Защита на сървъра с Squid #1
Проблемът със защитата на собствения уеб сървър винаги е бил остър и е изправен пред администраторите. Традиционните методи за защита на защитната стена не винаги са подходящи поради редица причини. По-долу ще бъде обсъдена работата на добре познатия прокси Squid като прокси за сигурност на уеб сървъра.
Squid като обратен прокси
Този метод на работа на прокси сървъра също се нарича ускоряване на уеб сървъра, той се състои в разположението на проксито между интернет и сървъра. Така той променя принципа на своята работа на обратния - вместо да пуска потребителите в интернет, той пуска интернет потребителите в сайта.
Предимствата на такава верига са очевидни - ускоряване (в случай на статични страници), по-сигурна работа на уеб сървъра и възможност за задълбочено конфигуриране на междинната връзка, но това е прокси сървър. Процедурите за настройване на кеширане на данни обикновено не се различават от традиционните (препращащи проксита), основната разлика е скрита в настройката ACL (списъци за контрол на достъпа).
Всичко се отнася за Squid 2.x, в момента версия 2.5 STABLE 4 е достъпна за работа, използвайте я и . Можете да изтеглите Squid от http://www.squid-cache.org, не мисля, че инсталацията ще ви създаде трудности:
разопаковане - ./configure с необходимите опции - make - make install
Създава се потребител, променяме правата на директорията .../squid/var, давайки възможност да напише там на потребителя, под който работи Squid.
Редактирайте конфигурацията по подразбиране etc/squid.conf. Най-важните опции за обратна прокси работа са:
http_port 80 icp_port 0 #######— acl all_src_ip src 0/0 no_cache deny all_src_ip cache_dir null /tmp #######—— hosts_file/home/packages/squid/etc/hosts cache_effective_user squid visible_hostname www.server.com ######—>Свързан с обратен прокси—— #httpd_accel_host 10.0.0.1 #httpd_accel_port 80 #### ИЛИ използване на опция за виртуален хост. #### httpd_accel_host virtual httpd_accel_uses_host_header on #required for virtual hosts #——
Уверете се, че всички заявки към вашия уеб сървър са разрешени (засега ще коригираме този недостатък по-късно). Ако е необходимо, добавете http_access enable all към конфигурационния файл. ако имате нужда от кеш - създайте неговата структура, като стартирате Squid с ключа -z. Ако кеша не е планиран да бъде направен това само по себе си не е необходимо.
За тест опитайте да получите достъп до вашия сървър чрез Squid. Ако е необходимо, стартирайте сървъра в режим на отстраняване на грешки , за да напишете подробни журнали (те ще бъдат съхранени в /var/logs в директорията на Squid):