Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
tutoriel:comment_mettre_en_place_un_controle_parental [Le 25/03/2022, 15:39] – [ctparental] 82.64.139.120tutoriel:comment_mettre_en_place_un_controle_parental [Le 19/12/2025, 12:27] (Version actuelle) – [ctparental] 82.64.139.120
Ligne 1: Ligne 1:
- {{tag> éducation sécurité internet tutoriel contrôle_parental}}+{{tag> éducation sécurité internet tutoriel contrôle_parental}}
 ---- ----
  
Ligne 12: Ligne 12:
   - accès à l'internet.   - accès à l'internet.
  
-Les solutions évoquées ci-après peuvent concerner ces deux aspects ou seulement l'un des deux. +Les solutions évoquées ci-après peuvent concerner ces deux aspects ou seulement l'un des deux.
  
 =====Session et internet===== =====Session et internet=====
Ligne 27: Ligne 27:
 CTparental est un Contrôle parental qui peut être mis en place par des utilisateurs ayant juste assimilé les bases des lignes de commandes. CTparental est un Contrôle parental qui peut être mis en place par des utilisateurs ayant juste assimilé les bases des lignes de commandes.
  
-Il est basé sur dnsmasq ou [[https://github.com/DNSCrypt/dnscrypt-proxy/wiki|dnscrypt-proxy]] a partir de la 5.0.0 ,  [[http://e2guardian.org/cms/|e2guardian]] , privoxy , nftable et la [[http://dsi.ut-capitole.fr/blacklists/|blackliste de l’université de Toulouse]].+Il est basé sur dnsmasq ou [[https://dnscrypt.info/|dnscrypt-proxy]] a partir de la 5.0.0 ,  [[http://e2guardian.org/cms/|e2guardian]] , privoxy , nftable et la [[http://dsi.ut-capitole.fr/blacklists/|blackliste de l’université de Toulouse]].
  
 Bien sûr il faut créer des comptes sans droit d'administration pour vos enfants. Bien sûr il faut créer des comptes sans droit d'administration pour vos enfants.
  
-Si vos enfants ont passé les 10 ans il est conseillé de mettre un mot de passe bios, de désactiver le boot sur support USB ou CDROM, et de mettre e,n place un mot de passe sur grub aussi.+Si vos enfants ont passé les 10 ans il est conseillé de mettre un mot de passe bios, de désactiver le boot sur support USB ou CDROM, et de mettre en place un mot de passe sur grub aussi.
  
 Mais ne comptez pas les arrêter au-delà de 16 ans, ils sauront comment passer outre tout ça, bien que ça les ennuiera un petit moment donc autant les faire réfléchir un peu. Mais ne comptez pas les arrêter au-delà de 16 ans, ils sauront comment passer outre tout ça, bien que ça les ennuiera un petit moment donc autant les faire réfléchir un peu.
Ligne 42: Ligne 42:
 il faut **installer** avec  [[/gdebi|gdebi]] en ligne de commande !!. il faut **installer** avec  [[/gdebi|gdebi]] en ligne de commande !!.
  
-[[https://gitlab.com/marsat/CTparental/uploads/6fe05d78f6daab865f6cece30b060091/ctparental_ubuntu18.04_lighttpd_4.45.09-1.0_all.deb|v-4.45.09-1.0 pour ubuntu 18.04]] +[[https://gitlab.com/ctparentalgroup/CTparental/-/releases|Les dernières releases de CTParental sur Github]]
  
-[[https://gitlab.com/marsat/CTparental/uploads/bb25ed19b26c2735dc61ebc9158c71e2/ctparental_ubuntu20.04_lighttpd_5.0.7-1.0_all.deb|v-5.0.7-1.0 pour ubuntu 20.04]] +[[https://gitlab.com/ctparentalgroup/CTparental/uploads/6fe05d78f6daab865f6cece30b060091/ctparental_ubuntu18.04_lighttpd_4.45.09-1.0_all.deb|v-4.45.09-1.0 pour ubuntu 18.04]]
  
-[[https://gitlab.com/marsat/CTparental/uploads/b27c43034acd696ef657fab44fbb20d6/ctparental_ubuntu21.10_lighttpd_5.0.7-1.0_all.deb|v-5.0.7-1.0 pour ubuntu 21.10]] +[[https://gitlab.com/-/project/6842998/uploads/d2adc9ae1c11285d8b36f2f368ff14ba/ctparental-full-lighttpd_debian10_ubuntu20.04_5.3.04-1.0_all.deb|v-5.3.04-1.0 pour ubuntu 20.04]] 
 + 
 +[[https://gitlab.com/-/project/6842998/uploads/fc20ed558aba8bc6e7ac64d9a0b43ef0/ctparental-full-lighttpd_debian11_ubuntu21.10_5.3.04-1.0_all.deb|v-5.3.04-1.0 pour ubuntu 22.04]] 
 + 
 +[[https://gitlab.com/-/project/6842998/uploads/11806713128c05cd3bf87ee6dbf126c9/ctparental-full-lighttpd_debian13_ubuntu24.04_5.3.04-1.0_all.deb|v-5.3.04-1.0 pour ubuntu 24.04 et 25.10]]
  
 les identifiants et mots de passe seront définis pendant cette procédure sauf pour l’installe par [[:gnome-software|GNOME Logiciels]]   ceux ci sont réciproquement **admin** et **admin**. les identifiants et mots de passe seront définis pendant cette procédure sauf pour l’installe par [[:gnome-software|GNOME Logiciels]]   ceux ci sont réciproquement **admin** et **admin**.
Ligne 56: Ligne 60:
 </note> </note>
  
-<note>Par la suite on pourra les redéfinir en lançant la commande** sudo CTparental -uhtml** dans un terminal. On pourra aussi activer le mot de passe grub2 pour les menus sensibles avec la commande ** sudo CTparental -grubPon** +<note>Par la suite on pourra les redéfinir en lançant la commande** sudo CTparental -uhtml** dans un terminal. On pourra aussi activer le mot de passe grub2 pour les menus sensibles avec la commande ** sudo CTparental -grubPon**
 </note> </note>
 <note important>Il faut désinstaller les versions précédentes avant installation de nouvelle versions , <note important>Il faut désinstaller les versions précédentes avant installation de nouvelle versions ,
Ligne 77: Ligne 81:
 </note> </note>
  
-<note important>Pour UBUNTU 16.04 : Dans le cas ou lighttpd n'arrive pas à démarrer en fin d'installation et où la commande +<note important>Pour UBUNTU 16.04 : Dans le cas ou lighttpd n'arrive pas à démarrer en fin d'installation et où la commande
    journalctl -xe    journalctl -xe
 renvoie: renvoie:
Ligne 90: Ligne 94:
  
 Une liste complémentaire à la blackliste de Toulouse se nommant ctparental est à ajouter dans les catégories, pour limiter encore un peu plus les publicités et la pornographie. Une liste complémentaire à la blackliste de Toulouse se nommant ctparental est à ajouter dans les catégories, pour limiter encore un peu plus les publicités et la pornographie.
-à ajouter aux catégories adult,agressif,[[https://cryptoactuel.com/|bitcoin]],dangerous_material,dating,ddos,drogue,gambling,hacking,malware,marketingware,mixed_adult,phishing,publicite,redirector,sect,strict_redirector et strong_redirector pour être efficace.+à ajouter aux catégories adult,agressif,bitcoin,dangerous_material,dating,ddos,drogue,gambling,hacking,malware,marketingware,mixed_adult,phishing,publicite,redirector,sect,strict_redirector et strong_redirector pour être efficace.
  
 Principales fonctions : Principales fonctions :
Ligne 107: Ligne 111:
   - Force safesearch youtube.com ( très restrictifs conviens au jeune enfants , pas a des adolescents.)   - Force safesearch youtube.com ( très restrictifs conviens au jeune enfants , pas a des adolescents.)
   - Force SafeSearch duckduckgo   - Force SafeSearch duckduckgo
-  - Force SafeSearch bing (en http seulement) https supporter depuis la version 4.20.27 +  - Force SafeSearch bing (en http seulement) https supporté depuis la version 4.20.27 
-  - Force SafeSearch Qwant  supporter depuis la version 4.20.27+  - Force SafeSearch Qwant  supporté depuis la version 4.20.27 
 +  - Force SafeSearch Ecosia supporté depuis la version 5.1.21 
 +  - Force SafeSearch Brave supporté depuis la version 5.1.23
   - Blocage de moteurs de recherches jugés non sûr comme search.yahoo.com.   - Blocage de moteurs de recherches jugés non sûr comme search.yahoo.com.
   - Ajout du mot de passe grub2, le mot de passe est persistants, après un update-grub ou une mise à jour grub2. Le clavier bascule en qwerty pour le paramétrage du login mots de passe grub2 cela évite les problèmes de caractère impossible a faire avec le clavier qwerty du menu grub2.   - Ajout du mot de passe grub2, le mot de passe est persistants, après un update-grub ou une mise à jour grub2. Le clavier bascule en qwerty pour le paramétrage du login mots de passe grub2 cela évite les problèmes de caractère impossible a faire avec le clavier qwerty du menu grub2.
Ligne 127: Ligne 133:
 <note> [[https://wiki.nftables.org/wiki-nftables/index.php/Main_Page|nftables]] le remplacent d'iptables est utilisé a partir de ubuntu18.10</note> <note> [[https://wiki.nftables.org/wiki-nftables/index.php/Main_Page|nftables]] le remplacent d'iptables est utilisé a partir de ubuntu18.10</note>
  
-Pour l'installer manuellement et les dernières infos c'est par [[https://gitlab.com/marsat/CTparental/wikis/installation-fr|ici]]+Pour l'installer manuellement et les dernières infos c'est par [[https://gitlab.com/ctparentalgroup/CTparental/wikis/installation-fr|ici]]
  
-Dépôt GIT : [[https://gitlab.com/marsat/CTparental]]+Dépôt GIT : [[https://gitlab.com/ctparentalgroup/CTparental]]
  
 **Explication des différents paramètres pour une utilisation en ligne de commandes. ** **Explication des différents paramètres pour une utilisation en ligne de commandes. **
Ligne 148: Ligne 154:
  
 ==== Solution radicale ==== ==== Solution radicale ====
-Soit une machine sur laquelle sont existants un compte disposant des droits d'administration, d'autres comptes sans droits d'administration et parmi ceux-ci au moins un pour lequel l'accès à internet n'a pas lieu d'être contrôlé. Pour fixer les idées, mettons Adulte00, Adulte01, Progeniture00 et Progeniture01. Mettons que Adulte00 et 01 décident d'un commun accord que le contrôle le plus simple et le plus efficace tout en étant le moins demandeur en ressource humaine consiste en la solution radicale d'absence d'accès au net tout court pour Progéniture00 et 01. Dans ce cas, l'administrateur peut aller dans les propriétés de la connexion, qu'elle soit filaire ou wifi, et décocher la case en bas à gauche "Disponible pour tous les utilisateurs". Problème : le compte non-admin pour lequel l'accès à internet n'a pas lieu d'être contrôlé (//i.e.// Adulte00 ou (//i.e.// xor) 01) se retrouve lui aussi sans connexion. Il faut alors se connecter avec ce compte et activer la connexion, ce qui devrait demander le mot de passe admin. A partir de ce moment, ce compte devrait avoir accès au réseau à chaque login. Mais là encore, tous les autres comptes auront accès à la connexion ... Comme précédemment, il suffit de modifier les propriétés de la connexion en décochant la case en bas à gauche "Disponible pour tous les utilisateurs"+Soit une machine sur laquelle sont existants un compte disposant des droits d'administration, d'autres comptes sans droits d'administration et parmi ceux-ci au moins un pour lequel l'accès à internet n'a pas lieu d'être contrôlé. Pour fixer les idées, mettons Adulte00, Adulte01, Progeniture00 et Progeniture01. Mettons que Adulte00 et 01 décident d'un commun accord que le contrôle le plus simple et le plus efficace tout en étant le moins demandeur en ressource humaine consiste en la solution radicale d'absence d'accès au net tout court pour Progéniture00 et 01. Dans ce cas, l'administrateur peut aller dans les propriétés de la connexion, qu'elle soit filaire ou wifi, et décocher la case en bas à gauche "Disponible pour tous les utilisateurs". Problème : le compte non-admin pour lequel l'accès à internet n'a pas lieu d'être contrôlé (//i.e.// Adulte00 ou (//i.e.// xor) 01) se retrouve lui aussi sans connexion. Il faut alors se connecter avec ce compte et activer la connexion, ce qui devrait demander le mot de passe admin. A partir de ce moment, ce compte devrait avoir accès au réseau à chaque login. Mais là encore, tous les autres comptes auront accès à la connexion ... Comme précédemment, il suffit de modifier les propriétés de la connexion en décochant la case en bas à gauche "Disponible pour tous les utilisateurs".
  
 **En résumé** : activation de la connexion pour chacun des adultes et modification en décochant la case "Disponible pour tous les utilisateurs". Rien du tout pour la progéniture. **En résumé** : activation de la connexion pour chacun des adultes et modification en décochant la case "Disponible pour tous les utilisateurs". Rien du tout pour la progéniture.
 ==== OpenDNS FamilyShield ==== ==== OpenDNS FamilyShield ====
  
-Cette méthode est la plus simple de toutes ! +Cette méthode est la plus simple de toutes !
  
 Avec OpenDNS FamilyShield, les filtres appliqués sont les mêmes pour tous (pas de paramétrage possible). Il suffit d'utiliser comme serveurs DNS 208.67.222.123 et 208.67.220.123 et le tour est joué. Ces DNS filtrent automatiquement les sites adultes. Il suffit donc de mettre cette connexion par défaut pour tout le monde, et rajouter éventuellement des connexions avec d'autres serveurs DNS pour chacun des utilisateurs qui n'ont pas besoin de filtrage; Avec OpenDNS FamilyShield, les filtres appliqués sont les mêmes pour tous (pas de paramétrage possible). Il suffit d'utiliser comme serveurs DNS 208.67.222.123 et 208.67.220.123 et le tour est joué. Ces DNS filtrent automatiquement les sites adultes. Il suffit donc de mettre cette connexion par défaut pour tout le monde, et rajouter éventuellement des connexions avec d'autres serveurs DNS pour chacun des utilisateurs qui n'ont pas besoin de filtrage;
Ligne 182: Ligne 188:
   - cocher toutes les options des paramètres principaux, et notamment l'option "empêcher la désactivation ou la désinstallation"   - cocher toutes les options des paramètres principaux, et notamment l'option "empêcher la désactivation ou la désinstallation"
  
-__Deux remarques :__ +__Deux remarques :__
  
 Le blocage d'accès via la liste blanche ne marche pas pour certains sites, par ex. fr.youtube.com. Dans ce cas, ajouter le nom du site (youtube) à la liste des données explicites du Filtre principal dans la colonne "sites bloqués". Le blocage d'accès via la liste blanche ne marche pas pour certains sites, par ex. fr.youtube.com. Dans ce cas, ajouter le nom du site (youtube) à la liste des données explicites du Filtre principal dans la colonne "sites bloqués".
Ligne 257: Ligne 263:
  
 Dans le cas qui nous intéresse, le contrôle parental, on peut utiliser les filtres suivants : Dans le cas qui nous intéresse, le contrôle parental, on peut utiliser les filtres suivants :
-  * Autoriser l'accès uniquement à une liste de sites (liste blanche).  +  * Autoriser l'accès uniquement à une liste de sites (liste blanche).
   * Bloquer l'accès à une série de domaines (liste noire).   * Bloquer l'accès à une série de domaines (liste noire).
   * Bloquer les pages dont l'URL contient un mot interdit.   * Bloquer les pages dont l'URL contient un mot interdit.
  
-La configuration a lieu en deux temps. On crée d'abord les ACL correspondants : +La configuration a lieu en deux temps. On crée d'abord les ACL correspondants :
  
   acl whitelist dstdomain "/etc/squid3/whitelist"   acl whitelist dstdomain "/etc/squid3/whitelist"
Ligne 273: Ligne 279:
   http_access deny filtre_reg   http_access deny filtre_reg
  
-Squid applique les filtres dans l'ordre. Le premier filtre vérifié s'applique et pas les suivants. +Squid applique les filtres dans l'ordre. Le premier filtre vérifié s'applique et pas les suivants.
 Il faut donc prendre garde à l'ordre dans lequel on les écrit. Il faut donc prendre garde à l'ordre dans lequel on les écrit.
  
 Ici, le filtrage pour la whitelist est placé avant celui de la blacklist. Ici, le filtrage pour la whitelist est placé avant celui de la blacklist.
-Ainsi, si un domaine se trouve dans les deux listes, le site ne sera pas bloqué +Ainsi, si un domaine se trouve dans les deux listes, le site ne sera pas bloqué
 car Squid appliquera le premier filtre. car Squid appliquera le premier filtre.
  
  
-Pour finir, si aucune des règles n'est vérifiée on autorise l'accès : +Pour finir, si aucune des règles n'est vérifiée on autorise l'accès :
   http_access allow localhost   http_access allow localhost
 (avec localhost un ACL du type acl localhost src 127.0.0.1/32) (avec localhost un ACL du type acl localhost src 127.0.0.1/32)
Ligne 412: Ligne 418:
 <note important>Si Squid ne démarre pas, et que /var/log/squid3/cache.log signale le problème "The url_rewriter helpers are crashing too rapidly", c'est que SquidGuard ne répond pas assez vite. Ceci est probablement dû à un thème contenant des expressions régulières (par exemple la base redirectors). Dans ce cas, essayer de mettre moins de thèmes dans l'ACL</note> <note important>Si Squid ne démarre pas, et que /var/log/squid3/cache.log signale le problème "The url_rewriter helpers are crashing too rapidly", c'est que SquidGuard ne répond pas assez vite. Ceci est probablement dû à un thème contenant des expressions régulières (par exemple la base redirectors). Dans ce cas, essayer de mettre moins de thèmes dans l'ACL</note>
  
-Maintenant il faut générer la base de données avec la commande suivante : +Maintenant il faut générer la base de données avec la commande suivante :
  
   sudo squidGuard -C all   sudo squidGuard -C all
Ligne 453: Ligne 459:
 === Démarrage de Squid === === Démarrage de Squid ===
  
-Maintenant que tout est prêt, il suffit de lancer Squid, mais avant tout il va falloir lancer quelques commandes pour bien définir les droits des fichiers : +Maintenant que tout est prêt, il suffit de lancer Squid, mais avant tout il va falloir lancer quelques commandes pour bien définir les droits des fichiers :
  
   sudo chown -R proxy:proxy /etc/squid /var/log/squid /var/spool/squid /usr/lib/squid /usr/sbin/squid /var/lib/squidguard   sudo chown -R proxy:proxy /etc/squid /var/log/squid /var/spool/squid /usr/lib/squid /usr/sbin/squid /var/lib/squidguard
Ligne 521: Ligne 527:
 « opendnslogin » est à remplacer par le login de votre compte OpenDNS « opendnslogin » est à remplacer par le login de votre compte OpenDNS
  
-« opendnspassword » est à remplacer par le mot de passe de votre compte OpenDNS +« opendnspassword » est à remplacer par le mot de passe de votre compte OpenDNS
  
 == avec ddclient == == avec ddclient ==
Ligne 540: Ligne 546:
 </file> </file>
 « opendnslogin » est à remplacer par le login de votre compte OpenDNS « opendnslogin » est à remplacer par le login de votre compte OpenDNS
-« opendnspassword » est à remplacer par le mot de passe de votre compte OpenDNS +« opendnspassword » est à remplacer par le mot de passe de votre compte OpenDNS
  
  
Ligne 564: Ligne 570:
 Vérifiez que run_daemon est bien sur true Vérifiez que run_daemon est bien sur true
  
-vous pouvez tester le client avec +vous pouvez tester le client avec
 <code bash> <code bash>
 sudo ddclient -v sudo ddclient -v
 </code> </code>
  
-et relancer le daemon +et relancer le daemon
 <code bash> <code bash>
 sudo /etc/init.d/ddclient restart sudo /etc/init.d/ddclient restart
Ligne 575: Ligne 581:
  
 === OpenDNS et session utilisateur === === OpenDNS et session utilisateur ===
-Il est possible de faire en sorte que le filtrage ne s'applique que si la session d'un utilisateur bien défini est ouverte. +Il est possible de faire en sorte que le filtrage ne s'applique que si la session d'un utilisateur bien défini est ouverte.
  
 Pour cela il faut créer un script bash et deux fichiers DNS (resolv), un pour les utilisateurs non restreints et un pour l'utilisateur à restreindre. Pour cela il faut créer un script bash et deux fichiers DNS (resolv), un pour les utilisateurs non restreints et un pour l'utilisateur à restreindre.
Ligne 631: Ligne 637:
 $ sudo chmod 644 /etc/resolv.adult $ sudo chmod 644 /etc/resolv.adult
 </code> </code>
-Créer le fichier /usr/sbin/opendns : +Créer le fichier /usr/sbin/opendns :
 <code bash> <code bash>
 $ sudo nano /usr/sbin/opendns $ sudo nano /usr/sbin/opendns
Ligne 653: Ligne 659:
 fi fi
 </file> </file>
-A la ligne +A la ligne
  
 if users | grep -c "child" > /dev/null ; then if users | grep -c "child" > /dev/null ; then
Ligne 696: Ligne 702:
   * [[https://addons.mozilla.org/fr/firefox/addon/11595|eXtension broozi]]   * [[https://addons.mozilla.org/fr/firefox/addon/11595|eXtension broozi]]
  
-  * [[http://forum.ubuntu-fr.org/viewtopic.php?id=167998|Discussion "Contròle parental et IPtables" sur le forum ubuntu-fr]]+  * [[https://forum.ubuntu-fr.org/viewtopic.php?id=167998|Discussion "Contròle parental et IPtables" sur le forum ubuntu-fr]]
   * [[:tutoriel:restrictions_horaires|Restreindre les plages horaires autorisées pour chaque utilisateur]]   * [[:tutoriel:restrictions_horaires|Restreindre les plages horaires autorisées pour chaque utilisateur]]
   * [[https://github.com/raf64flo/parental_control|Scripts shell sur Github pour installer et supprimer le contrôle parental (à adapter, il n'y a pas de paramètres à ce jour)]]   * [[https://github.com/raf64flo/parental_control|Scripts shell sur Github pour installer et supprimer le contrôle parental (à adapter, il n'y a pas de paramètres à ce jour)]]
tutoriel/comment_mettre_en_place_un_controle_parental.1648219147.txt.gz · Dernière modification : de 82.64.139.120
CC Attribution-Noncommercial 4.0 International Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial 4.0 International