Conversation
precedente ou
suivante
probleme squid/squidguard
Envoyé par:
Mayti
Bonjour,
J'ai installe un proxy avec webmin / squid + squidguard, je me retrouve sur la fin avec un probleme de droit a mes blacklists / destination groupe.
Squid fait bel et bien son rôle.
Si je n'utilise pas de blacklist / destination group, le reseau est dans le bon ACL.
En resume, soit tout passe, soit rien.
Dans mon squidguard.conf, l'erreur suivante apparait
2008-05-28 12:32:29 [4113] New setting: dbhome: /var/lib/squidguard/db
2008-05-28 12:32:29 [4113] New setting: logdir: /var/log/squid
2008-05-28 12:32:29 [4113] init urllist /var/lib/squidguard/db/adult/urls
2008-05-28 12:32:29 [4113] /var/lib/squidguard/db/adult/urls: Permission denied
2008-05-28 12:32:29 [4113] going into emergency mode
le repertoire en question
-rwxrw---- 1 squid root 540145 mai 28 12:26 domains
-rwxrw---- 1 squid root 1486848 mai 28 12:26 domains.db
-rwxrw---- 1 squid root 796 mai 28 12:27 expressions
-rwxrw---- 1 squid root 608406 mai 28 12:27 urls
-rwxrw---- 1 squid root 888832 mai 28 12:28 urls.db
(j'ai aussi teste en chown squid.squid mais l'effet est identique.)
le chown a eu lieu a partir de /db.
j'ai beau tout retourner, je ne trouve aucune solution pour ce probleme.
la seule piste que j'ai, lors d'un ps -aux
root 4105 0.0 0.1 10664 2184 ? Ss 12:32 0:00 squid -D
squid 4107 0.1 0.4 14816 8640 ? S 12:32 0:01 (squid) -D
squid 4109 0.0 0.0 7084 1836 ? Ss 12:32 0:00 (squidGuard) -c
squid 4110 0.0 0.0 7084 1840 ? Ss 12:32 0:00 (squidGuard) -c
squid 4111 0.0 0.0 7084 1840 ? Ss 12:32 0:00 (squidGuard) -c
squid 4112 0.0 0.0 7084 1836 ? Ss 12:32 0:00 (squidGuard) -c
squid 4113 0.0 0.0 7084 1840 ? Ss 12:32 0:00 (squidGuard) -c
squid 4114 0.0 0.0 3232 688 ? Ss 12:32 0:00 (unlinkd)
je contaste que le 1er "Squid -D" est lance par le root et non squid mais je n'ai aucune idée comment le forcer a le lancer en tant que "squid".
dans squid.conf, les lignes suivantes apparaissent
cache_effective_user squid
cache_effective_group squid
Merci d'avance pour une solution ou meme une idée de solution
ps : je n'ai pas de très grande notion sous linux...
J'ai installe un proxy avec webmin / squid + squidguard, je me retrouve sur la fin avec un probleme de droit a mes blacklists / destination groupe.
Squid fait bel et bien son rôle.
Si je n'utilise pas de blacklist / destination group, le reseau est dans le bon ACL.
En resume, soit tout passe, soit rien.
Dans mon squidguard.conf, l'erreur suivante apparait
2008-05-28 12:32:29 [4113] New setting: dbhome: /var/lib/squidguard/db
2008-05-28 12:32:29 [4113] New setting: logdir: /var/log/squid
2008-05-28 12:32:29 [4113] init urllist /var/lib/squidguard/db/adult/urls
2008-05-28 12:32:29 [4113] /var/lib/squidguard/db/adult/urls: Permission denied
2008-05-28 12:32:29 [4113] going into emergency mode
le repertoire en question
-rwxrw---- 1 squid root 540145 mai 28 12:26 domains
-rwxrw---- 1 squid root 1486848 mai 28 12:26 domains.db
-rwxrw---- 1 squid root 796 mai 28 12:27 expressions
-rwxrw---- 1 squid root 608406 mai 28 12:27 urls
-rwxrw---- 1 squid root 888832 mai 28 12:28 urls.db
(j'ai aussi teste en chown squid.squid mais l'effet est identique.)
le chown a eu lieu a partir de /db.
j'ai beau tout retourner, je ne trouve aucune solution pour ce probleme.
la seule piste que j'ai, lors d'un ps -aux
root 4105 0.0 0.1 10664 2184 ? Ss 12:32 0:00 squid -D
squid 4107 0.1 0.4 14816 8640 ? S 12:32 0:01 (squid) -D
squid 4109 0.0 0.0 7084 1836 ? Ss 12:32 0:00 (squidGuard) -c
squid 4110 0.0 0.0 7084 1840 ? Ss 12:32 0:00 (squidGuard) -c
squid 4111 0.0 0.0 7084 1840 ? Ss 12:32 0:00 (squidGuard) -c
squid 4112 0.0 0.0 7084 1836 ? Ss 12:32 0:00 (squidGuard) -c
squid 4113 0.0 0.0 7084 1840 ? Ss 12:32 0:00 (squidGuard) -c
squid 4114 0.0 0.0 3232 688 ? Ss 12:32 0:00 (unlinkd)
je contaste que le 1er "Squid -D" est lance par le root et non squid mais je n'ai aucune idée comment le forcer a le lancer en tant que "squid".
dans squid.conf, les lignes suivantes apparaissent
cache_effective_user squid
cache_effective_group squid
Merci d'avance pour une solution ou meme une idée de solution
ps : je n'ai pas de très grande notion sous linux...
Poste le Wednesday 28 May 2008 13:12:16
Re: probleme squid/squidguard
Envoyé par:
Mayti
petite avancée
suite au un conseil j'ai utilie cette commande
su - squid -c `tail /var/lib/squidguard/db/adult/urls`
j'avais "This account is currently not available." comme résultat.
j'ai suivi avec
usermod -s /bin/sh squid
et maintenant j'obtiens
"ztik.com/x/cok/sam01: zp*rn*s.com/*n*l: Aucun fichier ou dossier de ce type"
(les étoiles sont rajoutée juste pour le forum)
mais toujours permission denied dans mon squidGuard.log
suite au un conseil j'ai utilie cette commande
su - squid -c `tail /var/lib/squidguard/db/adult/urls`
j'avais "This account is currently not available." comme résultat.
j'ai suivi avec
usermod -s /bin/sh squid
et maintenant j'obtiens
"ztik.com/x/cok/sam01: zp*rn*s.com/*n*l: Aucun fichier ou dossier de ce type"
(les étoiles sont rajoutée juste pour le forum)
mais toujours permission denied dans mon squidGuard.log
Poste le Wednesday 28 May 2008 14:58:14
Re: probleme squid/squidguard
Envoyé par:
edenfusion
Bonjour,
Je me tourne vers vous aujourd'hui car je suis un peu dans l'embarras.
J'ai installé Squid 3.0 ainsi que squidguard. J'ai posté les fichiers de configuration plus loin.
Squid se lance avec l'utilisateur squid:nogroup, squidguard est lancé par redirect_program dans la configuration de squid, donc avec l'utilisateur squid:nogroup.
Squid fonctionne parfaitement, squidguard, hélas, ne filtre aucune url, ni aucun domaine. Les bases de données sont bien initialisées et activées, ainsi que les acl. L'utilisateur squid:nogroup est propriétaire de ces bases de données.
Donc, tout devrait fonctionner à merveille. Hélas, squidguard ne fait pas son boulot...
Une idée, même la plus étrange, serait la bienvenue...
Merci à tous de votre aide.
FICHIER CONF SQUID
# WELCOME TO SQUID 3.0.STABLE5
# ----------------------------
# OPTIONS FOR AUTHENTICATION
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 10 hour
auth_param basic children 15
auth_param basic program /usr/sbin/ncsa_auth /usr/etc/passwd
authenticate_ip_ttl 60 second
# ACCESS CONTROLS
acl cdg_network src 192.168.0.1-192.168.0.254/255.255.255.255
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21 # http
acl Safe_ports port 443 563 # ftp
acl Safe_ports port 1025-65535 # https, snews
acl Safe_ports port 488 # unregistered ports
acl Safe_ports port 777 # gss-http
acl CONNECT method CONNECT # multiling http
acl BIA src 192.168.0.6/255.255.255.255
acl QUERY urlpath_regex cgi-bin\?
acl authentification proxy_auth REQUIRED
no_cache deny QUERY
http_access allow cdg_network manager
http_access allow authentification
http_access allow BIA
http_access deny manager
icp_access allow cdg_network
htcp_access allow cdg_network
# NETWORK OPTIONS
http_port 192.168.0.200:3128
# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
cache_peer 105.178.29.43 parent 3128 3130 no-query default
# MEMORY CACHE OPTIONS
cache_mem 108 MB
memory_replacement_policy lru
# DISK CACHE OPTIONS
cache_replacement_policy lru
cache_dir ufs /var/cache/squid 5000 16 256
maximum_object_size 4096 KB
cache_swap_low 80
cache_swap_high 85
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 0
mime_table /etc/squid/mime.conf
pid_filename /var/run/squid.pid
debug_options ALL,1
client_netmask 255.255.255.255
ftp_user Squid@
ftp_list_width 64
# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
unlinkd_program /usr/sbin/unlinkd
# OPTIONS FOR URL REWRITING
url_rewrite_program /usr/sbin/squidGuard -c /etc/squidguard.conf
redirect_program /usr/sbin/squidGuard -c /etc/squidguard.conf
redirect_children 30
# url_rewrite_concurrency 0
# url_rewrite_host_header on
# url_rewrite_bypass off
# OPTIONS FOR TUNING THE CACHE
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
refresh_pattern -i exe$ 0 50% 999999
refresh_pattern -i zip$ 0 50% 999999
refresh_pattern -i tar\.gz$ 0 50% 999999
refresh_pattern -i tgz 0 50% 999999
negative_ttl 5 minute
positive_dns_ttl 6 hour
negative_dns_ttl 1 minute
store_avg_object_size 6 KB
store_objects_per_bucket 20
request_header_max_size 10 KB
request_body_max_size 0 KB
# TIMEOUTS
connect_timeout 1 minute
read_timeout 15 minute
request_timeout 5 minute
client_lifetime 1 day
pconn_timeout 120 second
ident_timeout 10 second
shutdown_lifetime 30 second
# DELAY POOL PARAMETERS
delay_initial_bucket_level 50
# ICP OPTIONS
icp_port 3130
udp_incoming_address 0.0.0.0
udp_outgoing_address 255.255.255.255
minimum_direct_hops 4
icp_query_timeout 0
# MULTICAST ICP OPTIONS
mcast_icp_query_timeout 2000
# ERROR PAGE OPTIONS
#Default:
# error_directory /usr/share/squid/errors/English
# TAG: err_html_text
#Default:
# none
# TAG: email_err_data on|off
#Default:
# email_err_data on
# TAG: deny_info
#Default:
# none
# OPTIONS INFLUENCING REQUEST FORWARDING
tcp_recv_bufsize 0
dns_testnames netscape.com internic.net nlanr.net microsoft.com
ipcache_size 2048
ipcache_low 90
ipcache_high 95
fqdncache_size 4096
coredump_dir /var/cache/squid
never_direct allow cdg_network
FICHIER CONF SQUIDGUARD
#
# CONFIG FILE FOR SQUIDGUARD
#
dbhome /var/lib/squidGuard/db
logdir /var/log/squidGuard
#
# TIME RULES:
# abbrev for weekdays:
# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat
time workhours {
weekly mtwhf 08:00 - 16:30
date *-*-01 08:00 - 16:30
}
#
# REWRITE RULES:
#
rew dmz {
s@://admin/@://admin.foo.bar.de/@i
s@://foo.bar.de/@://www.foo.bar.de/@i
}
#
# SOURCE ADDRESSES:
#
source BIA {
ip 192.168.0.6
}
source cdg_network {
ip 192.168.0.1-192.168.0.254
}
#
# DESTINATION CLASSES:
#
destination pornographie {
domainlist adult/domains
urllist adult/urls
}
destination drogue {
domainlist drogue/domains
urllist drogue/urls
}
destination warez {
domainlist warez/domains
urllist warez/urls
}
destination games {
domainlist games/domains
urllist games/urls
}
acl {
cdg_network {
pass !pornographie !drogue !warez !games
redirect [www.google.fr]
}
BIA {
pass !pornographie !drogue !warez !games
redirect [www.google.fr]
}
}
PROCESSUS PS AUX LANCES
root 24112 0.0 0.2 48824 2328 ? Ss 12:32 0:00 /usr/sbin/squid -sYD
squid 24114 0.3 1.4 59080 14664 ? S 12:32 0:01 (squid) -sYD
squid 24115 0.0 0.1 9556 1416 ? Ss 12:32 0:00 (squidGuard) -c /etc/squidguard.conf /usr/sbin/squidGuard -c /etc/squidguard.conf
(...)
squid 24145 0.0 0.1 32860 1776 ? Ss 12:32 0:00 (ncsa_auth) /usr/etc/passwd
(...)
squid 24159 0.0 0.1 32728 1432 ? Ss 12:32 0:00 (ncsa_auth) /usr/etc/passwd
squid 24160 0.0 0.1 29736 1440 ? Ss 12:32 0:00 (unlinkd)
root 24206 0.0 0.0 7316 900 pts/3 S+ 12:40 0:00 grep squid
Je me tourne vers vous aujourd'hui car je suis un peu dans l'embarras.
J'ai installé Squid 3.0 ainsi que squidguard. J'ai posté les fichiers de configuration plus loin.
Squid se lance avec l'utilisateur squid:nogroup, squidguard est lancé par redirect_program dans la configuration de squid, donc avec l'utilisateur squid:nogroup.
Squid fonctionne parfaitement, squidguard, hélas, ne filtre aucune url, ni aucun domaine. Les bases de données sont bien initialisées et activées, ainsi que les acl. L'utilisateur squid:nogroup est propriétaire de ces bases de données.
Donc, tout devrait fonctionner à merveille. Hélas, squidguard ne fait pas son boulot...
Une idée, même la plus étrange, serait la bienvenue...
Merci à tous de votre aide.
FICHIER CONF SQUID
# WELCOME TO SQUID 3.0.STABLE5
# ----------------------------
# OPTIONS FOR AUTHENTICATION
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 10 hour
auth_param basic children 15
auth_param basic program /usr/sbin/ncsa_auth /usr/etc/passwd
authenticate_ip_ttl 60 second
# ACCESS CONTROLS
acl cdg_network src 192.168.0.1-192.168.0.254/255.255.255.255
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21 # http
acl Safe_ports port 443 563 # ftp
acl Safe_ports port 1025-65535 # https, snews
acl Safe_ports port 488 # unregistered ports
acl Safe_ports port 777 # gss-http
acl CONNECT method CONNECT # multiling http
acl BIA src 192.168.0.6/255.255.255.255
acl QUERY urlpath_regex cgi-bin\?
acl authentification proxy_auth REQUIRED
no_cache deny QUERY
http_access allow cdg_network manager
http_access allow authentification
http_access allow BIA
http_access deny manager
icp_access allow cdg_network
htcp_access allow cdg_network
# NETWORK OPTIONS
http_port 192.168.0.200:3128
# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
cache_peer 105.178.29.43 parent 3128 3130 no-query default
# MEMORY CACHE OPTIONS
cache_mem 108 MB
memory_replacement_policy lru
# DISK CACHE OPTIONS
cache_replacement_policy lru
cache_dir ufs /var/cache/squid 5000 16 256
maximum_object_size 4096 KB
cache_swap_low 80
cache_swap_high 85
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 0
mime_table /etc/squid/mime.conf
pid_filename /var/run/squid.pid
debug_options ALL,1
client_netmask 255.255.255.255
ftp_user Squid@
ftp_list_width 64
# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
unlinkd_program /usr/sbin/unlinkd
# OPTIONS FOR URL REWRITING
url_rewrite_program /usr/sbin/squidGuard -c /etc/squidguard.conf
redirect_program /usr/sbin/squidGuard -c /etc/squidguard.conf
redirect_children 30
# url_rewrite_concurrency 0
# url_rewrite_host_header on
# url_rewrite_bypass off
# OPTIONS FOR TUNING THE CACHE
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
refresh_pattern -i exe$ 0 50% 999999
refresh_pattern -i zip$ 0 50% 999999
refresh_pattern -i tar\.gz$ 0 50% 999999
refresh_pattern -i tgz 0 50% 999999
negative_ttl 5 minute
positive_dns_ttl 6 hour
negative_dns_ttl 1 minute
store_avg_object_size 6 KB
store_objects_per_bucket 20
request_header_max_size 10 KB
request_body_max_size 0 KB
# TIMEOUTS
connect_timeout 1 minute
read_timeout 15 minute
request_timeout 5 minute
client_lifetime 1 day
pconn_timeout 120 second
ident_timeout 10 second
shutdown_lifetime 30 second
# DELAY POOL PARAMETERS
delay_initial_bucket_level 50
# ICP OPTIONS
icp_port 3130
udp_incoming_address 0.0.0.0
udp_outgoing_address 255.255.255.255
minimum_direct_hops 4
icp_query_timeout 0
# MULTICAST ICP OPTIONS
mcast_icp_query_timeout 2000
# ERROR PAGE OPTIONS
#Default:
# error_directory /usr/share/squid/errors/English
# TAG: err_html_text
#Default:
# none
# TAG: email_err_data on|off
#Default:
# email_err_data on
# TAG: deny_info
#Default:
# none
# OPTIONS INFLUENCING REQUEST FORWARDING
tcp_recv_bufsize 0
dns_testnames netscape.com internic.net nlanr.net microsoft.com
ipcache_size 2048
ipcache_low 90
ipcache_high 95
fqdncache_size 4096
coredump_dir /var/cache/squid
never_direct allow cdg_network
FICHIER CONF SQUIDGUARD
#
# CONFIG FILE FOR SQUIDGUARD
#
dbhome /var/lib/squidGuard/db
logdir /var/log/squidGuard
#
# TIME RULES:
# abbrev for weekdays:
# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat
time workhours {
weekly mtwhf 08:00 - 16:30
date *-*-01 08:00 - 16:30
}
#
# REWRITE RULES:
#
rew dmz {
s@://admin/@://admin.foo.bar.de/@i
s@://foo.bar.de/@://www.foo.bar.de/@i
}
#
# SOURCE ADDRESSES:
#
source BIA {
ip 192.168.0.6
}
source cdg_network {
ip 192.168.0.1-192.168.0.254
}
#
# DESTINATION CLASSES:
#
destination pornographie {
domainlist adult/domains
urllist adult/urls
}
destination drogue {
domainlist drogue/domains
urllist drogue/urls
}
destination warez {
domainlist warez/domains
urllist warez/urls
}
destination games {
domainlist games/domains
urllist games/urls
}
acl {
cdg_network {
pass !pornographie !drogue !warez !games
redirect [www.google.fr]
}
BIA {
pass !pornographie !drogue !warez !games
redirect [www.google.fr]
}
}
PROCESSUS PS AUX LANCES
root 24112 0.0 0.2 48824 2328 ? Ss 12:32 0:00 /usr/sbin/squid -sYD
squid 24114 0.3 1.4 59080 14664 ? S 12:32 0:01 (squid) -sYD
squid 24115 0.0 0.1 9556 1416 ? Ss 12:32 0:00 (squidGuard) -c /etc/squidguard.conf /usr/sbin/squidGuard -c /etc/squidguard.conf
(...)
squid 24145 0.0 0.1 32860 1776 ? Ss 12:32 0:00 (ncsa_auth) /usr/etc/passwd
(...)
squid 24159 0.0 0.1 32728 1432 ? Ss 12:32 0:00 (ncsa_auth) /usr/etc/passwd
squid 24160 0.0 0.1 29736 1440 ? Ss 12:32 0:00 (unlinkd)
root 24206 0.0 0.0 7316 900 pts/3 S+ 12:40 0:00 grep squid
Poste le Tuesday 24 February 2009 12:42:51
Ce forum !
probleme squid/squidguard
Posez dans ce forum les questions qui ne trouvent pas place dans les autres...
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons