Страница 3 из 4
Добавлено: 2006-03-23 14:39:25
Urgor
lissyara писал(а):Ща поищу, где-то скрипт валялся, при логоне пишет время в текстовый файл. Найду - выложу. Под винду, на vbs.
После чего ждёшь конфликтной ситуации, смотришь логи сквида, лог файл кто был залогинен в это время и по рогам уроду. После чего лог файл мона отключать. Т.к. в дальнейшем виноват будет тот кто попался, по дефолту
))
Скрипт пустится с правами зашедшего юзера, а значит и лог он подделать сможет. Есть statwin, который висит сервисом и собирает статистику, следит за лузером под виндой (и кста, пишет логин и куда этот логин ползал)... хотя в большой сети ее админить еще тот геморой (пришлось написать свой интерфейс по работе с конфигами). Будет время, надо будет написать свой аналог
Добавлено: 2006-03-23 14:41:20
Alex Keda
В данном случае основано на незнании пользователя о том что есть такой скрипт и куда он пишет.
И потом - можно поставит права на дозапись но не удаление файла...
===
это тонкости - главное - направление куда мыслить.
Добавлено: 2006-03-23 14:44:34
Urgor
Roman писал(а):Надо вставить еще правила, тогда у кого нет пароля...то используются эти правила.
Но все же "http_access allow our_networks" лучше убрать
Иначе дырявость авторизации сильно зависит от того куда его вставил...
Добавлено: 2006-03-23 14:48:07
Roman
Вечером попробую. Спасибо
Добавлено: 2006-03-23 14:50:50
Urgor
lissyara писал(а):В данном случае основано на незнании пользователя о том что есть такой скрипт и куда он пишет.
После первого "разбора полетов" об этом будут знать ВСЕ заинтересованные лица
И снова придется что-то городить.
lissyara писал(а):И потом - можно поставит права на дозапись но не удаление файла...
Нет там "дозаписи", есть только "изменение". И тереть ему не надо, просто вписать имя "товарища".
P.S. Если надо, могу поделиться ломаным статвином.
Добавлено: 2006-03-23 14:53:47
Alex Keda
Где нет?
Добавлено: 2006-03-23 15:03:27
Urgor
Аха. Только если убрать галку с "изменить" в файл ничего не пишется... а если "изменить" стоит, то и править можно. Попробуй, может у тя получится, у мя не получилось.
Добавлено: 2006-03-23 15:04:47
Roman
Да, теперь есть разделение на"паролистов" и не имеющих пароль, которым разрешено посещение сайтов прописанных в "/usr/local/my_doc_smb/squid/allowed_sites.conf" (в отличии от у кого есть пароль). Поэтому надобность в скрипте отпадает
Добавлено: 2006-03-23 15:10:57
Urgor
Roman писал(а):Да теперь есть разделение "паролистов" и не имеющих пароль, которым разрешено посещение сайтов прописанных в "/usr/local/my_doc_smb/squid/allowed_sites.conf" (в отличии от у кого есть пароль). Поэтому надобность в скрипте отпадает
Можно сделать еще круче. Приделать ntlm авторизацию, но для этого нужены: домен и самба собранная с поддержкой винбинда
За то если народ ходит IE у них пароль не спрашивается, а просто проверяются в домене права...
http://blakenet.org.ru/articles/nix/nix_9.htm
Добавлено: 2006-03-23 15:12:38
Roman
К сожалению, у меня нет домена
Добавлено: 2006-03-23 15:23:29
Urgor
Так на самбе и домен можно поднять
комп-то мощный?
Добавлено: 2006-03-23 18:10:55
Roman
PII(350)
256Mb
40Гб HDD
Добавлено: 2006-03-23 18:50:42
Roman
Roman писал(а):Я в одной организации видел, что у них интернет-авторизация по логину и паролю (NCSA-это точно, я у сисадмина спрашивал). Но когда я залез в настройки браузера в пункте "прокси" было пусто...(прозрачность).Как такое может быть ? У него два Linuxa (один чисто роутер с фаерволом, встроенным в ядро, на другом программное обеспечение Squid, Samba и т.д.....это говорит для безопасности...т.е. две штуки). Я спросил его как он сделал...а он не говорит...много чего может мне и неправильно сказал ????)
Roman писал(а):Сегодня пойду туда и попытаю его, если конечно расколется и тогда сообщу
Сходил...узнал:
В IE поставлена галочка "автоконфигурации прокси-сервера" и работает через wpad.dat файл, который находиться на WEB-ceрвере (у него не Апач, а Boa....но говорит на Апаче тоже работает. Надо будет попозже разобраться
С обновлениями версий все получилось...СПАСИБО автору (lissyar'е) за статью
Добавлено: 2006-03-24 9:19:29
Urgor
С обновлениями версий все получилось...СПАСИБО автору (lissyar'е) за статью
Да
Лисяра молоток, так просто, доходчиво и без ошибок изложить материал... признатся такое встретил впервые.
Добавлено: 2006-03-24 9:29:32
Alex Keda
Это вам без ошибок... А я на одном серваке все завсимости неверные грохнул, прежде чем разобрался
))
Добавлено: 2006-03-24 20:40:26
Roman
По моему, каждый бы грохнул у себя...а потом бы искали ответы в форумах, как все это дело восстановить, что потерялось
. Lissyara спас многим "жизнь", нервы и конечно время, которого всем всегда нехватает
Так держать !!!!
Добавлено: 2006-03-27 8:34:27
Roman
Блин, только сейчас заметил, что при авторизации по логину и паролю (непрозрачный прокси) пакеты почему-то не идут через
Код: Выделить всё
#${fwcmd} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
смотрел по
->соответственно Sarg тоже ничего не показывает
В чем фишка ????
Добавлено: 2006-03-27 8:37:14
Alex Keda
потому что они сразу идут на прокси.
сделай tail -f /var/log/squid/access.log
и полезь в инет. если в логах чё-то появляется - хорошо, нет - надо копать почему.
Добавлено: 2006-03-27 8:39:38
Roman
Хорошо, попробую после 17:00
Добавлено: 2006-03-27 8:40:40
Alex Keda
Roman писал(а):Хорошо, попробую после 17:00
почему после 17.00 ?
Добавлено: 2006-03-27 8:45:45
Roman
9:00-17:00....26 руб/час
17:00-00:00...8 руб/час
Заодно надо кое-чего покачать (модем)
А сей час я на GPRS (c траффик-компрессором)
Добавлено: 2006-03-27 9:17:38
Roman
lissyara писал(а):
сделай tail -f /var/log/squid/access.log
и полезь в инет. если в логах чё-то появляется - хорошо, нет - надо копать почему.
Появилось...
Код: Выделить всё
1143450537.619 557 192.168.0.3 TCP_MISS/200 1071 GET http://forum.lissyara.su/favicon.ico root DIRECT/213.234.195.210 image/x-icon
1143450625.252 37379 192.168.0.3 TCP_MISS/200 9148 GET http://forum.lissyara.su/viewforum.php? root DIRECT/213.234.195.210 text/html
1143450625.355 2 192.168.0.3 TCP_IMS_HIT/304 214 GET http://forum.lissyara.su/favicon.ico root NONE/- image/x-icon
Добавлено: 2006-03-27 9:21:05
Alex Keda
а имя плльзователя где? Если у тя авторизация, должно быть имя пользователя....
Добавлено: 2006-03-27 9:23:15
Urgor
В данном случае основано на незнании пользователя о том что есть такой скрипт и куда он пишет.
И потом - можно поставит права на дозапись но не удаление файла...
Что-то мы протормозили
Настраиваю сейчас комп юзеру и как обычно ставлю в локальных политиках аудита (аудит входа в систему -> отказ)
А если еще и успех отметить, то и скриптик не нужен. Все пишется в журнал, который юзеру не подменить.
Добавлено: 2006-03-27 9:24:21
Roman
Вот уж незнаю ???? При вхходе на страницу, Opera запросила логин и пароль, который я ввел и после этого "пустили" в Интернет