Como você pode satisfazer o requisito do Google de aplicar o SafeSearch no nível da rede?


5

Tenho filhos com idade suficiente para começar a ficar curioso e, embora não ache que seja um problema ativo, prefiro evitar o lixo comum que aparece na pesquisa média do Google. O SafeSearch do Google é um bom filtro, mas forçá-lo a ser usado no nível da rede tem sido uma proposta difícil. Esta é (pelo menos) a terceira iteração do processo.

De acordo com a sugestão atual do Google de forçar os usuários da rede ao SafeSearch:

https://support.google.com/websearch/answer/186669?hl=pt_PT&ref_topic=3427534

Para forçar o SafeSearch para sua rede, você precisará atualizar sua configuração de DNS. Defina a entrada DNS para www.google.com (e quaisquer outros subdomínios de países de ccTLDs do Google que seus usuários possam usar) como um CNAME para forcesafesearch.google.com.

Eu já vi alguns artigos sobre a configuração do dnsmasq para fazer isso, mas estou executando uma instância local de bind como um servidor de cache de encaminhamento (usando o OpenDNS), mas também hospedando meu domínio interno. Como eu configuraria a ligação com apenas este CNAME para todo o Google? Não consigo entender como eu começaria a fazer meu servidor funcionar como canônico no google.com, mas passaria por tudo, menos pelo host "www".

(No passado, tentei reescrever o Dansguardian. Agora, acabei de tentar os redirecionamentos do SquidGuard. Parece que não consigo realizar isso sem arruinar o Google por completo. Se houver uma resposta no proxy-land, ou até iptables, eu também poderia fazer isso.


Ótima pergunta. Estou curioso para ver a resposta. Eu nem sabia que isso era uma possibilidade. Isso provavelmente será migrado para o Superusuário, pois é uma questão de rede doméstica.
EEAA 15/10

Eu lutei com isso sozinho, mas a resposta do Google é sobre como proteger uma rede escolar, então pensei que essa era a opção um pouco melhor de duas.
precisa

Dê uma olhada no RPZ, que é direcionado para este e outros cenários semelhantes. ( pt.wikipedia.org/wiki/Response_policy_zone )
Brian

Respostas:


2

No Docs do ISC sobre política de resposta, ele mostra algumas configurações de amostra do BIND9 que eu modifiquei e publiquei abaixo. ( ftp://ftp.isc.org/isc/dnsrpz/isc-tn-2010-1.txt ):

options {
  // other stuff
  response-policy {
     zone "www.google.com" policy CNAME forcesafesearch.google.com;
     zone "www.google.ca" policy CNAME forcesafesearch.google.com;
  };
};

Uau. Novo truque. Eu nunca tinha ouvido falar disso no BIND. Tentei copiar seu snippet named.conf.options, mas a mensagem de erro deixou claro que não seria suficiente. Graças à sua dica e link, no entanto, achei http://jpmens.net/2011/04/26/how-to-configure-your-bind-resolvers-to-lie-using-response-policy-zones-rpz/, o que me levou a criar um novo arquivo de zona "db.response" que continha o cabeçalho mostrado lá e uma entrada: www.google.com CNAME forcesafesearch.google.com.Está funcionando muito bem. No Chrome, há até uma mensagem: "Sua rede ativou o SafeSearch ..."
David Krider

1

Aqui estão algumas informações mais específicas e detalhadas sobre como fazer isso. Criei um diretório chamado / config / bind para armazenar o named.conf.default-zone, o named.conf.local e o named.conf.options. Então entrei no /etc/bind/named.conf e coloquei includes. Isso não é muito importante para a tarefa específica, mas permite atualizar a ligação posteriormente sem perder os arquivos de configuração. Você teria que entrar no /etc/bind/named.conf e adicionar as instruções de inclusão após o named.conf ser sobrescrito (se houver).

/etc/bind/named.conf

//these are the only entries in my entire named.conf file
include "/config/bind/named.conf.options";
include "/config/bind/named.conf.local";
include "/config/bind/named.conf.default-zones";

/config/bind/named.conf.local

zone "rpz" {
    type master;
    file "/config/bind/db.rpz";
    allow-query {none;};
};

/config/bind/named.conf.options

//note: I added the following lines to this file. 
//There are/were three other lines in it that weren't comments.
    listen-on-v6 { none; };
    listen-on { 192.168.1.1; };
    forwarders { 8.8.8.8; 8.4.8.4; };

    response-policy { zone "rpz"; };

db.rpz um arquivo de texto que eu tive que criar. A maioria dos outros tutoriais mostra que ele existe em um diretório de dados diferente. Eu não me incomodei, pois considero que faz parte da minha configuração. Observe que tentei cobrir muitos países / domínios internacionais de língua inglesa. Eu sei que não os comprei todos. Também não tenho certeza de como uma configuração como essa funcionaria para alguém fora dos EUA, pois o Google não parece ter domínios de pesquisa seguros configurados para todos os países.

/config/bind/db.rpz

$TTL 60
@ IN SOA localhost. root.localhost. (
        2014110500;
        10800;
        3600;
        604800;
        10800 )
        IN      NS      localhost.
;
; Google forced Safe Search zone and data
google.com              CNAME forcesafesearch.google.com.
www.google.com          CNAME forcesafesearch.google.com.
google.ca               CNAME forcesafesearch.google.com.
www.google.ca           CNAME forcesafesearch.google.com.
google.co.uk            CNAME forcesafesearch.google.com.
www.google.co.uk        CNAME forcesafesearch.google.com.
www.google.com.au       CNAME forcesafesearch.google.com.
google.com.au           CNAME forcesafesearch.google.com.
www.google.co.in        CNAME forcesafesearch.google.com.
google.co.in            CNAME forcesafesearch.google.com.
www.google.ie           CNAME forcesafesearch.google.com.
google.ie               CNAME forcesafesearch.google.com.
www.google.com.jm       CNAME forcesafesearch.google.com.
google.com.jm           CNAME forcesafesearch.google.com.
www.google.co.za        CNAME forcesafesearch.google.com.
google.co.za            CNAME forcesafesearch.google.com.
google.com.ph           CNAME forcesafesearch.google.com.
www.google.com.ph       CNAME forcesafesearch.google.com.

Quando terminar de editar seus arquivos, não se esqueça de reiniciar o serviço. Estou a usar:

sudo service bind9 restart

Você também pode achar que precisa modificar permissões nos arquivos após movê-los. Ou que você precisa configurar o bind / nomeado para iniciar na inicialização, mas esses são tópicos fora do escopo do que estamos tentando realizar aqui.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.