LINUX.ORG.RU

Вышел новый Squidward 0.7

 , , ,


1

1

Не прошло и месяца с анонса системы управления правилами доступа прокси-сервера Squid 3 с помощью веб-интерфейса Squidward, как вышла версия 0.7. В новой версии реализовано множество дополнительных возможностей, исправлены ошибки.

Список нововведений довольно обширный:

  • увеличена производительность подпрограмм ext_acl;
  • опционально обеспечена поддержка hhvm подпрограммами ext_acl;
  • теперь в списке пользователей можно использовать следующие теги:
    • net: (подсеть в формате cidr, например net:10.1.0.0/16);
    • src: (ip-адрес клиента, например src:10.1.0.1);
    • adgrp: (группа пользователей AD, например adgrp:domain users) экспериментальная поддержка;
  • реализована возможность предоставление доступа к ресурсам без прохождения аутентификации с помощью встроенной области применения «Unauthenticated access», в списке пользователей допустимы только теги: «net:» и «src:» остальные записи игнорируются;
  • для сопоставления запрошенного пользователем адреса dst_dom и URL указанного в политике Squidward более не применяется регулярное выражение, начиная с версии 0.7 происходит поиск вхождения URL-а из политики доступа в запрошенном пользователем адресе dst_dom;
  • в списке URL можно использовать следующие теги:
    • regex: (регулярное выражение, например regex:[0-9]+.[0-9]+.[0-9]+.[0-9]+);
    • port: (tcp порт назначения, например port:5190);
  • при регистрации нового подразделения более не требуется указание префикса;
  • исправлена ошибка по которой при регистрации нового подразделения разрешалось указать в качестве логина администратора имя существующего пользователя, что приводило к ошибкам в работе;
  • исправлены прочие общие ошибки, внесены изменения в документацию;
  • данный релиз посвящен Зимним Олимпийским играм в Сочи ;-)

Руководство по обновлению с версии 0.6 до 0.7

>>> Подробности



Проверено: Shaman007 ()

данный релиз посвящен Зимним Олимпийским играм в Сочи

Вообще-то, это позор года.

anonymous ()

увеличена производительность подпрограмм ext_acl;

Каким образом? Результаты тестов доступны? Где письмо с патчем в списке рассылок squid-dev?

anonymous ()

блин! сын ЕЖЕДНЕВНО смотрит спанчбоба, зашел сюда и тут ОН, этот чертов унылый осьминог с черной дудкой и с вислым носом, тьфу!

Kompilainenn ★★★★★ ()
Последнее исправление: Kompilainenn (всего исправлений: 1)

исправлена ошибка по которой при регистрации нового подразделения разрешалось указать в качестве логина администратора имя существующего пользователя, что приводило к ошибкам в работе;

эпик, просто эпик

Kompilainenn ★★★★★ ()

О как, по изменениям видно, что не зря пробовал в прошлый раз. Обязательно попробую этот релиз в ближайшее время.

nixargh ()

данный релиз посвящен Зимним Олимпийским играм в Сочи

Ждем релиза посвященного чемпионату 18, че уж.

anonymous ()

группа пользователей AD

Оставшиеся Спанч Бобы будут найдены и разгромлены во имя блага и сохранности общества!

cipher ★★★★★ ()

данный релиз посвящен Зимним Олимпийским играм в Сочи ;-)

какой позор.

anonymous ()

Открыл первый попавшийся файл. Из ext_dstdom_uni.php:

$line = trim(fgets(STDIN));

$fields = explode(' ', $line);

$dst = rawurldecode($fields[0]);
$port = rawurldecode($fields[1]);
$policy = rawurldecode($fields[2]);

$dst_all = "SELECT dest_list FROM policy WHERE name_prefix='$policy'";
$dst_res = mysql_query($dst_all) or die (mysql_error());

Пrостите, мне пrаво неудобно, но что будет если в $policy окажется `'; DROP TABLE dest_list; --`?

anonymous ()
Ответ на: комментарий от anonymous

access_policy.php вообще шедевр. Ребята, я конечно анонимус, и похвастаться своим гитхабом не имею возможности.

Вещь нужная, но код, простите, говно. У нас стажёры лучше пишут. Дело даже не в китайской методе, хрен бы с ней, но он тупо небезопасен. Выше я привёл пример sql-injection. Про PDO автор явно не слышал.

anonymous ()
Ответ на: комментарий от anonymous

Зачем...

... ну зачем же?!?

Зачем Вы им это рассказываете? Чтобы увеличить работу «добрым людям»? Проксики же нужны! Да и этот копрокод комментировать не особо есть желание, если честно.

Вещь нужная

Ненужная в таком «формате». Обратите внимание например на способы конфигурирования любых более-менее толковых продуктов, связанных с сетевой безопасностью.

Как правило, там есть CLI (на хосте со Squid CLI есть и так — через ssh). И там есть (для примера возьмём наиболее доступное — Cisco ASA) ASDM, являющийся приложением Java WebStart, которое загружается на машину и позволяет конфигурировать всё что угодно/необходимо в режиме «точка-точка» (если удосужились нормально настроить). Т.е., есть машина конфигурирующего, есть конфигурируемый хост. Всех остальных — лесом.

Странно, но ни один дятел не делает конфигурилку на базе http-сервера + быдлокод на похапе. Или в Cisco настолько тупы, что не осиливают похапе? Сумлеваюсь я чтой-то. Скорее, просто видят уязвимость данного пути. ;)

Мозгов потроллить хватило, а мозгов на то, чтобы посмотреть как люди руками делают приличные вещи — нет. Приговор — инвалиды умственного труда. Код, вослед за «афтарами» в газенваген.

anonymous ()
Ответ на: Зачем... от anonymous

Re: Зачем...

являющийся приложением Java WebStart

Ой не скажите, благородный дон. Насмотрелся я на эту энтерпрайзную копрофилию досыта. Dell'овский iDRAC чего стоит. Или та хрень, которая брокадовские fc-свитчи конфижит.

Казалось ты - жаба, кросплатформенность, ко-ко-ко, кудах-тах-тах, а по факту - работает только на нескучном дистре явы с сайта производителя. Сан/6 - работает, Оракл/6 - хуй, Оракл/7 - хуй, OpenJRE - даже не заикайтесь.

Знаете что? Уж лучше быдлокод на пхп. По крайней мере я могу переписать его сам с нуля.

anonymous ()
Ответ на: Re: Зачем... от anonymous

Re: Зачем...

... а вот это более логично:

я могу переписать его сам с нуля.

только сделать это можно и нужно руками.

Казалось ты - жаба, кросплатформенность, ко-ко-ко, кудах-тах-тах, а по факту - работает только на нескучном дистре явы с сайта производителя. Сан/6 - работает,

Не, я не жаба. Я иногда на ней пишу. :) Хотя, да, бывает такой вот «крАвАвАй ЫнтЫрпрайз», не перелезший покамест ни на что, выше Sun/Oracle JDK/JRE 6. Это не лечится в принципе. Но всё же, если уж гондобить что-нибудь конфигурящее самостоятельно, то умнее было бы не использоать похапе. Вообще.

В принципе, у меня сейчас есть аналогичная задачка. Использую http://www.jcraft.com/jsch/ на всю голову (ssh2 in pure Java). Вельми доволен. Фишка в том, что при таком раскладе java-configurator это просто графическая оболочка, реализующая ssh-управление неким хостом и софтом на нём. Т.е., у меня остаётся в активе всё тот же «чистый ssh» как CLI и добавляется столь любимый на голову болезными одминами графон. А что там унутре, всем же плевать?

Т.е., я резко разгружаю хост путём отказа от тормозящего при любом удобном и неудобном случае похапе, от чего-нибудь типа Апача, заменяя на что-нибудь типа лайти (boa пока не тестировал, но я о нём помню и знаю). Задача-то плюнуть на хост одмина java-configurator, там не нужна особая производительность в отличие от...

anonymous ()
Ответ на: Re: Зачем... от anonymous

Re: Зачем...

«бы» там должно быть, ноутбук, неудобно.

А что там унутре, всем же плевать?

Именно такой подход порождает упомянутный «ынтерпрайз», ставший нарицательным и притчей во языцах. Нет, чёрт возьми, не плевать. Сейчас не 90е, код пишется совместно и не выбрасывается большей частью при выходе следующей версии.

Конечно, глупо об этом говорить жаба-кодеру, но вся ваша инфраструктура оторвана от реальности. Вебморда смотрится органично в сегодняшнем веб-ориентированном мире. А апплеты как были, так и остались чем-то из эпохи COM'а и activeX.

anonymous ()
Ответ на: Re: Зачем... от anonymous

Re: Зачем...

... смешить-то? =)))

жаба-кодеру

Есть проблем — я не «жаба-кодер», я С-программист (даже не плюсовец в чистом виде). А жабка это как крем сверху пирожка, для случая, когда уважаемый Зокассчег хочет кросс-платформенного. Я бы не против на С, с GTK и libssh2 (как, собственно, у меня моё инфраструктурное оборудование отруливается), но слава Богу, что хоть на это Зокассчега уболтали.

вся ваша инфраструктура оторвана от реальности

Не, с нашей всё хорошо, а вот предлагать вместо Java WebStart какое-то гуано, в котором нет ни одной не поломанной части, да ещё и дырьев полно... Ну и вообще-то это был язык для НЕ-программистов (читай — для НЕ-программ)... По-моему, Стакаша всерьёз поразил Ваш мозг своим содержимым.

Вебморда смотрится органично в сегодняшнем веб-ориентированном мире

Да, в особенности фигово сделанная веб-морда. Даёшь халявные проксики — сказал же уже. И, самое главное, давайте нагрузим работающий комплекс всякой фигнёй, слабо релевантной поставленным перед комплексом задачам. И вообще — для конфигурации каждого элемента комплекса мы выделим по виртуалочке с апачем и похапе, фигли, денег-то полно. Память дёшева. А то, что такой «комплекс» будет через раз выполнять то, что от него требуется, это фигня — у нас веб-морда органично смотрится. Или, всё-таки, может проще? Как люди делают?

Нет, чёрт возьми, не плевать. Сейчас не 90е, код пишется совместно и не выбрасывается большей частью при выходе следующей версии.

Пле-вать. Именно по этой причине есть одно ошибочное убеждение о том, что важна стоимость времени разработчика, а не финальная стоимость комплекса в общем и целом. Даже не TCO, а именно стоимость времени разработчика, я повторюсь. Иначе откуда столько скриптунов на всяких этих ваших питонах/Рэбэ/прочей скриптофигне?

Во второй части, если Вы про «рефакторинг», то он-то здесь при чём? Повторное использование кода и групповая разработка начались задолго до похапе и явки. Мягко говоря, изобретено не вчера.

А апплеты как были, так и остались чем-то из эпохи COM'а и activeX.

Я фигово помню что именно там с COM и ActiveX было, но давайте-ка Вы сбегаете, матчасть подучите? Ну просто так, на всякий случай. А то мало ли...

anonymous ()
Ответ на: комментарий от anonymous

Спасибо за конструктивную критику. Мы в курсе о имеющихся проблемах в безопасности кода и планируем переписать на PDO, или /и применим mysql_real_escape_string. Т.к. система для внутренних нужд, то вопросы безопасности даже не поднимались, да ничего критичного не случится. В любом случаем мы не программисты, а админы. Сделали для себя, как нам показалось, очень удобную, быструю систему и решили поделиться с общественностью. Других подобных систем для Squid мы не знаем, за исключением SAMS, но это совсем другая тема.

sonic ()
Ответ на: комментарий от sonic

Моё «попробую в ближайшее время» растянулось на неделю, но я таки попробовал. На первый взгляд сейчас ваше решение мне подходит, за что вам спасибо. Надо бы теперь из этого HA кластер сделать и можно будет на ком-нибудь потестить.
А на счёт кода, конечно приятно знать, что то что удобно ещё и написано хорошо, но в случае использования внутри организации на какие-то вещи можно закрыть глаза. Конечно зависит от организации. Ну и наличие альтернативы тоже влияет.

nixargh ()
Ответ на: комментарий от nixargh

HA кластер просто!

Репликация MySQL и синхронизация rsync каталога с конфигурацией squid.

Нужно будет внести изменения в index.php убрать где проверяется статус процесса squid и в reload.php сделать вызов скрипта, который будет распространять по нодам конфиг squid через rsync и отправлять команды на squid reload через ssh.

sonic ()
Ответ на: комментарий от nixargh

подробнее могу рассказать по почте. пишите squidward@zelenin.info

sonic ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.