Le jeudi 27 avril 2006 à 10:29 +0200, Georges Roux a écrit : > Bonjour, > > Connaissez vous une solution de control parental pour debian ? > Voir pour firefox? > > Georges > >
Bonsoir, comme promis dans mon précédent message, je poste ici un petit tutorial pour un filtrage parental, en attendant d'avoir le temps de le mettre sur un site comme lea linux ou autre. C'est pas tout àa fait fini mais utilisable. Pascal ----------------------------------------------------------------------- Configuration d'un filtrage parental efficace ============================================== (Avec DansGuardian et tinyproxy sous debian gnu/linux) 1) Objectif de ce document -------------------------- Ce document présente une méthode simple pour installer un filtrage parental de type 'monoposte' sur un ordinateur fonctionnant sous Debian gnu/linux. Par monoposte, on entend que le filtrage sera installé de manière individuelle sur chacun des ordinateurs souhaitant accéder à Internet, par opposition à une solution centralisée où un seul 'proxy' filtrerait les accès d'un ensemble d'ordinateurs. Il s'agit donc d'une solution adaptée à un usage familial, avec un nombre restreint de postes qui ont tous un accès direct à internet - Par exemple, via un modem routeur ADSL/WIFI. Par ailleurs, certaines difficultés particulières à la langue Française sont abordées pour obtenir un filtrage plus fin. 2) Pré-requis ------------- Les exemples de ce documents supposent que le navigateur Firefox est utilisé. Cependant, tout navigateur convient, à condition de supporter l'utilisation d'un proxy. L'utilisation d'un filtrage entraîne inévitablement l'usage de ressources système : sur un système avec moins de 128 Méga Octets de mémoire des ralentissements peuvent se faire sentir. Prévoyez également un peu d'espace disque, une dizaine de Méga octets si vous utilisez seulement le filtrage par expressions régulières de dansguardian, une centaine de Méga octets si vous comptez utiliser des listes d'URL de type squidguard (Pas de panique! Tout ceci sera expliqué dans quelques paragraphes). l'auteur a installé cette solution sur un Celeron 700 avec 192 méga octets de mémoire vive, et le ralentissement est insensible. 3) Installation ---------------- En tant que super-utilisateur, il convient d'installer les paquets Debian: -tinyproxy -dansguardian L'installation du paquet dansguardian entraîne l'installation de l'antivirus 'clamav' et des programmes associés. Pour installer: apt-get install tinyproxy dansguardian Ou alors utilisez votre outil graphique préféré, comme synaptic par exemple. Notes: >Pourquoi tinyproxy, plutôt que squid, oops, etc? -parce qu'il est peu consommateur de ressources. En particulier, il ne gère pas de cache et consomme donc très peu de mémoire. >Pourquoi dansguardian plutôt que squidguard? -suidguard effectue uniquement un filtrage par URL (adresse des sites internet), tandis que dansguardian tente plutôt d'analyser le *contenu* des pages pour savoir si elle doit être bloquée ou pas. En option, dansguardian peut *aussi* filtrer par URL. 4) Configuration ----------------- Des configurations par défaut sont faites lors de l'installation des paquets. Il faut les adapter à nos besoins. Toutes les manipulations décrites ci-après sont à effectuer en tant que 'root', sauf la configuration de Firefox qui doit se faire pour chaque utilisateur défini sur l'ordinateur. 4.1 tinyproxy ------------- Editez le fichier /etc/tinyproxy/tinyproxy.conf Changez les lignes: User nobody Group nogroup en: User root Group root Changez la ligne: Port 8888 en: Port 3128 C'est fini pour la configuration de tinyproxy! 4.2 dansguardian ---------------- Dansguardian utilise un grand nombre de fichiers de configurations situés dans /etc/dansguardian. Nous allons les aborder l'un après l'autre. Editez le fichier: /etc/dansguardian/dansguardian.conf Editez les lignes suivantes, si ça n'est pas déjà fait: filterport = 8080 proxyip = 127.0.0.1 proxyport = 3128 language = 'french' virusscan = off Commentez également la ligne: #UNCONFIGURED Dansguardian, en association avec l'antivirus clamav, peut analyser les fichiers téléchargés pour tester la présence d'un virus. Comme nos postes sont sous Linux, cette option n'est pas utile, en plus de consommer beaucoup de ressources. C'est pourquoi l'option viruscan est mise à 'off' Editez le fichier: /etc/dansguardian/dansguardian1.conf La valeur: naughtynesslimit = 50 doit être adaptée à vos besoins de filtrage. L'auteur de dansguardian recommande une valeur de 50 pour de jeunes enfants. Pour des enfants de 8 à 10 ans, j'ai personnellement constaté que cette valeur était un peu trop basse, et je l'ai ajusté à 70. Plus la valeur est élevée, moins le filtrage est contraignant. Mettez également l'option: virusscan = off Editez le fichier: /etc/dansguardian/bannedextensionlist Ce fichier permet de définir des types de fichiers qu'il sera interdit de télécharger. Par défaut la liste est très restrictive. j'ai donc autorisé certains types en commentant les lignes (les roms snes sont par exemple en .zip :-): #.gz # Gziped file #.tar # Tape ARchive file #.zip # Windows compressed file #.tgz # Unix compressed file #.bz2 # Unix compressed file N'hésitez pas à enlever ou ajouter des types de fichiers selon vos besoins. Notez bien que seuls les fichiers téléchargés via le protocol http seront filtrés. Les fichiers reçus en attachement d'un mail ne seront pas filtrés par cette liste. Editez le fichier: /etc/dansguardian/bannedmimetypelist Là encore il s'agit de restreindre des types de fichiers. #application/gzip #application/x-gzip #application/zip #application/compress #application/x-compress #application/java-vm Editez le fichier: /etc/dansguardian/bannedregexpurllist Et ajoutez la ligne: (webcam|tchat|t'chat|rencontre|meetic|amour) à la fin de ce fichier. Elle permet de bloquer la plupart des sites de rencontre en ligne en langue Française. Editez le fichier: /etc/dansguardian/phraselists/pornography/weighted_french Et ajoutez à la fin: < tchat ><20> < t'chat ><20> < partouze ><70> Vous pouvez toujours rajouter des mots ou des listes de mots dans ce fichier, avec des coéfficients positifs (mauvais mot) ou négatifs (bons mots). 4.3 Aller plus loin -------------------- dansguardian permet de faire beaucoup d'autres choses: utliser les blacklists de squiguard pour un filtrage par URL ou IP, remplacement à l'intérieur de la page affichée des mots sensibles, expressions régulières, etc. Avec la configuration proposée dans ce document vous aurez une protection très solide, mais vous pouvez ajustez tous les paramètres jusqu'à obtenir le filtrage parfait! 4.4 Configurer Firefox ---------------------- Avant de configurer firefox, redémarrez dansguardian et tinyproxy avec leurs nouveaux paramètres: /etc/init.d/dansguardian stop /etc/init.d/tinyproxy stop /etc/init.d/dansguardian start /etc/init.d/tinyproxy start Puis dans Firefox, configurez un proxy dans les préférences en cliquant sur le bouton 'paramètres de connexion'. Utilisez une configuration manuelle du proxy. HTTP proxy : mettez 127.0.0.1 avec le port 8080 puisque notre proxy tourne localement. Utilisez le serveur proxy pour tous les protocoles. Il est temps maintenant de faire un petit essai: Dans Firefox allez sur www.google.com et faites une recherche sur le mot "chatte" Normalement la page résultante de cette recherche devrait être bloquée et une page d'avertissement s'affiche à la place. La page par défaut est plutôt laide, vous pouvez bien sûr la personnaliser. Pour cela, jetez un oeil aux fichiers de configurations et pages html situés dans /etc/dansguardian. Deuxième essai, plus fort: Faites une recherche dans google sur le mot 'chat'. La page résultante n'est pas bloquée mais offre des liens vers des sites de rencontre. Si vous suivez les liens donnés, vous constaterez que certains sont immédiatemment bloqués car ils contiennent un contenu sensible. Pour d'autres sites, vous accédez à la page d'accueil ne contenant rien de compromettant. Expérimentez! Il peut arriver qu'il y ait des 'trous' dans le filrage, même si c'est très rare, et en configurant on arive toujours à y remédier. Notez bien : le filtrage est actif dans cette configuration pour TOUS les utilisateurs sur l'ordinateur concerné - même vous, le censureur! Si l'ordinateur est partagé entre plusieurs personnes, il faudra configurer plusieurs utilisateurs dans dansguarddian/tinyproxy, et leur affecter des droits différents (par exemple, aucune censure pour l'utilisateur proxy admin/admin). Cela vient du fait que le proxy ne demande pas d'identification (login/mot de passe). Cette configuration n'est pas abordée ici, référez vous au manuel de dansguardian et aux commentaires dans les fichiers de configuration. 4.5 Verrouiller le filtrage ---------------------------- Maintenant que votre filtrage est actif, vous avez configuré le proxy dans le navigateur web... Et que se passe-t-il si un utilisateur décide de configurer firefox pour passer outre le proxy? Dans ce cas, il retrouve un accès direct à Internet, sans filtrage, et tous nos efforts sont réduits à néant. Linux propose la solution iptable pour rediriger des ports de manière sélective, et en particulier ceux utilisés pour accéder aux serveurs web. Cette solution n'est pas présentée ici, car je n'ai pour l'instant pas réussi à la faire fonctionner avec tinyproxy. On supposera donc que les utilisateurs du filtrage n'ont pas les compétences nécessaires pour désactiver le proxy dans le navigateur web... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]