LINUX.ORG.RU
ФорумAdmin

squid SECURITY ALERT

 ,


0

0

Доброе время суток, собираю squid 3.5.24 на ubuntu 16.04.2

 ./configure --build=x86_64-linux-gnu \
--prefix=/usr \
--includedir=${prefix}/include \
--mandir=${prefix}/share/man \
--infodir=${prefix}/share/info \
--sysconfdir=/etc \
--localstatedir=/var \
--libexecdir=${prefix}/lib/squid \
--srcdir=. \
--disable-maintainer-mode \
--disable-dependency-tracking \
--disable-silent-rules \
--datadir=/usr/share/squid \
--sysconfdir=/etc/squid \
--mandir=/usr/share/man \
--enable-inline \
--disable-arch-native \
--enable-async-io=8 \
--enable-storeio=ufs,aufs,diskd,rock \
--enable-removal-policies=lru,heap \
--enable-delay-pools \
--enable-cache-digests \
--enable-icap-client \
--enable-follow-x-forwarded-for \
--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB \
--enable-auth-digest=file,LDAP \
--enable-auth-negotiate=kerberos,wrapper \
--enable-auth-ntlm=fake,smb_lm \
--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group \
--enable-url-rewrite-helpers=fake \
--enable-eui \
--enable-esi \
--enable-icmp \
--enable-zph-qos \
--enable-ecap \
--disable-translation \
--with-swapdir=/var/spool/squid \
--with-logdir=/var/log/squid \
--with-pidfile=/var/run/squid.pid \
--with-filedescriptors=65536 \
--with-large-files \
--with-default-user=proxy \
--enable-ssl \
--enable-ssl-crtd \
--with-openssl \
--enable-linux-netfilter \
'CFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wall' \
'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' \
'CPPFLAGS=-D_FORTIFY_SOURCE=2' \
'CXXFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security' 
root@ubt:~# cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.100.1
nameserver 8.8.8.8
nameserver 77.88.8.8
В сквиде указаны dns
dns_nameservers 192.168.100.1 8.8.8.8 77.88.8.8 
У клиентов DNS 192.168.100.1 В cache.log сыпет
root@ubt:~# tail /var/log/squid/cache.log
2017/03/25 12:15:21| SECURITY ALERT: Host header forgery detected on local=94.100.180.76:443 remote=192.168.100.3:58232 FD 43 flags=33 (local IP does not match any domain IP)
2017/03/25 12:15:21| SECURITY ALERT: on URL: rs.mail.ru:443
2017/03/25 12:15:21| SECURITY ALERT: Host header forgery detected on local=94.100.180.76:443 remote=192.168.100.3:58230 FD 41 flags=33 (local IP does not match any domain IP)
2017/03/25 12:15:21| SECURITY ALERT: on URL: rs.mail.ru:443
2017/03/25 12:15:21| SECURITY ALERT: Host header forgery detected on local=94.100.180.76:443 remote=192.168.100.3:58229 FD 40 flags=33 (local IP does not match any domain IP)
2017/03/25 12:15:21| SECURITY ALERT: on URL: rs.mail.ru:443
2017/03/25 12:15:25| SECURITY ALERT: Host header forgery detected on local=173.194.122.207:443 remote=192.168.100.3:64825 FD 97 flags=33 (local IP does not match any domain IP)
2017/03/25 12:15:25| SECURITY ALERT: on URL: www.google.com.ua:443
2017/03/25 12:15:26| SECURITY ALERT: Host header forgery detected on local=94.100.180.76:443 remote=192.168.100.3:64828 FD 99 flags=33 (local IP does not match any domain IP)
2017/03/25 12:15:26| SECURITY ALERT: on URL: rs.mail.ru:443
3.5.8 на этапе make выдал, решил собрать 3.5.24
Makefile:797: recipe for targer 'intercept.lo' failed
Вся настройка происходит на виртуалках , гугл пишет, что возможно dns разные но все с DNS нормально, собирал по хабравскому рецепту без пачта bio.cc, без libressl, и libecap3 в Ubuntu уже из коробки. Где искать косяки ?

Ответ на: комментарий от anc

Хотелось бы услышать все возможные варианты, может есть возможность собрать 3.5.8 как наиболее стабильную и проверить ее работоспособность. Я собирал 23,24, и 8 вышла вот с fail. Может есть способ решения этого faila

dispancer
() автор топика
Ответ на: комментарий от anc

И вопрос, это никак не повлияет на основной функционал сквида,если все такие воспользоваться этим методом ?

dispancer
() автор топика
Ответ на: комментарий от anc

да это я в гугле видел ) я задал вопрос уже по тому , что в гугле не нашел ответа более интересного чем этот )

dispancer
() автор топика
23 мая 2017 г.
Ответ на: комментарий от dispancer

squid 8

Пробовал на виртуалках 3.5.8 собрался только на Дебиане обновленном полностью в тестовую ветку. Если собирать на Дебиане стабильном, то вылазит куча зависимостей, недостаточно либов, либо они устарели и требует обновить. Собрался только 3.5.25, буду пытаться как-то отключить в исходниках этот ALERT :(

dabster
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.