Squid Proxy Server (Port Listing / SELinux)

Squid (Proxy) — программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и HTTPS. 

Squid Proxy Server используется в UNIX-подобных системах и в ОС семейства Windows NT. Имеет возможность взаимодействия с Active Directory Windows Server путём аутентификации через LDAP, что позволяет использовать разграничения доступа к интернет ресурсам пользователей, которые имеют учётные записи на Windows Server, также позволяет организовать «нарезку» интернет трафика для различных пользователей. 

SELinux — реализация системы принудительного контроля доступа, которая может работать параллельно с классической избирательной системой контроля доступа. Оставаясь в рамках избирательной системы контроля доступа, операционная система имеет фундаментальное ограничение в плане разделения доступа процессов к ресурсам — доступ к ресурсам основывается на правах доступа пользователя. Это классические права rwx на трех уровнях — владелец, группа-владелец и остальные. 

В SELinux права доступа определяются самой системой при помощи специально определенных политик. Политики работают на уровне системных вызовов и применяются самим ядром (но можно реализовать и на уровне приложения). SELinux действует после классической модели безопасности Linux. 

Мой Squid не работает на порту # 10000, он работает только на порту # 3128? Как заставить Squid прослушивать нестандартный порт? Да, по умолчанию порт прослушивания для службы Squid - 3128. Вы можете изменить его на другой для повышения безопасности. 

Откройте файл squid.conf, введите:

# vi squid.conf

Используйте произвольный порт, например 10000:

http port 10000

Сохраните и закройте файл. Перезапустите squid:

# service squid restart

Убедитесь, что порт открыт:

# netstat -tulpn | grep ':10000'

Вам также необходимо обновить конфигурацию SELinux. Введите следующую команду, чтобы добавить новое сопоставление портов SELinux для службы Squid:

# semanage port -a -t http_cache_port_t -p tcp 10000

Semanage используется для настройки определенных элементов политики SELinux, не требуя изменения или перекомпиляции из источников политики. Вышеприведенная команда разрешит Squid прослушивать порт 10000.

Отредактируйте файл /etc/sysconfig/iptables и разрешите доступ Squid только с 10.0.0.0/8 для порта # 10000:

-A RH-Firewall-1-INPUT -s 10.0.0.0/8 -m state --state NEW -p tcp --dport 10000 -j ACCEPT

Перезапустите iptables:

# service iptables restart

Кроме «целевой» политики, в состав некоторых дистрибутивов входит политика с многоуровневой моделью безопасности (с поддержкой модели Белла — Лападулы). 

 

Последние материалы