Installazione del proxy Apache HTTP - Linux
Le istanze di ESET Management Agent possono effettuare la connessione a ESET PROTECT Server tramite Apache HTTP Proxy. Ulteriori informazioni su come funziona il proxy per gli agenti ESET Management.
Apache HTTP Proxy è comunemente distribuito come un pacchetto apache2 o httpd.
Scegliere i passaggi di installazione del proxy Apache HTTP in base alla distribuzione Linux utilizzata sul server: Qualora si desideri utilizzare Apache per eseguire la memorizzazione nella cache anche dei risultati da ESET LiveGuard Advanced, consultare anche la documentazione correlata.
Installazione Linux (distribuzione generica) per il proxy Apache HTTP
1.Installare il server Apache HTTP (versione minima: 2.4.10).
2.Verificare che i seguenti moduli siano caricati:
access_compat, auth_basic, authn_core, authn_file, authz_core, authz_groupfile,
authz_host, proxy, proxy_http, proxy_connect, cache, cache_disk
3.Aggiungere la configurazione della memorizzazione nella cache:
CacheEnable disk http:// |
4.Se la directory /var/cache/apache2/mod_cache_disk non esiste, crearla e assegnare i privilegi Apache (r,w,x).
5.Aggiungere la configurazione del proxy:
AllowCONNECT 443 563 2222 8883 53535
ProxyRequests On
CacheLock on CacheLockMaxAge 10 ProxyTimeOut 900
SetEnv proxy-initial-not-pooled 1
<VirtualHost *:3128> ProxyRequests On </VirtualHost>
<VirtualHost *:3128> ServerName r.edtd.eset.com
<If "%{REQUEST_METHOD} == 'CONNECT'"> Require all denied </If>
ProxyRequests Off CacheEnable disk / SSLProxyEngine On
RequestHeader set Front-End-Https "On" ProxyPass / https://r.edtd.eset.com/ timeout=300 keepalive=On ttl=100 max=100 smax=10 ProxyPassReverse / http://r.edtd.eset.com/ keepalive=On </VirtualHost> |
6.Per impostazione predefinita, viene utilizzata la porta 2222 per la comunicazione con ESET Management Agent. In caso di modifica della porta durante l’installazione, utilizzare il numero di porta modificato. Modificare la porta 2222 nella riga: indicare AllowCONNECT 443 563 2222 8883 53535 al posto del numero della porta.
7.Attivare il proxy e la configurazione della memorizzazione nella cache aggiunti (se la configurazione si trova nel file di configurazione Apache principale, saltare questo passaggio).
8.Se necessario, modificare l'ascolto sulla porta desiderata (impostazione predefinita: porta 3128).
9.Autenticazione facoltativa di base:
oAggiungere la configurazione dell'autenticazione alla directory del proxy:
AuthType Basic |
oCreare un file della password utilizzando /etc/httpd/.htpasswd -c
oCreare manualmente un file denominato group.file con usergroup:username
10. Riavviare il server Apache HTTP.
Installazione di distribuzioni Linux per server Ubuntu e altre distribuzioni Linux basate su Debian del proxy Apache HTTP
1.Installare l'ultima versione del server Apache HTTP dall'archivio apt:
sudo apt-get install apache2
2.Eseguire il seguente comando per caricare i moduli Apache necessari:
sudo a2enmod access_compat auth_basic authn_core authn_file authz_core\
authz_groupfile authz_host proxy proxy_http proxy_connect cache cache_disk
3.Modificare il file di configurazione della memorizzazione nella cache Apache:
sudo vim /etc/apache2/conf-available/cache_disk.conf
e copiare/incollare la seguente configurazione:
CacheEnable disk http:// |
4. Questo passaggio non è obbligatorio. Tuttavia, se la directory della cache non esiste, è necessario eseguire i seguenti comandi:
sudo mkdir /var/cache/apache2/mod_cache_disk |
5.Modificare il file di configurazione del proxy Apache:
sudo vim /etc/apache2/conf-available/proxy.conf
e copiare/incollare la seguente configurazione:
AllowCONNECT 443 563 2222 8883 53535
ProxyRequests On
CacheLock on CacheLockMaxAge 10 ProxyTimeOut 900
SetEnv proxy-initial-not-pooled 1
<VirtualHost *:3128> ProxyRequests On </VirtualHost>
<VirtualHost *:3128> ServerName r.edtd.eset.com
<If "%{REQUEST_METHOD} == 'CONNECT'"> Require all denied </If>
ProxyRequests Off CacheEnable disk / SSLProxyEngine On
RequestHeader set Front-End-Https "On" ProxyPass / https://r.edtd.eset.com/ timeout=300 keepalive=On ttl=100 max=100 smax=10 ProxyPassReverse / http://r.edtd.eset.com/ keepalive=On </VirtualHost> |
6.Per impostazione predefinita, viene utilizzata la porta 2222 per la comunicazione con ESET Management Agent. In caso di modifica della porta durante l’installazione, utilizzare il numero di porta modificato. Modificare la porta 2222 nella riga: indicare AllowCONNECT 443 563 2222 8883 53535 al posto del numero della porta.
7.Attivare i file di configurazione modificati nei passaggi precedenti:
sudo a2enconf cache_disk.conf proxy.conf
8.Impostare la porta di ascolto del server Apache HTTP su 3128. Modificare il file /etc/apache2/ports.conf e sostituire Listen 80 con Listen 3128.
9.Autenticazione facoltativa di base:
sudo vim /etc/apache2/mods-enabled/proxy.conf
oCopiare/incollare la configurazione dell'autenticazione prima di </Proxy>:
AuthType Basic |
oInstallare apache2-utils e creare il file della nuova password (ad esempio, nome utente: user, gruppo: usergroup):
sudo apt-get install apache2-utils
sudo htpasswd -c /etc/apache2/password.file user
oCreare un file chiamato gruppo:
sudo vim /etc/apache2/group.file
e copiare/incollare la seguente riga:
usergroup:user
10. Riavviare il server Apache HTTP utilizzando il seguente comando:
sudo systemctl restart apache2
Inoltro per le sole comunicazioni ESETPer consentire solo l’inoltro delle comunicazioni ESET, rimuovere i seguenti valori:
<Proxy *> |
E aggiungere i seguenti:
<Proxy *> Deny from all </Proxy>
#*.eset.com: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[c,C][o,O][m,M](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#*.eset.eu: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[e,E][u,U](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#*.eset.systems: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[s,S][y,Y][s,S][t,T][e,E][m,M][s,S](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#Antispam module (ESET Mail Security only): <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mailshell.net|ds1-uk-rules-3.mailshell.net|fh-uk11.mailshell.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#Services (activation) <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs.trafficmanager.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#ESET servers accessed directly via IP address: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([0-9]+)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#AV Cloud over port 53535 <ProxyMatch ^.*e5.sk.*$> Allow from all </ProxyMatch> |
Inoltro per tutte le comunicazioni
Per consentire l’inoltro di tutte le comunicazioni, aggiungere i seguenti valori:
<Proxy *> |
e rimuovere i seguenti:
<Proxy *> Deny from all </Proxy>
#*.eset.com: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[c,C][o,O][m,M](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#*.eset.eu: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[e,E][u,U](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#*.eset.systems: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[s,S][y,Y][s,S][t,T][e,E][m,M][s,S](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#Antispam module (ESET Mail Security only): <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mailshell.net|ds1-uk-rules-3.mailshell.net|fh-uk11.mailshell.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#Services (activation) <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs.trafficmanager.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#ESET servers accessed directly via IP address: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([0-9]+)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch>
#AV Cloud over port 53535 <ProxyMatch ^.*e5.sk.*$> Allow from all </ProxyMatch> |
Concatenamento del proxy (tutto il traffico)
ESET PROTECT non supporta il concatenamento se i proxy richiedono l’autenticazione. È possibile utilizzare la propria soluzione di proxy Web trasparente, ma potrebbero essere richieste configurazioni aggiuntive oltre a quelle indicate in questa sede. Aggiungere i valori che seguono alla configurazione del proxy (la password funziona solo su un proxy figlio):
<VirtualHost *:3128> ProxyRequests On ProxyRemote * http://IP_ADDRESS:3128 </VirtualHost> |
In caso di utilizzo del concatenamento del proxy su ESET PROTECT Virtual Appliance, è necessario modificare il criterio SELinux. Aprire il terminale su ESET PROTECT VA ed eseguire il comando:
/usr/sbin/setsebool -P httpd_can_network_connect 1
Configurare il proxy HTTP per un numero elevato di client
Se si utilizza Apache HTTP Proxy a 64 bit, è possibile aumentare il limite soglia per Apache HTTP Proxy. Modificare il file di configurazione httpd.conf all’interno della cartella Apache HTTP Proxy. Trovare le seguenti impostazioni nel file e aggiornare i valori in base al numero di client.
Sostituire il valore dell’esempio di 5000 con il proprio numero. Il valore massimo è 32000.
ThreadLimit 5000
ThreadsPerChild 5000
Non modificare il resto del file.
Configurare il proxy Apache HTTP affinché inoltri le connessioni agente-server
1.Sulla macchina proxy aprire il file
i.Distribuzioni Debian
/etc/apache2/mods-available/proxy.conf
ii.Distribuzioni Red Hat
/etc/httpd/conf/httpd.conf
2.Aggiungere le seguenti righe alla fine del file:
AllowCONNECT 443 563 2222 8883 53535
3.Sulla macchina proxy aprire il file
i.Distribuzioni Debian
/etc/apache2/apache2.conf
ii.Distribuzioni Red Hat
/etc/httpd/conf/httpd.conf
4.Trovare la riga:
Listen 80
e modificarla in
Listen 3128
5.Se nella configurazione del proxy (passaggio 1) sono state aggiunte restrizioni per gli indirizzi IP, è necessario consentire l'accesso a ESET PROTECT Server:
Aggiungere un segmento ProxyMatch separato:
I.L’indirizzo utilizzato dagli agenti per la connessione a ESET PROTECT Server.
II.Tutti gli altri possibili indirizzi del server ESET PROTECT (IP, FQDN)
(aggiungere l’intero codice indicato di seguito; l'indirizzo IP 10.1.1.10 e il nome host hostname.example vengono forniti esclusivamente a titolo di esempio e devono essere sostituiti con gli indirizzi dell’utente. È anche possibile generare l’espressione ProxyMatch in questo articolo della Knowledge Base).
<ProxyMatch ^(hostname\.example(:[0-9]+)?(\/.*)?|10\.1\.1\.10(:[0-9]+)?(\/.*)?)$> Allow from all </ProxyMatch> |
6.Riavviare il servizio Apache HTTP Proxy.
Configurare la memorizzazione nella cache
È possibile utilizzare htcachceclean per configurare le dimensioni della cache e la pulizia della cache di Apache HTTP Proxy. Consultare le istruzioni per la configurazione nella cache di ESET PROTECT VA.
Impostazione SELinux
In caso di utilizzo del proxy su ESET PROTECT Virtual Appliance, è necessario modificare il criterio SELinux (altre distribuzioni Linux potrebbero prevedere lo stesso requisito). Aprire il terminale su ESET PROTECT VA ed eseguire il comando:
/usr/sbin/setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 2222