Представьте, в ОС или каком-либо компоненте нашли уязвимость, взломали, и одно дело, утекшие данные, а ведь до кучи могут сделать хост частью своего ботнета, например. Вы хватаетесь за голову, что ж теперь, аудит проводить, куда лазили, что делали, или просто переустановить всё, опять же заново настраивать, — сплошной головняк. Восстановление из последнего бэкапа? Как давно он был сделан? Ведь наверняка с тех пор в конфигурацию хоста внесены изменения. Я веду к тому, что всё ещё популярно хранить актуальное состояние ОС в единственном экземпляре в «горячем» виде, так сказать.

А что если, экземпляр вашей ОС хранился бы в «холодном» виде в образе, на сервере, откуда бы загружался на ваш хост при каждом его включении, и подтягивал за собой всю конфигурацию, необходимую для работы. Хост взломали, а вы просто исправили баг в образе который хранится «на холодную» и жмякнули кнопочку reset для перезагрузки, и снова в строю. Это же просто офигенно.

Как раз сейчас я этим и занимаюсь и решил поделиться мыслями. Хочу перевести все свои сервисы на удалённую «бездисковую» загрузку по сети. Чтоб даже домашний ПК-роутер, раздающий интернеты, загружался по сети и подтягивал образ с соответствующей конфигурацией. Для этого нужен только DHCP, tftp-hpa и... grub2, либо syslinux.

Когда компьютер включается, UEFI / BIOS при необнаружении накопителей пытается загрузиться через сеть, это так по-умолчанию, можно тупо принести новый комп из магазина домой, закрытыми глазами его собрать, включить и он загрузится, и станет нодой, частью вашей сети, да... кра-со-та.

UEFI спросит DHCP-сервер, DHCP выдаст IP и скажет, что по такому-то адресу находится загрузчик. UEFI попытается загрузить его по TFTP-протоколу, и в случае успеха, уже сам grub2 покажет красивую менюшку с выбором ОС, — добро пожаловать бездисковую загрузку по сети!

С установкой и запуском tftp-hpa проблем не будет, /usr/sbin/in.tftpd --listen --secure --verbose /var/ftp/tftpboot

Предлагаю всё хранить в /var/ftp/tftpboot, туда же установим загрузчик GRUB2:

# grub-mknetdir --net-directory /var/ftp/tftpboot
Netboot directory for i386-pc created. Configure your DHCP server to point to /var/ftp/tftpboot/boot/grub/i386-pc/core.0
Netboot directory for i386-efi created. Configure your DHCP server to point to /var/ftp/tftpboot/boot/grub/i386-efi/core.efi
Netboot directory for x86_64-efi created. Configure your DHCP server to point to /var/ftp/tftpboot/boot/grub/x86_64-efi/core.efi

Далее DHCP, достаточно настроить чтобы он раздавал IP и говорил по какому адресу находится файл загрузчика, который UEFI будет загружать через TFTP.

# cat /etc/dhcpd.conf
shared-network arpanet {
  interface br0;

  allow booting;
  allow bootp;
  next-server 10.0.0.1;
  filename "boot/grub/i386-pc/core.0";

  subnet 10.0.0.0 netmask 255.0.0.0 {
    option domain-name-servers 8.8.8.8, 8.8.4.4;
    option subnet-mask 255.0.0.0;
    option routers 10.0.0.1;
    range 10.0.0.2 10.0.0.254;
  }
}

Загрузка будет происходить с tftp://${next-server}/${filename}. У меня интерфейс br0 — бридж, в который вхожи все виртуальные машины. Именно br0 присвоен 10.0.0.1. У вас это может быть просто сетевая карта enp1s4po3te5ri7ng9.

Алсо, если у вас реально UEFI, можно добавить проверку, какой загрузчик отдавать системе:

option client-system-architecture-type code 93 = unsigned integer 16;

if option client-system-architecture-type = 00:09 {
  filename "boot/grub/x86_64-efi/core.efi";
}
else {
  filename "boot/grub/i386-pc/core.0";
}

У меня кстати на QEMU с OVMF загрузчик EFI не заработал. Не знаю почему, то ли OVMF кривой, то ли надо тестировать на реальном железе (пока не пробовал).

Ну и вишенкой на торте надо создать обычный grub.cfg vi /var/ftp/tftpboot/boot/grub/grub.cfg:

set default=0
set timeout=60
menuentry "Boot SLAX" {
  linux /boot/os/slax/vmlinuz load_ramdisk=1 prompt_ramdisk=0 rw printk.time=0 from=http://10.0.0.1/slax/slax-64bit-9.9.1.iso
  initrd /boot/os/slax/initrfs.img
}
menuentry "Reboot" {
  reboot
}
menuentry "Shutdown" {
  halt
}
menuentry "Continue" {
  exit
}

На этом вся настройка. Для теста я использовал qemu-system-x86_64 -nic tap, который скриптами /etc/qemu-{ifup,ifdown} входил в бридж br0. BIOS спрашивал DHCP, DHCP выдавал IP и сообщал адрес загрузчика, далее BIOS загружал его с TFTP сервера и удачно грузился grub2, а дальше — дело тривиальное. Напихать кучу образов ОС.

Для примера можно использовать SLAX, для этого скачаем ISO-образ дистрибутива, стырим оттуда файлики /slax/boot/{vmlinuz,initrfs.img} и положим к себе в /var/ftp/tftpboot/boos/os/slax/.

Расскажу, как это работает, почему загружается SLAX и почему не загружается Debian / Ubuntu / Anything Else по сети.

Мы включили ПК, по TFTP загрузился grub2 и всё управление сейчас находится у него. Далее, выбирая пунктик меню загрузки SLAX, сам grub2 загружает с TFTP-сервера файлы /vmlinuz и /initrfs.img и передаёт управление уже ядру /vmlinuz. А ядро-то про TFTP сервер ничего не знает! И initrd SLAX'а, и любого другого дистрибутива ничего про TFTP не знает. До того момента, как мы грузимся по сети, мы работаем с TFTP-сервером, grub2 может оттуда загружать все свои модули, шрифты, аниме-картинку-с-понями для фона, но после того, как он передаёт управление ядру — забудьте про TFTP, всё.

В данном примере параметром к ядру указан from=http:// iso-образ SLAX, — да, iso-образ будет скачан с этого ресурса и SLAX будет успешно загружен по сети, нооо, важная деталь — это не параметр ядра, from= сохранится в /proc/cmdline, но ядро не знает что с этим делать, с from= будет работать сам /init скрипт находящийся в initrfs.img. Это чисто фича SLAX, и такой фичи нет у других дистрибутивов.

Как же тогда загрузить Ubuntu Live по сети? Да, grub2 может загрузить ISO образ размером 2гб, но оно вам надо? Ядро не знает про http и ftp (поправьте, если ошибаюсь), но ядро знает про NFS (Network File System) и умеет работать с ней. Таким образом, чтобы загрузить Ubuntu Live, вам надо точно так же извлечь vmlinuz и initrd из iso-образа Ubuntu, а параметром к ядру дописать root=/dev/nfs, таким образом ядро Ubuntu (и любого другого дистрибутива, т.к. это уже фича самого ядра Linux), будет знать, что после того как какой-нибудь скрипт в initrd запросит внешний файл, например, Live-образ системы, — ядро знает, что брать его надо с nfs://10.0.0.1/ubuntu-live — так-то!

Если будут вопросы, постараюсь ответить (хотя скоро спать).

За основу дистрибутива для загрузки по сети я беру любимый CRUX. Вся идея в том, чтобы загружался простенький busybox, подключался к сети (udhcpc), а затем через wget ftp://10.0.0.1/boot/pxelinux.cfg/54:52:00:12:34:56/init.sh && sh init.sh выполнял дальнейшие инструкции для загрузки, которые могут быть вообще любые. Подтягивал любой образ ФС по сети и switch_root в него! Так-то.

И так, что мы имеем?

Fuzix - юникс-образную систему, запущенный на zx spectrum-совместимом компьютере.

Конечно, это не zx spectrum 48, и даже не pentagon 128.

Это TSConf, да ещё и запущенный не на ZXEvo.

Если вкратце, то ттх системы примерно таковы:

• z80 с частотой от 3.5 до 14МГц
• наличествует аппаратный текстовый режим, ещё несколько дополнительных графических
• 4 мегабайта ОЗУ с страничной адресацией (окна по 16к, в каждое окно может быть назначена любая страница ОЗУ)
• контроллер SD карт с пропатченным TR-DOS, что позволяет загрузить образ дискеты в ОЗУ и работать с RAM-диска
• general sound
• turbo ay(два звуковых чипа, что даёт возможность слушать 6 канальную AY-музыку)
• SAA-звуковой чип(как в sam coupe).

Но при всем этом можно на этом железе играть в майник майнера, диззи и элиту, что оставляет за этим устройством звание совместимого со спеками устройства.

Как работает фузикс на реальном железе? Очень очень медленно.

Даже ls /bin выполняется ощутимое время. Не думаю, что эта ось пригодна хоть на что то (по крайней мере на этом компьютере), но поиграться можно.

По поводу, странного положения рабочей части изображения на мониторе - это он так на 50Гц развертку реагирует.

>>> Просмотр (4000x3000, 4111 Kb)

Всем Привет!

• DE: xfce
• Panel: tint2
• Demo видео: youtube.com
• Исходники: github.com

>>> Просмотр (1366x768, 418 Kb)

скажем мне нужна только первая строчка из вывода ls -l. Как?

Изучали программирование на Bash, и тут один из студентов поинтересовался, а нет ли под Linux какой интегрированной среды для разработки на Bash? Для тех, кто привык к VS т.п. решений?

Сказано — сделано, гуглим, находим. На скриншоте Visual Studio Code с плагином Bash-debug, который завязывает отладчик bashdb в этот редактор. Я как-то по привычке, по-старинке в Vim пишу, но может, есть в этом какие-то преимущества.

>>> Просмотр (1366x768, 65 Kb)

Как я это сделал:
1. Взял initrd из текущей системы и распаковал его так:

mkdir /root/initrd
cd /root/initrd
zcat /initrd.img|cpio -i

	# FIXME This has no error checking
	# Mount root
	if [ "${FSTYPE}" != "unknown" ]; then
		#mount ${roflag} -t ${FSTYPE} ${ROOTFLAGS} ${ROOT} ${rootmnt}

		mkdir /ramboottmp
		mount ${roflag} -t ${FSTYPE} ${ROOTFLAGS} ${ROOT} /ramboottmp
		modprobe zram
		modprobe loop
		echo 2G >/sys/block/zram0/mem_limit
                echo 2G >/sys/block/zram0/disksize
		losetup -P /dev/loop0 /dev/zram0
		mkfs.ext4 /dev/loop0
		mount -t ext4 /dev/loop0 ${rootmnt}
		cd ${rootmnt}
		unsquashfs -f -d ./ /ramboottmp/root/factory.sfs
		cp -R -P /ramboottmp/lib/modules ./lib
		echo "/dev/loop0 / ext4	defaults 0 0" >./etc/fstab
		umount /ramboottmp
	else

find ./|cpio -H newc -o ../initrd.img

• 1. Очень хорошую производительность системы и никаких лагов.
• 2. Хорошую отзывчивость приложений.

Если бы у меня было бы побольше оперативки, то я бы в zram гонял виртуальные машины.

>>> Просмотр (1920x1080, 242 Kb)

Итак, вышел свежий PCem, мне его было лень компилять , и я его скачал в виде виндового zip с экзешником внутри. Хорошо, что экзешник оказался 32-битный.

Настроил вроде, но там какой-то баг с оверлеем, если выбрать s3virge в качестве видяшки.

Биосы брал тут: https://sites.google.com/site/zretrofiles/pliki/PCemV11Win.zip

https://pcem-emulator.co.uk/ - сайт эмулятора.

Сайт линукса, который внутри (пересобран): http://ftp.linux.cz/pub/linux/slax/SLAX-2.x/

Звук ставить sb -16, внутри - modprobe sb

Cеть только одна - ISA-шная ne2000 - запускать modprobe ne io=0x300

Для видео отредактировать XFree86config, заменить vesa на s3virge.

С инета качает на 85 кб/c - не так уж и плохо, раз в 20 быстрее модема для телефонных линий!

Но voodoo почему-то не подхватывается fb драйвером, может эмуляция некомплектная, может в 2.4.37.11 именно этот драйвер (sstfb) сломан ....

Es1370/sb 128 pci видна, но не звучит - виснет ....Поэтому и поставил sb16. Если поставить pentium (не MMX) - при попытке воспользоваться оверлеем mplayer падает. Но это скорее баг древнего mplayer-а.

Разумеется, лучшее применение подобному эмулю - куда более старые машинки, от 386-го и ниже (который qemu не умеет). Ну или вин9x+voodoo игрушки.

Сайт всяких старых видеокарточек: http://www.vgamuseum.info/index.php/cards/item/94-ati-mach64-vt2 (но вот именно эта карточка в именно этом лин что-то не взлетает)

>>> Просмотр (1440x900, 703 Kb)

Че как ЛОР? Пробовал кто такое сделать? Какие траблы ожидают? Захотелось чет бесшумный, миниатюрный и экономный комп дешево. Она же 5 В всего потребляет, это как телефон на зарядке. Стоит ли покупать? Есть ли истории успеха, пользует ее кто как ПК?

Давным давно я покупал всей семье аппараты UMI-X2 (mt6589). Время этих телефонов прошло, апдейтов на них уже не прилетит, некоторые трубки частично убиты. К UMI-X2 еще и добавился еще и мой старый iOcean-X8 (mt6592) с убитым SIM-слотом. Выкидывать весьма производительные железки мне не хотелось, потому я сделал для аппаратов кастомные ядра и портировал Debian Stretch.

Но этого мало, потому я решил так же запилить вот такой вот хитрый бокс с охлаждением, где можно разместить эти древние аппараты.

Бокс отпечатан из пластика PLA, крышка держится на пазах+магнитах. Сверху стоит вентилятор, под ним проложен фильтр от пыли, между «этажами» предусмотрены отверстия для вентиляции. На дне дырки, через которые выходит воздух.
В виде ножек использованы силиконовые антиударные самоклеющиеся накладки для мебели, которые легко можно купить в любом леруа.

Время печати всего удовольствия - около 30 часов на моем Flying Bear P902. Моделировал в SolveSpace.

Каждый аппарат по USB определяется как композитное устройство в составе которого: сетевая карта (cdc-eem), виртуальный последовательной порт с консолью и usb mass_storage (если потребуется прямой доступ к SD/eMMC).

На данный момент аппараты планируется использовать как ферму для сборки debian-пакетов под arm через Jenkins CI. Тут два варианта: если удастся завести docker, то узлы будут эквивалентны, с контейнерами под debian armhf/armel и raspbian armhf. А если нет - то на каждый аппарат по своему дистру. Нет только аппарата на aarch64, но что-то подсказывает мне, что если второй раз разобью экран своего K6000 Pro, будет и эта архитектура в этой чудной зомби-ферме.

Кстати, за время с прошлой новости, я добавил в MediaDeb поддержку WiFi для UMI-X2, перевел систему сборки проекта на cmake, добавил в ядро все необходимое для поддержки iotop, оптимизировал систему для работы с еMMC и еще сделал много мелких доделок, включая еженедельные сборки для поддерживаемых аппаратов. А еще сделал бенчмарки

>>> Просмотр (1920x3237, 2079 Kb)

Вышла первая версия MediaDeb — проекта по запуску Debian GNU/Linux на телефонах на базе СнК от Mediatek (без chroot, честная прошивка с Debian).

MediaDeb — это мой небольшой хобби-проект для «оживления» старых аппаратов, не получающих более апдейтов от производителя и пылившихся на полках все это время.

( читать дальше... )

>>> Скачать

Из всех рецептов по автологину с последующим автозапуском Иксов без использования /gdm/kdm/xdm пока нашел один нормальный: https://syslinux.ru/node/1362

Но к нему есть некоторые вопросы:

В Центосе в /etc/inittab изначально нет такой строки -

c1:12345:respawn:/sbin/agetty 38400 tty1 linux

соответственно возникает сомнение, будет ли корректно работать рекомендованная строка

c1:2345:respawn:/sbin/agetty -a your_user -8 -s 38400 tty1 linux

И что за параметр такой - 38400? Это что, скорость, а 8 - битность? При чем тут они к автологину и Иксам?

В-общем, буду признателен, если кто объяснит, как работает этот непонятный рецепт и как его приспособить к Центос.

Debian stable, ядро 4.7 (4.7.8-1~bpo8+1) из backports, chroot работает

[host]# chroot /chroot_env /bin/bash
[in_chroot] # 

Тот же Debian stable, ядро 4.8 (4.8.11-1~bpo8+1) из backports, chroot НЕ работает

[host]# chroot /chroot_env /bin/bash
Segmentation fault
[host]# chroot /chroot_env /bin/dash  --- (dash работает)
[in_chroot] # bash
Segmentation fault
[in_chroot] # tcsh
Segmentation fault
[in_chroot] # ldd
Segmentation fault

selinux'a нет.

Что изменилось такого в 4.8? Что делать, кроме отката на 4.7?

Пользуюсь python 3 но хочу защитить скрипты от чтения кода но не знаю как. Думаю о компиляции но не знаю как.Пожалуйста кто знает как подробно опишите.Если таковых нет или в linux компиляция не пройдет.Опишите другие методы защиты от просмотра кода пожалуйста подробно если вам не трудно.

Перемещено tailgunner из development

Допустим есть RAID состоящий из двух разделов sda1, sdb1.

Удаление массива осуществляется затиркой суперблоков:
# mdadm --zero-superblock /dev/sda1
# mdadm --zero-superblock /dev/sdb1

Как сделать резервную копию суперблоков, на случай их восстановления?

Надоели тормоза, денег на новый ПК не было, психанул и таки запихнул / в ram.
На волне преобразований IceWM был заменён на JWM, а Iceweasel на Chromium(Iceweasel и firefox никак не хотели стартовать меньше 2 секунд(И ЭТО ИЗ RAM!) и безбожно тормозили на 5 открытых вкладках, а вот Chromium приятно удивил дав холодный старт меньше чем за секунду и отличную производительность даже на 10+ вкладках.)
Весь архив с / занял 604МБ (с iceweasel вместо chromium было 500)-http://imgur.com/B8nhLM4
GTK-http://imgur.com/74vUvbQ
LOR-http://imgur.com/vAZwCJX

>>> Просмотр (1440x900, 27 Kb)

Вот такой рабочий стол http://imgur.com/lF7iB9p
http://imgur.com/azATtX3 Конфиг очень простой, сам wm собирается из исходника на C. Ну что еще сказать, прикрутил к нему панельку tint2.
Есть привязка программ по тегам, n-ное кол-во раб. столов.
Поставил привычные хоткеи, ну вот и все.

>>> Просмотр (1280x800, 357 Kb)

Увидел прошлый скрин в галерее, нахлынули ностальгические воспоминания — решил выложить темно-синий StumpWM в противовес светло-зеленому.

Работал на такой конфигурации на старом ноуте — сугубо приятные впечатления после около года использования. Некоторые вещи типа всяких нотификаций допиливал постепенно, результат можно посмотреть в конфигах.

alert box, urxvt: http://i.imgur.com/8kMvr48.png?1
«виджеты»: http://i.imgur.com/y3KSX6G.png


Конфиг: https://github.com/zarkone/stumpwm.d

>>> Просмотр (1366x768, 464 Kb)

wm="wmutils"
term="urxvt"
panel="urxvt"
shell="zsh"
editor="vim"
fm="vifm"
browser="vimb"
font="M+"
colors="Visibone Alt. 2"

dotfiles

Стало не хватать grid layout в bspwm. В результате поисков решил попробовать отказаться от wm совсем:) Сейчас в качестве wm выступают несколько shell-скриптов, использующих wmutils - набор утилит для управления окнами. Панель - игнорируемое окно urxvt. Все это управляется с клавиатуры при помощи sxhkd. По сути, это floating wm, но есть несколько команд для выстраивания окон в режиме master+slaves, grid и fullscreen. Скрипты расчитаны на 1-2 монитора. Не скажу, что на 100% доволен, это все работает медленнее обычных wm и есть глюки с фокусом. Возможно, самое время начать писать свой wm :)

>>> Просмотр (1920x1080, 214 Kb)

Ubuntu 16.04 Xenial Xerus
Остальные скриншоты
Dotfiles

>>> Просмотр (1366x768, 1411 Kb)

Доброго времени суток. Настроил squid прозрачный по раз два все нормально работает но вот лог не совсем нравится

https
1464247555.219     66 192.168.28.33 TAG_NONE/200 0 CONNECT 94.100.180.59:443 - HIER_NONE/- -
1464247555.219     58 192.168.28.33 TCP_TUNNEL/200 0 CONNECT 94.100.180.59:443 - ORIGINAL_DST/94.100.180.59 -
1464247555.285     64 192.168.28.33 TAG_NONE/200 0 CONNECT 94.100.180.59:443 - HIER_NONE/- -
1464247555.285     59 192.168.28.33 TCP_TUNNEL/200 0 CONNECT 94.100.180.59:443 - ORIGINAL_DST/94.100.180.59 -
1464247555.429     61 192.168.28.33 TAG_NONE/200 0 CONNECT 94.100.180.59:443 - HIER_NONE/- -
1464247555.429     60 192.168.28.33 TCP_TUNNEL/200 7 CONNECT 94.100.180.59:443 - ORIGINAL_DST/94.100.180.59 -
1464247555.852 270684 192.168.28.33 TAG_NONE/200 0 CONNECT 217.20.155.58:443 - HIER_NONE/- -
1464247555.852 270681 192.168.28.33 TCP_TUNNEL/200 3979 CONNECT 217.20.155.58:443 - ORIGINAL_DST/217.20.155.58 -

http
1464247637.383     48 192.168.28.33 TCP_MISS/200 2256 GET http://ads.adfox.ru/171817/prepareCode? - ORIGINAL_DST/213.180.204.92 application/x-javascript
1464247637.418     33 192.168.28.33 TCP_MISS/302 491 GET http://sync.rambler.ru/emily? - ORIGINAL_DST/81.19.77.14 text/html
1464247637.437    132 192.168.28.33 TCP_MISS/200 440 GET http://cntcerber.rambler.ru/cnt/0.0.5/rambler.head/1578005263/1464247637.297-677784990? - ORIGINAL_DST/81.19.89.17 image/gif
1464247637.448     62 192.168.28.33 TCP_MISS/302 514 GET http://sync.rambler.ru/emily? - ORIGINAL_DST/81.19.77.14 text/html
1464247637.450     63 192.168.28.33 TCP_MISS/302 567 GET http://sync.rambler.ru/emily? - ORIGINAL_DST/81.19.77.14 text/html
1464247637.456    148 192.168.28.33 TCP_MISS/204 345 GET http://b.scorecardresearch.com/b? - ORIGINAL_DST/88.221.132.50 -
1464247637.547     36 192.168.28.33 TCP_MISS/200 53937 GET http://h03.rl0.ru/3.21.90/js/head.min.js - ORIGINAL_DST/81.19.82.3 application/x-javascript
1464247637.596     85 192.168.28.33 TCP_MISS/302 1964 GET http://target.smi2.net/init/? - ORIGINAL_DST/144.76.20.141 image/png

если прописать в бан лист так сказать vc.com то все нормально не открывается значит проверка проходит нормально, но почему тогда в логе идут одни ip адреса а не доменное имя как в http запросах

/etc/squid/squid.conf
     1  acl localnet src 192.168.28.0/24        # RFC1918 possible internal network
     2  acl SSL_ports port 443
     3  acl Safe_ports port 80          # http
     4  acl Safe_ports port 21          # ftp
     5  acl Safe_ports port 443         # https
     6  acl Safe_ports port 70          # gopher
     7  acl Safe_ports port 210         # wais
     8  acl Safe_ports port 1025-65535  # unregistered ports
     9  acl Safe_ports port 280         # http-mgmt
    10  acl Safe_ports port 488         # gss-http
    11  acl Safe_ports port 591         # filemaker
    12  acl Safe_ports port 777         # multiling http
    13  acl CONNECT method CONNECT
    14  dns_nameservers 192.168.28.3
    15  http_access deny !Safe_ports
    16  http_access deny CONNECT !SSL_ports
    17  http_access allow localhost manager
    18  http_access deny manager
    19  http_access allow localnet
    20  http_access allow localhost
    21  http_access deny all
    22  #прозрачный порт указывается опцией intercept
    23  http_port 192.168.28.15:3128 intercept options=NO_SSLv3:NO_SSLv2
    24  #также нужно указать непрозрачный порт, ибо если захотите вручную указать адрес
    25  #прокси в браузере, указав прозрачный порт, вы получите ошибку доступа, поэтому нужно
    26  #указывать непрозрачный порт в браузере, если конечно такое желание будет, к тому же в логах #сыпятся ошибки о том, что непрохрачный порт не указан=)
    27  http_port 192.168.28.15:3130 options=NO_SSLv3:NO_SSLv2
    28  #и наконец, указываем HTTPS порт с нужными опциями
    29  https_port 192.168.28.15:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
    30  always_direct allow all
    31  sslproxy_cert_error allow all
    32  sslproxy_flags DONT_VERIFY_PEER
    33  #укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)
    34  acl blocked ssl::server_name  "/etc/squid/blocked_https.txt"
    35  acl step1 at_step SslBump1
    36  ssl_bump peek step1
    37  #терминируем соединение, если клиент заходит на запрещенный ресурс
    38  ssl_bump terminate blocked
    39  ssl_bump splice all
    40  sslcrtd_program /lib/squid/ssl_crtd -s /var/spool/squid/ssl_db -M 4MB
    41  coredump_dir /var/spool/squid
    42  cache_dir aufs /var/spool/squid 20000 49 256
    43  refresh_pattern ^ftp:           1440    20%     10080
    44  refresh_pattern ^gopher:        1440    0%      1440
    45  refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
    46  refresh_pattern .               0       20%     4320
    47  maximum_object_size 61440 KB
    48  minimum_object_size 3 KB
    49  cache_swap_low 90
    50  cache_swap_high 95
    51  maximum_object_size_in_memory 512 KB
    52  memory_replacement_policy lru
    53  logfile_rotate 4