Библиотека сайта rus-linux.net
25. Беспокойство о безопасности
25.1 Прокси открытого доступа
Файл конфигурации Squid по умолчанию запрещает все клиентские запросы. Администраторы отвечают за настройку Squid с разрешением доступа только проверенным хостам и/или пользователям.
Если ваш прокси разрешает доступ с непроверенных хостов, то будте уверены, люди обнаружат это и будут злоупотреблять вашей службой. Некоторые люди будут использовать ваш прокси, чтобы сделать свой броузинг анонимным. Другие намеренно будут использовать ваш прокси для проведения действий, которые могут быть нелегальными (типа мошенничества с кредитными картами). Существует большое количество веб-сайтов, выставляющих на всеобщее обозрение списки прокси открытого доступа. Вы хотите пополнить этот список ?
Будте внимательны при разработке вашей схемы контроля доступа. Вы должны проверять ее время от времени, чтобы убедиться, что все работает так как вы ожидаете.
25.2 Релай почты
SMTP и HTTP довольно похожи по своей реализации. Это, к сожалению, может позволить кому-нибудь пересылать сообщения электронной почты через ваш HTTP прокси. Чтобы предотвратить это вы должны убедиться, что ваш прокси запрещает HTTP-запросы к порту 25, т.е. SMTP-порту.
Squid настроен на это по умолчанию. Дефолтовый squid.conf файл имеет небольшой список разрешенных портов. Гляньте на Safe_ports ACL в squid.conf. Ваш конфигурационный файл должен всегда прежде всего запрещать небезопасные порты в списке http_access:
http_access deny !Safe_ports (дополнительные строки http_access ...)
НЕ добавляйте порт 25 к Safe_ports (пока вашей целью не является пополнить список RBL). Вы можете добавить в cron задачу, регулярно проверяющую, блокирует ли ваш прокси доступ к порту 25.
$Id: FAQ.sgml,v 1.106 2002/01/13 20:08:00 wessels Exp $
Вперед Назад Содержание