Базовая аутентификация в сквиде

[Urgor]

Ща поищу, где-то скрипт валялся, при логоне пишет время в текстовый файл. Найду - выложу. Под винду, на vbs.
После чего ждёшь конфликтной ситуации, смотришь логи сквида, лог файл кто был залогинен в это время и по рогам уроду. После чего лог файл мона отключать. Т.к. в дальнейшем виноват будет тот кто попался, по дефолту ))

Скрипт пустится с правами зашедшего юзера, а значит и лог он подделать сможет. Есть statwin, который висит сервисом и собирает статистику, следит за лузером под виндой (и кста, пишет логин и куда этот логин ползал)... хотя в большой сети ее админить еще тот геморой (пришлось написать свой интерфейс по работе с конфигами). Будет время, надо будет написать свой аналог

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

В данном случае основано на незнании пользователя о том что есть такой скрипт и куда он пишет.

И потом - можно поставит права на дозапись но не удаление файла...

===
это тонкости - главное - направление куда мыслить.

[Urgor]

Надо вставить еще правила, тогда у кого нет пароля...то используются эти правила.

Но все же "http_access allow our_networks" лучше убрать Иначе дырявость авторизации сильно зависит от того куда его вставил...

[Roman]

Вечером попробую. Спасибо

[Urgor]

В данном случае основано на незнании пользователя о том что есть такой скрипт и куда он пишет.

После первого "разбора полетов" об этом будут знать ВСЕ заинтересованные лица И снова придется что-то городить.

И потом - можно поставит права на дозапись но не удаление файла...

Нет там "дозаписи", есть только "изменение". И тереть ему не надо, просто вписать имя "товарища".
P.S. Если надо, могу поделиться ломаным статвином.

[Alex Keda]

Где нет?

[Urgor]

Аха. Только если убрать галку с "изменить" в файл ничего не пишется... а если "изменить" стоит, то и править можно. Попробуй, может у тя получится, у мя не получилось.

[Roman]

Да, теперь есть разделение на"паролистов" и не имеющих пароль, которым разрешено посещение сайтов прописанных в "/usr/local/my_doc_smb/squid/allowed_sites.conf" (в отличии от у кого есть пароль). Поэтому надобность в скрипте отпадает

[Urgor]

Да теперь есть разделение "паролистов" и не имеющих пароль, которым разрешено посещение сайтов прописанных в "/usr/local/my_doc_smb/squid/allowed_sites.conf" (в отличии от у кого есть пароль). Поэтому надобность в скрипте отпадает

Можно сделать еще круче. Приделать ntlm авторизацию, но для этого нужены: домен и самба собранная с поддержкой винбинда За то если народ ходит IE у них пароль не спрашивается, а просто проверяются в домене права... http://blakenet.org.ru/articles/nix/nix_9.htm

[Roman]

К сожалению, у меня нет домена

[Urgor]

Так на самбе и домен можно поднять комп-то мощный?

[Roman]

PII(350)
256Mb
40Гб HDD

[Roman]

Я в одной организации видел, что у них интернет-авторизация по логину и паролю (NCSA-это точно, я у сисадмина спрашивал). Но когда я залез в настройки браузера в пункте "прокси" было пусто...(прозрачность).Как такое может быть ? У него два Linuxa (один чисто роутер с фаерволом, встроенным в ядро, на другом программное обеспечение Squid, Samba и т.д.....это говорит для безопасности...т.е. две штуки). Я спросил его как он сделал...а он не говорит...много чего может мне и неправильно сказал ????)

Сегодня пойду туда и попытаю его, если конечно расколется и тогда сообщу

Сходил...узнал:
В IE поставлена галочка "автоконфигурации прокси-сервера" и работает через wpad.dat файл, который находиться на WEB-ceрвере (у него не Апач, а Boa....но говорит на Апаче тоже работает. Надо будет попозже разобраться

С обновлениями версий все получилось...СПАСИБО автору (lissyar'е) за статью

[Urgor]

С обновлениями версий все получилось...СПАСИБО автору (lissyar'е) за статью

Да Лисяра молоток, так просто, доходчиво и без ошибок изложить материал... признатся такое встретил впервые.

[Alex Keda]

Это вам без ошибок... А я на одном серваке все завсимости неверные грохнул, прежде чем разобрался ))

[Roman]

По моему, каждый бы грохнул у себя...а потом бы искали ответы в форумах, как все это дело восстановить, что потерялось . Lissyara спас многим "жизнь", нервы и конечно время, которого всем всегда нехватает Так держать !!!!

[Roman]

Блин, только сейчас заметил, что при авторизации по логину и паролю (непрозрачный прокси) пакеты почему-то не идут через

Код: Выделить всё

 
#${fwcmd} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

смотрел по

Код: Выделить всё

ipfw show

->соответственно Sarg тоже ничего не показывает В чем фишка ????

[Alex Keda]

потому что они сразу идут на прокси.

сделай tail -f /var/log/squid/access.log
и полезь в инет. если в логах чё-то появляется - хорошо, нет - надо копать почему.

[Roman]

Хорошо, попробую после 17:00

[Alex Keda]

Хорошо, попробую после 17:00

почему после 17.00 ?

[Roman]

9:00-17:00....26 руб/час
17:00-00:00...8 руб/час
Заодно надо кое-чего покачать (модем)
А сей час я на GPRS (c траффик-компрессором)

[Roman]

сделай tail -f /var/log/squid/access.log
и полезь в инет. если в логах чё-то появляется - хорошо, нет - надо копать почему.

Появилось...

Код: Выделить всё

1143450537.619    557 192.168.0.3 TCP_MISS/200 1071 GET http://forum.lissyara.su/favicon.ico root DIRECT/213.234.195.210 image/x-icon
1143450625.252  37379 192.168.0.3 TCP_MISS/200 9148 GET http://forum.lissyara.su/viewforum.php? root DIRECT/213.234.195.210 text/html
1143450625.355      2 192.168.0.3 TCP_IMS_HIT/304 214 GET http://forum.lissyara.su/favicon.ico root NONE/- image/x-icon

[Alex Keda]

а имя плльзователя где? Если у тя авторизация, должно быть имя пользователя....

[Urgor]

В данном случае основано на незнании пользователя о том что есть такой скрипт и куда он пишет.
И потом - можно поставит права на дозапись но не удаление файла...

Что-то мы протормозили Настраиваю сейчас комп юзеру и как обычно ставлю в локальных политиках аудита (аудит входа в систему -> отказ) А если еще и успех отметить, то и скриптик не нужен. Все пишется в журнал, который юзеру не подменить.

[Roman]

Вот уж незнаю ???? При вхходе на страницу, Opera запросила логин и пароль, который я ввел и после этого "пустили" в Интернет