Базовая аутентификация в сквиде

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-03-23 14:39:25

lissyara писал(а):Ща поищу, где-то скрипт валялся, при логоне пишет время в текстовый файл. Найду - выложу. Под винду, на vbs.
После чего ждёшь конфликтной ситуации, смотришь логи сквида, лог файл кто был залогинен в это время и по рогам уроду. После чего лог файл мона отключать. Т.к. в дальнейшем виноват будет тот кто попался, по дефолту :)))
Скрипт пустится с правами зашедшего юзера, а значит и лог он подделать сможет. Есть statwin, который висит сервисом и собирает статистику, следит за лузером под виндой (и кста, пишет логин и куда этот логин ползал)... хотя в большой сети ее админить еще тот геморой (пришлось написать свой интерфейс по работе с конфигами). Будет время, надо будет написать свой аналог =)
Власть в руках у чужаков, и ты им платишь дань...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-23 14:41:20

В данном случае основано на незнании пользователя о том что есть такой скрипт и куда он пишет.

И потом - можно поставит права на дозапись но не удаление файла...

===
это тонкости - главное - направление куда мыслить. :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-03-23 14:44:34

Roman писал(а):Надо вставить еще правила, тогда у кого нет пароля...то используются эти правила.
Но все же "http_access allow our_networks" лучше убрать :) Иначе дырявость авторизации сильно зависит от того куда его вставил...
Власть в руках у чужаков, и ты им платишь дань...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 14:48:07

Вечером попробую. Спасибо

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-03-23 14:50:50

lissyara писал(а):В данном случае основано на незнании пользователя о том что есть такой скрипт и куда он пишет.
После первого "разбора полетов" об этом будут знать ВСЕ заинтересованные лица =) И снова придется что-то городить.
lissyara писал(а):И потом - можно поставит права на дозапись но не удаление файла...
Нет там "дозаписи", есть только "изменение". И тереть ему не надо, просто вписать имя "товарища".
P.S. Если надо, могу поделиться ломаным статвином.
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-23 14:53:47

Где нет?
Вложения
1111111111111.png
1111111111111.png (27.02 КБ) 4183 просмотра
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-03-23 15:03:27

Аха. Только если убрать галку с "изменить" в файл ничего не пишется... а если "изменить" стоит, то и править можно. Попробуй, может у тя получится, у мя не получилось.
Власть в руках у чужаков, и ты им платишь дань...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 15:04:47

Да, теперь есть разделение на"паролистов" и не имеющих пароль, которым разрешено посещение сайтов прописанных в "/usr/local/my_doc_smb/squid/allowed_sites.conf" (в отличии от у кого есть пароль). Поэтому надобность в скрипте отпадает

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-03-23 15:10:57

Roman писал(а):Да теперь есть разделение "паролистов" и не имеющих пароль, которым разрешено посещение сайтов прописанных в "/usr/local/my_doc_smb/squid/allowed_sites.conf" (в отличии от у кого есть пароль). Поэтому надобность в скрипте отпадает
Можно сделать еще круче. Приделать ntlm авторизацию, но для этого нужены: домен и самба собранная с поддержкой винбинда :) За то если народ ходит IE у них пароль не спрашивается, а просто проверяются в домене права... http://blakenet.org.ru/articles/nix/nix_9.htm
Власть в руках у чужаков, и ты им платишь дань...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 15:12:38

К сожалению, у меня нет домена :(

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-03-23 15:23:29

Так на самбе и домен можно поднять =) комп-то мощный?
Власть в руках у чужаков, и ты им платишь дань...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 18:10:55

PII(350)
256Mb
40Гб HDD

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 18:50:42

Roman писал(а):Я в одной организации видел, что у них интернет-авторизация по логину и паролю (NCSA-это точно, я у сисадмина спрашивал). Но когда я залез в настройки браузера в пункте "прокси" было пусто...(прозрачность).Как такое может быть ? У него два Linuxa (один чисто роутер с фаерволом, встроенным в ядро, на другом программное обеспечение Squid, Samba и т.д.....это говорит для безопасности...т.е. две штуки). Я спросил его как он сделал...а он не говорит...много чего может мне и неправильно сказал ????)
Roman писал(а):Сегодня пойду туда и попытаю его, если конечно расколется и тогда сообщу :)
Сходил...узнал:
В IE поставлена галочка "автоконфигурации прокси-сервера" и работает через wpad.dat файл, который находиться на WEB-ceрвере (у него не Апач, а Boa....но говорит на Апаче тоже работает. Надо будет попозже разобраться :)

С обновлениями версий все получилось...СПАСИБО автору (lissyar'е) за статью

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-03-24 9:19:29

С обновлениями версий все получилось...СПАСИБО автору (lissyar'е) за статью
Да :) Лисяра молоток, так просто, доходчиво и без ошибок изложить материал... признатся такое встретил впервые.
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-24 9:29:32

Это вам без ошибок... А я на одном серваке все завсимости неверные грохнул, прежде чем разобрался :)))
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-24 20:40:26

По моему, каждый бы грохнул у себя...а потом бы искали ответы в форумах, как все это дело восстановить, что потерялось :(. Lissyara спас многим "жизнь", нервы и конечно время, которого всем всегда нехватает :) Так держать !!!!

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-27 8:34:27

Блин, только сейчас заметил, что при авторизации по логину и паролю (непрозрачный прокси) пакеты почему-то не идут через

Код: Выделить всё

 
#${fwcmd} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
смотрел по

Код: Выделить всё

ipfw show
->соответственно Sarg тоже ничего не показывает :? В чем фишка ????

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-27 8:37:14

потому что они сразу идут на прокси.

сделай tail -f /var/log/squid/access.log
и полезь в инет. если в логах чё-то появляется - хорошо, нет - надо копать почему.
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-27 8:39:38

Хорошо, попробую после 17:00 :lol:

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-27 8:40:40

Roman писал(а):Хорошо, попробую после 17:00 :lol:
почему после 17.00 ?
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-27 8:45:45

9:00-17:00....26 руб/час
17:00-00:00...8 руб/час
Заодно надо кое-чего покачать (модем)
А сей час я на GPRS (c траффик-компрессором)

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-27 9:17:38

lissyara писал(а): сделай tail -f /var/log/squid/access.log
и полезь в инет. если в логах чё-то появляется - хорошо, нет - надо копать почему.
Появилось...

Код: Выделить всё

1143450537.619    557 192.168.0.3 TCP_MISS/200 1071 GET http://forum.lissyara.su/favicon.ico root DIRECT/213.234.195.210 image/x-icon
1143450625.252  37379 192.168.0.3 TCP_MISS/200 9148 GET http://forum.lissyara.su/viewforum.php? root DIRECT/213.234.195.210 text/html
1143450625.355      2 192.168.0.3 TCP_IMS_HIT/304 214 GET http://forum.lissyara.su/favicon.ico root NONE/- image/x-icon

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-27 9:21:05

а имя плльзователя где? Если у тя авторизация, должно быть имя пользователя....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-03-27 9:23:15

В данном случае основано на незнании пользователя о том что есть такой скрипт и куда он пишет.
И потом - можно поставит права на дозапись но не удаление файла...
Что-то мы протормозили =) Настраиваю сейчас комп юзеру и как обычно ставлю в локальных политиках аудита (аудит входа в систему -> отказ) :) А если еще и успех отметить, то и скриптик не нужен. Все пишется в журнал, который юзеру не подменить.
Власть в руках у чужаков, и ты им платишь дань...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-27 9:24:21

Вот уж незнаю ???? При вхходе на страницу, Opera запросила логин и пароль, который я ввел и после этого "пустили" в Интернет