Ηλεκτρονική βοήθεια ESET

Αναζήτηση Ελληνικά
Επιλέξτε την κατηγορία
Επιλέξτε το θέμα

Εγκατάσταση διακομιστή μεσολάβησης HTTP Apache - Linux

Οι Φορείς ESET Management μπορούν να συνδεθούν με το διακομιστή ESET PROTECT μέσω του Apache HTTP Proxy. Διαβάστε περισσότερα για το πώς λειτουργεί ο διακομιστής μεσολάβησης για τους φορείς ESET Management.

Το Apache HTTP Proxy διατίθεται συνήθως ως πακέτο apache2 ή πακέτο httpd.

Επιλέξτε τα βήματα εγκατάστασης του διακομιστή μεσολάβησης HTTP Apache σύμφωνα με τη διανομή Linux που χρησιμοποιείτε στο διακομιστή σας: Εάν θέλετε να χρησιμοποιήσετε το Apache για προσωρινή αποθήκευση αποτελεσμάτων από το ESET LiveGuard Advanced, δείτε και τη σχετική τεκμηρίωση.

Εγκατάσταση Linux (διανομή γενικού τύπου) για το διακομιστή μεσολάβησης HTTP Apache

1.Εγκαταστήστε το διακομιστή HTTP Apache (έκδοση 2.4.10 τουλάχιστον).

2.Βεβαιωθείτε ότι έχουν φορτωθεί οι ακόλουθες μονάδες:

access_compat, auth_basic, authn_core, authn_file, authz_core, authz_groupfile,
authz_host, proxy, proxy_http, proxy_connect, cache, cache_disk

3.Προσθήκη διαμόρφωσης προσωρινής μνήμης:

CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 500000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/apache2/mod_cache_disk

4.Εάν δεν υπάρχει ο κατάλογος /var/cache/apache2/mod_cache_disk, δημιουργήστε τον και αντιστοιχίστε δικαιώματα Apache (r,w,x).

5.Προσθήκη διαμόρφωσης διακομιστή μεσολάβησης:

AllowCONNECT 443 563 2222 8883 53535

 

ProxyRequests On
ProxyVia On

 

CacheLock on

CacheLockMaxAge 10

ProxyTimeOut 900

 

SetEnv proxy-initial-not-pooled 1

 

<VirtualHost *:3128>

ProxyRequests On

</VirtualHost>

 

<VirtualHost *:3128>

ServerName r.edtd.eset.com

 

<If "%{REQUEST_METHOD} == 'CONNECT'">

Require all denied

</If>

 

ProxyRequests Off

CacheEnable disk /

SSLProxyEngine On

 

RequestHeader set Front-End-Https "On"

ProxyPass / https://r.edtd.eset.com/ timeout=300 keepalive=On ttl=100 max=100 smax=10

ProxyPassReverse / http://r.edtd.eset.com/ keepalive=On

</VirtualHost>

 
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>

6.Από προεπιλογή χρησιμοποιείται η θύρα 2222 για επικοινωνία με το φορέα ESET Management. Εάν αλλάξατε τη θύρα κατά την εγκατάσταση, χρησιμοποιήστε τον αλλαγμένο αριθμό θύρας. Αλλάξτε το 2222 στη γραμμή: AllowCONNECT 443 563 2222 8883 53535 με το δικό σας αριθμό θύρας.

7.Ενεργοποιήστε το διακομιστή μεσολάβησης προσωρινής μνήμης που προστέθηκε και τη διαμόρφωση (εάν η διαμόρφωση βρίσκεται στο κύριο αρχείο διαμόρφωσης Apache, μπορείτε να παραλείψετε αυτό το βήμα).

8.Εάν χρειάζεται, αλλάξτε την παρακολούθηση στη θύρα που επιθυμείτε (η θύρα 3128 ορίζεται από προεπιλογή).

9.Προαιρετικός βασικός έλεγχος ταυτότητας:

oΠροσθήκη διαμόρφωσης ελέγχου ταυτότητας στην οδηγία του διακομιστή μεσολάβησης:

AuthType Basic
AuthName "Password Required"
AuthUserFile /etc/apache2/password.file
AuthGroupFile /etc/apache2/group.file
Require group usergroup

oΔημιουργήστε ένα αρχείο κωδικού πρόσβασης χρησιμοποιώντας το /etc/httpd/.htpasswd -c

oΔημιουργήστε χειροκίνητα ένα αρχείο με το όνομα group.file με το usergroup:username

10. Κάντε επανεκκίνηση του διακομιστή HTTP Apache.

 

Εγκατάσταση του διακομιστή μεσολάβησης HTTP Apache σε Ubuntu και σε άλλες διανομές Linux που βασίζονται σε Debian

1.Εγκαταστήστε την πιο πρόσφατη έκδοση του διακομιστή HTTP Apache από το χώρο αποθήκευσης apt:

sudo apt-get install apache2

2.Εκτελέστε την ακόλουθη εντολή για να φορτωθούν οι απαιτούμενες μονάδες Apache:

sudo a2enmod access_compat auth_basic authn_core authn_file authz_core\

authz_groupfile authz_host proxy proxy_http proxy_connect cache cache_disk

3.Επεξεργαστείτε το αρχείο διαμόρφωσης προσωρινής μνήμης Apache:

sudo vim /etc/apache2/conf-available/cache_disk.conf

και αντιγράψτε/επικολλήστε την ακόλουθη διαμόρφωση:

CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 500000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/apache2/mod_cache_disk

4. Αυτό το βήμα δεν θα πρέπει να απαιτείται, αλλά εάν λείπει ο κατάλογος προσωρινής μνήμης, εκτελέστε τις παρακάτω εντολές:

sudo mkdir /var/cache/apache2/mod_cache_disk
sudo chown www-data /var/cache/apache2/mod_cache_disk
sudo chgrp www-data /var/cache/apache2/mod_cache_disk

5.Επεξεργαστείτε το αρχείο διαμόρφωσης διακομιστή μεσολάβησης Apache:

sudo vim /etc/apache2/conf-available/proxy.conf

και αντιγράψτε/επικολλήστε την ακόλουθη διαμόρφωση:

AllowCONNECT 443 563 2222 8883 53535

 

ProxyRequests On
ProxyVia On

 

CacheLock on

CacheLockMaxAge 10

ProxyTimeOut 900

 

SetEnv proxy-initial-not-pooled 1

 

<VirtualHost *:3128>

ProxyRequests On

</VirtualHost>

 

<VirtualHost *:3128>

        ServerName r.edtd.eset.com

 

<If "%{REQUEST_METHOD} == 'CONNECT'">

Require all denied

</If>

 

ProxyRequests Off

CacheEnable disk /

SSLProxyEngine On

 

RequestHeader set Front-End-Https "On"

ProxyPass / https://r.edtd.eset.com/ timeout=300 keepalive=On ttl=100 max=100 smax=10

ProxyPassReverse / http://r.edtd.eset.com/ keepalive=On

</VirtualHost>

 
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>

6.Από προεπιλογή χρησιμοποιείται η θύρα 2222 για επικοινωνία με το φορέα ESET Management. Εάν αλλάξατε τη θύρα κατά την εγκατάσταση, χρησιμοποιήστε τον αλλαγμένο αριθμό θύρας. Αλλάξτε το 2222 στη γραμμή: AllowCONNECT 443 563 2222 8883 53535 με το δικό σας αριθμό θύρας.

7.Ενεργοποιήστε τα αρχεία διαμόρφωσης που επεξεργαστήκατε στα προηγούμενα βήματα:

sudo a2enconf cache_disk.conf proxy.conf

8.Αλλάξτε τη θύρα ακρόασης του διακομιστή του Apache HTTP σε 3128. Επεξεργαστείτε το αρχείο /etc/apache2/ports.conf και αντικαταστήστε το Listen 80 με το Listen 3128.

9.Προαιρετικός βασικός έλεγχος ταυτότητας:

sudo vim /etc/apache2/mods-enabled/proxy.conf

oΑντιγράψτε/επικολλήστε τη διαμόρφωση ελέγχου ταυτότητας πριν από το </Proxy>:

AuthType Basic
AuthName "Password Required"
AuthUserFile /etc/apache2/password.file
AuthGroupFile /etc/apache2/group.file
Require group usergroup

oΕγκαταστήστε το apache2-utils και δημιουργήστε ένα νέο αρχείο κωδικού πρόσβασης (για παράδειγμα, όνομα χρήστη: χρήστης, ομάδα: ομάδαχρηστών):

sudo apt-get install apache2-utils
sudo htpasswd -c /etc/apache2/password.file user

oΔημιουργήστε ένα αρχείο με το όνομα group:

sudo vim /etc/apache2/group.file

και αντιγράψτε/επικολλήστε την ακόλουθη γραμμή:

usergroup:user

10. Επανεκκινήστε το διακομιστή HTTP Apache χρησιμοποιώντας την παρακάτω εντολή:

sudo systemctl restart apache2

 

Προώθηση μόνο για επικοινωνία με την ESETΓια να επιτρέπεται η προώθηση μόνο της επικοινωνίας ESET, καταργήστε τα εξής:

<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>

Και προσθέστε τα εξής:

<Proxy *>

Deny from all

</Proxy>

 

#*.eset.com:

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[c,C][o,O][m,M](:[0-9]+)?(/.*)?$>

Allow from all

</ProxyMatch>

 

#*.eset.eu:

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[e,E][u,U](:[0-9]+)?(/.*)?$>

Allow from all

</ProxyMatch>

 

#*.eset.systems:

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[s,S][y,Y][s,S][t,T][e,E][m,M][s,S](:[0-9]+)?(/.*)?$>

Allow from all

</ProxyMatch>

 

#Antispam module (ESET Mail Security only):

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mailshell.net|ds1-uk-rules-3.mailshell.net|fh-uk11.mailshell.net)(:[0-9]+)?(/.*)?$>

Allow from all

</ProxyMatch>

 

#Services (activation)

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs.trafficmanager.net)(:[0-9]+)?(/.*)?$>

Allow from all

</ProxyMatch>

 

#ESET servers accessed directly via IP address:

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([0-9]+)(:[0-9]+)?(/.*)?$>

Allow from all

</ProxyMatch>

 

#AV Cloud over port 53535

<ProxyMatch ^.*e5.sk.*$>

Allow from all

</ProxyMatch>

Προώθηση για όλη την επικοινωνία

Για να επιτρέπεται η προώθηση όλης της επικοινωνίας, προσθέστε τα εξής:

<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>

και καταργήστε τα εξής:

<Proxy *>

Deny from all

</Proxy>

 

#*.eset.com:

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[c,C][o,O][m,M](:[0-9]+)?(/.*)?$>

Allow from all

</ProxyMatch>

 

#*.eset.eu:

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[e,E][u,U](:[0-9]+)?(/.*)?$>

Allow from all

</ProxyMatch>

 

#*.eset.systems:

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[s,S][y,Y][s,S][t,T][e,E][m,M][s,S](:[0-9]+)?(/.*)?$>

Allow from all

</ProxyMatch>

 

#Antispam module (ESET Mail Security only):

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mailshell.net|ds1-uk-rules-3.mailshell.net|fh-uk11.mailshell.net)(:[0-9]+)?(/.*)?$>

Allow from all

</ProxyMatch>

 

#Services (activation)

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs.trafficmanager.net)(:[0-9]+)?(/.*)?$>

Allow from all

</ProxyMatch>

 

#ESET servers accessed directly via IP address:

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([0-9]+)(:[0-9]+)?(/.*)?$>

Allow from all

</ProxyMatch>

 

#AV Cloud over port 53535

<ProxyMatch ^.*e5.sk.*$>

Allow from all

</ProxyMatch>

Αλυσίδα διακομιστών μεσολάβησης (όλη η κυκλοφορία)

Το ESET PROTECT δεν υποστηρίζει αλυσίδα διακομιστών μεσολάβησης, όταν οι διακομιστές μεσολάβησης απαιτούν έλεγχο ταυτότητας. Μπορείτε να χρησιμοποιήσετε τη δική σας διαφανή λύση διακομιστή μεσολάβησης ιστού, ωστόσο ίσως απαιτείται πρόσθετη διαμόρφωση πέρα από αυτήν που περιγράφεται εδώ. Προσθέστε τα ακόλουθα στη διαμόρφωση διακομιστή μεσολάβησης (ο κωδικός πρόσβασης λειτουργεί μόνο σε θυγατρικούς διακομιστές μεσολάβησης):

<VirtualHost *:3128>

ProxyRequests On

ProxyRemote * http://IP_ADDRESS:3128

</VirtualHost>

Όταν χρησιμοποιείτε την αλυσίδα διακομιστών μεσολάβησης στην εικονική συσκευή ESET PROTECT, πρέπει να τροποποιηθεί η πολιτική SELinux. Ανοίξτε το τερματικό στην εικονική συσκευή ESET PROTECT και εκτελέστε την ακόλουθη εντολή:

/usr/sbin/setsebool -P httpd_can_network_connect 1

Ρύθμιση παραμέτρων του διακομιστή μεσολάβησης HTTP για μεγάλο αριθμό υπολογιστών-πελατών

Εάν χρησιμοποιείτε διακομιστή μεσολάβησης Apache HTTP 64 bit, μπορείτε να αυξήσετε το όριο νήματος για το Apache HTTP Proxy. Επεξεργαστείτε το αρχείο ρύθμισης παραμέτρων httpd.conf, μέσα στο φάκελο Apache HTTP Proxy. Βρείτε τις ακόλουθες ρυθμίσεις στο αρχείο και ενημερώστε τις τιμές για να αντιστοιχούν στον αριθμό των υπολογιστών-πελατών σας.

Αντικαταστήστε την τιμή του παραδείγματος 5000 με τον αριθμό σας. Η μέγιστη τιμή είναι 32000.

ThreadLimit 5000

ThreadsPerChild 5000

 
Μην αλλάξετε το υπόλοιπο αρχείο.

Ρυθμίστε τις παραμέτρους του διακομιστή μεσολάβησης Apache HTTP για να προωθεί τις συνδέσεις του Φορέα-Διακομιστή

1.Στον υπολογιστή διακομιστή μεσολάβησης ανοίξτε το αρχείο

i.Διανομές Debian
/etc/apache2/mods-available/proxy.conf

ii.Διανομές Red Hat
/etc/httpd/conf/httpd.conf

2.Προσθέστε τις ακόλουθες γραμμές στο τέλος του αρχείου:
AllowCONNECT 443 563 2222 8883 53535

3.Στον υπολογιστή διακομιστή μεσολάβησης ανοίξτε το αρχείο

i.Διανομές Debian
/etc/apache2/apache2.conf

ii.Διανομές Red Hat
/etc/httpd/conf/httpd.conf

4.Βρείτε τη γραμμή:
Listen 80
και αλλάξτε τη σε
Listen 3128

5.Εάν προσθέσατε περιορισμούς για διευθύνσεις IP στη ρύθμιση παραμέτρων διακομιστή μεσολάβησης (βήμα 1), πρέπει να επιτρέψετε πρόσβαση στο διακομιστή ESET PROTECT:

Προσθέστε ένα ξεχωριστό τμήμα ProxyMatch:

I.Τη διεύθυνση που χρησιμοποιούν οι φορείς σας για σύνδεση με το διακομιστή ESET PROTECT.

II.Όλες τις άλλες πιθανές διευθύνσεις του διακομιστή σας ESET PROTECT (IP, FQDN)
(προσθέστε ολόκληρο τον παρακάτω κώδικα, η διεύθυνση IP 10.1.1.10 και το όνομα κεντρικού υπολογιστή hostname.example είναι ένα παράδειγμα που θα αντικατασταθεί από τις δικές σας διευθύνσεις. Μπορείτε να δημιουργήσετε την έκφραση ProxyMatch σε αυτό το άρθρο της Γνωσιακής βάσης.)
 

<ProxyMatch ^(hostname\.example(:[0-9]+)?(\/.*)?|10\.1\.1\.10(:[0-9]+)?(\/.*)?)$>

Allow from all

</ProxyMatch>

6.Κάντε επανεκκίνηση της υπηρεσίας Apache HTTP Proxy.

Ρύθμιση παραμέτρων προσωρινής μνήμης

Μπορείτε να χρησιμοποιήσετε το htcachceclean για να ρυθμίσετε τις παραμέτρους του μεγέθους και του καθαρισμού της προσωρινής μνήμης του Apache HTTP Proxy. Ανατρέξτε στις οδηγίες ρύθμισης παραμέτρων της προσωρινής μνήμης για την εικονική συσκευή ESET PROTECT.

Ρύθμιση SELinux

Όταν χρησιμοποιείτε διακομιστή μεσολάβησης στην εικονική συσκευή ESET PROTECT η πολιτική SELinux πρέπει να τροποποιηθεί (την ίδια απαίτηση ενδέχεται να έχουν και άλλες διανομές Linux). Ανοίξτε το τερματικό στην εικονική συσκευή ESET PROTECT και εκτελέστε την ακόλουθη εντολή:

/usr/sbin/setsebool -P httpd_can_network_connect 1

sudo semanage port -a -t http_port_t -p tcp 2222