Установка proxy-сервера на VDS

[GogA]

В последнее время многие seo-шники столкнулись с проблемой быcтрого «бана» IP адреса при парсинге выдачи поисковых систем. Конечно бан — условно, это всего лишь просьба ввести капчу. Одни из столкнувшиеся с проблемой — пользователи программы yazzle, им в первую очередь и хочется рассказать как можно поднять простой некеширующий прокси-сервер на своём сервере или VDS.

Конечно, можно использовать тяжёлый программный пакет SQUID, который зарекомендовал себя как надёжный кеширующий прокси-сервер, но я предпочту разработку отечественного программиста из Нижнего Новгорода. Да, если кто уже догадался, это будет прокси-сервер 3proxy.

Не смотря на его функциональность (подробнее на официальном сайте 3proxy.ru), нам будет достаточно просто организация HTTP прокси-сервера.

Установка proxy-сервера рассмотрена для VDS от FirstVDS на базе FreeBSD 6.3 и для двух IP адресов.

Скопипастить сюда полностью не получается, но материал интересный, по этому proxy-сервер на VDS.

Буду рад любым вашим комментариям

[KOst]

вот NTLM аутентификацию доделают будет красота. а настраивается проще некуда и работает шустро 

[GogA]

вот NTLM аутентификацию доделают будет красота. а настраивается проще некуда и работает шустро 

А зачем нам тут NTLM аутентификация? В чём плюс? И как поможет нам в организации прокси сервера?

[ffsdmad]

Да, если кто уже догадался, это будет прокси-сервер 3proxy.

Да 3proxy - круто, но пока не вижу резона со сквида слазить

[GogA]

3proxy хорош, но это не замена SQUID.
Просто для решения некоторых задач вполне достаточно более лёгкого 3proxy.

[Alex_K]

работа не от рута:

в самом низу конфига (3proxy.cfg) добавить строчки типа:

chroot /usr/local/jail
setgid 1002
setuid 1015

в этом примере
1002 - ID группы (надо создать группу)
1015 - ID юзера (надо создать юзера)

а в /usr/local/etc/rc.d положить файлик proxy.sh из папки scripts/rc.d/ с исходниками

[GogA]

А использование su имеет какие-то недостатки?

[ffsdmad]

работа не от рута:

в самом низу конфига (3proxy.cfg) добавить строчки типа:

chroot /usr/local/jail
setgid 1002
setuid 1015

в этом примере
1002 - ID группы (надо создать группу)
1015 - ID юзера (надо создать юзера)

а в /usr/local/etc/rc.d положить файлик proxy.sh из папки scripts/rc.d/ с исходниками

а кто мешает squid к своему пользователю привязать?

дома я даже апаче от себя самого держу, чтобы не парится всякий раз

[ffsdmad]

А использование su имеет какие-то недостатки?

можно sudo, например sudo bash, но опять через su можно становиться кем угодно, хоть апачем su - www

опасно тем, что если твоего юзера заимели, то можно подставить алиас, который стырит пароль и запутит su или судо

[GogA]

FreeBSD, sudo нет.

Не догнал, если пароль от юзера стырят, то как права рута получат?

[Alex_K]

А использование su имеет какие-то недостатки?

в контексте запуска прокси не знаю, я привел это решение, потому что оно правильнее, т.к. предлагается разработчиками на уровне конфигурации и наличия вспомогательных скриптов.

[GogA]

Спасибо. Буду разбираться.

[Alex_K]

FreeBSD, sudo нет.

Не догнал, если пароль от юзера стырят, то как права рута получат?

в FreeBSD sudo есть

/usr/ports
make search name=sudo

[Alex_K]

работа не от рута:

в самом низу конфига (3proxy.cfg) добавить строчки типа:

chroot /usr/local/jail
setgid 1002
setuid 1015

в этом примере
1002 - ID группы (надо создать группу)
1015 - ID юзера (надо создать юзера)

а в /usr/local/etc/rc.d положить файлик proxy.sh из папки scripts/rc.d/ с исходниками

а кто мешает squid к своему пользователю привязать?

дома я даже апаче от себя самого держу, чтобы не парится всякий раз

я про сквида и апача ничего не говорил

[Alex_K]

А использование su имеет какие-то недостатки?

можно sudo, например sudo bash, но опять через su можно становиться кем угодно, хоть апачем su - www

опасно тем, что если твоего юзера заимели, то можно подставить алиас, который стырит пароль и запутит su или судо

ну не надо просто пытаться в шел несколько раз проваливаться

[GogA]

Alex_K, спасибо

[ffsdmad]

FreeBSD, sudo нет.

Не догнал, если пароль от юзера стырят, то как права рута получат?

очень просто угнать рутовый пароль если имеется аккаунт юзера, который эти паролем пользуется
шаг 1. создать либо alias или скрипт в $HOME/bin с именем su или sudo
шаг 2. скрипт должен эмулировать внешний вид su, sudo  так что запустив его юзер не должен заметить подмены, а скрипт сохранив и выслав хакеру пароль, должен передать управление настоящему su, sudo
наверно это самый простой способ и доступный всем
обезопасится себя от этого можно создание в /sbin/ скрипта, который будет проверять целостность $env и сконтрольные суммы различных файлов, но запускать его нужно руками, с указанием полного пути
хотя и это не 100% защита

[GogA]

ffsdmad, спасибо за уточнение. Да, знаний в *nix не хатает немного.

Но в данном случае, когда мы прокси-сервер будем использовать только для личных целей, можно и su использовать. Более правильно конечно использование chroot.

ffsdmad, в вашем примере.
Шаг 1. Как злоумышленник имея доступ к прокси серверу (хоть он теоритически не должен знать ни ип ни пару логин:пароль) может залить скрипт в home?
Шаг 2. Лично для меня сомнительно, но идею понял. Только как при запуске прокси сервера вместо системной команды su будет вызван скрипт из home? Не уж-то он так просто вызовется?

[Alex_K]

ffsdmad, спасибо за уточнение. Да, знаний в *nix не хатает немного.

Но в данном случае, когда мы прокси-сервер будем использовать только для личных целей, можно и su использовать. Более правильно конечно использование chroot.

ffsdmad, в вашем примере.
Шаг 1. Как злоумышленник имея доступ к прокси серверу (хоть он теоритически не должен знать ни ип ни пару логин:пароль) может залить скрипт в home?
Шаг 2. Лично для меня сомнительно, но идею понял. Только как при запуске прокси сервера вместо системной команды su будет вызван скрипт из home? Не уж-то он так просто вызовется?

командой alias можно переопределить или задать другие команды
например,

Код: (bash) [Выделить]

alias l='ls -l'
alias ls='ls -l'

[ffsdmad]

ffsdmad, спасибо за уточнение. Да, знаний в *nix не хатает немного.

Но в данном случае, когда мы прокси-сервер будем использовать только для личных целей, можно и su использовать. Более правильно конечно использование chroot.

ffsdmad, в вашем примере.
Шаг 1. Как злоумышленник имея доступ к прокси серверу (хоть он теоритически не должен знать ни ип ни пару логин:пароль) может залить скрипт в home?
Шаг 2. Лично для меня сомнительно, но идею понял. Только как при запуске прокси сервера вместо системной команды su будет вызван скрипт из home? Не уж-то он так просто вызовется?

ну логин и пароль знать не нужно
достаточно найти дырку в скриптах
найдю дырку, и заставив выполнять её shell комманды, можно поиметь что угодно

например, в моём случае, echo 'rm -fR ~/'  > ~/.bash_profile
или так, чтобы не парится с набором текста через дырку, если нельзя повесить полноценный сшел, хацкер на свой сервере пишот вредный скрипт, или компилит прогу
потом wgetит её и запускает, можно даже из cgi-bin
но я думаю практика закачками вебшела более удобна
и вообще это не моя работа, а ночной кошмар