Bastille+Squid+Dansguardian=Nicolas navegando seguro ( Atualizado )

Depois da odisséia para que a máquina de Nicolas funcionasse veio a hora de por restrições e implementar um pouco de segurança na máquina do meu filhote.

Inicialmente rodei o Bastille para fazer o Hardening do S.O. tirando as possiveis brechas de segurança. Como fiz isso fica para um outro post que saira muito em breve.

Depois foi a vez da dupla Squid + Dansguardian evitando assim acessos a sites indevidos. Apesar dele ter apenas 4 anos alguns cliques em banners infonesivos podem levá-lo ao lado negro da internet, coisa que ainda está muito cedo para acontecer.

Agora vou mostrar como isso foi feito de forma fácil e rápida

Inicialmente instalei o pacotes necessários

OBS: Não vou colocar o sudo antes porque tudo foi feito no Debian Lenny, lembre-se de usar o sudo antes dos comandos se estiver usando o Ubuntu.

aptitude install squid dansguardian sysvconfig

Após a instalação configurei o Squid

cp /etc/squid/squid.conf /etc/squid/squid.conf.original

vim /etc/squid.conf

No Squid configurei as seguintes linhas:

http_port 3128 transparent

cache_effective_user proxy

Após configurar o Squid foi necessário reiniciá-lo

service squid restart

OBS: O comando service normalmente é usado em distros RedHat like, porém podemos usá-lo nos Debian like instalando o pacote sysvconfig.

Depois foi a vez de configurar o Dansguardian

vim /etc/dansguardian/dansguardian.conf

Comentei a seguinte linha:

UNCONFIGURED – Please remove this line after configuration

Editei a linha abaixo:

# language to use from languagedir.
# language = ‘ukenglish’ #Configuracao original comentado por Alex
language = ‘portuguese’

Fiz o download da blacklist

Descompactei a blacklist no diretório /etc/dansguardian/lists/

cd /etc/dansguardian/lists

tar zxvf shallalist.tar.gz

Renomeei o diretório shallalist1 para blacklists

mv shalalist1 blacklists

Movi o conteúdo do diretório blacklists/BL para blacklists

cd /etc/dansguardian/lists/blacklists/

mv -fr BL/* .

Editei o arquivo /etc/dansguarian/lists/bannedsitelist adcionando as categorias existentes no diretório /etc/dansguardian/lists/blacklists/ e tirando o comentário das catgorias que quero bloquear.

Após as configurações foi necessário iniciar o Dansguardian

service dansguardian start

Para finalizar configurei o iptables para fazer proxy transparente executando os seguintes comandos

iptables -t nat -A OUTPUT -p tcp –dport 80 -m owner –uid-owner proxy -j ACCEPT
iptables -t nat -A OUTPUT -p tcp -m tcp –dport 3128 -m owner –uid-owner dansguardian -j ACCEPT
iptables -t nat -A OUTPUT -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 8080
iptables -t nat -A OUTPUT -p tcp -m tcp –dport 3128 -j REDIRECT –to-ports 8080

Para que isso fosse executado após reinciar a máquina criei um pequeno script de inicialização

iptables-save > /etc/firewall

vim /etc/init.d/iptrestore

#!/bin/sh
iptables-restore < /etc/firewall

chmod 755 /etc/init.d/iptrestore

update-rc.d iptrestore defaults

Depois disso tudo veio a hora do teste. Digitei no Iceweasel http://www.playboy.com e shoowwww.

As fotos das mulheres peladas foram substituidas pela tela abaixo: