Ставим антивирус:
apt-get install clamav libclamav-dev
Добавляем задание для обновления антивирусных баз
crontab -u root -e
* */2 * * * /usr/bin/freshclam > /dev/null 2>&1

c-icap – демон ICAP
Адрес проекта: http://sourceforge.net/projects/c-icap
Работать он будет под пользователем proxy в группе nobody
groupadd -g 65535 nobody
cd /usr/src/
wget http://kent.dl.sourceforge.net/sourceforge/c-icap/c_icap-180407.tar.gz
tar -xzpf c_icap-180407.tar.gz && rm c_icap-180407.tar.gz
cd c_icap-180407

Конфигурим:
./configure –enable-static –with-clamav –prefix=/opt/c_icap
(при копировании исправьте — на – -)
make
make install
Получил ошибку:
mkdir: cannot create directory `/opt/c_icap/var/log/’: File exists
Разбираться не стал, просто полечил:
chmod 0775 /opt/c_icap/var/log/
make install
Все отработало нормально.

Теперь пиведем все к удобному и привычному виду:
mv /opt/c_icap/var/log /var/log/c_icap
ln -fs /var/log/c_icap /opt/c_icap/var/log
mv /opt/c_icap/etc /etc/c_icap
ln -s /etc/c_icap /opt/c_icap/etc

Редактируем конфиг:
vim /etc/c_icap/c-icap.conf
Что меняем:

CommandsSocket /var/log/c_icap/c-icap.ctl
…
User proxy
Group nobody
…
ServerLog /var/log/c_icap/icap-server.log
AccessLog /var/log/c_icap/icap-access.log
…
#Acl Controllers default_acl
acl localsquid_respmod src 127.0.0.1 type respmod
acl localsquid src 127.0.0.1
acl externalnet src 0.0.0.0/0.0.0.0
icap_access allow localsquid_respmod
icap_access allow localsquid
icap_access deny externalnet
…
# And here the viralator-like mode.
# where to save documents
srv_clamav.VirSaveDir /var/www/downloads/
-может быть задана несколько раз, таким образом, инфицированные файлы будут
сохраняться во множестве мест.
…
# from where the documents can be retrieved (you can find the get_file.pl script in contrib dir)
srv_clamav.VirHTTPServer “http://192.168.0.99/cgi-bin/get_file.pl?usename=%f&remove=1&file=”
- ссылка, которая выдаст пользователю уведомление о попытке доступа к инфицированному объекту.
…
srv_clamav.VirUpdateTime время реинициализация антивирусных баз,
по умолчанию – 15 минут
…
srv_clamav.ScanFileTypes определяет группы и типы файлов для проверки
(EXECUTABLE и ARCHIVE по умолчанию)

Следующий конфиг файл /etc/c_icap/c-icap.magic
(описание найдено на opennet и не проверялось, добавлено как есть для информации …)
Представляет собой описание форматов различных групп-типов файлов
(TEXT, DATA, EXECUTABLE, ARCHIVE, GRAPHICS, STREAM, DOCUMENT – определённые
группы в c-icap.magic по умолчанию).

Антивирусная проверка строиться по типам файлов, проходящих через
проски-сервер, некоторые типы, например, можно исключить или добавить
свои типы.

Формат записи строки, для определения файла по его magic-числу (последовательности):
offset:Magic:Type:Group:Desc
Offset – смещение, с которого начинаеться Magic-последовательность.
Type и Group – тип и группа, к которой следует относить файл с данной
magic-последовательностью.
Desc – кратное описание, технической нагрузки не несёт.
Для примера загляните в c-icap.magic.

Создаем директорию для хранения инфицированного хлама:
mkdir /var/www/downloads/
chmod 775 /var/www/downloads/
chown proxy:nobody /var/www/downloads/

Скрипт get_file.pl:
cp -p ./contrib/get_file.pl /usr/lib/cgi-bin/
vim /usr/lib/cgi-bin/get_file.pl
Заменить
$filename=”/srv/www/htdocs/downloads/”.$args{“file”};
на
$filename=”/var/www/downloads/”.$args{”file”};
Теперь качаем и копируем файл запуска:
cd /etc/init.d/
wget http://yaroshenko.biz/wp-content/uploads/2008/03/icap
chmod +x /etc/init.d/icap
update-rc.d icap defaults

Стартуем:
root@proxy:/# /etc/init.d/icap start
Starting c-icap:
Initialization of echo module……
Initialization of url_check module……

Проверяем:
root@proxy:/# /etc/init.d/icap status
Status process i-cap:
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
c-icap 16918 proxy 5u IPv4 26769 TCP *:1344 (LISTEN)
c-icap 16919 proxy 5u IPv4 26769 TCP *:1344 (LISTEN)
c-icap 16922 proxy 5u IPv4 26769 TCP *:1344 (LISTEN)
c-icap 16926 proxy 5u IPv4 26769 TCP *:1344 (LISTEN)

16984 pts/0 R+ 0:00 \_ /bin/sh -e /etc/init.d/icap status
16918 pts/0 S 0:00 /opt/c_icap/bin/c-icap -d 3 -f /etc/c_icap/c-icap.conf
16919 pts/0 Sl 0:00 \_ /opt/c_icap/bin/c-icap -d 3 -f /etc/c_icap/c-icap.conf
16922 pts/0 Sl 0:00 \_ /opt/c_icap/bin/c-icap -d 3 -f /etc/c_icap/c-icap.conf
16926 pts/0 Sl 0:00 \_ /opt/c_icap/bin/c-icap -d 3 -f /etc/c_icap/c-icap.conf

Идем править конфиг сквида
Находим в конце конфига секцию ICAP OPTIONS
и приводим ее к следующему виду:

icap_enable on
icap_preview_enable on
icap_preview_size 128
icap_send_client_ip on
icap_send_auth_username on

icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav
icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav

icap_class class_antivirus service_avi
icap_access class_antivirus allow all

icap_class class_antivirus_req service_avi_req
icap_access class_antivirus_req allow all

Все, теперь reboot и смотрим как все стартует и работает

Протестируем:

http://www.eicar.org/anti_virus_test_file.htm

Идем в секцию Download area using the standard protocol http
и качаем файло, в результате должны получить такое:

После попыток скачать зараженные файлы, идем в консоль:
ls -la /var/www/downloads/
drwxrwxr-x 2 proxy root 4096 2008-03-07 00:18 .
drwxr-xr-x 4 root root 4096 2008-03-06 21:47 ..
-rw——- 1 proxy nobody 308 2008-03-07 00:18 CI_TMP_vjR6BV
-rw-r–r– 1 proxy nobody 308 2008-03-07 00:18 eicarcom2.zip
-rw-r–r– 1 proxy nobody 184 2008-03-07 00:18 eicar_com.zip

Все четко, все инфицированные в палате …

Итак начнем.

Исходные данные для установки:
Будущий сервер proxy.workgroup
ip 192.168.0.99 gt:192.168.0.77 dns:192.168.0.77

Установка:
При установке выбираем конфигурацию LAMP и OPENSSH-Server
В процессе установки вас спросят пароль для root mysql
После установки проверяем имя хоста в /ets/hostname ->> proxy.workgroup
и записи в /etc/hosts
127.0.0.1 localhost proxy
192.168.0.99 proxy.workgroup proxy
Записи, относящиеся к ipv6 можно удалить …

Проверяем установки времени:
date
Если нужно изменить -> man date

Редактируем список репозитариев в /etc/apt/sources.list
и обновляем систему
apt-get update
apt-get upgrade

Установка SQUID3 и SAMS
Ставим необходимые пакеты для сборки и работы sams:
apt-get install mc libpcre3 libpcre3-dev libmysqlclient15-dev php5-ldap php-fpdf squid3 squidguard gcc make php5-gd
(если нужна стабильность, ставим squid)

Итак, нам необходимы исходники sams
Идем на http://sams.irc.perm.ru/ и качаем Current Stable Release: sams-1.0.1.tar.bz2
cd /usr/src/
wget http://sams.perm.ru/downloads/sams-1.0.1.tar.bz2
bunzip2 sams-1.0.1.tar.bz2 && tar -xpf sams-1.0.1.tar && rm sams-1.0.1.tar
cd sams-1.0.1/

В файле samsdaemon.c
ищем строку squid -k reconfigure
и меняем на squid3 -k reconfigure
Кто плохо знаком с консольными редакторами, пользуйтесь mc
или после сборки sams делаем симлинк (но думаю это не правильно…)
ln -s /usr/sbin/squid3 /usr/sbin/squid
иначе демон samsdaemon
будет пытаться при реконфигурировании запустить /usr/sbin/squid вместо squid3

Теперь непосредственно конфигурирование:
./configure – -with-httpd-locations=/var/www
make
make install

Копируем файл запуска демона конфигурации
cp ./etc/samsd.debian /etc/init.d/samsd
update-rc.d samsd defaults

Займемся доступом к mysql
mysql -u root -p (тут спросят пароль root для mysql)
GRANT ALL ON squidctrl.* TO sams@localhost IDENTIFIED BY “sams”;
(вместо “sams” вписываем свой пароль для юзера sams)
GRANT ALL ON squidlog.* TO sams@localhost IDENTIFIED BY “sams”;
exit

Теперь отредактируем в конфиге пароли, логины и пути к squid3
vim /etc/sams.conf
Учтите, что в строке
SHUTDOWNCOMMAND=shutdown -h now
прописана команда на полный останов прокси!

Собственно редактируем следующие строки:
MYSQLPASSWORD=sams
SQUIDROOTDIR=/etc/squid3
SQUIDLOGDIR=/var/log/squid3
SQUIDCACHEDIR=/var/spool/squid3
(для обычного сквида правим только пароль)

Теперь импортируем таблицы в mysql
cd ./mysql
mysql -u root -p < sams_db.sql
mysql -u root -p < squid_db.sql

И идем редактировать конфиг сквида под свои нужды:
vim /etc/squid3/squid.conf
(vim /etc/squid/squid.conf все по аналогии)

Внимание! Ни в коем случае не менять структуру файла и не удалять каменты !
sams ориентируется в конфиге по его дефолтной структуре и тегам в коментариях.
Итак, поехали:

указываем адрес, который будет слушать/обслуживать наш прокси
http_port 192.168.0.99:3128

раскоментариваем (редактруем по своему вкусу)
сache_dir ufs /var/spool/squid3 100 16 256
а так же другие опции работы с кешем

раскоментарить:
access_log /var/log/squid3/access.log
pid_filename /var/run/squid3.pid

Ищем соответствующие секции и вставляем/раскоментариваем :
url_rewrite_program /usr/local/bin/samsredir
url_rewrite_children 5
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/ncsa.sams
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

Все, необходимый минимум получен, остальное сами изучите
Теперь займемся обработчиком логов squid3 (access.log) – собственно непосредственный подсчет трафика
Обработчик логов sams может быть запущен samdaemon автоматически или из cron

Мы берем для простоты вариант работы с cron, создайте демону cron задание в файле /etc/crontab:
*/1 * * * * /usr/local/bin/sams
Согласно этому правилу обработка логов будет осуществляться раз в минуту
crontab -u root -e
и вставить строку что выше
Должно получиться вот так:
# m h dom mon dow command
*/1 * * * * /usr/local/bin/sams

Теперь перезапустим squid и займемся настройкой
/etc/init.d/squid3 restart

Открываем в мазиле

http://192.168.0.99/sams/

Админ:
admin/qwerty
Статистика:
auditor/audit

Настройка WEB интерфейса:
ставим язык russian utf-8
Показывать графики в отчетах
Создавать PDF отчеты с помощью fpdf

Администрирование SAMS:
авторизация в NCSA
файл перенаправления запроса http://192.168.0.99/sams/icon/classic/blank.gif
Путь к каталогу, где лежат файлы запрета запроса http://192.168.0.99/sams/messages
Редиректор встроенный SAMS
Сохранять данные о трафике в базе за последние 12 месяцев

Удалить все существующие группы пользователей и шаблоны пользователей
удаляем все безжалостно…

Регулярные выражения :
создать список ban и поместить туда к примеру vkontakte.ru
Локальные домены:
добавить workgroup и 192.168.0.99

Создаем шаблон пользователей users:
Запрет доступа по регулярным выражениям
ban
Авторизация NCSA

Теперь добавим группу Users
и первого юзера
(не забудьте поставить галку в поле – Пользователь активен)

Запускаем демона
/etc/init.d/samsd start
Идем в меню SQUID – реконфигурировать
после того, как убедились, что команда демоном получена – смотрим в консоли:
ps -auxw|grep proxy

Теперь для проверки reboot и будем смотреть как это все работает,
В браузере прописываем настройки прокси 192.168.0.99 порт 3128
Все должно работать, а при попытке входа на запрещенный URL должны получить:

Ну и конечно красивые графики в статистике …

Ну вот кажется и все, ждите продолжения ….