Организация защиты Squid
Больший контроль над смонтированным кэш-каталогом Squid
Если вы создаете кэш-каталог для Squid в независимом разделе вашей Linux системы (например, /cache), подобно тому как мы делали во время инсталляции, тогда вы можете использовать опции noexec, nodev и nosuid для улучшения и укрепления безопасности кэша. Эти параметры могут быть установлены в файле “/etc/fstab” и дают указания системе не исполнять любые двоичные файлы (noexec), не интерпретировать символьные и блочные специальные устройства (nodev) и не позволять действовать битам set-user-identifier или set-group- identifier (nosuid) на монтированной файловой системе (/cache, например). Примените эту процедуру на раздел, где располагается кэш Squid, чтобы предотвратить возможность DEV, SUID/SGID и выполнения любых двоичных файлов.
Например, предположим на разделе “/dev/sda8” располагается каталог “/cache”. Вы должны редактировать файл fstab (vi /etc/fstab) и изменить строку, связанную с “/dev/sda8”:
/dev/sda8 /cache ext2 defaults 1 2
должна быть:
/dev/sda8 /cache ext2 noexec,nodev,nosuid 1 2
ЗАМЕЧАНИЕ. Вы должны перезагрузить систему, чтобы изменения вступили в силу.
Иммунизация важных конфигурационных файлов
Как мы знаем, бит “постоянства” может быть использован для предотвращения удаления, переписывания или создания символической ссылки к файлу. Так как файл “squid.conf” уже настроен, хорошей идеей будет иммунизировать его:
[root@deep /]# chattr +i /etc/squid/squid.conf
