Squid ist einer der verbreitetsten Proxy/Cache-Server und es gibt ein paar Sicherheitsaspekte, die Sie beachten sollten. Squids Standard-Konfiguration lehnt alle Anfragen von Benutzern ab. Dennoch erlaubt das Debian-Paket Zugriff von localhost, Sie mssen nur Ihren Browser richtig konfigurieren. Sie sollten Squid so konfigurieren, dass er Zugriffe von vertrauenswrdigen Benutzern, Computern oder Netzwerken erlaubt, indem Sie eine Zugriffs-Kontroll-Liste (ACL, Access Control List) in
/etc/squid/squid.conf
definieren. Mehr Informationen, wie Sie ACLs definieren, finden Sie im
http://www.deckle.co.za/squid-users-guide/Main_Page. Ein gute deutsche Dokumentation ist das
http://www.squid-handbuch.de/. Beachten Sie, dass Debian eine minimale Konfiguration fr Squid bereitstellt, die alles verhindert, mit der Ausnahme, dass
localhost sich mit Ihrem Proxy-Server (der standardmig mit dem Port 3128 luft) verbinden kann. Sie mssen Ihre
/etc/squid/squid.conf
-Datei wie gewnscht anpassen. Die empfohlene minimale Konfiguration (mit dem Paket vertrieben) sieht wie folgt aus:
Die empfohlene minimale Konfiguration (mit dem Paket vertrieben) sieht wie folgt aus:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
(...)
# Erlaube nur cachemgr Zugriff von localhost
http_access allow manager localhost
http_access deny manager
# Erlaube nur purge Anfragen von localhost
http_access allow purge localhost
http_access deny purge
# Verbiete Anfragen zu unbekannten Ports
http_access deny !Safe_ports
# Verbiete CONNECT zu anderen als SSL-Ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
#Default:
# icp_access deny all
#
#Allow ICP queries from everyone
icp_access allow all
Sie sollten Squid auch entsprechend Ihren System-Ressourcen konfigurieren einschlielich des Cache-Speichers (Option cache_mem
), der Lage der zwischengespeicherten Dateien und der verwendeten Speichermenge auf der Platte (Option cache_dir
).
Beachten Sie, dass es bei ungeeigneter Konfiguration vorkommen kann, dass jemand eine Mail ber Squid weiterleitet, da die Protokolle HTTP und SMTP ein hnliches Design haben. Squids Standardkonfiguration verweigert Zugriffe auf Port 25. Wenn Sie Verbindungen an Port 25 erlauben wollen, fgen Sie ihn einfach zu der Safe_ports-Liste hinzu. Dies ist aber NICHT empfohlen.
Passendes Aufsetzen und Konfigurieren des Proxy/Cache-Servers ist nur ein Teil der Absicherung Ihrer Site. Eine andere notwendige Aufgabe ist es, Squids Log-Dateien zu analysieren, um sicher zu gehen, dass alles so arbeitet, wie es soll. Es gibt ein paar Pakete in Debian GNU/Linux, die einem Administrator hierbei helfen knnen. Die folgenden Pakete sind in Debian 3.0 (Woody) und Debian 3.1 (Sarge) verfgbar:
calamaris – Log-Datei-Analysator fr Squid- oder Oops-Proxy-Log-Dateien
modlogan – ein modularer Log-Datei-Analysator
sarg – Squid Analysis Report Generator
squidtaild – Squid-Log-Beobachtungsprogramm
Wenn Squid im Accelerator Mode betrieben wird, agiert er auch als Web-Server. Aktivieren dieser Option erhht die Komplexitt des Codes, was ihn weniger vertrauenswrdig macht. Standardmig ist Squid nicht dazu konfiguriert, als Web-Server zu arbeiten, Sie mssen sich darber also keine Gedanken machen. Sie sollen sicher sein, dass es wirklich ntig ist, wenn Sie diese Eigenschaft nutzen wollen. Weitere Informationen ber den Accelerator Mode in Squid finden Sie im
http://www.deckle.co.za/squid-users-guide/Accelerator_Mode.