Dansguardian

W szkołach i innych instytucjach oświatowych, w firmach potrzebna jest ochrona komputerów nie tylko przed szkodliwym oprogramowaniem i wirusami, ale także możliwość filtrowania treści. Można to realizować na rożne sposoby. Jednym z nich jest program dansguardian.

Program instalujemy podobnie jak inne (stan na dzień 29.03.2008 – pacman -S testing/dansguardian). W zależności od dotychczas zainstalowanych pakietów instalacja będzie wymagac również zainstalowania kilku innych pakietów zależnych, a być może również aktualizacji istniejących. Wśród zależności nie ma squida, ponieważ program może pracować nie tylko z własnym ale także zewnętrznym serwerem proxy.
Zakładam, że większość użytkowników będzie jednak chciała używać własnego squida. Należy wobec tego pamiętać, że wystarczy nam konfiguracja najprostsza, ale z włączoną opcją http_port 3128 transparent.
Zarówno squid, jak i dansguardian należy dopisać do sekcji DAEMONS w rc.conf. Aby dansguardian był skuteczny, należy jeszcze w iptables mieć obowiązkowe przekierowanie ruchu www:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -p tcp –dport 80 -j REDIRECT –to-port 8080
– aby użytkownicy korzystali z proxy w sposób transparentny.
W żadnym wypadku nie zalecam używania dansguardiana w sieciach abonenckich, ze względu na jego dużą domyślną restrykcyjność, można założyć ewentualnie używanie go opcjonalnie przez rodziców, którzy chcieliby ochronić dzieci przed niepożądanymi treściami.
Zasady działania i konfiguracja
Dansguardian ocenia strony na podstawie tzw wagi zakazanych elementów, zatem blokuje stronę jeśli ilość elementów zabronionych przekroczy pewien założony poziom lub jeśli strona znajdzie się na liście zakazanych lub zawiera jednoznacznie zabronione elementy.
Co można skonfigurować? Wszystkie pliki konfiguracyjne znajdują się w katalogu /etc/dansguardian
Po pierwsze można zajrzeć do pliku dansguardianf1.conf i znaleźć wartość:
naughtynesslimit = X
autorzy zalecają ustawienie limitu 50 dla małych dzieci, 100 dla starszych i 160 dla młodzieży. Praktyczną wartością po wstępnych testach wydaje się 100.
W tym samym pliku jest opcja bypass pozwalająca uzyskać tymczasowy dostęp do zabronionych stron po kliknięciu linku, który administrator musi dodać w kodzie strony template.html dla swojego języka. Oczywiście powinien być to link jakoś ukryty. Przy zastosowaniu zewnętrznego programu (nie sprawdzałem) można wg autorów programu uzyskiwać dostęp do zabronionych stron na hasło.
W pliku dansguardian.conf trzeba znaleźć zmienną language i ustawić jej wartość na polish, wówczas komunikaty dansguardiana wyświetlą się użytkownikom po polsku.
Dansguardian domyślnie zabroni nam ściągania wszelkich plików binarnych i innych uznanych za niebezpieczne. Aby to zmienić należy zahaszować pozycje występujące w pliku bannedextensionlist.
Można dodawać własne wpisy do plików z nazwą zaczynająca się od banned.. i do plików z nazwą zaczynającą się od exception… w pierwszych dodajemy to, czego chcemy zabronić, w drugich ustalamy nasze własne wyjątki.
Dansguardian ma również domyślnie włączoną ochronę antywirusową we współpracy z clamavem, może to nieco spowalniać dostęp do plików, ale jest to niewątpliwie pożyteczna funkcja dla stacji roboczych z Windows.

zablokowana strona

limit wagowy

Dodatkowe wskazówki
Jeśli nie chce nam się wyświetlać jakaś zupełnie niewinna – naszym zdaniem – strona, trzeba zajrzeć do /var/log/dansguardian i znaleźć na podstawie jakiej frazy strona została zablokowana. Na przykładzie www.onet.pl okazało się, ze występowała tam zabroniona domyślnie fraza lotto znajdująca się w pliku banned w katalogu /etc/dansguardian/phraseslist/gambling.

autor: W.Trąmpczyński (Maciek)


Dodaj komentarz