[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Conf Squid para não pedir senha no browser - RESOLVIDO

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 11-10-2007 14:14, Pedro Debian wrote:
> Graças a ajuda do pessoal da lista, e alguns artigos que encontrei,
> consegui fazer o squid autenticar os usuários já logados na rede sem
> precisar digitar a senha novamente.
> No meu caso, configurei o squid para autenticar através do samba usando
> o NTLM. O samba por sua vez faz parte do dominio da rede e valida os
> usuários em minha base LDAP que fica no PDC. Se um usuário não
> autorizado tenta acessar os a internet, é solicitado o nome de usuário e
> senha.
> Estou mandando abaixo o arquivo no qual me baseei para resolver o problema.
> http://www.slackware-brasil.com.br/web_site/artigos/artigo_completo.php?aid=66

> Gostaria de saber do pessoal mais experiente, a respeito da segurança
> desta implementação, uma vez que este serviço roda no firewall/proxy que
> fica diretamente em contato com a internet. Eu bloquei o serviço samba e
> os demais serviços que são usados por ele para acesso externo a rede.

	Como diria [1]Bob Schneier, segurança é um processo, rapidamente
é possível dizer que usar IE é muito mais inseguro que usar Firefox e
outros núcleos Mozilla, mas isso seria relativo, pois depende das suas
configurações locais.

1. http://www.schneier.com/


	O firewall/proxy deveria ter apenas os serviços necessários, o
código do Samba é bem mantido, mas há falhas de segurança vez por
outra que precisam de atualização e manutenção.


> Alguém sugere mais algum recurso extra que poderia aumentar o nível de
> segurança do serviço???

	Usar SSL no Apache2 e adotar kerberos ao invés do NTLM, as
senhas em NTLM não são exatamente as senhas mais seguras do mundo.
Estar seguro é a idéia ligada ao fato do custo de obtenção da
informação ser maior que o valor da própria informação. A autenticação
dos navegadores não é das melhores, já que ela usa o mecanismos Basic,
então falar de segurança aqui pode ser _muito_ relativo.

	Alguém poderia argumentar que não trafegar as senhas pela
autenticação do navegador é mais seguro, usar somente Firefox e
uma robusta lista no Squid para evitar malwares, mas pode ser que
isso não encaixe na sua demanda e nas suas necessidades.

	Pior que estar inseguro é ter a sensação de estar seguro,
mantenha logs e controles de acesso, saiba o que está acontecendo,
se puder use SELinux, criptografe o que der (e claro, sonhe para
poder se livrar do Janelão(tm)).

	Abraço,
- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHDn4lCjAO0JDlykYRAjqQAJ0e5hXTCLTBfpYUiKlMXulYpElAkACePu4Q
+6X6zdi4Hyxll2K4ZsAKct0=
=Yb6M
-----END PGP SIGNATURE-----
Reply to: