Εγκατάσταση διακομιστή μεσολάβησης HTTP Apache - Linux
Οι Φορείς ESET Management μπορούν να συνδεθούν με το διακομιστή ESET PROTECT μέσω του Apache HTTP Proxy. Διαβάστε περισσότερα για το πώς λειτουργεί ο διακομιστής μεσολάβησης για τους φορείς ESET Management.
Το Apache HTTP Proxy διατίθεται συνήθως ως πακέτο apache2 ή πακέτο httpd.
Επιλέξτε τα βήματα εγκατάστασης του διακομιστή μεσολάβησης HTTP Apache σύμφωνα με τη διανομή Linux που χρησιμοποιείτε στο διακομιστή σας: Εάν θέλετε να χρησιμοποιήσετε το Apache για προσωρινή αποθήκευση αποτελεσμάτων από το ESET Dynamic Threat Defense, δείτε και τη σχετική τεκμηρίωση.
Εγκατάσταση Linux (διανομή γενικού τύπου) για το διακομιστή μεσολάβησης HTTP Apache
1.Εγκαταστήστε το διακομιστή HTTP Apache (έκδοση 2.4.10 τουλάχιστον).
2.Βεβαιωθείτε ότι έχουν φορτωθεί οι ακόλουθες μονάδες:
access_compat, auth_basic, authn_core, authn_file, authz_core, authz_groupfile,
authz_host, proxy, proxy_http, proxy_connect, cache, cache_disk
3.Προσθήκη διαμόρφωσης προσωρινής μνήμης:
CacheEnable disk http:// |
4.Εάν δεν υπάρχει ο κατάλογος /var/cache/apache2/mod_cache_disk, δημιουργήστε τον και αντιστοιχίστε δικαιώματα Apache (r,w,x).
5.Προσθήκη διαμόρφωσης διακομιστή μεσολάβησης:
AllowCONNECT 443 563 2222 8883 53535
ProxyRequests On
CacheLock on CacheLockMaxAge 10 ProxyTimeOut 900
SetEnv proxy-initial-not-pooled 1
<VirtualHost *:3128> ProxyRequests On </VirtualHost>
<VirtualHost *:3128> ServerName r.edtd.eset.com
<If "%{REQUEST_METHOD} == 'CONNECT'"> Require all denied </If>
ProxyRequests Off CacheEnable disk / SSLProxyEngine On
RequestHeader set Front-End-Https "On" ProxyPass / https://r.edtd.eset.com/ timeout=300 keepalive=On ttl=100 max=100 smax=10 ProxyPassReverse / http://r.edtd.eset.com/ keepalive=On </VirtualHost> |
6.Από προεπιλογή χρησιμοποιείται η θύρα 2222 για επικοινωνία με το φορέα ESET Management. Εάν αλλάξατε τη θύρα κατά την εγκατάσταση, χρησιμοποιήστε τον αλλαγμένο αριθμό θύρας. Αλλάξτε το 2222 στη γραμμή: AllowCONNECT 443 563 2222 8883 53535 με το δικό σας αριθμό θύρας.
7.Ενεργοποιήστε το διακομιστή μεσολάβησης προσωρινής μνήμης που προστέθηκε και τη διαμόρφωση (εάν η διαμόρφωση βρίσκεται στο κύριο αρχείο διαμόρφωσης Apache, μπορείτε να παραλείψετε αυτό το βήμα).
8.Εάν χρειάζεται, αλλάξτε την παρακολούθηση στη θύρα που επιθυμείτε (η θύρα 3128 ορίζεται από προεπιλογή).
9.Προαιρετικός βασικός έλεγχος ταυτότητας:
oΠροσθήκη διαμόρφωσης ελέγχου ταυτότητας στην οδηγία του διακομιστή μεσολάβησης:
AuthType Basic |
oΔημιουργήστε ένα αρχείο κωδικού πρόσβασης χρησιμοποιώντας το /etc/httpd/.htpasswd -c
oΔημιουργήστε χειροκίνητα ένα αρχείο με το όνομα group.file με το usergroup:username
10. Κάντε επανεκκίνηση του διακομιστή HTTP Apache.
Εγκατάσταση του διακομιστή μεσολάβησης HTTP Apache σε Ubuntu και σε άλλες διανομές Linux που βασίζονται σε Debian
1.Εγκαταστήστε την πιο πρόσφατη έκδοση του διακομιστή HTTP Apache από το χώρο αποθήκευσης apt:
sudo apt-get install apache2
2.Εκτελέστε την ακόλουθη εντολή για να φορτωθούν οι απαιτούμενες μονάδες Apache:
sudo a2enmod access_compat auth_basic authn_core authn_file authz_core\
authz_groupfile authz_host proxy proxy_http proxy_connect cache cache_disk
3.Επεξεργαστείτε το αρχείο διαμόρφωσης προσωρινής μνήμης Apache:
sudo vim /etc/apache2/conf-available/cache_disk.conf
και αντιγράψτε/επικολλήστε την ακόλουθη διαμόρφωση:
CacheEnable disk http:// |
4. Αυτό το βήμα δεν θα πρέπει να απαιτείται, αλλά εάν λείπει ο κατάλογος προσωρινής μνήμης, εκτελέστε τις παρακάτω εντολές:
sudo mkdir /var/cache/apache2/mod_cache_disk |
5.Επεξεργαστείτε το αρχείο διαμόρφωσης διακομιστή μεσολάβησης Apache:
sudo vim /etc/apache2/conf-available/proxy.conf
και αντιγράψτε/επικολλήστε την ακόλουθη διαμόρφωση:
AllowCONNECT 443 563 2222 8883 53535
ProxyRequests On
CacheLock on CacheLockMaxAge 10 ProxyTimeOut 900
SetEnv proxy-initial-not-pooled 1
<VirtualHost *:3128> ProxyRequests On </VirtualHost>
<VirtualHost *:3128> ServerName r.edtd.eset.com
<If "%{REQUEST_METHOD} == 'CONNECT'"> Require all denied </If>
ProxyRequests Off CacheEnable disk / SSLProxyEngine On
RequestHeader set Front-End-Https "On" ProxyPass / https://r.edtd.eset.com/ timeout=300 keepalive=On ttl=100 max=100 smax=10 ProxyPassReverse / http://r.edtd.eset.com/ keepalive=On </VirtualHost> |
6.Από προεπιλογή χρησιμοποιείται η θύρα 2222 για επικοινωνία με το φορέα ESET Management. Εάν αλλάξατε τη θύρα κατά την εγκατάσταση, χρησιμοποιήστε τον αλλαγμένο αριθμό θύρας. Αλλάξτε το 2222 στη γραμμή: AllowCONNECT 443 563 2222 8883 53535 με το δικό σας αριθμό θύρας.
7.Ενεργοποιήστε τα αρχεία διαμόρφωσης που επεξεργαστήκατε στα προηγούμενα βήματα:
sudo a2enconf cache_disk.conf proxy.conf
8.Αλλάξτε τη θύρα ακρόασης του διακομιστή του Apache HTTP σε 3128. Επεξεργαστείτε το αρχείο /etc/apache2/ports.conf και αντικαταστήστε το Listen 80 με το Listen 3128.
9.Προαιρετικός βασικός έλεγχος ταυτότητας:
sudo vim /etc/apache2/mods-enabled/proxy.conf
oΑντιγράψτε/επικολλήστε τη διαμόρφωση ελέγχου ταυτότητας πριν από το </Proxy>:
AuthType Basic |
oΕγκαταστήστε το apache2-utils και δημιουργήστε ένα νέο αρχείο κωδικού πρόσβασης (για παράδειγμα, όνομα χρήστη: χρήστης, ομάδα: ομάδαχρηστών):
sudo apt-get install apache2-utils
sudo htpasswd -c /etc/apache2/password.file user
oΔημιουργήστε ένα αρχείο με το όνομα group:
sudo vim /etc/apache2/group.file
και αντιγράψτε/επικολλήστε την ακόλουθη γραμμή:
usergroup:user
10. Επανεκκινήστε το διακομιστή HTTP Apache χρησιμοποιώντας την παρακάτω εντολή:
sudo service apache2 restart
Προώθηση μόνο για επικοινωνία με την ESETΓια να επιτρέπεται η προώθηση μόνο της επικοινωνίας ESET, καταργήστε τα εξής:
<Proxy *> |
Και προσθέστε τα εξής:
<Proxy *> Deny from all </Proxy>
#*.eset.com: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[c,C][o,O][m,M](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#*.eset.eu: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[e,E][u,U](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#*.eset.systems: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[s,S][y,Y][s,S][t,T][e,E][m,M][s,S](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#Antispam module (ESET Mail Security only): <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mailshell.net|ds1-uk-rules-3.mailshell.net|fh-uk11.mailshell.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#Services (activation) <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs.trafficmanager.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#ESET servers accessed directly via IP address: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([0-9]+)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#AV Cloud over port 53535 <ProxyMatch ^.*e5.sk.*$> Allow from all </ProxyMatch> |
Προώθηση για όλη την επικοινωνία
Για να επιτρέπεται η προώθηση όλης της επικοινωνίας, προσθέστε τα εξής:
<Proxy *> |
και καταργήστε τα εξής:
<Proxy *> Deny from all </Proxy>
#*.eset.com: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[c,C][o,O][m,M](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#*.eset.eu: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[e,E][u,U](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#*.eset.systems: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[s,S][y,Y][s,S][t,T][e,E][m,M][s,S](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#Antispam module (ESET Mail Security only): <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mailshell.net|ds1-uk-rules-3.mailshell.net|fh-uk11.mailshell.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#Services (activation) <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs.trafficmanager.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#ESET servers accessed directly via IP address: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([0-9]+)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#AV Cloud over port 53535 <ProxyMatch ^.*e5.sk.*$> Allow from all </ProxyMatch> |
Αλυσίδα διακομιστών μεσολάβησης (όλη η κυκλοφορία)
Το ESET PROTECT δεν υποστηρίζει αλυσίδα διακομιστών μεσολάβησης, όταν οι διακομιστές μεσολάβησης απαιτούν έλεγχο ταυτότητας. Μπορείτε να χρησιμοποιήσετε τη δική σας διαφανή λύση διακομιστή μεσολάβησης ιστού, ωστόσο ίσως απαιτείται πρόσθετη διαμόρφωση πέρα από αυτήν που περιγράφεται εδώ. Προσθέστε τα ακόλουθα στη διαμόρφωση διακομιστή μεσολάβησης (ο κωδικός πρόσβασης λειτουργεί μόνο σε θυγατρικούς διακομιστές μεσολάβησης):
<VirtualHost *:3128> ProxyRequests On ProxyRemote * http://IP_ADDRESS:3128 </VirtualHost> |
Όταν χρησιμοποιείτε την αλυσίδα διακομιστών μεσολάβησης στην εικονική συσκευή ESET PROTECT, πρέπει να τροποποιηθεί η πολιτική SELinux. Ανοίξτε το τερματικό στην εικονική συσκευή ESET PROTECT και εκτελέστε την ακόλουθη εντολή:
/usr/sbin/setsebool -P httpd_can_network_connect 1
Ρύθμιση παραμέτρων του διακομιστή μεσολάβησης HTTP για μεγάλο αριθμό υπολογιστών-πελατών
Εάν χρησιμοποιείτε διακομιστή μεσολάβησης Apache HTTP 64 bit, μπορείτε να αυξήσετε το όριο νήματος για το Apache HTTP Proxy. Επεξεργαστείτε το αρχείο ρύθμισης παραμέτρων httpd.conf, μέσα στο φάκελο Apache HTTP Proxy. Βρείτε τις ακόλουθες ρυθμίσεις στο αρχείο και ενημερώστε τις τιμές για να αντιστοιχούν στον αριθμό των υπολογιστών-πελατών σας.
Αντικαταστήστε την τιμή του παραδείγματος 5000 με τον αριθμό σας. Η μέγιστη τιμή είναι 32000.
ThreadLimit 5000
ThreadsPerChild 5000
Μην αλλάξετε το υπόλοιπο αρχείο.
Ρυθμίστε τις παραμέτρους του διακομιστή μεσολάβησης Apache HTTP για να προωθεί τις συνδέσεις του Φορέα-Διακομιστή
1.Στον υπολογιστή διακομιστή μεσολάβησης ανοίξτε το αρχείο
i.Διανομές Debian
/etc/apache2/mods-available/proxy.conf
ii.Διανομές Red Hat
/etc/httpd/conf/httpd.conf
2.Προσθέστε τις ακόλουθες γραμμές στο τέλος του αρχείου:
AllowCONNECT 443 563 2222 8883 53535
3.Στον υπολογιστή διακομιστή μεσολάβησης ανοίξτε το αρχείο
i.Διανομές Debian
/etc/apache2/apache2.conf
ii.Διανομές Red Hat
/etc/httpd/conf/httpd.conf
4.Βρείτε τη γραμμή:
Listen 80
και αλλάξτε τη σε
Listen 3128
5.Εάν προσθέσατε περιορισμούς για διευθύνσεις IP στη ρύθμιση παραμέτρων διακομιστή μεσολάβησης (βήμα 1), πρέπει να επιτρέψετε πρόσβαση στο διακομιστή ESET PROTECT:
Προσθέστε ένα ξεχωριστό τμήμα ProxyMatch:
I.Τη διεύθυνση που χρησιμοποιούν οι φορείς σας για σύνδεση με το διακομιστή ESET PROTECT.
II.Όλες τις άλλες πιθανές διευθύνσεις του διακομιστή σας ESET PROTECT (IP, FQDN)
(προσθέστε ολόκληρο τον παρακάτω κώδικα, η διεύθυνση IP 10.1.1.10 και το όνομα κεντρικού υπολογιστή hostname.example είναι ένα παράδειγμα που θα αντικατασταθεί από τις δικές σας διευθύνσεις. Μπορείτε να δημιουργήσετε την έκφραση ProxyMatch σε αυτό το άρθρο της Γνωσιακής βάσης.)
<ProxyMatch ^(hostname\.example(:[0-9]+)?(\/.*)?|10\.1\.1\.10(:[0-9]+)?(\/.*)?)$> Allow from all </ProxyMatch> |
6.Κάντε επανεκκίνηση της υπηρεσίας Apache HTTP Proxy.
Ρύθμιση SELinux
Όταν χρησιμοποιείτε διακομιστή μεσολάβησης στην εικονική συσκευή ESET PROTECT η πολιτική SELinux πρέπει να τροποποιηθεί (την ίδια απαίτηση ενδέχεται να έχουν και άλλες διανομές Linux). Ανοίξτε το τερματικό στην εικονική συσκευή ESET PROTECT και εκτελέστε την ακόλουθη εντολή:
/usr/sbin/setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 2222