Filtrer le web avec SquidGuard sous Rocky Linux 8

Il existe une pléthore de solutions pour filtrer le Web et mettre en place une sorte de « contrôle parental » pour un réseau. La plupart de ces techniques relèvent de la catégorie farces et attrapes et se distinguent avant tout par leur inefficacité. Seule une poignée de systèmes de filtrage fonctionne de manière à peu près correcte. Parmi ces solutions, on trouve le redirecteur SquidGuard couplé au serveur proxy Squid, dont nous avons décrit la configuration en détail dans une série d’articles.

• Chaque requête HTTP/HTTPS du réseau local est redirigée vers le serveur proxy.
• Le proxy analyse une série de règles avant d’autoriser ou d’interdire la connexion.
• En cas de refus, c’est une page explicative qui s’affiche à l’utilisateur.
• Pour faire le tri, on se servira des listes fournies par le Centre de Ressources Informatiques de l’Université de Toulouse.

La page web du projet n’est plus en ligne, ce qui laisse à penser que SquidGuard n’est plus maintenu. Or, le développeur Debian Joachim Wiedorn a repris le flambeau, et c’est lui qui assure désormais la maintenance du code de SquidGuard.

Installation

Sous Red Hat Enterprise Linux 8 et Rocky Linux 8, SquidGuard est fourni par le dépôt de paquets EPEL :

# dnf repolist | grep -i epel
epel                   EPEL
epel-modular           EPEL Modular
# dnf install -y squidGuard

La page explicative

Lorsque SquidGuard refuse l’accès à une page, c’est toujours une bonne idée d’expliquer les raisons de ce refus aux utilisateurs. Pour commencer, on va donc mettre en place une page d’avertissement qui sera hébergée sur le serveur proxy lui-même. Voilà ce que ça donne sur ma machine :

La mise en place d’une page web locale est expliquée en détail ici.

Récupérer les listes noires

Dans la configuration par défaut, SquidGuard fournit une collection de listes sous forme d’une archive /var/squidGuard/blacklists.tar.gz. Nous utiliserons plutôt les listes fournies par l’Université de Toulouse et maintenues par Fabrice Prigent. On peut les récupérer manuellement comme ceci :

# cd /var/squidGuard/
# ls -lh blacklists.tar.gz
-rw-r--r--. 1 root root 5.5M Oct 21  2009 blacklists.tar.gz
# rm -f blacklists.tar.gz
# wget -c http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz
# ls -lh blacklists.tar.gz 
-rw-r--r--. 1 root root 28M Mar  9 21:50 blacklists.tar.gz
# tar -xzf blacklists.tar.gz
# cd blacklists/

Chacun des répertoires correspond à une catégorie (ou destination) du Web :

# ls -l | awk '{print $9, $10, $11}'
ads -> publicite
adult  
aggressive -> agressif
agressif  
arjel  
associations_religieuses  
astrology  
audio-video  
bank  
bitcoin  
blog  
...

On peut très bien utiliser l’outil rsync pour récupérer les listes. Cette méthode est même recommandée, étant donné que rsync ne téléchargera que la différence entre les arborescences distante et locale lors d’une mise à jour. La seule différence par rapport au téléchargement avec wget, c’est que nous retrouvons nos destinations dans un répertoire dest/ au lieu de blacklists/.

# cd /var/squidGuard/
# rm -rf blacklists*
# rsync -arpogvt rsync://dsi.ut-capitole.fr/blacklist .
# cd dest/

Repérez le fichier global_usage et jetez un œil à son contenu. Il s’agit d’un fichier explicatif sur le contenu des listes :

NAME: adult
DEFAULT_TYPE: black
SOURCE: https://squidguard.ut-capitole.fr
DESC EN: Some adult site from erotic to hard pornography.
DESC FR: Des sites adultes allant de l'érotique à la pornographie dure.
...
NAME: agressif
DEFAULT_TYPE: black
SOURCE: https://squidguard.ut-capitole.fr
DESC EN: Some aggressive sites.
DESC FR: Quelques sites racistes, antisémites, incitant à la haine.
...

Sexe, drogue & rock’n’roll ?

Dans l’exemple ci-dessous, nous allons filtrer les sites à contenu potentiellement problématique (porno, violence, drogues) pour toutes les machines du réseau local.

SquidGuard se configure par le biais du fichier de configuration /etc/squid/squidGuard.conf. Pour commencer, nous allons renommer le fichier de configuration d’origine, qui pourra éventuellement nous servir de modèle pour des configurations plus élaborées :

# cd /etc/squid
# mv -v squidGuard.conf squidGuard.conf.orig
renamed 'squidGuard.conf' -> 'squidGuard.conf.orig'

Ensuite, nous allons éditer le fichier /etc/squid/squidGuard.conf comme ceci :

# /etc/squid/squidGuard.conf

dbhome /var/squidGuard/dest
logdir /var/log/squidGuard

src microlinux {
  ip 192.168.2.0/24
}

destination adult {
  domainlist adult/domains
  urllist adult/urls
  log adult
}

destination agressif {
  domainlist agressif/domains
  urllist agressif/urls
  log agressif
}

destination drogue {
  domainlist drogue/domains
  urllist drogue/urls
  log drogue
}

acl {
  microlinux {
    pass !adult
    pass !agressif
    pass !drogue
    redirect 302:http://proxy.microlinux.lan/avertissement.html
  }
  default {
    pass none
    redirect 302:http://proxy.microlinux.lan/avertissement.html
  }
}

Cette configuration mérite quelques explications :

• La directive dbhome indique l’emplacement de la base de données des listes.
• La directive logdir spécifie l’endroit où l’on désire récupérer les logs.
• Les sources définissent les groupes de postes clients. Ici, la source microlinux définit toutes les machines du réseau 192.168.2.0/24.
• Les acl ou Access Control Lists permettent de définir quelle source peut ou ne peut pas aller vers quelle(s) destination(s).
• Lorsqu’une destination n’est pas autorisée, la directive redirect permet de servir une page explicative au client.

À présent, il faut configurer Squid pour qu’il utilise SquidGuard. Éditez le fichier /etc/squid/squid.conf et ajoutez ceci à la fin du fichier :

# SquidGuard
url_rewrite_program /usr/bin/squidGuard
url_rewrite_children 8

Avant d’aller plus loin, nous devons régler quelques permissions. Le proxy Squid tourne avec les droits de l’utilisateur système squid et du groupe système squid :

# chown -R squid:squid /var/squidGuard

On va également ajuster les permissions pour le répertoire des logs :

# chown -R squid:squid /var/log/squidGuard

Ce n’est pas une mauvaise idée d’aligner les permissions du fichier /etc/squid/squidGuard.conf sur celles de squid.conf :

# chown root:squid /etc/squid/squidGuard.conf
# chmod 0640 /etc/squid/squidGuard.conf

Pour pouvoir fonctionner rapidement, SquidGuard n’utilise pas les fichiers au format texte, mais des bases de données au format Berkeley. Ces bases de données n’existent pas encore, et nous devons les construire :

# time squidGuard -C all
...
real    4m19.354s
user    2m9.244s
sys     2m5.931s

Sur mon routerboard PC Engines, ça mouline quelques minutes, étant donné que la base de données gère quelques millions d’URLs.

Si tout s’est bien passé, on obtient quelque chose comme ceci :

# cat /var/log/squidGuard/squidGuard.log 
... New setting: dbhome: /var/squidGuard/dest
... New setting: logdir: /var/log/squidGuard
... init domainlist /var/squidGuard/dest/adult/domains
... create new dbfile /var/squidGuard/dest/adult/domains.db
... init urllist /var/squidGuard/dest/adult/urls
... create new dbfile /var/squidGuard/dest/adult/urls.db
... init domainlist /var/squidGuard/dest/agressif/domains
... create new dbfile /var/squidGuard/dest/agressif/domains.db
... init urllist /var/squidGuard/dest/agressif/urls
... create new dbfile /var/squidGuard/dest/agressif/urls.db
... init domainlist /var/squidGuard/dest/drogue/domains
... create new dbfile /var/squidGuard/dest/drogue/domains.db
... init urllist /var/squidGuard/dest/drogue/urls
... create new dbfile /var/squidGuard/dest/drogue/urls.db
... squidGuard 1.4 started (1710062280.115)
... db update done
... squidGuard stopped (1710062539.449)

Quelques mises en garde cruciales s’imposent ici :

• SquidGuard est une application assez pointue, pour ne pas dire une petite usine à gaz un peu capricieuse. La moindre faute de frappe dans un des fichiers de configuration se solde généralement par un échec. Il est donc nécessaire de porter une grande attention à la syntaxe.
• Les bases de données (fichiers *.db en-dessous de l’arborescence /var/squidGuard/dest/) doivent être construites après avoir écrit le fichier de configuration, car seules les destinations définies dans ce fichier seront compilées. Si vous ajoutez une destination par la suite (malware, tricheur, etc.) il va falloir penser à compiler les bases de données correspondantes.
• En règle générale, ça ne fonctionne que rarement du premier coup. Dans ce cas, jetez un œil dans les logs, notamment squidGuard.log. Ce dernier vous sera d’un grand secours, car il vous avertira de tous les problèmes de configuration.

Étant donné que la commande squidGuard -C all a été invoquée par root, les fichiers générés par cette commande appartiennent à ce dernier. On va donc devoir rectifier le tir une deuxième fois pour les permissions :

# chown -R squid:squid /var/squidGuard
# chown -R squid:squid /var/log/squidGuard

Recharger la configuration.

# systemctl restart squid

À présent, naviguez sur le Web au hasard tout en choisissant bien, et testez le filtrage de quelques sites potentiellement problématiques. Si tout se passe comme prévu, les pages ne s’affichent pas, et l’utilisateur se trouve confronté à la page explicative. Non content de cela, sa tentative est enregistrée dans le fichier log correspondant à la catégorie de site prohibé :

# cd /var/log/squidGuard/
# ls -lh
total 20K
-rw-r--r--. 1 squid squid  223 Mar 10 08:39 adult
-rw-r--r--. 1 squid squid  113 Mar 10 08:40 agressif
-rw-r--r--. 1 squid squid  109 Mar 10 08:41 drogue
-rw-r--r--. 1 squid squid 6.0K Mar 10 08:39 squidGuard.log
# cat adult 
2024-03-10 08:39:25 [6340] Request(sandbox/adult/-) 
https://www.youporn.com/ 192.168.3.2/sandbox - GET REDIRECT
2024-03-10 08:39:41 [6340] Request(sandbox/adult/-) 
https://fr.pornhub.com/ 192.168.3.2/sandbox - GET REDIRECT
# cat agressif 
2024-03-10 08:40:20 [6340] Request(sandbox/agressif/-) 
http://whitehonor.com/ 192.168.3.2/sandbox - GET REDIRECT
# cat drogue 
2024-03-10 08:41:55 [6340] Request(sandbox/drogue/-) 
http://biosmoke.com/ 192.168.3.2/sandbox - GET REDIRECT

Automatiser la mise à jour des listes

Étant donné que la récupération des listes et la construction des bases de données est une opération quelque peu fastidieuse, on va la confier à un script que l’on exécutera de temps en temps. Voilà à quoi cela peut ressembler :

#!/bin/bash
#
# blacklist.sh
#
# Build/refresh blacklist database for SquidGuard URL filter.
#
# (c) Niki Kovacs 2024 <info@microlinux.fr>

# University of Toulouse
BLHOST="dsi.ut-capitole.fr"

# Make sure the script is being executed with superuser privileges.
if [[ "${UID}" -ne 0 ]]
then
  echo "Please run with sudo or as root." >&2
  exit 1
fi

# Check if blacklist server is up.
if ping -c 1 ${BLHOST} > /dev/null 2>&1
then
 echo "Blacklist server ${BLHOST} is up."
else
  echo "Unable to access blacklist server ${BLHOST}." >&2
  exit 1
fi

# Stop Squid
echo "Stopping Squid server."
systemctl stop squid

# Download blacklists
echo "Downloading blacklists from ${BLHOST}..."
cd /var/squidGuard
rsync -rv rsync://${BLHOST}/blacklist . > /dev/null

# Set permissions on blacklists.
echo "Setting permissions on blacklists."
chown -R squid:squid dest/

# Build database
echo "Building database. This might take a few minutes..."
echo "Check output in /var/log/squidGuard/squidGuard.log."
squidGuard -C all

# Set permissions on databases and log files
echo "Setting permissions on databases and log files."
chown -R squid:squid /var/squidGuard
chown -R squid:squid /var/log/squidGuard

# Start Squid
echo "Starting Squid server."
systemctl start squid

exit 0

On peut éventuellement songer à configer l’exécution de ce script à une tâche automatique (cronjob) :

# crontab -e
# Refresh SquidGuard database every Monday at 03:45 AM
43 03 * * 7 /root/bin/blacklist.sh 1> /dev/null

Les noms des catégories peuvent changer de temps à autre. Ça ne va pas arriver tous les jours, mais vous y aurez droit de temps en temps. Or, si votre fichier de configuration définit une destination qui n’a pas de catégorie correspondante dans les listes noires, l’exécution du script va rencontrer un échec. Et si vous administrez un ou plusieurs serveurs proxy dans un lycée ou dans une entreprise, c’est à ce moment précis que votre téléphone se mettra à sonner avec insistance. Vous voilà prévenus.

La rédaction de cette documentation demande du temps et des quantités significatives de café espresso. Vous appréciez ce blog ? Offrez un café au rédacteur en cliquant sur la tasse.