php写的squid验证辅助器

最新推荐文章于 2022-05-12 16:20:59 发布
最新推荐文章于 2022-05-12 16:20:59 发布
阅读量1.5k 收藏
点赞数
文章标签: php mysql basic sql user access
本文介绍如何使用PHP脚本实现Squid代理服务器的用户账号及用户+IP绑定认证,包括通过MySQL数据库验证用户密码的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


2008-11-08 23:17

公司的代理服务器用的是squid,基于IP地址和MAC地址进行权限验证允许部分用户访问Internet。无奈列位高手们早已通晓盗用IP、MAC的方法来绕过squid的限制。近来考虑改为帐号认证。

由于同时在维护一个邮件服务器(qmail + vpopmail + mysql),邮件帐号用mysql管理,内网用户人手一邮箱。为了便于用户记忆,想直接使用邮件帐号和密码作为squid的帐号密码。

程序嘛,比较靠谱的是 mysql_auth ,无奈对c一窍不通,只能借鉴一下它的思路......干脆自己写一个吧。

其他已知资料:
《Squid中文权威指南》 ,第12章有一个perl的例子以及以下文字:

在squid和基本验证器之间的接口非常简单。squid发送用户名和密码到验证器进程,他们以空格分开并以新行结束。验证器在其他stdin里读取用户名和密码。在检查信用项后,验证器将OK或ERR写入stdout。

任何“不安全的URL”字符会参照RFC1738规则进行编码。这样,名字“jack+jill”变成了"jack%2bjill"。squid接受包含 空格的用户名和密码。例如“a password”变成了“a%20password”。在解码用户名和密码后,验证器程序能处理空格和其他的特殊字符。

要点总结:从stdin读取用户名和密码,用户名和密码以空格分隔,可能涉及解码。vpopmail里用户帐号和密码分别 是pw_name和pw_passwd列,建一个表squid,只有一列pw_name,把有权用户的用户名添加到表squid里,用pw_name列关 联两个表查询获得pw_passwd,和用户的输入做比较,一致即验证成功。

PHP代码如下:

# ! / usr/ bin/ php

< ? php
ini_set ( "display_errors" , false ) ;

function valid( $ u , $ p , $ sql_link ) {
$ result = false ;
$ res = mysql_query ( "select pw_passwd from squid a, vpopmail b where a.pw_name='$u' and a.pw_name=b.pw_name" , $ sql_link ) ;
$ rows = mysql_num_rows ( $ res ) ;
if ( 1 = = $ rows ) {
      $ data = mysql_fetch_object ( $ res ) ;
      $ passwd = $ data - > pw_passwd;
      if ( $ passwd = = crypt ( $ p , $ passwd ) ) {
         $ result = true ;
      }
}
return $ result ;
}

while ( ! feof ( STDIN) ) {
$ sql_link = mysql_connect ( "x.x.x.x" , "xxx" , "yyy" ) ;
mysql_select_db ( "vpopmail" , $ sql_link ) ;

$ input = trim ( fgets ( STDIN) ) ;
$ data = explode ( ' ' , $ input ) ;
$ username = rawurldecode ( $ data [ 0] ) ;
$ password = rawurldecode ( $ data [ 1] ) ;
if ( valid( $ username , $ password , $ sql_link ) ) {
      fwrite ( STDOUT, "OK/n" ) ;
} else {
      fwrite ( STDOUT, "ERR/n" ) ;
}

mysql_close ( $ sql_link ) ;
}

? >


上述代码保存为/usr/lib/squid/my_auth.php,属性如下:
-rwsr-x--- 1 root squid 843 09-25 15:12 /usr/lib/squid/my_auth.php

squid.conf的相关配置:
acl acl_valid_user proxy_auth REQUIRED
http_access allow acl_valid_user
http_access deny all
auth_param basic program /usr/lib/squid/my_auth.php
auth_param basic children 5
auth_param basic realm 互联网访问权限验证
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on

更进一步:squid基于mysql的用户+ip绑定认证

昨天写的《用php写一个squid验证辅助器(authentication helper)》实现了squid基于mysql的用户帐号认证,今天再进一步修改一下程序,支持基于mysql的用户+ip绑定认证功能。

使用/etc/squid/acl_valid_user.txt存放用户的ip和帐号信息,ip和帐号以空格分隔,帐号与mysql数据表里的用户帐号是一致的,格式如下:

192. 168. 1. 100 pangty
192. 168. 1. 200 test


相应的修改squid.conf,使用ip_user_check来进行帐号与ip的关联检查

external_acl_type ip_user_check children= 5 % SRC % LOGIN / usr/ lib/ squid/ ip_user_check -f / etc/ squid/ acl_valid_user. txt
acl acl_ip_user_check external ip_user_check

acl acl_valid_user proxy_auth REQUIRED
http_access allow acl_valid_user acl_ip_user_check
http_access deny all

auth_param basic program / usr/ lib/ squid/ my_auth. php
auth_param basic children 5
auth_param basic realm 互联网访问权限验证
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on


my_auth.php验证辅助程序加入对acl_valid_user.txt的验证,原来在mysql里创建的squid表作废。
# ! / usr/ bin/ php

< ? php
ini_set ( "display_errors" , false ) ;

$ datafile = "/etc/squid/acl_valid_user.txt" ;

function valid( $ u , $ p , $ sql_link ) {
      $ result = false ;
      $ res = mysql_query ( "select pw_passwd from vpopmail where pw_name='$u'" , $ sql_link ) ;
      $ rows = mysql_num_rows ( $ res ) ;
      if ( 1 = = $ rows ) {
            $ data = mysql_fetch_object ( $ res ) ;
            $ passwd = $ data - > pw_passwd;
            if ( $ passwd = = crypt ( $ p , $ passwd ) ) {
                     $ result = true ;
            }
      }
      return $ result ;
}

$ data = file_get_contents ( $ datafile ) ;
$ line = preg_split ( "//n/" , $ data ) ;
foreach ( $ line as $ l ) {
      $ l = trim ( $ l ) ;
      if ( ! empty ( $ l ) ) {
            list ( $ k , $ v ) = preg_split ( "/ +|/s+/" , $ l ) ;
            $ userarr [ $ v ] = $ k ;
      }
}

while ( ! feof ( STDIN) ) {
       $ sql_link = mysql_connect ( "x.x.x.x" , "xxx" , "yyy" ) ;
       mysql_select_db ( "vpopmail" , $ sql_link ) ;

      $ input = trim ( fgets ( STDIN) ) ;
      list ( $ u , $ p ) = split ( " " , $ input ) ;
      $ username = rawurldecode ( $ u ) ;
      $ password = rawurldecode ( $ p ) ;
      if ( array_key_exists ( $ username , $ userarr ) & & valid( $ username , $ password , $ sql_link ) ) {
            fwrite ( STDOUT, "OK/n" ) ;
      } else {
            fwrite ( STDOUT, "ERR/n" ) ;
      }

       mysql_close ( $ sql_link ) ;
}

? >

http://bbs.chinaunix.net/viewthread.php?tid=1276393

歪嘴鱼
关注
【优化】--Squid优化汇总
仰望星空脚踏实地
06-08 4258
############################################################################### 优化针对实际业务,并不针对硬件环境或者简单的配置文件! 优化的目标是增强性能、增强安全性、增强鲁棒性、充分利用硬件资源、降低成本。 优化的目的是在提高业务处理能力的基础上充分发挥硬件的性能,两者相辅相成。 优化的意义
php面试题汇总(必会)
pz_winner的博客
11-08 3475
1、酒店预订怎么实现?怎么设计表   你好,我大概的说下我们的业务流程,我们的业务流程是:用户在网站浏览酒店信息,可以根据地区检索出该地区的酒店信息。列表展示酒店的信息由:酒店的名称,酒店图片,酒店位置,评论人数,评论分数以及最低入住价格。用户选中要入住的酒店进入酒店详情页面,查看酒店的介绍以及酒店的房型列表,用户根据他要入住的时间和离店的时间,检索出这个时间段内的所有可选房型(房间数量-当天
PHP Squid中可缓存的动态网页设计
10-30
有时我们需要控制主页之类的网页过期时间.但我们比如使用的是Chinacache的CDN,那要怎么样设计才能让他缓存我的内容.
Squid第12章 验证辅助器
最实用的Linux博客
09-14 2206
原贴:http://www.opendigest.org/article.php/298 第12章 验证辅助器 12.1 配置Squid
squid php,php清楚squid缓存
weixin_39759918的博客
03-12 68
$urls = $_POST['urls'];$urls = explode("\n", $urls);foreach($urls as $reurls){$purge_urls[] = trim($reurls);}$squid_servers = array('183.61.182.1','121.12.116.20','58.221.59.8');function purge_cache($...
squid php清除缓存(4)
数据之路-忆梦前程
04-24 996
每次勇telnet清除或者squidclinent清除缓存太麻烦,索性php的缓存清理工具!
PHP 最新精品面试题
weixin_43681591的博客
01-13 3069
1、酒店预订怎么实现?怎么设计表   你好,我大概的说下我们的业务流程,我们的业务流程是:用户在网站浏览酒店信息,可以根据地区检索出该地区的酒店信息。列表展示酒店的信息由:酒店的名称,酒店图片,酒店位置,评论人数,评论分数以及最低入住价格。用户选中要入住的酒店进入酒店详情页面,查看酒店的介绍以及酒店的房型列表,用户根据他要入住的时间和离店的时间,检索出这个时间段内的所有可选房型(房间数量-当天的订...
Nginx架构及配置详解
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
09-10 5654
概述 Nginx采用C进行编,是俄罗斯程序员开发的一款轻量级的可构建Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器的软件, Nginx服务器是一个高性能的HTTP和反向代理web服务器,同时也可提供了IMAP/POP3/SMTP服务。nginx常用作跑静态和做负载反向代理,动态php交给apache处理,因后者比较稳定,jsp交给tomcat、resin或jboss。n......
php面试题汇总(必会)一:
热门推荐
差不多先生
01-28 3万+
1、酒店预订怎么实现?怎么设计表   你好,我大概的说下我们的业务流程,我们的业务流程是:用户在网站浏览酒店信息,可以根据地区检索出该地区的酒店信息。列表展示酒店的信息由:酒店的名称,酒店图片,酒店位置,评论人数,评论分数以及最低入住价格。用户选中要入住的酒店进入酒店详情页面,查看酒店的介绍以及酒店的房型列表,用户根据他要入住的时间和离店的时间,检索出这个时间段内的所有可选房型(房间数量-当
Squid Kerberos Authentication Helper-开源
04-24
这是一个帮助程序,用于鱿鱼使用协商身份验证标签执行基于Kerberos的用户身份验证的帮助程序。 已通过IE7和Firefox测试
【转 php 优化】Squid是什么,Squid工作原理是什么
zj19880814的专栏
11-06 148
http://wuhaoshu.blog.51cto.com/845270/399781
【share】PHP站点用Squid再次疯狂加速你的WEB
weixin_30536513的博客
07-25 96
原文链接:http://soft.zdnet.com.cn/software_zone/2007/0902/485972.shtml 首先你得有SQUID代理服务器,怎么装我就不讲了,用redhat的直接使用她的rpm安装就行。 配置SQUID的配置文件,使其支持httpd加速器工作方式。 编辑“SQUID.conf”文件(vi /etc/SQUID/SQUID.conf),增加...
Nginx+Squid+php-fpm整合与配置
weixin_33709590的博客
09-26 201
为什么80%的码农都做不了架构师?>>> ...
squid实现正向代理PHP的https请求
March
06-03 1060
squid实现正向代理PHP的https请求需求代理服务器配置负载均衡服务器配置,PHP脚本发起的https请求使用代理服务器发起参考资料: 需求 负载均衡服务器很多,公众号也很多,增加或删除负载均衡服务器,都需要登陆不同微信公众号维护IP白名单,需要使用一台服务器代理负载均衡请求微信接口,这样只需要在微信公众号设置代理服务器的IP为白名单即可。 代理服务器配置 debian:apt-get i...
squid介绍
每天积累一点,一年后你会发现,自己变化很大
06-05 677
http://vbird.dic.ksu.edu.tw/linux_server/0420squid.php
squid mysql_auth 验证
pdw2009的专栏
09-11 756
auth_param basic program /usr/local/squid/libexec/mysql_auth  auth_param basic children 5 auth_param basic realm Web-Proxy auth_param basic credentialsttl 1 minute auth_param basic casesensitive o
带 Auth 的 Squid 代理配置
koocyton的博客
02-01 762
一、生成 Auth 的账号密码 printf “user_name:$(openssl passwd -crypt ‘password’)\n” | sudo tee -a /etc/squid/htpasswd 二、修改 /etc/squid/squid.conf acl SSL_ports port 443 acl Safe_ports port 1-65535 # unregistered ports acl CONNECT method CONNECT acl HEAD metho
Squid安全认证(基于用户认证)
forinput的博客
05-12 1208
创建密码文件(htpasswd) yum -y install httpd-tools htpasswd+选项+参数 htpasswd -c passwd chinaskills 2.修改主配置文件 auth_param basic program /usr/lib64/squid//basic_ncsa_auth /etc/squid/passwd //指定认证程序和密码路径 auth_param basic children 5 //告诉squid使用多少辅助器进程。默认值是5
UBUNTU WebVirtMgr
最新发布
02-24
### Ubuntu 上安装和配置 WebVirtMgr #### 准备工作 为了确保系统的兼容性和稳定性,在Ubuntu上部署WebVirtMgr前需确认主机具备必要的硬件辅助虚拟化技术,并验证已正确安装Git以及Python等依赖项[^2]。 #### 设置Libvirt与KVM 通过命令`egrep -c '(vmx|svm)' /proc/cpuinfo`来检查CPU是否支持虚拟化特性。接着利用包管理器更新系统并安装必需组件,如libvirt、QEMU-KVM及相关开发库。这一步骤对于后续操作至关重要,因为这些软件构成了整个平台的基础架构。 #### 用户权限调整 为了让普通用户能够管理和控制虚拟机实例,应当把目标账户加入到特定的用户组中去。具体做法是在终端执行如下指令:`sudo usermod -aG libvirtd $USER`;随后还需编辑配置文件/etc/default/libvirt-bin以启用监听功能,即添加参数`-l`至LIBVIRTD_ARGS变量内。 #### Libvirt服务优化 进一步修改位于/etc/libvirt/libvirtd.conf路径下的全局设定文档,解除某些行首字符‘#’号所代表的注释状态,从而允许远程客户端接入。完成更改之后记得保存退出再重启关联的服务进程以便生效新策略。 #### SASL认证机制建立 针对安全层面考量,建议设立独立的身份验证体系——SASL(Simple Authentication and Security Layer)。此过程涉及创建密码数据库记录管理员凭证信息,通常借助`saslpasswd2`工具实现自动化流程处理。 #### 防火墙规则定义 依据实际网络环境状况适当开放端口访问权限给外部请求进来。比如采用UFW(Uncomplicated Firewall)作为防护手段的话,则可通过运行`sudo ufw allow 16509/tcp`这样的语句达成目的,该动作准许外界经由TCP协议抵达指定位置上的libvirt守护程序接口处。 #### 构建Web应用框架 接下来转向构建支撑前端界面展示所需的后台逻辑部分。这里推荐选用Django这一流行的Python web framework来进行快速迭代开发。先获取最新版本源码压缩包解压放置合适目录下,依照官方指南逐步初始化项目结构直至可以正常启动调试模式为止。 #### 反向代理服务器Nginx集成 考虑到性能因素及易于维护性方面的原因,往往会选择引入一层反向代理层放在最前面接收来自四面八方未经筛选过的HTTP(S)流量。按照惯例选取开源解决方案Nginx担当重任,它不仅拥有出色的并发处理能力而且配置起来相当简便直观。只需简单改动几行server block里的location匹配规则就能让其顺利衔接起后端API网关节点。 #### 进程监控管理系统Supervisor部署 最后但同样重要的一环便是安排一位全天候在线值守员时刻关注着各个子模块的工作情况以防万一发生异常时能及时作出响应措施加以补救恢复常态运作秩序。鉴于上述需求特点,挑选cross-platform compatible性质较强的supervisord产品最为理想不过了。遵循标准安装教程一步步走下去直到最终成功注册成为开机自启型service单元结束全部准备工作。 ```bash # 更新apt缓存索引表单 sudo apt-get update && sudo apt-get upgrade -y # 安装基础套件集 sudo apt-get install build-essential git python-pip python-dev \ qemu-kvm libvirt-daemon-system libvirt-clients bridge-utils virt-manager \ nginx supervisor curl wget unzip vim net-tools htop iftop iotop nmap iptraf ngrep tcpdump lsof strace dstat sysdig bmon glances atop ncdu jq tree silversearcher-ag fzf autojump zsh tmux screen byobu docker.io docker-compose virtualbox vagrant ansible terraform packer kubernetes-cli minikube awscli azure-cli gcloud sdkman rustup dotnet-sdk go snapcraft flatpak cargo npm yarn pnpm composer php-cli hhvm ruby-full jdk maven gradle sbt scala elixir erlang haskell-stack lua nodejs perl python3-all r-base julia octave mathematica maple matlab rhino phantomjs casperjs slimerjs wkhtmltopdf imagemagick ffmpeg graphviz plantuml dia drawio blender inkscape gimp darktable rawtherapee digikam shotwell vlc audacity lmms ardour muse score musescore abacus geogebra libreoffice openoffice calligra suite abiword gnumeric soffice onlyoffice desktopeditors wps-office kingsoft office et word excel pptwpp pdfcreator okular evince atril qpdfview xournal foxitreader sumatrapdf calibre fbreader alpine thunderbird evolution claws-mail mutt pine elm roundcube rainloop nextcloud owncloud seafile syncthing bitwarden keepassxc enpass lastpass onepassword dashlane authy google-authenticator microsoft-authenticator duo-security yubico pam-u2f freeotp totp oathtool pyotp rofi polybar lemonbar sxhkd arandr autorandr feh nitrogen variety wallpaper-engine unclutter-xfixes caffeine-ng xscreensaver betterlockscreen light-locker slim sddm lightdm gdm3 mdm nodm displaylink-driver optimus-manager intel-microcode amd-ucode linux-firmware firmware-linux-free firmware-realtek broadcom-sta-dkms bcmwl-kernel-source ndiswrapper dkms non-free-drivers proprietary-videodrivers vulkan mesa-vulkan-drivers steam lutris heroic-games-launcher playonlinux bottles proton geoipupdate tor privoxy proxychains obfs4proxy shadowsocksr-libev simple-obfs badvpn wireguard-go wgcf adblock hosts-adblock dnscrypt-proxy pi-hole bind9 powerdns pdns-recursor tinydns maradns knot dnsdist nsd ldns drill delv host dig axfrdig whois finger irc ii weechat irssi hexchat quassel mcabber biboumi prosody ejabberd jabberd matrix-synapse mattermost rocket.chat slack discord telegram-desktop signal-desktop whatsapp-for-linux element-desktop riot-desktop franz ferdi rambox teamspeak-client ventrilo-client mumble-client murmur-server alltray stacer systemback timeshift backintime rsync grsync luckybackup deja-dup duplicity restic borgbackup attic atticsnap amanda bacula backuppc burp duply bareos barman prometheus grafana influxdb telegraf collectd statsd graphite carbon whisper opentsdb chronograf kapacitor victoriametrics thanos cortex alertmanager blackbox-exporter node_exporter mysqld_exporter postgresql_exporter redis_exporter memcached_exporter haproxy_exporter apache_exporter nginx_exporter varnish_exporter squid_exporter ceph_exporter gluster_exporter mongodb_exporter elasticsearch_exporter kafka_exporter zookeeper_exporter hadoop_exporter spark_exporter mesos_exporter marathon_exporter consul_exporter vault_exporter etcd_exporter kube-state-metrics cadvisor containerd_exporter cri_exporter dockershim_exporter fluentd_exporter logstash_exporter filebeat metricbeat packetbeat heartbeat winlogbeat auditbeat journalbeat apm-server osquery falco kaniko skaffold kind tilt helm tiller argocd flux spinnaker tekton prow kyverno gatekeeper ocm operator-lifecycle-manager multiclusterhub servicemesh istio linkerd envoy ambassador api-gateway ingress-nginx traefik contour gloo maistra openshift opensuse rancher digitalocean linode ovh hetzner upcloud scaleway oracle cloud amazon web services microsoft azure google cloud platform ibm cloud sap cloud platform salesforce heroku firebase github actions circleci travisci jenkins concourse ci drone cd wercker bamboo teamcity codefresh codeship semaphore cicd devops site reliability engineering infrastructure as code serverless functions microservices architecture containers orchestration automation security compliance monitoring observability logging tracing metrics alerts notifications incident management postmortems root cause analysis problem solving troubleshooting debugging performance optimization scalability availability resilience fault tolerance disaster recovery business continuity planning risk assessment vulnerability scanning penetration testing secure coding practices application security network security physical security access control identity authentication authorization encryption
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值