abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 15:44 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice dnes slaví 6 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně ale byla založena až 17. února 2012. Poslední lednový den byl vydán LibreOffice 6.0. Dle zveřejněných statistik byl za dva týdny stažen již cca milionkrát.

Ladislav Hagara | Komentářů: 1
včera 04:44 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že byla vydána nová verze 1.2.3 svobodného routovacího démona Quagga (Wikipedie) přinášející několik bezpečnostních záplat. Při nejhorší variantě může dojít až k ovládnutí běžícího procesu, mezi dalšími možnostmi je únik informací z běžícího procesu nebo odepření služby DoS. Konkrétní zranitelnosti mají následující ID CVE-2018-5378, CVE-2018-5379, CVE-2018-5380 a CVE-2018-5381.

Ladislav Hagara | Komentářů: 0
včera 00:22 | Pozvánky

V sobota 7. dubna proběhne v Brně na FIT VUT nekomerční konference Security Session '18 věnovaná novinkám a aktuálním problémům v oblasti bezpečnosti mobilních a informačních technologií. Organizátoři vyhlásili CFP. Návrhy přednášek a workshopů lze zaslat do 4. března. Spuštěna byla registrace.

Ladislav Hagara | Komentářů: 0
16.2. 23:55 | Nová verze

Byla vydána verze 1.10 programovacího jazyka Go (Wikipedie). Přehled novinek v poznámkách k vydání. Zdůraznit lze vylepšené cachování buildů.

Ladislav Hagara | Komentářů: 1
15.2. 22:55 | Komunita

V sobotu 21. dubna proběhne v Bratislavě na Fakultě informatiky a informačních technologií STU konference Bratislava OpenCamp 2018. Organizátoři vyhlásili CFP. Návrhy přednášek a workshopů lze zaslat do 10. března. Spuštěna byla registrace.

Ladislav Hagara | Komentářů: 0
15.2. 21:22 | Nová verze

Byla vydána verze 1.24 programovacího jazyka Rust (Wikipedie). Z novinek vývojáři zdůrazňují nový nástroj rustfmt pro reformátování zdrojových kódů dle požadovaného programovacího stylu a inkrementální překlad. Více v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust By Example.

Ladislav Hagara | Komentářů: 6
15.2. 13:00 | Komunita

Desktopovému týmu Ubuntu by se hodilo více informací o desktopech uživatelů Ubuntu. V diskusním listu ubuntu-devel byl k diskusi předložen návrh řešení a seznam odesílaných informací. Ve výchozím stavu by mělo být odesílaní informací povoleno. Uživatel by měl mít možnost odesílaní kdykoli jednoduše zakázat [reddit].

Ladislav Hagara | Komentářů: 21
15.2. 05:55 | Komunita

V úterý 13. února vypršela platnost posledního patentu US 7,334,248 souvisejícího s MPEG-2 [Hacker News].

Ladislav Hagara | Komentářů: 23
15.2. 04:44 | Komunita

Organizace Electronic Frontier Foundation (EFF) na svém blogu oznámila, že otevřená certifikační autorita Let's Encrypt dosáhla dalšího milníku. Počet platných certifikátů překročil 50 milionů, viz statistiky. Cekově bylo vydáno již přes 217 milionů certifikátů.

Ladislav Hagara | Komentářů: 0
15.2. 00:22 | Pozvánky

Konference SUSE Expert Days 2018 proběhnou mimo jiné také 1. března v Bratislavě a 15. března v Praze.

Ladislav Hagara | Komentářů: 0
Který webový vyhledávač používáte nejčastěji?
 (3%)
 (27%)
 (62%)
 (2%)
 (3%)
 (1%)
 (1%)
 (1%)
Celkem 339 hlasů
 Komentářů: 34, poslední 14.2. 18:44
    Rozcestník

    Privoxy - 3 (řízení přístupu)

    19. 6. 2007 | Jiří Poláček | Bezpečnost | 5117×

    V závěrečném díle popisujícím Privoxy se seznámíme s řízením přístupu klientů k serverům, směrováním požadavků nadřazeným proxy-serverům a s webovým uživatelským rozhraním.

    Řízení přístupu na základě rozsahu IP adres

    Nadešel čas seznámit se s dalšími dvěma direktivami primárního konfiguračního souboru – permit-access a deny-access – které, jak již názvy napovídají, povolují nebo naopak zakazují přístup. Obě direktivy mají stejné parametry – zdrojovou a (nepovinnou) cílovou adresu. Ty se zadávají číselně nebo pomocí doménového jména, nepovinná maska (jakožto počet bitů) následuje za lomítkem. Nuže mějme příklad:

    permit-access  192.168.0.0/24
    deny-access    192.168.0.7     www.zakazane-ovoce.cz
    

    Privoxy čte konfiguraci následovně: komukoliv z domácí sítě (tj. v podsíti 192.168.0.x) je povolen přístup kamkoliv (chybějící cílová adresa značí žádné omezení), výjimkou je počítač s IP adresou 192.168.0.7, který má zakázaný přístup na web www.zakazane-ovoce.cz. Jiný příklad:

    permit-access  10.0.0.0/8
    deny-access    10.1.0.0/16
    permit-access  10.1.2.0/24
    permit-access  10.1.2.64/26    www.muni.cz/16
    deny-access    10.1.2.100      www.muni.cz
    

    Komukoliv z privátní sítě třídy A (10.x.x.x) je povolen přístup kamkoliv s výjimkou podsítě třídy B (10.1.x.x), odkud je naopak zamezen přístup kamkoliv. Zde však platí další výjimka pro podsíť třídy C (10.1.2.x), odkud je opět povolen přístup kamkoliv, pouze v 26bitové podsíti (10.1.2.64–127) je přístup povolen pouze do sítě třídy B, ve které se nachází server www.muni.cz (což v reálu znamená libovolný počítač v doméně Masarykovy univerzity). I zde však platí ještě jedna výjimka – počítač s IP 10.1.2.100 může přistupovat k libovolnému počítači MU s výjimkou univerzitního webového serveru.

    Tento vyumělkovaný příklad demonstruje možnost vícenásobného používání direktiv permit-access a deny-access a zároveň ukazuje způsob jejich vyhodnocování: Dokud není žádná direktiva řízení přístupu použita, je přístup k proxy-serveru omezen pouze parametrem listen-address. V případě použití (byť jediné) direktivy řízení přístupu je náhle vše zakázáno a Privoxy komunikuje pouze s těmi klienty, jejichž adresa vyhovuje alespoň jednomu pravidlu permit-access a zároveň již nevyhovuje žádnému následujícímu pravidlu deny-access (jinými slovy poslední shoda vyhrává).

    Potěšující je, že změny v řízení přístupu lze aplikovat za běhu Privoxy, bez restartu programu. Díky tomu jsem mohl v naší instituci připravit proxy-server, který obslouží jen autentizované klienty. Uživatelé zadají své přihlašovací údaje na zabezpečené webové stránce, ty jsou ověřeny vůči LDAP-serveru a v kladném případě je přidán do konfiguračního souboru Privoxy řádek permit-access s uživatelovou IP adresou. Od tohoto okamžiku mohou uživatelé začít proxy-server využívat.

    Směrování požadavků

    Vybrané požadavky klienta lze v Privoxy též přesměrovat nadřazenému proxy-serveru, který se může starat o kešování stránek, skrývání identity uživatele či prostě jen o přístup k Internetu. Směrování požadavků lze v základním konfiguračním souboru definovat direktivou forward:

    forward   /      anon-proxy.example.org:8080
    forward   :443   .
    

    Příklad zkopírovaný z dokumentace snad nemůže být názornější – prvním parametrem je vzorek cíle, na který se má směrování uplatnit, druhým pak adresa a port nadřazeného proxy-serveru – tečka značí přímé připojení k požadovanému serveru.

    Vícenásobné použití volby forward je povoleno s tím, že poslední shoda vyhrává, proto dle uvedeného příkladu budou všechny požadavky směrovány na anonymizující proxy-server s výjimkou zabezpečených spojení (SSL na standardním portu 443), které jsou směrovány přímo. Pro úplnost – pro směrování požadavků přes SOCKS-proxy lze použít direktivy forward-socks4 a forward-socks4a, podrobnosti viz dokumentace.

    K řízení přístupu a směrování požadavků v Privoxy je vhodné poznamenat následující:

    • Privoxy není firewall, a tudíž jej tak nelze chápat a používat.
    • Adresy je vhodnější zadávat číselně, překlad z doménových jmen zdržuje.
    • V případě serverové nasazení Privoxy je dobré omezit webové rozhraní (viz dále) a spouštět proxy-server v izolovaném prostředí (chroot).

    Webové rozhraní

    Jak již bylo řečeno, Privoxy volitelně disponuje webovým rozhraním pro uživatelsky pohodlnější konfiguraci. Rozhraní je přístupné na adrese config.privoxy­.org (též lze použít zkratku p.p) a globálně umožňuje následující úkony:

    • zapínat a vypínat provádění akcí, tj. blokování a filtrování obsahu, hodí se například pro účely testování
      Privoxy, www rozhraní: přepínač režimů Privoxy
    • informovat o zasílaných a modifikovaných hlavičkách – pro kontrolu funkčnosti akcí, které hlavičky pozměňují
    • prohlížení konfiguračních souborů a výpis jednoduchých statistik
      Privoxy, www rozhraní: informace o aktuálním stavu proxy-serveru
    • editaci souborů s akcemi
      Privoxy, www rozhraní: ukázka editace konfiguračních souborů v prohlížeči
    • výpis akcí, které se aplikují na zadanou doménu – lze tak kontrolovat správnost zápisů vzorků adres

    Vypínání provádění akcí a editace konfiguračních souborů přes webové rozhraní nemusí být žádoucí v případě, že Privoxy neslouží jako osobní proxy-server jen jednomu uživateli. Proto lze v hlavním konfiguračním souboru nastavením parametrů enable-remote-toggle a enable-edit-actions na nulu tyto funkce vypnout, případně Privoxy kompilovat s volbami --disable-toggle a --disable-editor.

    Šablony webových stránek

    Webové rozhraní nejde vypnout (respektive nevypátral jsem jak), nicméně je možné jej sprovodit ze světa hrubou silou – smazat. V adresáři specifikovaném direktivou confdir se nachází podadresář templates obsahující desítky šablon webových stránek, které se používají jak pro webovou administraci (výchozí je šablona default), tak pro generování chybových stránek při přístupu na blokovanou (šablona blocked) či nedůvěryhodnou (šablona untrusted) stránku apod. Při nahlédnutí do zdrojových textů si lze ověřit, že se jedná o HTML doplněné o speciální makra a proměnné, které jsou v šablonách dobře zdokumentovány. Nic nám tedy nebrání v úpravách, šablony si můžeme lokalizovat, přizpůsobit jejich vzhled atd.

    Se šablonami také souvisí doposud nezmíněné volby základního konfiguračního souboru:

    user-manual
    Lze specifikovat umístění manuálu k Privoxy, například pokud dáváte k dispozici lokalizovanou verzi. Výchozí hodnota samozřejmě směřuje k manuálu na webových stránkách Privoxy a používá se v šablonách k webové administraci.
    trust-info-url
    Odkaz, který se (mimo jiného) zobrazí při pokusu vstoupit na nedůvěryhodnou stránku. Může například vést na stránku s vysvětlením, proč se blokuje a co je dovoleno.
    admin-address
    Kontaktní e-mailová adresa správce proxy-serveru, která se zobrazuje na chybových stránkách.
    proxy-info-url
    Podobně jako v předchozím případě jsou šablony připraveny poskytovat tuto adresu na chybových stránkách s tím, že zde by měl klient nalézt informace o lokální instalaci Privoxy, pravidlech používání apod.

    Nechť dobře slouží

    Tímto je téma Privoxy prakticky vyčerpáno. Více informací lze najít v dobře dokumentovaných konfiguračních souborech a pak samozřejmě na webových stránkách tohoto proxy-serveru – www.privoxy.org.

           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    19.6.2007 10:01 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše IPv6
    Na SF existuje již několik let táhnoucí se vlákno ohledně podpory IPv6. V principu podpora je přichystaná, jen je POSIX-cetrická, takže ji správce nechce začlenit, protože by nebylo možné privoxy přeložit i pro kdejaký topinkovač :|

    Jediný problém na který jsem narazil je listen-address, kde již nestačí uvést jen port :8118, ale je nutné určit celou adresu [::]:8118.
    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.