
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
centos:dansguardian_2.8 [03.08.2011 19:49. ] – [dansguardianf2.conf] djangocentos:dansguardian_2.8 [20.04.2018 10:36. ] (aktuell) – Externe Bearbeitung
Zeile 1: Zeile 1:
 +====== Dansguardian Version - Installation und Konfiguration ======
 +{{:centos:dansguardian-logo.png?80|Dansguardian Logo}}\\
 +Für die Zugriffsverwaltung und inhaltliche Bewertung der angewählten Internetseiten bedienen wir uns dem Proxy [[http://www.squid-cache.org/|Squid]] und dem Contentfilter [[http://dansguardian.org|Dansguardian]].\\
 +Bei dieser Konstellation arbeiten **//Squid//** und **//Dansguardian//** als einer Vermittler, der auf der einen Seite Anfragen entgegennimmt, um dann über seine eigene Adresse eine Verbindung zu einem Zielhost herzustellen. So bleibt einerseits die eigentliche Adresse des Client-Rechners dem Zielhost gegenüber komplett verborgen, was eine gewisse Anonymität schafft. Ferner können die Ergebnisse der Clientanfragen zwischengespeichert werden, um so Bandbreite zu sparen, da diese gepufferten Objekte nicht nochmals geladen werden müssen. Darüber hinaus haben wir so die Möglichkeit:
 +  * unerwünschte Seiten zu blocken (Pornographie)
 +  * bestimmte Inhalte nur bestimmten Usern zur Verfügung zu stellen (Multimediainhalte des WWW)
 +  * Seiten auf unerwünschten Inhalt zu überprüfen und ggf. zu blocken (Glücksspiel und politische Propaganda) oder
 +  * eine Virenprüfung der übermittelten Daten vorzunehmen.
 +<WRAP round info>Die einfachere Variante ist die Installation der Version **** aus dem [[http://dag.wieers.com/apt/|Dag Apt Repository]]. **//Stand Dezember 2009//**\\
 +Diese Version unterstützt __nur__ die Inhaltliche Überprüfung noch noch __**NICHT**__ die Virenfilterung! Diese ist im aktuellen neuen Release-Kandidaten enthalten - die Installation ist im folgenden [[centos:dansguardian_2.10|Kapitel]] beschrieben.</WRAP>
 +===== Installation =====
 +Wie sollte es auch hier anders sein, die Installation der benötigten Programme erfolgt im gewohnten Rahmen via **yum**, welches wir als User **root** ausführen.
 +   # su -
 +   # yum install dansguardian
 +Was uns das Paket **dansguardian** alles mitbringt offenbart eine detailierte Blick((zum besseren Vergleich zwischen der Verison zur erfolgt der //Abdruck// der gesamten Abfrage durch **rpm -iql**)), nach erfolgter Installation des Paketes, in das **RPM**. 
 +<code># rpm -iql dansguardian
 +Name        : dansguardian                 Relocations: (not relocatable)
 +Version     :                           Vendor: Dag Apt Repository, http://dag.wieers.com/apt/
 +Release     : 1.2.el5.rf                    Build Date: Mi 07 Mär 2007 19:59:59 CET
 +Install Date: Sa 08 Nov 2008 13:55:11 CET      Build Host: lisse.leuven.wieers.com
 +Group       : System Environment/Daemons    Source RPM: dansguardian-
 +Size        : 736787                           License: GPL
 +Signature   : DSA/SHA1, Fr 09 Mär 2007 10:32:24 CET, Key ID a20e52146b8d79e6
 +Packager    : Dag Wieers <dag@wieers.com>
 +URL         : http://www.dansguardian.org/
 +Summary     : Content filtering web proxy
 +Description :
 +DansGuardian is a web filtering engine that checks the content within
 +the page itself in addition to the more traditional URL filtering.
 +DansGuardian is a content filtering proxy. It filters using multiple methods,
 +including URL and domain filtering, content phrase filtering, PICS filtering,
 +MIME filtering, file extension filtering, POST filtering.
 +===== Konfiguration =====
 +Mit dem Editor unserer Wahl z.B. **vim** bearbeiten wir nun die Konfigurationsdatei des Contentfilters:
 +   # vim /etc/dansguardian/dansguardian.conf
 +Das erste und wichtigste, was wir hier groß einstellen, sind die Adress- und Portangaben:
 +<code># the port that DansGuardian listens to.
 +filterport = 8080
 +# the ip of the proxy (default is the loopback - i.e. this server)
 +proxyip =
 +# the port DansGuardian connects to proxy on
 +proxyport = 3128
 +Ferner passen wir noch die //Internationalisierung// in der Konfigurationsdatei an:
 +<code># the port that DansGuardian listens to.
 +language = 'german'</code>
 +In Summe ergibt sich also folgende Gesamtkonfiguration:
 +<code>egrep -v '(^.*#|^$)' /etc/dansguardian/dansguardian.conf
 +reportinglevel = 3
 +languagedir = '/etc/dansguardian/languages'
 +language = 'german'
 +loglevel = 3
 +logexceptionhits = on
 +logfileformat = 1
 +filterip =
 +filterport = 8080
 +proxyip =
 +proxyport = 3128
 +accessdeniedaddress = 'http://YOURSERVER.YOURDOMAIN/cgi-bin/dansguardian.pl'
 +nonstandarddelimiter = on
 +usecustombannedimage = 1
 +custombannedimagefile = '/etc/dansguardian/transparent1x1.gif'
 +filtergroups = 1
 +filtergroupslist = '/etc/dansguardian/filtergroupslist'
 +bannediplist = '/etc/dansguardian/bannediplist'
 +exceptioniplist = '/etc/dansguardian/exceptioniplist'
 +banneduserlist = '/etc/dansguardian/banneduserlist'
 +exceptionuserlist = '/etc/dansguardian/exceptionuserlist'
 +showweightedfound = on
 +weightedphrasemode = 2
 +urlcachenumber = 1000
 +urlcacheage = 900
 +phrasefiltermode = 2
 +preservecase = 0
 +hexdecodecontent = 0
 +forcequicksearch = 0
 +reverseaddresslookups = off
 +reverseclientiplookups = off
 +createlistcachefiles = on
 +maxuploadsize = -1
 +maxcontentfiltersize = 256
 +usernameidmethodproxyauth = on
 +usernameidmethodident = off
 +preemptivebanning = on
 +forwardedfor = off
 +usexforwardedfor = off
 +logconnectionhandlingerrors = on
 +maxchildren = 120
 +minchildren = 8
 +minsparechildren = 4
 +preforkchildren = 6
 +maxsparechildren = 32
 +maxagechildren = 500
 +ipcfilename = '/tmp/.dguardianipc'
 +urlipcfilename = '/tmp/.dguardianurlipc'
 +nodaemon = off
 +nologger = off
 +softrestart = off</code>
 +Nach der erfolgten Inbetriebnahme drehen wir dem Dansguardian etwas //die Luft ab//, was heissen will, wir lassen uns nur noch die geblockten Seiten reporten, da das Logfile ggf. etwas arg überschwemmt wird mit Informationen, die uns eh' nicht interessieren.
 +<code># vim /etc/dansguardian/dansguardian.conf
 +# Logging Settings
 +# 0 = none  1 = just denied  2 = all text based  3 = all requests
 +loglevel = 1</code>
 +In der zweiten Konfig-Datei **/etc/dansguardian/dansguardianf1.conf** stellen wir dann noch ein, wie //scharf// der Kontentfilter arbeiten soll:
 +   # vim /etc/dansguardian/dansguardianf1.conf
 +Mit einem **Naughtyness limit** von **100** liegt man schon mal in einem praktikablen Bereich.
 +<code># Naughtyness limit
 +# This the limit over which the page will be blocked.  Each weighted phrase is given
 +# a value either positive or negative and the values added up.  Phrases to do with
 +# good subjects will have negative values, and bad subjects will have positive
 +# values.  See the weightedphraselist file for examples.
 +# As a guide:
 +# 50 is for young children,  100 for old children,  160 for young adults.
 +naughtynesslimit = 100</code>
 +Somit ergibt sich hier folgende Gesamtkonfiguration:
 +<code>egrep -v '(^.*#|^$)' /etc/dansguardian/dansguardianf1.conf
 +bannedphraselist = '/etc/dansguardian/bannedphraselist'
 +weightedphraselist = '/etc/dansguardian/weightedphraselist'
 +exceptionphraselist = '/etc/dansguardian/exceptionphraselist'
 +bannedsitelist = '/etc/dansguardian/bannedsitelist'
 +greysitelist = '/etc/dansguardian/greysitelist'
 +exceptionsitelist = '/etc/dansguardian/exceptionsitelist'
 +bannedurllist = '/etc/dansguardian/bannedurllist'
 +greyurllist = '/etc/dansguardian/greyurllist'
 +exceptionurllist = '/etc/dansguardian/exceptionurllist'
 +bannedregexpurllist = '/etc/dansguardian/bannedregexpurllist'
 +bannedextensionlist = '/etc/dansguardian/bannedextensionlist'
 +bannedmimetypelist = '/etc/dansguardian/bannedmimetypelist'
 +picsfile = '/etc/dansguardian/pics'
 +contentregexplist = '/etc/dansguardian/contentregexplist'
 +naughtynesslimit = 100
 +bypass = 0
 +bypasskey = ''</code>
 +===== Starten von Dansguardian =====
 +Nun starten wir das erste mal unsere neuen Dienst **dansguardian**:
 +   # service dansguardian start
 +   Web Content Filter (dansguardian) starten:                  OK  ]
 +==== automatisches Starten von Dansguardian beim Systemstart ====
 +Damit der Dansguardian-daemon automatisch bei jedem Systemstart startet, kann die Einrichtung des Start-Scriptes über folgenden Befehl erreicht werden:
 +   # chkconfig dansguardian on
 +Die Überprüfungung ob der Dienst (Daemons) Dansguardian wirklich bei jedem Systemstart automatisch mit gestartet wird, kann durch folgenden Befehle erreicht werden:
 +   # chkconfig --list | grep dansguardian
 +   dansguardian    0:Aus   1:Aus   2:Ein   3:Ein   4:Ein   5:Ein   6:Aus
 +Wichtig sind jeweils die Schalter **on** bzw. **Ein** bei den Runleveln - **2 3 4 5**. 
 +===== Optimierung von dansguardian  =====
 +Von Haus aus, ist der "ausgelieferte" Dansguardian doch recht aggressiv eingestellt; d.h. viele doch erwünschten Seiten werden geblockt. Zum Erlauben dieser Seiten gibt es mehrere Möglichkeiten.\\
 +==== Ausnahmelisten für Web-Sites ====
 +Ganze Seiten können von der inhaltlichen Bewertung ausgenommen werden, wenn in der **/etc/dansguardian/exceptionsitelist** ein entsprechender Eintrag vorhanden ist, so z.B.:
 +<code># vim /etc/dansguardian/exceptionsitelist
 +#Sites in exception list
 +#Don't bother with the www. or
 +#the http://
 +#These are specifically domains and are not URLs.
 +#For example 'foo.bar/porn/' is no good, you need
 +#to just have 'foo.bar'.
 +#You can also match IPs here too.
 +#As of DansGuardian 2.7.3 you can now include
 +#.tld so for example you can match .gov for example
 +==== Ausnahmelisten für Hosts ====
 +Will man einzelne Workstations ausnehmen, so trägt man diese in die **/etc/dansguardian/exceptioniplist** ein:
 +<code># vim /etc/dansguardian/exceptioniplist
 +#IP addresses of computers to not filter
 +#and just pass requests straight through to
 +#These would be servers which
 +#need unfiltered access for
 +#updates.  Also administrator
 +#workstations which need to
 +#download programs and check
 +#out blocked sites should be
 +#put here.
 +#Only put IP addresses here,
 +#not host names
 +#This is not the IP of web servers
 +#you don't want to filter.
 +#BOfH's Workstation
 +==== Sperrlisten für Dateiextensions ====
 +Über die **/etc/dansguardian/bannedextensionlist** stellen wir dann bei Bedarf noch ein, welche Datei-Extensions wird erlauben und welche wir (aus)sperren wollen:
 +<code># vim /etc/dansguardian/bannedextensionlist
 +#Banned extension list
 +# File extensions with executable code 
 +# The following file extensions can contain executable code.
 +# This means they can potentially carry a virus to infect your computer.
 +.ade  # Microsoft Access project extension
 +.adp  # Microsoft Access project
 +.asx  # Windows Media Audio / Video
 +.bas  # Microsoft Visual Basic class module
 +.bat  # Batch file
 +.cab  # Windows setup file
 +.chm  # Compiled HTML Help file
 +.cmd  # Microsoft Windows NT Command script
 +.com  # Microsoft MS-DOS program
 +.cpl  # Control Panel extension
 +.crt  # Security certificate 
 +.dll  # Windows system file
 +.exe  # Program
 +.hlp  # Help file
 +.ini  # Windows system file
 +.hta  # HTML program
 +.inf  # Setup Information
 +.ins  # Internet Naming Service
 +.isp  # Internet Communication settings
 +# .js   # JScript file - often needed in web pages
 +# .jse  # Jscript Encoded Script file - often needed in web pages
 +.lnk  # Windows Shortcut
 +.mda  # Microsoft Access add-in program 
 +.mdb  # Microsoft Access program
 +.mde  # Microsoft Access MDE database
 +.mdt  # Microsoft Access workgroup information 
 +.mdw  # Microsoft Access workgroup information 
 +.mdz  # Microsoft Access wizard program 
 +.msc  # Microsoft Common Console document
 +.msi  # Microsoft Windows Installer package
 +.msp  # Microsoft Windows Installer patch
 +.mst  # Microsoft Visual Test source files
 +.pcd  # Photo CD image, Microsoft Visual compiled script
 +.pif  # Shortcut to MS-DOS program
 +.prf  # Microsoft Outlook profile settings
 +.reg  # Windows registry entries
 +.scf  # Windows Explorer command
 +.scr  # Screen saver
 +.sct  # Windows Script Component
 +.sh   # Shell script
 +.shs  # Shell Scrap object
 +.shb  # Shell Scrap object
 +.sys  # Windows system file
 +.url  # Internet shortcut
 +.vb   # VBScript file
 +.vbe  # VBScript Encoded script file
 +.vbs  # VBScript file
 +.vxd  # Windows system file
 +.wsc  # Windows Script Component
 +.wsf  # Windows Script file
 +.wsh  # Windows Script Host Settings file
 +.otf  # Font file - can be used to instant reboot 2k and xp
 +.ops  # Office XP settings 
 +# Files which one normally things as non-executable but
 +# can contain harmful macros and viruses
 +.doc  # Word document
 +.xls  # Excel document
 +.pps  # PowerPoint selfrunning
 +# Other files which may contain files with executable code
 +#.gz   # Gziped file
 +#.tar  # Tape ARchive file
 +.zip  # Windows compressed file
 +#.tgz  # Unix compressed file
 +#.bz2  # Unix compressed file
 +.cdr  # Mac disk image
 +.dmg  # Mac disk image
 +.smi  # Mac self mounting disk image
 +.sit  # Mac compressed file
 +.sea  # Mac compressed file, self extracting
 +.bin  # Mac binary compressed file
 +.hqx  # Mac binhex encoded file
 +.rar  # Similar to zip
 +# Time/bandwidth wasting files
 +.mp3  # Music file
 +.mpeg # Movie file
 +.mpg  # Movie file
 +.avi  # Movie file
 +.asf  # this can also exploit a security hole allowing virus infection
 +.iso  # CD ISO image
 +.ogg  # Music file
 +.wmf  # Movie file
 +.bin # CD ISO image
 +.cue # CD ISO image
 +# meine eigenen 
 +.ani  # animated cursor</code>
 +==== Sperrlisten für URLS (regex) ====
 +Über die **/etc/dansguardian/bannedregexpurllist** haben wir die möglichkeit, einzelne Seiten an Hand ihrer URL zu sperren. Hierzu Nutzen wir geeignete **//REGEX//** um die URLs zu definieren, welche wir (aus)sperren wollen:
 +<code># vim /etc/dansguardian/bannedregexpurllist
 +#Banned URLs based on Regular Expressions
 +# E.g. 'sex' would block sex.com and middlesex.com etc
 +# The following two lines may work better than the above - Philip Pearce 9/11/2004
 +# Onlinegaming
 +# Musikmaffia
 +# videoportale
 +# Werbemüll
 +# Schnackslanbahnungsportale
 +===== Filtergruppen bei dansguardian =====
 +Oft ist es wünschenswert einzelen User(gruppen) bei der Bewertung der Verbindungswünsche in's WWW unterschiedlich zu behandeln. So könnten zum Beispiel Schüler und Lehrer, DAUs, Null- Halb- und Stellenleiter wie auch VIPs mit eigenen Filterregelsätzen belegt werden.\\
 +Was zunächst kompliziert anmutet, funktioniert recht einfach und auch überschaubar.\\
 +==== dansguardian.conf ====
 +Als erstes geben wir unserem Kontentfilter mit, wieviele Filtergruppen (max. 99) wir verwenden möchten.
 +<code># vim dansguardian.conf
 +# Filter groups options
 +# filtergroups sets the number of filter groups. A filter group is a set of content
 +# filtering options you can apply to a group of users.  The value must be 1 or more.
 +# DansGuardian will automatically look for dansguardianfN.conf where N is the filter
 +# group.  To assign users to groups use the filtergroupslist option.  All users default
 +# to filter group 1.  You must have some sort of authentication to be able to map users
 +# to a group.  The more filter groups the more copies of the lists will be in RAM so
 +# use as few as possible.
 +filtergroups = 2 
 +filtergroupslist = '/etc/dansguardian/filtergroupslist'</code>
 +==== filtergroupslist ====
 +In der Datei **filtergroupslist** geben wir nun all diejenigen Nutzer an, die nicht in der Standardgruppe bewertet werden sollen, sondern in einer der zuvor definierten Filtergruppen.
 +<code># vim filtergroupslist
 +# Filter Groups List file for DansGuardian
 +# Format is <user>=filter<1-99> where 1-99 are the groups
 +==== dansguardianf2.conf ====
 +Die eigentliche Änderungen zur Standardkonfiguration nehmen wir nun, in der //dansguardian**fn**//.conf vor. Neben einen ggf. abweichenden ** Naughtyness limit** definieren wir hier etwaige abweichende Sperr- und Ausnahme-Listen.
 +<code># vim dansguardianf2.conf
 +# Content filtering files location
 +bannedphraselist = '/etc/dansguardian/bannedphraselist'
 +weightedphraselist = '/etc/dansguardian/weightedphraselist'
 +exceptionphraselist = '/etc/dansguardian/exceptionphraselist'
 +bannedsitelist = '/etc/dansguardian/bannedsitelist_f2'
 +greysitelist = '/etc/dansguardian/greysitelist'
 +exceptionsitelist = '/etc/dansguardian/exceptionsitelist_f2'
 +bannedurllist = '/etc/dansguardian/bannedurllist'
 +greyurllist = '/etc/dansguardian/greyurllist'
 +exceptionurllist = '/etc/dansguardian/exceptionurllist'
 +bannedregexpurllist = '/etc/dansguardian/bannedregexpurllist_f2'
 +bannedextensionlist = '/etc/dansguardian/bannedextensionlist'
 +bannedmimetypelist = '/etc/dansguardian/bannedmimetypelist'
 +picsfile = '/etc/dansguardian/pics'
 +contentregexplist = '/etc/dansguardian/contentregexplist'
 +In den jeweiligen Listen erweitern wir nun die entsprechenden gesperrten Seiten oder definieren entsprechende Ausnahmeregelungen.