Простая инструкция по установке Tinyproxy
Tinyproxy это такой маленький http/https прокси-сервер, на мой взгляд, очень простой в использовании и конфигурировании, вполне подходящий для несложных задач пропускания http(s) трафика. Например в офисе или дома. Лично я использую его, чтоб можно было посещать статистику и личный кабинет собственного провайдера в обход VPN.
Если у вас есть специальный network namespace для прокси, перед установкой сервера настраиваем его (добавляем нужные файлы
hosts
и resolv.conf
, как это описано здесь Копия)Рестартируем систему (или сетевой менеджер/демон, тут уж зависит от вашей ОС).
Для Sclackware можно скачать пакет с исходниками с помощью
sbopkg
, взять готовый и откомпилированный здесь (Для Slackware 12-14.2), или собрать из исходников на GitHub и готовый пакет установить с помощью installpkg
.1. Создаем группу для proxy-сервера, например
proxy
:groupadd proxy
2. Создаем отдельного пользователя для запуска прокси-сервера:
Можно сделать это с помощью скрипта-обертки
adduser
над программой useradd
.- На первый вопрос вводим имя пользователя, например,
provproxy
.- Далее пропускаем (нажимаем enter)
- В ответ на initial group, вводим имя ранее созданной группы для прокси-сервера, в данном случае
proxy
(в вашем - ту группу, которую создали вы).- Далее, на вопрос о дополнительных группах, нельзя устанавливать что-либо, нажимаем Enter
- Home directory нужна, там будет лежать PID-файл, логи (если нужно) и конфигурационный файл. По умолчанию директория совпадает с именем пользователя и располагается в подкаталоге
/home
.- Shell должна быть установлена строго в
/bin/false
, поскольку это не интерактивный пользователь. Если скрипт ответил вам: - Warning: /bin/false is not in /etc/shells (potential problem using FTP)
Do you wish to change the shell ? (Y/n)
То отвечаем
n
, а потом в /etc/shells
добавляем строчку /bin/false
- Expiry date пропускаем (Enter)
- Далее пропускаем всю User Information
- На вопрос о пароле придумываем что-нибудь чтоб прошло.
Далее правим
/etc/shadow
, находим строчку с именем пользователя и удаляем все, что между первым и вторым двоеточием. Было:provproxy:$5$S8/tp/ap2wF/K$qaYnfHuR8opsW O0WwTaXCjiHjmge7mWuH5WwEd5Kn70:17888:0:9 9
Стало: provproxy::17888:0:99
Права на каталог надо установить в 700 (полный доступ для пользователя provproxy
):chmod 700 /home/provproxy
Можно не пользоваться интерактивным скриптом, а сделать все с помощью базовых команд:
1. Добавить пользователя
useradd -g proxy -d /home/provproxy -s /bin/false provproxy
где:
-g proxy
группа пользователя (ранее созданная proxy
)-d /home/provproxy
домашний каталог пользователя-s /bin/false
— оболочка для пользователя. Обычно здесь прописывается /bin/sh
, /bin/bash
для интерактивных пользователей, или /bin/false
для неинтерактивных, что нам и надо в данном случае.Строчка
/bin/false
должна быть в файле /etc/shells
- если ее нет, дописать.2. Создаем домашний каталог:
mkdir /home/provproxy
3. Меняем владельца каталога на пользователя provproxy
chown provproxy:proxy /home/provproxy
4. Меняем права доступа на каталог:chmod 700 /home/provproxy
Был подробно описан в этой заметке: Запускающий скрипт для tinyproxy Копия
Сам скрипт:
- На PasteBin
- На GitHub
- Скачать с Mega.nz
Поскольку сам инициализационный скрипт описан довольно полно, то я остановлюсь лишь на двух важных моментах.
PID-файл: в скрипте необходимо правильно указать путь к PID-файлу, но об этом поговорим ниже. У меня PID-файл создается в домашнем каталоге пользователя
provproxy
. Местоположение PID-файла задается в этой строке скрипта. Если надо, не забудьте исправить на свое значение:PIDFILE="/home/provproxy/tinyproxy.pid"
Команда запуска прокси-сервера:
По умолчанию там просто указан путь к исполняемому файлу
tinyproxy
:TINYPROXYCMD="/usr/sbin/tinyproxy"
Но я хочу эту команду немного подправить.
Запуск сервера при старте системы.
При старте системы все обычно запускается от
root
'а, а нам не надо совершенно, чтоб под root
'ом крутились всякие там сервера. Не зря же мы отдельного пользователя делали. Дополняем команду:TINYPROXYCMD="sudo -u provproxy /usr/sbin/tinyproxy"
В таком виде, скрипт, запускаемый при старте из-под
root
'а вызовет tinyproxy
от имени нужного нам пользователя. Справедливости ради, надо заметить, что tinyproxy
, как любой уважающий себя сервер, умеет сам себе понижать права до определенного пользователя, указанного в файле конфигурации. Но на этом остановимся ниже. На мой взгляд, одно другому не мешает, зато так виднее и жестко задано, от какого пользователя стартовать.Альтернативный файл конфигурации.
По умолчанию
tinyproxy
ищет свой файл конфигурации в /etc/tinyproxy.conf
, но можно задать альтернативный, в домашнем каталоге пользователя. Делается это путем добавления ключа -с
и пути к файлу. Объединю этот вариант с предыдущим:TINYPROXYCMD="sudo -u provproxy /usr/sbin/tinyproxy -c /home/provproxy/tinyproxy.conf"
Раз уж началось с альтернативного файла конфигурации, так давайте его сделаем (от
root
). Копируем файл /etc/tinyproxy.conf
в /home/provproxy/tinyproxy.conf
cp /etc/tinyproxy.conf /home/provproxy/tinyproxy.conf
Далее устанавливаем ему владельца (можно перейти в директорию
/home/provproxy
перед этим, я перешел - пути будут неполные):
chown provproxy:proxy tinyproxy.conf
И права - пользователю
provproxy
на tinyproxy.conf
нужны права только на чтение, ничего он не пишет в конфигурационный файл, и тем более не пытается исполнить.chmod 400 tinyproxy.conf
root
'а и настраиваем параметры прокси-сервера.User nobody
Group nobody
Оставляем так же. Пользователь
nobody
в изначально правильно сконфигурированной системе, это такая "золушка", которая вообще ничего не может. Когда сервер запустится под пользователем provproxy
, он сможет создать PID-файл, прочитать свою конфигурацию и писать логи себе в домашний каталог. Больше ничего. Если изначально система правильно установлена и настроена.Port 8888
Ставим тут нужный вам порт, значение должно быть больше 1024 (верхние порты можно занять, только будучи
root
, а мы так не делаем). Можно посмотреть список портов в Википедии и задать какой-нибудь никому не нужный, а потом сообщить вашим клиентам.Listen (IP-адрес)
В зависимости от ваших нужд, если не будет раскомментирован, прокси попытается слушать запросы на всех доступных ему IP, поскольку у меня прокси "сидел" на отдельном адресе, то я строчку раскомментировал и нужный прописал.
Bind (IP-адрес)
Делаем также, как и в предыдущем пункте.
Timeout 600
Таймаут (в секундах). Если сайт не ответил за это время, прокси считает что он сдох, и отправит клиенту (браузеру, например) соответствующий код, типа истек таймаут (не путать с 404 и другими ошибками).
ErrorFile <файл>
...
...
...
HTML-файл, который будет отображен в браузере, если случится определенная ошибка.
DefaultErrorFile "/usr/share/tinyproxy/default.html"
Файл "ошибочной" страницы по умолчанию, рекомендую сделать свой, положить в пользовательский каталог прокси, и поменять права (как на файл конфигурации).
#StatHost "tinyproxy.stats"
Смотреть статистику удаленно, обычно не надо, оставляем закомментированным.
StatFile "/usr/share/tinyproxy/stats.html"
Если предыдущая строчка раскомментирована, то это файл, куда пишется статистика. Можно поменять на домашний каталог (и файл в нем).
LogFile "/var/log/tinyproxy/tinyproxy.log"
Если раскомментировать, то сервер будет вести лог в указанный файл. Можно расположение файла поменять на домашний каталог пользователя, созданного для сервера.
#Syslog On
Сервер будет писать логи в
syslog
(если раскомментировать).LogLevel Info
Установка уровня протоколирования (см сам конфигурационный файл, там есть комментарий с пояснением).
#PidFile "/var/run/tinyproxy/tinyproxy.pid"
Местонахождение PID-файла. Нужен для скрипта инициализации, параметр должен быть такой же, как и значение переменной
$PIDFILE
в скрипте (д.б. раскомментировано и изменено на нужное, в данном случае на /home/provproxy/tinyproxy.pid
)#XTinyproxy Yes
Выдает следующему серверу изначальный IP-адрес (
X-Forwarded-For
).MinSpareServers 5
MaxSpareServers 20
Максимальное и минимальное количество процессов, обрабатывающих запросы, для сервера. Чем больше, тем быстрее. Но лучше оставить как есть, если не знаешь, зачем тебе больше - можно засрать память и устроить тормоза.
StartServers 10
Сколько потоков (серверов) запускать при старте.
MaxRequestsPerChild 0
Количество запросов. Луче не менять.
Allow 127.0.0.1
Allow 10.10.12.0/17
Адреса с которых разрешен доступ. Указываем нужные IP и подсети.
AddHeader "X-My-Header" "Powered by Tinyproxy"
Добавление своих заголовков HTTP
ViaProxyName "tinyproxy"
Добавление заголовка
via
.Включение /отключение Via-заголовка:
#DisableViaHeader Yes
По умолчанию включен, для отключения надо раскомментировать и написать No, плюс закомментировать строчку
#DisableViaHeader Yes
.Далее идет фильтрация URL (настройки
Filter
...)Далее идет настройка для анонимного сервера. Если не нужны особые меры безопасности - раскомментирую все 3 строки:
Anonymous "Host"
Anonymous "Authorization"
Anonymous "Cookie"
ConnectPort 443
ConnectPort 563
Порты для SSL.
Дополнительно, для тех, кто не знает. Если строчка закомментирована - сработает значение по умолчанию. Комментарий, это символ # в начале любой строки конфигурационного файла.
Прописываем нужный адрес прокси в браузере:
Проверяем соединение:
Вот тут не показывается, что используется прокси, потому что прокси настроен верно - с отключением
via
и других заголовков, передающих IP-адрес.Tinyproxy, краткая инструкция
Это репост с сайта http://tolik-punkoff.com
Оригинал: http://tolik-punkoff.com/2018/12/27/pros