser l'accès.
Methodes | Fichier de configuration / Description |
---|---|
Extension de fichier (.php, .mp3, ...) |
|
Adresse IP du serveur |
|
Mime Type de la page (audio/mpeg) |
|
Expression |
|
Domaine (wiki.ncad.fr) |
|
Url |
|
Regexp Url |
|
Regexp En-têtes HTTP client |
|
Tag PICS |
|
Virus, Code malicieux |
Oui > Option à activer dans le fichier de configuration du groupe |
Censure de termes/expressions |
Oui |
Blocage des images |
Oui |
Notification e-mail |
Un serveur SMTP est requis.
Nombre d'alerte avant notification configurable dans le fichier de configuration du groupe, Interval de temps entre deux alertes configurable dans le fichier de configuration du groupe. |
Download |
n/a |
Upload |
n/a |
QoS (Qualité de Service) |
n/a |
Installation
Pré requis
Configuration logistique
Pour pouvoir installer et utiliser correctement DansGuardian votre serveur doit obligatoirement fonctionné sous Linux, FreeBSD, OpenBSD, NetBSD, Mac OS X, Solaris ou HP-UX.
Squid doit être installé et fonctionnel sur votre serveur. Squid et DansGuardian ne doivent pas forcément être sur la même machine pour pouvoir fonctionner. |
Configuration de votre réseau
- Votre serveur doit être pourvu de deux cartes réseaux:
- Une carte ou sera connecté votre switch auquel sera relié les postes clients
- Une carte ou sera connecté le modem / routeur ADSL
- Une tel configuration nécessite l'installation du paquet dhcp3 pour l'attribution automatique des IPs de vos machines.
- Ou votre serveur doit être pourvu d'une carte réseau
- Configurer votre routeur pour n'autoriser que votre serveur à se connecter sur le net
- Les autres machines devront passé obligatoirement par votre serveur pour se connecter.
Dans le deuxième cas, il faudra désactiver le serveur dhcp de votre routeur et configurer manuellement les adresses IPs de vos stations de travail. |
Installation
Depuis un terminal de commande sous Ubuntu saisissez la commande suivante :
|
Pour Ubuntu vous pouvez également effectuer l'installation depuis la Logitech. |
L'installation achevée vous trouverez la totalité des fichiers de configuration du script dans le répertoire /etc/dansguardian/. Le répertoire contient l'ensemble des règles de filtrage ainsi que les fichiers de langue et deux fichiers de configuration. La configuration de DansGuardian s'organise ainsi :
- dansguardian.conf : fichier de configuration du script, ne gère pas le filtrage;
- dansguardianfX.conf : fichier de configuration du groupe fX ou X est un nombre entier correspondant au numéro du groupe.
Par défaut il existe un fichier de configuration de groupe qui est dansguardianf1.conf. C'est le groupe par défaut pour tous les utilisateurs. |
Configuration du fichier dansguardian.conf
Dans un premier temps il faut éditer trois lignes du fichier de configuration. Pour cela ouvrez le fichier /etc/dansguardian/dansguardian.conf. Dans ce fichier effectuez les modifications suivante :
- Commentez ou supprimez la ligne suivante :
UNCONFIGURED - Please remove this line after configuration
- Vérifiez le port sur lequel doit écouter Dansguardian :
filterport = 8080
- Indiquez le numéro de port du serveur Squid uniquement si vous souhaitez coupler DansGuardian avec Squid. Dans ce cas les requêtes soumises à Dansguardian sont transmissent à Squid.) :
proxyport = 3128
- Renseignez la langue dans laquelle doit être écrits les messages d'erreurs/informations
language = french
Une fois le fichier de configuration correctement édité, enregistrez les modifications puis fermez le fichier. Pour appliquer les modifications ouvrez une fenêtre de terminal puis exécutez la commande suivante :
|
Configuration du fichier dansguardianfX.conf
Organisation
Chaque fichier de configuration de groupe se nomme de la façon suivante : dansguardianfX.conf - avec X indiquant le numéro de groupe. Par défaut il existe déjà un fichier de configuration de groupe qui est dansguardianf1.conf.
Pour créer plusieurs groupes il suffit de copier ce fichier dans le répertoire '/etc/dansguardian puis de le renommer dansguardianf2.conf par exemple.
Le fichier de configuration par défaut est associé aux répertoire /list qui contient l'ensemble des paramètres liées au dispositif de filtrage. Si vous créez plusieurs groupe, il sera nécessaire de copiez également ce répertoire ainsi que l'intégralité de son contenu afin d'en affiner les réglage en fonction de chaques groupes.
ø Exemple :
- fichier dansguardianf1.conf avec le répertoire list;
- fichier dansguardianf2.conf avec le répertoire child;
Paramètres de bases
Type de groupe
- Option du fichier : groupmode
- Valeurs possibles :
- 0 : bannit
- 1 : soumis aux règles de filtrage
- 2 : n'est soumis à aucunes règles de filtrage
Nom du groupe
- Option du fichier : groupname
- Valeur : <chaîne de caractères> par exemple child
Répertoire des filtres
Partie à adapter si vous disposez de plusieurs groupes ! |
ø Exemple :
- Groupe par défaut dansguardianf1.conf
bannedphraselist = '/etc/dansguardian/lists/bannedphraselist' weightedphraselist = '/etc/dansguardian/lists/weightedphraselist' exceptionphraselist = '/etc/dansguardian/lists/exceptionphraselist' bannedsitelist = '/etc/dansguardian/lists/bannedsitelist' greysitelist = '/etc/dansguardian/lists/greysitelist' exceptionsitelist = '/etc/dansguardian/lists/exceptionsitelist' bannedurllist = '/etc/dansguardian/lists/bannedurllist' greyurllist = '/etc/dansguardian/lists/greyurllist' exceptionurllist = '/etc/dansguardian/lists/exceptionurllist' exceptionregexpurllist = '/etc/dansguardian/lists/exceptionregexpurllist' bannedregexpurllist = '/etc/dansguardian/lists/bannedregexpurllist' picsfile = '/etc/dansguardian/lists/pics' contentregexplist = '/etc/dansguardian/lists/contentregexplist' urlregexplist = '/etc/dansguardian/lists/urlregexplist
- Groupe child dansguardianf2.conf
bannedphraselist = '/etc/dansguardian/child/bannedphraselist' weightedphraselist = '/etc/dansguardian/child/weightedphraselist' exceptionphraselist = '/etc/dansguardian/child/exceptionphraselist' bannedsitelist = '/etc/dansguardian/child/bannedsitelist' greysitelist = '/etc/dansguardian/child/greysitelist' exceptionsitelist = '/etc/dansguardian/child/exceptionsitelist' bannedurllist = '/etc/dansguardian/child/bannedurllist' greyurllist = '/etc/dansguardian/child/greyurllist' exceptionurllist = '/etc/dansguardian/child/exceptionurllist' exceptionregexpurllist = '/etc/dansguardian/child/exceptionregexpurllist' bannedregexpurllist = '/etc/dansguardian/child/bannedregexpurllist' picsfile = '/etc/dansguardian/child/pics' contentregexplist = '/etc/dansguardian/child/contentregexplist' urlregexplist = '/etc/dansguardian/child/urlregexplist
Activer/Désactiver module filtrage des téléchargements
- Option du fichier : blockdownloads
- Description : Permet de contrôler le téléchargement de ressources depuis l'Internet en fonction de l'extension du fichier.
- Valeurs possibles :
- on : active l'option
- off : désactive l'option
- Bases de données du module à personnaliser :
- exceptionextensionlist = '/etc/dansguardian/lists/exceptionextensionlist'
- exceptionmimetypelist = '/etc/dansguardian/lists/exceptionmimetypelist'
- bannedextensionlist = '/etc/dansguardian/lists/bannedextensionlist'
- bannedmimetypelist = '/etc/dansguardian/lists/bannedmimetypelist'
- Autres dépendances
- exceptionfilesitelist = '/etc/dansguardian/lists/exceptionfilesitelist'
- exceptionfileurllist = '/etc/dansguardian/lists/exceptionfileurllist'
Si le module est activé, les listes blanches (mention exception au début du nom du fichier) sont prioritaires par rapport aux listes noires. |
ø Exemple :
- J'interdit le téléchargement de fichiers musicaux .mp3.
- Cependant je veux autoriser le téléchargement de ce type de média depuis le site musiclegal.tld. Dans ce cas j'ajoute le nom du site au fichier exceptionfilesitelist.
Activer/Désactiver module filtrage par niveau PICS
- Option du fichier : enablepics
- Valeurs possibles :
- on : active l'option
- off : désactive l'option
- Bases de données du module à personnaliser :
- /etc/dansguardian/lists/pics
Activer/Désactiver module filtrage de l'en-tête HTTP
- Option du fichier : n/a
- Valeurs possibles : n/a
- Bases de données du module à personnaliser :
- headerregexplist = '/etc/dansguardian/lists/headerregexplist'
- bannedregexpheaderlist = '/etc/dansguardian/lists/bannedregexpheaderlist'
Pour désactiver ce module vous devez commenter toutes les lignes des deux fichiers de bases de données. |
le fichier headerregexplist permet de modifier les en-têtes. |
le fichier bannedregexpheaderlist permet de bloquer certaines en-têtes. |
Blocage par mots clés
Le blocage par mots clés utilisent les bibliothèques d'expression que vous trouverez dans dossier /etc/dansguardian/lists/phraseslists/. Vous pouvez créer vos propre listes - pour cela vous devrez créer un nouveau fichier dans un dossier portant le nom de votre critère de blocage - ceci n'est pas obligatoire maiscela conservera l'organisation général du script - votre fichier devra être organisé comme suit :
< mot à bloquer >< points >
Le deuxième paramètre doit être une valeur comprise entre 1 et la valeur attribuée au paramètre naughtynesslimit. Ce paramètre peut être modifier dans le fichier de configuration situé dans /etc/dansguardian/dansguardianf1.conf.
Par exemple, nous prenons le cas des termes listés ci-dessous :
< sex > < 50 > < hard > < 30 >
Si la variable naughtynesslimit à pour valeur 50, la page contenant les termes sex et hard sera bloquée car la somme des points des deux termes fait 80, or 80 > 50. En revanche si notre variable a pour valeur 100, la page ne sera pas bloquée car 80 < 100.
Plus la valeur de la variable naughtynesslimit sera élevée et moins le filtrage sera exigeant - à adapter selon l'à¢ge moyen de vos Internautes. |
Ajouter des listes noires
Même si la technique de filtrage propre à DansGuardian est basé sur un système de détection de mots clés, il est possible de lui spécifier des listes noires de site ou urls à bloquer. Tout d'abord, nous vous conseillons l'utilisation des listes noires de l'Université des Sciences Sociales de Toulouse que vous pourrez retrouver ici .
La liste noire de Toulouse est très restrictive... elle nécessitera certainement une adaptation de votre part selon vos besoins. |
Une fois que vous avez téléchargé les listes dont vous avez besoin, ouvrez le fichier /etc/dansguardian/bannedsitelist. Editez ce fichier selon les listes téléchargées, par exemple pour la liste adult décommentez la ligne :
#.Include</etc/dansguardian/blacklists/adult/domains>
Comme ceci :
.Include</etc/dansguardian/blacklists/adult/domains>
Ensuite retournez au dossier /etc/dansguardian/ puis créez le dossier blacklists puis dans ce dossier créez un dossier que vous nommerez adult. Dans ce dossier placez le fichiers contenant les sites bloqués et renommez le fichier par domains. Répétez cette opération pour chaque liste que vous voulez bloquer.
Les modifications ne seront effectives qu'après le redémarrage de DansGuardian. |
|
Personnaliser les pages d'erreurs/informations
Page de redirection sur interdiction
Cette page est appelée lorsque l'utilisateur tente d'accéder à un contenu qui a été détecté comme prohibé par DansGuardian. La page de redirection est stockée dans le répertoire /etc/dansguardian/languages/french/. Ce répertoire contient deux fichiers :
- template.html, qui est la page web de la page de redirection;
- message, qui est un fichier de correspondance entre le code d'erreur retourné par DansGuardian et sa signification retourné à l'utilisateur via
Ainsi pour modifier le design de la page de redirection de Dansguardian il faudra éditer le fichier template.html. Il est possible d'y inclure des variables qui renseigneront l'utilisateur sur les raisons qui l'ont amené à obtenir ce message d'erreur. Voici une liste de ces variables :
- -URL- : Retourne l'url qui est bloquée
- -REASONGIVEN- : Retourne la raison / motif du blocage - voir dans le fichier messages.
- -USER- : Retourne le nom de l'utilisateur si la connexion Internet nécessite au préalable des identifiants.
- -IP- : Retourne l'adresse IP de la machine cliente.
- -FILTERGROUP- : Retourne le groupe d'utilisateur auquel appartient l'utilisateur.
Quelques commandes utiles
- Démarrer DansGuardian
|
- Redémarrer DansGuardian
|
- Arrêter DansGuardian
|