Forum association ASRI éducation

Bonjour
Voici une avancée sérieuse sur ce thème qui était en standby
on se rapproche du live dvd d'abuledu


voici un sfs de 8,6 mégas avec dansguardian
http://dl.dropbox.com/u/51025291/asri/filtrage1.sfs
je l'ai testé sur une asri 300
une fois le sfs installé
ouvrez une console et tapez polipo (c'est le nom du programme proxy )
ne fermez pas la console, réduisez là seulement.
allez dans startup et cliquer sur dansguardian
configurer le navigateur avec les paramètres suivants
proxy 127.0.0.1 port 8080

la navigation est maintenant filtrée


reste à affiner le filtrage de dansguardian et à automatiser la mise à jour mais le plus dur est fait

remarque
1 il est possible de configurer firefox pour interdire la modification des les paramètres de proxy

2 Pour ne pas avoir à retaper polipo en console à chaque fois on pourra rajouter ceci dans le fichier dansguardian présent dans startup
sleep 10
polipo

ces 2 lignes sont à rajouter en tete avant la ligne adduser qu'on pourra supprimer après le premier redémarrage.
voici le fichier dansguardian de startup que j'utilise après le premier test
penser à rendre le fichier executable

#!/bin/sh
sleep 10
polipo
sleep 2
#adduser -D -H dansguardian
chown -R dansguardian /var/log/dansguardian
/etc/init.d/dansguardian restart

3 privoxy qui est utilisé dans abuledu semble poser de problèmes avec lucid de puppy ou ubuntu sur certains sites dont celui de l'asri --->il n'y a que des pages blanches d'affichées )

Alain

reste à affiner le filtrage de dansguardian et à automatiser la mise à jour mais le plus dur est fait

Bonjour
Pour ceux qui voudraient mettre en place une solution de filtrage efficace, voici ce que je propose
>
> > > http://dl.dropbox.com/u/51025291/asri/filtre.sfs
>

télécharger le fichier 53,1 mégas (contient firefox9 préconfiguré, dansguardian polipo et script d'automatisation de la mise à jour des blacklists de squidguard)

charger le sfs par un clic droit

une fois le sfs installé, firefox vous propose de le lancer -> refuser cette proposition en cliquant sur Quit

aller dans root , cliquer sur lancement_filtrage
accepter de relancer l'affichage

Une fois l'affichage relancé, aller dans root/startup et cliquer sur dansguardian

Le filtrage est alors définitivement installé avec firefox comme navigateur par défaut et aucune de ces opérations ne sera à répéter

remarque
il est possible de modifier les réglages de dansguardian (personnellement j'ai bloqué google (dont certaines images passent au travers du filtrage de squidguard et de la fonction safesearch sur strict) et certains mots grossiers...)
il est possible de mettre à jour la blacklist en utilisant celle de Toulouse pour squid guard en utilisant le script blacklist_dansguardian présent dans root
j'ai mis un mot de passe (asri ) sur la configuration de firefox pour montrer qu'on peut interdire la modification des paramètres de configuration (réglage page de démarrage et proxy)
si on veut reconfigurer firefox et ne pas passer par le proxy local il faudra utiliser ce mot de passe
si on choisit firefox sans proxy, il n'y a aucun filtre

si on veut utiliser seamonkey il faut taper seamonkey en console ou rajouter un lien vers seamonkey sur le bureau
si on désinstalle le sfs, il faut recréer manuellement le lien entre seamonkey et defaultbrowser

Remarque : il ne faut pas qu'une version de firefox soit installée avant de charger le sfs

Alain

Bonjour Alain,

Toulouse a changé sa façon de fonctionner et nous a adressé un autre proxy.

Il faut éditer une liste de mot de passe par élève (avec base élèves)
Ensuite, il suffit de paramétrer seamonkey ou firefox sur l'asri ou autre OS et le tour est joué.
A la connexion, on demande à l'élève ses identifiants .
En revanche, quand l'enseignant se connecte sur un ordi élève, on lui demande aussi des identifiants (nous ne possédons que ceux des élèves) ou alors on ne paramètre qu'un navigateur...

Qu'en penses-tu?

Bonjour
D'après ce que tu dit les machines de ton école peuvent se connecter à internet sans proxy (sous réserve que le navigateur soit bien configuré).
Personnellement, j'utiliserai un autre navigateur qui ne démarrerait qu'avec une commande console.
Alain

Bonsoir Alain

En effet, je peux me connecter sans proxy...

Imaginons que je garde seamonkey pour les élèves et que je veuille mettre firefox pour les instits. Je télécharge le paquet, je l'installe et un raccourci est créé dans le menu déroulant.
Quel fichier dois-je supprimer pour enlever l'icône dans le menu déroulant et ainsi n'y avoir accès qu'en console?

Il faut modifier le fichier .desktop qui se trouve dans /usr/share/applications : c'est la ligne categories.
p.e. : education3_6;education6_8 placera le raccourci dans les menus indiqués
Juste une petite question : L'entrée internet n'est présente que dans l'environnement "adulte", les élèves n'y ont pas accès

Merci pour ta réponse.
En effet lorsque l'on est sur les plateformes enfants, internet ne parait pas dans le menu déroulant. Mais, je laissais toujours un poste sous la plateforme adulte pour mes besoins...En fait, il faut juste que je change mes habitudes.

Bonjour
A choisir, je mettrai firefox comme navigateur pour les enfants en y rajoutant ce module public fox
Avec ce module il leur sera impossible de modifier la config du proxy sans avoir un mot de passe
de plus cette extension permet de rajouter des sites à filtrer au cas où le proxy n'assurerait pas...
le bloquage de site avec public fox est assez facile.
dans le sfs que j'ai mis en ligne j'ai ainsi bloqué yahoo avec public fox (google étant bloqué dans la configuration de dansguardian, dansguardian étant lui plus difficile à configurer surtout qu'on voit les modifications à la session suivante contrairement à public fox où c'est immédiat)

je pense qu'avec babygo et wikipédia on a déjà de quoi faire...

en plus de cela il faut veiller à faire de firefox ou le navigateur prévu pour les enfants comme navigateur par défaut pour toutes les sessions enfants
et vérifier que les fichiers à extension htm et html s'ouvrent aussi avec ce navigateur (par défaut c'est midori)

Alain

Public Fox

Pour protéger les ordinateurs de classe ou de la salle info de manière hyper pratique. Après définition d’un mot de passe unique, Public Fox permet de :

- bloquer les téléchargements dont on spécifie les extensions
- bloquer l’ajout d’extensions (Add-on)
- bloquer le changement des options de Firefox
- bloquer l’ajout de marque-pages
- bloquer la configuration de Firefox
- bloquer certaines URL (blacklist)
- bloquer votre historique
- bloquer l’about:config etc....

Bonjour
Voici une évolution de la solution de filtrage
Un changement majeur puisque c'est maintenant le couple squid / dansguardian qui est utilisé
Il utilise les blackslists de toulouse et se met à jour automatiquement environ tous les 5 jours (400 000 secondes)
voir fichiers présents dans startup

Cette version peut s'installer sur une machine reliée à un seul réseau et elle pourra néanmoins assurer le filtrage de de toutes les machines reliées au réseau y compris les tablettes...

Voici la façon la plus simple de l'utiliser.

Télécharger le sfs
https://www.cloud.sfr.fr/?shareObject=d ... a59a9a291a (30 mégas)

Installer le sfs

Identifier l'adresse réseau qui vous a permis d'aller sur internet

aller dans /root/filtrage
lancer le programme dansguardian_ip1.sh
Ce programme vous demandera d'entrer votre adresse réseau

faites-le et appuyer sur entrée
attendez quelques secondes
relancer le serveur x

Squid et dansguardian sont maintenant installés et démarreront automatiquement à chaque boot. ( Après beaucoup de tâtonnements, j'ai trouvé comment se passer de commandes consoles )


Configurer les paramètres proxy du navigateur en indiquant l'adresse ip que vous venez d'identifier et en précisant port 8080 (onglet préférences de seamonkey et de firefox version asri )
dites que vous voulez ce réglage pour tous les protocoles.
Si vous avez mis moins d'une minute, pour faire ce réglage, patientez car le filtrage n'est effectif qu'au bout d'une quarantaine de scondes.

Environ quarante secondes après la relance du serveur x, essayer d'aller sur un site peu recommandable avec votre navigateur nouvellement configuré
Normalement, vous devriez être bloqué …

Prenez une autre machine reliée au même réseau (tablette, téléphone portable en wifi, pc sous windows , autre )
Régler les paramètres de proxy de la même façon
vos outils sont maintenant filtrés.

Inconvénient : c'est un peu facile de détourner le système et de changer la configuration des paramètres avancés pour remettre une classique.
Si vous disposez d'une machine personnelle pour faire le proxy, cet inconvénient peut être solutionné.

Ainsi, si vous voulez utiliser ce système avec des ados niveau début collège
on peut interdire l'accés de leur machine au routeur non pas en restreignant les adresses mac mais en utilisant les application de restriction d'acces fournis par les fournisseurs d'acces (orange, sfr ….).
Chez sfr il est possible de personnaliser les interdictions d' acces à internet de toutes les machines reliées à la neufbox
Chez orange on peut faire une restriction d'acces totale aussi en indiquant une plage horaire allant de 00 :00 à 23:59

En mettant ces restrictions il sera impossible d'aller sur internet sauf à passer par la machine proxy qui elle ne sera pas bloquée et n'autorisera la connexion qu'à travers 2 ports
le 3128 et le 8080

le 3128 ne filtre pas mais permet un suivi des logs (voir var /log/squid/acces.log )

le 8080 filtre et permet le suivi des logs (voir var/log/dansguardian/acces.log

Remarque
en utilisant une commande iptables sur votre machine on pourra interdire le port 3128 pour ne laisser que celui de dansguardian

On pourra aussi utiliser iptables pour filtrer le https ( facebook, twitter, google sur https ne seront pas naturellement filtrés par dansguardian)

D'autres améliorations sont en cours car je n'ai pas réussi à intégrer webmin .
Néanmoins avec ce sfs, on dispose déjà d'une bonne protection et surtout d'un outil très simple et très rapide à installer.


Merci de me faire part de vos retours, j'ai fait des tests en utilisant seulement 3 machines connectées simultanément à internet mais je ne sais pas quelle charge ( nombre de pc à utiliser le proxy en même temps sans saturer ) est possible .


Je crois que ce sfs n'utilise que des ressources libres et si Cédric veut bien l'ajouter au dépôt il n'y a pas de problème.

Alain

Ps : ce sfs fonctionne sur d'autres versions de puppy ( celle de petithar entre autres ) !