• Доступ пользователей в vsftpd без доступа к shell (/bin/false)

    Для обеспечения большей безопасности FTP-сервера VSFTPD (как установить можно почитать тут), запретим пользователям доступ к Shell (/bin/false).

    Создание нового пользователя без доступа к Shell (/bin/false):

    sudo useradd username -b /home -m -s /bin/false

    Где:
    username — имя пользователя.
    ключ -b — Директория где будет находиться его домашний каталог
    ключ -m — Создание домашнего каталога одноименного с названием username.
    ключ -s /bin/false — Указываем что пользователю будет отключен Shell

    Задаем пароль для созданного пользователя:

    sudo passwd username

    Если необходимо отключить Shell уже существующему пользователю, то открываем файл /etc/passwd:

    sudo nano /etc/passwd

    Находим нужного пользователя и меняем /bin/bash  на /bin/false. Сохраняем изменения и при следующей авторизации пользователя на FTP будут без доступа к Shell.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Настройка vsftpd на использование шифрованного SSL-соединения.

    В этой статье мы разобрали как установить и настроить FTP-сервер VSFTPD. Сейчас рассмотрим как организовать на VSFTPD подключения пользователей с использованием SSL-шифрования.

    Создаем SSL-сертификат, чтобы использовать его с vsftp

    sudo openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/ssl/private/vsftpd.key -out /etc/ssl/private/vsftpd.crt

    Информация: Для создания сертификата, в системе должен быть установлен OpenSSL. Если он не установлен, то установите его из репозитариев sudo apt-get install openssl

    В процессе создания сертификата, нужно будет ответить на ряд формальных вопросов.

    Редактируем конфигурационный файл vsftpd.conf

    sudo nano /etc/vsftpd.conf

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Установка и настройка FTP сервера (VSFTPD) на Ubuntu Server 14.04.5 LTS

    Разберем как установить и настроить FTP-сервер VSFTPD на Ubuntu Server 14.04.

     

    Перед установкой, обновляем систему до актуального состояния:

    sudo apt-get update && sudo apt-get upgrade

     

    Установка и настройка

    Устанавливаем VSFTPD из репозиториев:

    sudo apt-get install vsftpd

     

    Настройка FTP-сервера производится через конфигурационный файл /etc/vsftpd.conf. Конфигурация FTP-сервера, для работы с анонимными пользователями:

    listen=YES
    anonymous_enable=YES
    anon_root=/srv/ftp
    use_localtime=YES
    connect_from_port_20=YES
    dirmessage_enable=YES
    secure_chroot_dir=/var/run/vsftpd/empty
    pam_service_name=vsftpd
    xferlog_enable=YES
    xferlog_file=/var/log/vsftpd.log

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 5,00 из 5)
    Загрузка...
  • Блокировка от скачивания нежелательных файлов в SQUID

    Пользователи всегда норовят что либо скачать из интернета и часто скачивают вредоносное ПО, тем самым подвергая опасности другие ПК в локальной сети и целостность их данных. Поэтому сейчас мы на примере рассмотрим как бороться с этим явлением используя прокси-сервер Squid 3.5.19.

    Все операции проделываться будут на Ubuntu server 14.04.5 с развернутым Squid 3.5.19 по этой инструкции и опираясь на представленный в инструкции конфиг Squid.

    Создадим текстовый файл, в котором будут хранится список всех нежелательных элементов URL, содержащие имена файлов с расширениями.

    sudo nano /etc/squid/blockfiles.txt

    Указываем в файле все нежелательные расширения файлов, которые необходимо блокировать:

    \.[Aa][Vv][Ii]$ #Блокировка - .avi
    \.[Mm][Pp][Gg]$ #Блокировка - .mpg
    \.[Mm][Pp][Ee][Gg]$ #Блокировка - .mpeg
    \.[Ff][Ll][Vv]$ #Блокировка - .flv
    \.[Mm][Pp]3$ #Блокировка - .mp3

    Информация: расширение файлов указано в формате прим. [Mm][Pp]3 чтобы исключить варианты расширений вида: mP3, MP3, Mp3.. Указанный нами формат расширения, исключает возможность любого варианта написания данного расширения.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 3,00 из 5)
    Загрузка...
  • Блокировка интернета по времени и дням недели в SQUID

    Контролируем предоставления доступа в интернет по времени и дням недели. Не будем оставлять повода сотрудникам задерживаться на работе, дабы посидеть в интернете.

    Все операции проделываться будут на Ubuntu server 14.04.5 с развернутым Squid 3.5.19 по этой инструкции и опираясь на представленный в инструкции конфиг Squid.

    Блокировать доступ мы будем с помощью acl — time. Синтаксис acl такой: acl [название правила] time [аббревиатура дней] [h1:m1-h2:m2].

    Коды дней недели определяются так: S — Sunday — Воскресенье, M — Monday — Понедельник, T — Tuesday — Вторник, W — Wednesday — Среда, H — Thursday — Четверг, F — Friday — Пятница, A — Saturday — Суббота. А параметры h1:m1 и h2:m2 вставляется время.

    Важно !  h1:m1 всегда должно быть меньше h2:m2

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Ограничиваем скорость доступа пользователям в интернет с помощью SQUID.

    Рано или поздно все сталкиваются с задачей ограничения скорости доступа в интернет для пользователей. Эту задачу будем решать с помощью Squid. Мы рассмотрим различные варианты общего ограничения скорости доступа, ограничения скорости при скачивании определенных файлов из сети интернет, ограничение скорости на основе Active Directory групп.

    Все операции проделываться будут на Ubuntu server 14.04.5 с развернутым Squid 3.5.19 по этой инструкции.

    За ограничение скорости в Squid отвечает параметр delay_pools. Принцип работы delay_pools: каждый запрашиваемый объект сначала попадает в пул, а затем передается клиенту. Каждый пул определяется двумя параметрами: скоростью его заполнения и размером буфера. Прим. размер пула 8000 и размер буфера 8000, означает что скорость заполнения буфера будет 64 кБ/с. Неограниченный размер буфера и скорости задается как -1/-1. Размер буфера и скорость задается в байта.

    Скорость заполнения пула зависит от класса delay_class. Варианты доступных классов:

    1. Общие ограничения скорости загрузки для всех.
    2. Общие ограничения скорости загрузки и скорость каждого хоста.
    3. Общие ограничения скорости загрузки, скорость сети и скорость каждого хоста.
    4. Все ограничения класса 3 + ограничения на уровне отдельно взятых пользователей (требуется аутентификация пользователей в правилах http_access).
    5. Запросы группируются по тэгам определяемым в external_acl

    Вид записей delay_parameters, в зависимости от выбранного класса:

    1. delay_parameters <номер пула> <общие ограничения для всех>
    2. delay_parameters <номер пула> <общие ограничения для всех> <ограничения для хоста>
    3. delay_parameters <номер пула> <общие ограничения для всех> <ограничения для подсети> <ограничения для хоста>
    4. delay_parameters <номер пула> <общие ограничения для всех> <ограничения для подсети> <ограничения для хоста> <ограничения для пользователя>
    5. delay_parameters <номер пула> <тегированные ограничения>

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Способы перенаправления запросов с заблокированных сайтов на заданную страницу в SQUID

    Появилась необходимость настроить в Squid перенаправление на определенный сайт в случае если пользователь пытается зайти на сайт который находится в списке заблокированных. Я нашел для себя несколько способов реализовать данную задачу. Рассмотрим способ мгновенного редиректа на заданный сайт и редирект с отображением страницы  ERR_ACCESS_DENIED (входящую в состав Squid) и через несколько секунд выполнять редирект на заданную страницу.

    Сразу хочу предупредить, что выполнить перенаправление на заданную страницу в Squid возможно только при посещении пользователем HTTP сайтов. К сожалению с HTTPS сайтами перенаправление работать не будет.

    Проделываться все будет на Squid 3.5.19 (статья по установке) установленным на Ubuntu server 14.04.5 LTS. Но уверен что способы будут работать и на отличных от моих параметров.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 4,00 из 5)
    Загрузка...
  • Настройка SQUID авторизации по логину и паролю. NCSA-авторизация

    Появилась необходимость настроить Squid 3.5.19 с авторизацией по логину и паролю. Т.е. чтобы при попытке посетить какой либо интернет ресурс пользователю выдавался запрос авторизации, в случае успешной авторизации доступ в интернет предоставлялся, в ином случае, пользователь получал бы отказ доступа. В Squid реализовать такой метод авторизации можно с помощью basic_ncsa_auth.

    При данном методе авторизации имя пользователя и пароль будут хранится в текстовом файле. Логин и пароль будем создавать при помощи утилиты htpasswd входящую в состав apache-utils. Пароли будут хранится в хешированном виде.

    Итак все действия ниже я буду производить на Ubuntu server 14.04.5 x64 с установленным Squid 3.5.19 по данной статье.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (2 голос(ов), в среднем: 4,50 из 5)
    Загрузка...
  • Настройка ротации логов Squid в Ubuntu 14.04 LTS

    Развернутый мною Squid по данной статье, успешно работает. Но столкнулся с такой ситуацией что сразу не понял почему логи Squid хранятся крайне мало и для детального анализа трафика проходящего в компании не достаточно.

    По умолчанию ротация логов в Squid выставлена всего на три дня, поэтому яразобрался как увеличить срок жизни логов и выставить ротацию логов в период одного месяца. В моем случае этого достаточно.

    Осуществлять ротацию логов мы будем с помощью системной службы logrotate, входящей в состав Ubuntu Server 14.04.

    Заметка: Ротация логов осуществляет периодическую замену старых логов новыми, помещая устаревшие данные в архив или просто удаляя их. В зависимости от настроек архив логов может храниться как в сжатом, так и в несжатом виде и иметь необходимую глубину.

    Основные настройки logrotate хранятся в /etc/logrotate.conf, настройки отдельных сервисов (в нашем случае Squid) хранятся в /etc/logrotate.d/squid, и эти настройки имеют приоритет над logrotate.conf. Сама служба вызывается раз в сутки через планировщик cron.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Работа Squid с Active Directory. Kerberos-аутентификация. Права доступа на основе групп Active Directory.

    В предыдущей статье мы разбирали как развернуть прокси-сервер Squid 3.5.19 на Ubuntu 14.04.5 LTS. А сейчас мы разберем как подружить Squid 3.5.19 c Active Directory, чтобы доступ в интернет предоставлялся только по доменным учетным записям, а так же возможность использования Active Directory групп для разграничения прав доступа в интернет.

     

    Squid у меня установлен на Ubuntu 14.04.5 LTS x64 (srv-squid), имеется домен контроллер srv-dc1 (testzone.local) на Windows Server 2008 R2. Авторизацию Squid будем делать через Kerberos. Поехали..

     

    Проведем подготовительные работы на машине где установлен Squid.

     

    Укажем корректное для работы сActive Directory название машины. Вызываем редактирование файла /etc/hostname

    sudo nano /etc/hostname

    И к названию системы дописываем название вашего домена (в моем случае я дописываю .testzone.local)

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (2 голос(ов), в среднем: 4,50 из 5)
    Загрузка...