“校校通”工程的实施,极大地推动了学校教育、教学、管理的改革,但在建网的同时,很多学校却忽略了校园网的安全建设,包括如何保护校园网络服务器,防止黑客入侵;如何进行网站过滤,防止不健康网站对学生的影响。本文本着零成本、高效益的原则,谈谈免费的Linux在构建绿色校园网中的一些应用。
Web服务器的保护
1、配置Apache首先要安装好Linux网关,我用的是易装好用的Redhat,可到http://www.redhat.com下载Redhat7.2。安装Redhat7.2时,Apache、Squid等已同时安装好,我们只需简单地配置一下就能使用。
Redhat7.2安装后默认是未运行Apache,故先启用httpd,即让Apache运行起来。修改/etc/httpd/conf/httpd.conf配置文件。
LoadModule proxy_module modules/libproxy.so
AddModule mod_proxy.c
NameVirtualHost 210.77.126.xx #网关的真实IP
#域名所对应的真实IP
ServerName www.sdbjzx.com #Web
服务器的域名
ProxyPass / 192.168.1.1/ #Web
服务器的IP
ProxyPassReverse / 192.168.1.1</p>
/ #Web服务器的IP
2、工作原理把内部的Web主机解释到Linux网关的外部网卡,当收到www.sdbjzx.com的请求时,网关可自动转发到192.168.1.1,收到192.168.1.1的响应后再改写源地址为网关的真实IP地址返回给Internet用户。使得外面黑客无法看到真正的Web服务器,从而有效保护Web服务器。
网站过滤
1、代理服务器Squid的配置
和上面一样,先启用Squid,确保Squid代理服务器能正常工作。修改/etc/squid/squid.conf配置文件。
http_port 3128 #定义Squid监听HTTP客户端请求的端口
Cache_mem 10 MB #Squid可使用的内存理想值,常设为物理内存的1/3。
Cache_swap_low 95
Cache_swap_low 90
Maximum_object_size 4096 KB #大于该值对象将不被存储
Cache_dir ufs /var/spool/squid/cache 200 16 256 #指定Squid用来存储对象的交换空间大小及其目录结构
Acl all src 192.168.1.1/24 #定义all为192.168.1.1网段
http_acceaa allow all #192.168.1.1网段的客户可使用Squid代理上网。
Cache_effective_user squid #使用的用户和用户组
Cache_effective_group squid
(其余参数用默认值即可!)
[root@squid bin]# chmod 777 /var/spool/squid/cache(使/var/spool/squid/
cache目录为noboay用户具有写权限)
[root@squid bin]# squid -z (建立Squid
的缓存目录/var/spool/squid/cache)
[root@squid bin]# /etc/rc.d/init.d/squid start(启动Squid,停止squid用/etc/rc.d/init.d/squid stop)
在客户端进行测试,以Windows为例。运行IE,单击“工具”,接着单击“Internet选项”,再单击“连接”选项卡,单击“局域网设置”,在“局域网设置”窗口中,在“地址”处填上Squid服务器的IP地址192.168.1.16,在“端口”处填上“3128”,确定后退出。此时客户端应能浏览Internet,说明Squid已正常运行。
下面是网站过滤功能的配置。
2、安装Berkeley DB 2.x
从http://www.sleepycat.com下载db-
2.7.7.tar.gz并存在/usr/local/squidGuard/
src/目录下
#cd /usr/local/squidGuard/src/
#tar xvzf db-2.7.7.tar.gz
#cd db-2.7.7
#cd build_unix
#../dist/configure
#make
#make install
(默认安装到/usr/local/BerkeleyDB目录下)
注意:squidGuard不支持Berkeley DB 3.x版本。
3、SquidGuard的安装与配置
#rpm -ivh squidGuard-1.2.0-3.i386.rpm(安装后数据目录dbhome:/var/squidGuard/blacklists日志目录logdir:/var/log/squidGuard)
按提示修改/etc/squid/squid.conf文件中的有关配置行:
redirect_program/usr/sbin/squidGuard -c /etc/squid/squidGuard.confredirect_child 5
重启Squid,查看/var/log/squidGuard/squidGuard.log,看最后一行:2002-05-23 16:13:18[2237] SquidGuard Ready for Requests,则表明SquidGuard已正常运行。被阻止网站在此若能被重定向到指定网页,则说明过滤功能已起作用。(注:SquidGuard-1.2.0-3.i386.rpm下载地址ftp://k12Linux.mesd.k12.or.us/pub/SquidGuard/)
方法优点
配置方便,硬件要求低,一般退役下来的486型、586型完全能胜任,且所有软件都是免费的,被阻止名单更新快,只需到http://www.squidGuard.org下载最新版本的被阻止名单数据库替换旧的即可,也可以手工增减被阻止名单,Squid还可以设定上网时间段,使用灵活方便。(出处:赛迪网--中国电脑教育报)