Re: Control Parental [tutorial]

[Pascal Ognibene <pascal.ognibene@libertysurf.fr>]

Le jeudi 27 avril 2006 à 10:29 +0200, Georges Roux a écrit :
> Bonjour,
> 
> Connaissez vous une solution de control parental pour debian ?
> Voir pour firefox?
> 
> Georges
> 
> 

Bonsoir,

comme promis dans mon précédent message, je poste ici
un petit tutorial pour un filtrage parental, en attendant
d'avoir le temps de le mettre sur un site comme lea linux
ou autre.

C'est pas tout àa fait fini mais utilisable.

Pascal

-----------------------------------------------------------------------
Configuration d'un filtrage parental efficace
==============================================

(Avec DansGuardian et tinyproxy sous debian gnu/linux)

1) Objectif de ce document
--------------------------
Ce document présente une méthode simple pour installer
un filtrage parental de type 'monoposte' sur un ordinateur
fonctionnant sous Debian gnu/linux.

Par monoposte, on entend que le filtrage sera
installé de manière individuelle sur chacun des
ordinateurs souhaitant accéder à Internet, par opposition
à une solution centralisée où un seul 'proxy' filtrerait
les accès d'un ensemble d'ordinateurs. 

Il s'agit donc d'une solution adaptée à un usage
familial, avec un nombre restreint de postes qui ont
tous un accès direct à internet - Par exemple, via
un modem routeur ADSL/WIFI.

Par ailleurs, certaines difficultés particulières
à la langue Française sont abordées pour obtenir un
filtrage plus fin.

2) Pré-requis
-------------
Les exemples de ce documents supposent que le navigateur
Firefox est utilisé. Cependant, tout navigateur convient,
à condition de supporter l'utilisation d'un proxy.

L'utilisation d'un filtrage entraîne inévitablement
l'usage de ressources système : sur un système avec moins
de 128 Méga Octets de mémoire des ralentissements peuvent
se faire sentir. Prévoyez également un peu d'espace disque,
une dizaine de Méga octets si vous utilisez seulement
le filtrage par expressions régulières de dansguardian,
une centaine de Méga octets si vous comptez utiliser des
listes d'URL de type squidguard (Pas de panique! Tout ceci sera
expliqué dans quelques paragraphes).

l'auteur a installé cette solution sur un Celeron 700 avec 192
méga octets de mémoire vive, et le ralentissement est
insensible.

3) Installation
----------------
En tant que super-utilisateur, il convient d'installer les
paquets Debian:

-tinyproxy
-dansguardian

L'installation du paquet dansguardian entraîne l'installation
de l'antivirus 'clamav' et des programmes associés.

Pour installer:

apt-get install tinyproxy dansguardian

Ou alors utilisez votre outil graphique préféré, comme
synaptic par exemple.

Notes:

>Pourquoi tinyproxy, plutôt que squid, oops, etc?
-parce qu'il est peu consommateur de ressources. En particulier,
il ne gère pas de cache et consomme donc très peu de mémoire.

>Pourquoi dansguardian plutôt que squidguard?
-suidguard effectue uniquement un filtrage par URL (adresse
des sites internet), tandis que dansguardian tente plutôt
d'analyser le *contenu* des pages pour savoir si elle
doit être bloquée ou pas. En option, dansguardian peut *aussi*
filtrer par URL.

4) Configuration
-----------------
Des configurations par défaut sont faites lors de l'installation
des paquets. Il faut les adapter à nos besoins. Toutes les manipulations
décrites ci-après sont à effectuer en tant que 'root', sauf la
configuration de Firefox qui doit se faire pour chaque utilisateur
défini sur l'ordinateur.

4.1 tinyproxy
-------------
Editez le fichier /etc/tinyproxy/tinyproxy.conf

Changez les lignes:

User nobody
Group nogroup

en:

User root
Group root

Changez la ligne:

Port 8888

en:

Port 3128

C'est fini pour la configuration de tinyproxy!


4.2 dansguardian
----------------

Dansguardian utilise un grand nombre de fichiers de configurations
situés dans /etc/dansguardian. Nous allons les aborder l'un
après l'autre.

Editez le fichier:

/etc/dansguardian/dansguardian.conf

Editez les lignes suivantes, si ça n'est
pas déjà fait:

filterport = 8080
proxyip = 127.0.0.1
proxyport = 3128
language = 'french'
virusscan = off

Commentez également la ligne:

#UNCONFIGURED

Dansguardian, en association avec l'antivirus clamav,
peut analyser les fichiers téléchargés
pour tester la présence d'un virus. Comme nos postes
sont sous Linux, cette option n'est pas utile,
en plus de consommer beaucoup de ressources.
C'est pourquoi l'option viruscan est mise à 'off'

Editez le fichier:

/etc/dansguardian/dansguardian1.conf

La valeur:

naughtynesslimit = 50

doit être adaptée à vos besoins de filtrage. L'auteur
de dansguardian recommande une valeur de 50 pour de jeunes
enfants. Pour des enfants de 8 à 10 ans, j'ai personnellement
constaté que cette valeur était un peu trop basse, et je l'ai ajusté
à 70. Plus la valeur est élevée, moins le filtrage est contraignant.

Mettez également l'option:

virusscan = off

Editez le fichier:

/etc/dansguardian/bannedextensionlist

Ce fichier permet de définir des types de fichiers
qu'il sera interdit de télécharger. Par défaut la liste est
très restrictive. j'ai donc autorisé certains types en commentant les
lignes (les roms snes sont par exemple en .zip :-):

#.gz   # Gziped file
#.tar  # Tape ARchive file
#.zip  # Windows compressed file
#.tgz  # Unix compressed file
#.bz2  # Unix compressed file

N'hésitez pas à enlever ou ajouter des types de fichiers
selon vos besoins.

Notez bien que seuls les fichiers téléchargés via le protocol
http seront filtrés. Les fichiers reçus en attachement d'un mail
ne seront pas filtrés par cette liste.

Editez le fichier:

/etc/dansguardian/bannedmimetypelist

Là encore il s'agit de restreindre des types de fichiers.

#application/gzip
#application/x-gzip
#application/zip
#application/compress
#application/x-compress
#application/java-vm

Editez le fichier:

/etc/dansguardian/bannedregexpurllist

Et ajoutez la ligne:

(webcam|tchat|t'chat|rencontre|meetic|amour)

à la fin de ce fichier. Elle permet de bloquer la plupart des sites
de rencontre en ligne en langue Française.


Editez le fichier:

/etc/dansguardian/phraselists/pornography/weighted_french

Et ajoutez à la fin:

< tchat ><20>
< t'chat ><20>
< partouze ><70>

Vous pouvez toujours rajouter des mots ou des listes de mots
dans ce fichier, avec des coéfficients positifs (mauvais mot)
ou négatifs (bons mots).


4.3 Aller plus loin
--------------------
dansguardian permet de faire beaucoup d'autres choses:
utliser les blacklists de squiguard pour un filtrage par URL ou
IP, remplacement à l'intérieur de la page affichée des mots sensibles,
expressions régulières, etc. Avec la configuration proposée
dans ce document vous aurez une protection très solide,
mais vous pouvez ajustez tous les paramètres jusqu'à obtenir
le filtrage parfait!


4.4 Configurer Firefox
----------------------

Avant de configurer firefox, redémarrez dansguardian et tinyproxy
avec leurs nouveaux paramètres:

/etc/init.d/dansguardian stop
/etc/init.d/tinyproxy stop

/etc/init.d/dansguardian start
/etc/init.d/tinyproxy start

Puis dans Firefox, configurez un proxy dans les préférences
en cliquant sur le bouton 'paramètres de connexion'.

Utilisez une configuration manuelle du proxy. 
HTTP proxy : mettez 127.0.0.1 avec le port 8080
puisque notre proxy tourne localement. Utilisez le serveur
proxy pour tous les protocoles.

Il est temps maintenant de faire un petit essai:
Dans Firefox allez sur www.google.com et faites une recherche
sur le mot "chatte"

Normalement la page résultante de cette recherche devrait être
bloquée et une page d'avertissement s'affiche à la place.
La page par défaut est plutôt laide, vous pouvez bien sûr la
personnaliser.
Pour cela, jetez un oeil aux fichiers de configurations et pages html
situés
dans /etc/dansguardian.

Deuxième essai, plus fort:

Faites une recherche dans google sur le mot 'chat'.
La page résultante n'est pas bloquée mais offre des liens vers
des sites de rencontre.
Si vous suivez les liens donnés, vous constaterez que certains sont
immédiatemment bloqués car ils contiennent un contenu sensible.
Pour d'autres sites, vous accédez à la page d'accueil ne contenant
rien de compromettant. Expérimentez! Il peut arriver qu'il y ait des
'trous' dans le filrage, même si c'est très rare, et en configurant on
arive toujours à y remédier.

Notez bien : le filtrage est actif dans cette configuration pour TOUS
les utilisateurs sur l'ordinateur concerné - même vous,
le censureur! Si l'ordinateur est partagé entre plusieurs
personnes, il faudra configurer plusieurs utilisateurs
dans dansguarddian/tinyproxy, et leur affecter des droits différents
(par exemple, aucune censure pour l'utilisateur proxy admin/admin).
Cela vient du fait que le proxy ne demande pas d'identification
(login/mot de passe).

Cette configuration n'est pas abordée ici, référez vous au manuel
de dansguardian et aux commentaires dans les fichiers
de configuration.

4.5 Verrouiller le filtrage
----------------------------

Maintenant que votre filtrage est actif,
vous avez configuré le proxy dans le navigateur web...
Et que se passe-t-il si un utilisateur décide de configurer
firefox pour passer outre le proxy?
Dans ce cas, il retrouve un accès direct à Internet,
sans filtrage, et tous nos efforts sont réduits à néant.

Linux propose la solution iptable pour rediriger des ports
de manière sélective, et en particulier ceux utilisés
pour accéder aux serveurs web.

Cette solution n'est pas présentée ici, car je n'ai pour l'instant
pas réussi à la faire fonctionner avec tinyproxy.
On supposera donc que les utilisateurs du filtrage n'ont
pas les compétences nécessaires pour désactiver le proxy
dans le navigateur web...