Onglet Filtrage web : Configuration du filtrage web [Installation et mise en œuvre du module AmonEcole ]

Onglet Filtrage web : Configuration du filtrage web

Configuration des zones de filtrage
Politiques de filtrage
L'observatoire des navigations
Paramétrage de e2guardian
Filtrage pour la deuxième instance de Squid
Adresse électronique à utiliser en cas de réclamation
Désactivation du filtrage web

Le module Amon intègre le logiciel libre e2guardian^[1] pour réaliser le filtrage web.

Configuration des zones de filtrage

La solution de filtrage permet de différencier 2 zones, ce qui permet de dissocier 2 politiques de filtrage majeures et distinctes comme par exemple une zone réseau administratif et une zone réseau pédagogique.

Il faut choisir à quelle zone appartient une interface. Cela s'effectue dans la configuration de chaque interface réseau en sélectionnant le numéro de la zone souhaité dans le champ Filtre Web à appliquer à cette interface.

Remarque

Les zones Filtre web 1 et Filtre web 2 correspondent chacun à une instance du logiciel de filtrage. La configuration de chacune des instances s'effectue dans l'onglet Filtrage web.

En fonction de la configuration du filtrage effectuée dans l'interface de configuration du module deux sections nommée filtre web peuvent être disponibles dans l'EAD : Filtre web 1 et Filtre web 2.

Le paramétrage par défaut de e2guardian convient à un établissement de taille moyenne sans modification particulière.

Il peut être néanmoins intéressant de modifier ce paramétrage pour satisfaire les besoins de l'établissement (notamment dans le cas où le serveur ne peut plus répondre aux requêtes, la fenêtre d'authentification apparaît de façon intempestive, ...).

Sur un petit établissement, il sera possible d'économiser des ressources.

Sur un gros établissement, il pourra répondre à un plus grand nombre de requêtes.

Un certain nombre de paramétrages sont proposés pour contrôler les ressources de e2guardian.

Exemple

Il est possible d'affecter des politiques spécifiques en fonction de l'utilisation qui est faite des machines :

machines du foyer (politique plus laxiste) ;
machines du CDI (politique moins permissive).

Politiques de filtrage

Une politique de filtrage correspond à un ensemble d'autorisations ou interdictions d'accès à des sites, suivant différents critères.

Il existe 4 politiques prédéfinies :

une politique « défaut » de filtrage par défaut ;

une politique « modérateur » (permet d'outrepasser les interdictions) ;
une politique « interdits » (permet d'interdire toute navigation) ;
une politique « liste blanche » (navigation limitée aux sites de cette même liste).

Seule la politique de filtrage prédéfinie défaut est modifiable via l'EAD.

En plus de ces politiques, il est possible d'ajouter de 1 à 4 autres politiques de filtrage (il y en a 3 par défaut).

Ces politiques de filtrage additionnelles seront alors paramétrables dans l'EAD.

Les politiques défaut, modérateur, interdits, liste blanche, et 1, 2, 3 et 4 si elles ont été activées, sont visibles dans l'EAD dans le filtrage par machine ou par groupe de machine.

Les politiques 1, 2, 3 et 4 si elles ont été activées, sont visibles dans l'EAD dans les filtres web 1 et/ou 2 dans les rubriques filtrage par bases de filtres optionnels, filtrage syntaxique, interdiction et autorisation des domaines, interdiction des extensions et des types MIME.

Configuration du nombre de politique

Pour modifier le nombre de politiques de filtrage par zone, il faut utiliser le paramètre Nombre de politiques optionnelles de filtrage par zone :

la valeur 0 revient à n'utiliser que les 4 politiques par défaut proposées ci-dessus ;
l'ajout de politiques optionnelles (valeur 1,2,3,4) permet d'ajouter des filtres supplémentaires, associables à des groupes de machines ou des comptes utilisateur.

Attention

Plus vous définissez de politiques, plus e2guardian utilisera de ressources.

Adaptez le nombre de politiques activées en fonction de vos besoins.

L'observatoire des navigations

L'observatoire des navigations est un outil de consultation des logs de l'outil de filtrage e2guardian^[1].

La question Autoriser la consultation des logs liés au filtrage web dans l'EAD propose plusieurs options :

oui : accès autorisé pour les utilisateurs EAD possédant les actions navigation_visit_admin et/ou navigation_visit_pedago ;
non : accès interdit pour tout le monde, personne ne voit le lien Visites des sites (configuration par défaut) ;
admin seulement : accès autorisé uniquement pour le rôle admin.

Complément

La consultation des visites de sites se fait au travers de l'EAD, menu : Filtre web X / Visites des sites.

Paramétrage de e2guardian

Le logiciel e2guardian offre de nombreuses options de configuration.

Plusieurs sont paramétrables dans l'interface de configuration du module.

Seule l'expérience «à tâtons»^[2] permet de définir les valeurs adéquates à votre installation.

L'objectif est d'utiliser le plus de mémoire possible sans que le serveur n'utilise la partition d'échange (swap^[3]) .

Truc & astuce

La commande top en console permet d'observer l'évolution de l'utilisation de la partition d'échange de façon dynamique.

Les options de configuration proposées dans la première partie de l'interface de configuration sont communes à toutes les zones configurables :

Proxy Timeout (ex: Doc Body Timeout)

Délai d'attente TCP entre le proxy et e2guardian (en secondes).

Proxy header exchange (ex: Doc Header Timeout)

Délai d'attente entre le proxy et e2guardian (en secondes).

Pconn timeout (ex: Header Timeout)

Délai pendant lequel une connexion persistante attend de nouvelles requêtes (en secondes).

Les options de configuration proposées dans les sections suivantes permettent de personnaliser la configuration de chacune des zones configurables.

Libellé du filtre web dans l'EAD

Il est possible de personnaliser le nom des zones de filtrages configurées affiché dans l'EAD.

Attention

À partir de la version EOLE 2.6.2, la version 4 du logiciel e2guardian est utilisée. De ce fait plusieurs variables ont été supprimées à partir de cette version et de nouvelles apparaissent.

Personnalisation des zones de filtrages spécifique à EOLE 2.6.1

Nombre maximum de processus

Nombre maximum de processus disponibles pour traiter les nouvelles connexions (paramètre maxchildren).

Sa valeur par défaut est fixée à 256. Elle peut être modifiée en respectant les contraintes suivantes :

sa valeur minimum est de 80 ;
sa valeur maximum théorique est de 8192 mais, dans les faits, elle est proche de 8192 moins deux fois la valeur du paramètre preforkchildren (Nombre de processus démarré s'il en manque) qui est de 6 par défaut.

Attention

Si la valeur maximum est dépassée, le service refusera de démarrer.

Nombre minimum de processus

Le nombre de processus minimal pour traiter les nouvelles connexions.

Nombre minimum de processus en attente

Le nombre minimum de processus prêts à recevoir de nouvelles connexions.

Nombre maximum de processus en attente

Le nombre maximum de processus attendant de nouvelles connexions.

Nombre de processus démarré s'il en manque

Le nombre minimum de processus disponibles lorsqu'ils viennent à manquer.

Durée de vie maximum d'un processus avant de se terminer

Les processus enfant, comme tout processus, peuvent succomber à des variables parasites. Ce paramètre définit l'âge maximal de connexions qu'un processus enfant traite avant de quitter. La valeur par défaut est de traiter 500 demandes de connexion avant de quitter.

Augmenter ce paramètre peut aider à soulager les problèmes de performance liés à la rotation des processus, mais peut créer un problème de performance si un processus s'emballe pour une raison quelconque.

Sur les grands sites vous pourriez vouloir essayer de passer cette valeur à 10000.

Personnalisation des zones de filtrages spécifique à EOLE 2.6.2

Dans la version 4 du logiciel e2guardian, l'ensemble des paramètres liés à la gestion des processus a été remplacé par un seul.

Ce paramètre (httpworkers) définit le nombre de processus lancés au démarrage de l'instance de e2guardian.

Si le nombre de connexions dépasse sa valeur, les nouvelles connexions seront placées en file d'attente jusqu'à ce qu'un processus se libère.

Les variables Nombre de processus disponibles pour traiter les connexions permettent de personnaliser sa valeur pour chacune des instance de e2guardian.

Une valeur de 1000 processus convient pour une centaine d'utilisateurs, il est possible d'augmenter le nombre de processus à 5000 pour une structure de taille moyenne, 10000 pour une grosse structure.

La valeur est également dépendante du nombre de règles et de la quantité de mémoire RAM disponible.

Le nombre maximum de processus est limité à 20000.

Personnalisation des zones de filtrages commune à toutes les versions

Les options suivantes sont disponibles sur toutes les versions d'EOLE 2.6.

Répertoire de cache

Permet de choisir le chemin du répertoire de cache, par défaut /var/spool/guardianX.

Remarque

Le script /usr/share/eole/schedule/scripts/purgecache purge les fichiers vieux de plus d'un jour du répertoire de cache de e2guardian.

La taille maximum de fichier conservé en mémoire

Cette variable n'est utilisée que si vous utilisez un greffon d'anti-virus.

C'est la taille maximale des fichiers en kibibytes^[4] que e2guardian va télécharger et mettre en cache dans la RAM. Après que cette limite soit atteinte, e2guardian met en cache sur le disque.

Cette valeur doit être inférieure ou égale à la valeur de La taille maximum de fichier conservé sur le disque.

Utiliser la valeur 0 permet de définir le même réglage que La taille maximum de fichier conservé sur le disque.

La taille maximum de fichier conservé sur le disque

Cette variable n'est utilisée que si vous utilisez un greffon d'anti-virus.

C'est la taille maximale des fichiers en kibibytes^[4] que e2guardian va télécharger de sorte qu'ils soient vérifiés par l'anti-virus.

Cette valeur doit être supérieure ou égale à La taille maximum de fichier conservé en mémoire.

Limite de pondération du filtrage

La limite de pondération est paramétrable pour chacun des filtres, la valeur par défaut (50) correspond à la valeur qui était appliquée avec le filtrage configuré pour s'appliquer sur les balises méta.

Chaque élément d'une page reçoit un score, la somme est faite et si le score est supérieur à la limite fixée alors la page est bloquée (jeunes enfants : 50, enfants : 100, jeunes adultes : 160).

Filtrage pour la deuxième instance de Squid

Le Filtre web 3 permet de contrôler les ressources de e2guardian lorsqu'une seconde instance de Squid et le filtrage web sont activés.

La variable Port d'écoute pour le 3ème filtre web permet de personnaliser le port du second proxy (3129 par défaut).

Adresse électronique à utiliser en cas de réclamation

Lorsque la consultation d'une page est refusée à l'utilisateur, une page d'erreur affichant les détails de l'interdiction apparaît.

Celle-ci propose également une adresse électronique à utiliser pour signaler les interdictions injustifiées.

Cette adresse se configure par l'intermédiaire de la variable Adresse courriel du cachemaster disponible dans l'onglet Messagerie.

Désactivation du filtrage web

Dans certaines configurations (utilisation d'un proxy académique, ...), il peut s'avérer utile de désactiver complétement le filtrage web.

Cela est possible en allant dans l'interface de configuration du module en mode expert et en répondant non à la question de l'onglet Services, Activer le filtrage sur le proxy.

Attention

Dans cette configuration, le proxy Squid écoute sur le port 3128 en lieu et place du logiciel de filtrage e2guardian.

Références

e2guardian
e2guardian est un fork de DansGuardian. La dernière version stable de DansGuardian est sortie depuis un très long moment (2009) et plus récemment, suite au désengagement du créateur originel Daniel Barron, le projet a été migré sur la plateforme sourceforge et repris en main par un nouveau mainteneur. DansGuardian devait devenir un projet plus communautaire mais après diverses versions alpha le projet n'a pas réellement repris vie.
Depuis 2012 le travail a repris pour incorporer toutes les évolutions et corrections proposées par de nombreux contributeurs et le logiciel est publié sous le nom de e2guardian.
http://e2guardian.org
L'expérience à tâtons
Ne pouvant établir avec certitude qui de l'équipe a introduit ce type d'expérience dans la documentation du module Amon en version 2.2, l'équipe dans son intégralité revendique la paternité du concept.
Swap
Verbe échanger
En informatique le swap sert à étendre la mémoire utilisable par un système d'exploitation, par un fichier d'échange ou une partition dédiée ; c'est aussi une instruction de certains processeurs et une fonction de certains langages de programmation qui permet l'échange de deux variables.
Préfixe binaire
Les préfixes binaires (kibi-, mébi-, gibi-, tébi-, pébi- et exbi-) sont souvent utilisés lorsqu'on a affaire à de grandes quantités d'octets. Ils sont dérivés, tout en étant différents, des préfixes du système international (kilo-, méga-, giga- et ainsi de suite). La raison d'être de ces préfixes binaires est d'éviter la confusion de valeur avec les préfixes du système international.
http://fr.wikipedia.org/wiki/Préfixe_binaire