Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tutoriel:comment_mettre_en_place_un_controle_parental [Le 29/07/2021, 10:44]
82.64.139.120 [ctparental]
+++ tutoriel:comment_mettre_en_place_un_controle_parental [Le 19/03/2025, 19:07] (Version actuelle)
82.64.139.120 [ctparental]
@@ Ligne 1: / Ligne 1: @@
- {{tag> éducation sécurité internet tutoriel contrôle_parental}}
+{{tag> éducation sécurité internet tutoriel contrôle_parental}}
 ----
@@ Ligne 12: / Ligne 12: @@
   - accès à l'internet.
 Les solutions évoquées ci-après peuvent concerner ces deux aspects ou seulement l'un des deux.
 =====Session et internet=====
@@ Ligne 25: / Ligne 25: @@
 ==== ctparental  ====
-CTparental est un Contrôle parental permettant à des utilisateurs ayant juste assimilé les bases des lignes de commandes  .
+CTparental est un Contrôle parental qui peut être mis en place par des utilisateurs ayant juste assimilé les bases des lignes de commandes.
-Basé sur dnsmasq ,  [[http://e2guardian.org/cms/|e2guardian]] , privoxy , iptables-persistent et la [[http://dsi.ut-capitole.fr/blacklists/|blackliste de l’université de Toulouse]].
+Il est basé sur dnsmasq ou [[https://dnscrypt.info/|dnscrypt-proxy]] a partir de la 5.0.0 ,  [[http://e2guardian.org/cms/|e2guardian]] , privoxy , nftable et la [[http://dsi.ut-capitole.fr/blacklists/|blackliste de l’université de Toulouse]].
 Bien sûr il faut créer des comptes sans droit d'administration pour vos enfants.
-Si vos enfants ont passé les 10 ans il est conseillé de mettre un mot de passe bios et de désactiver le boot sur support USB ou CDROM et un mot de passe sur grub aussi.
+Si vos enfants ont passé les 10 ans il est conseillé de mettre un mot de passe bios, de désactiver le boot sur support USB ou CDROM, et de mettre en place un mot de passe sur grub aussi.
 Mais ne comptez pas les arrêter au-delà de 16 ans, ils sauront comment passer outre tout ça, bien que ça les ennuiera un petit moment donc autant les faire réfléchir un peu.
@@ Ligne 38: / Ligne 38: @@
 === Installation ===
 Il est maintenant disponible sous forme de fichier deb.
-il faut **installer** avec  [[/gdebi|gdebi]] en ligne de commande !! ,seul la méthode avec gdebi fonctionne  [[/software-center|software-center]]  plante la plupart du temps .
+il faut **installer** avec  [[/gdebi|gdebi]] en ligne de commande !!.
-[[https://gitlab.com/marsat/CTparental/uploads/381a8cc7bb638e3ca3f3100fb89f6659/ctparental_ubuntu14.04_4.22.08-1.0_all.deb|v-4.22.08-1.0 pour ubuntu 14.04]]
+[[https://gitlab.com/ctparentalgroup/CTparental/-/releases|Les dernières releases de CTParental sur Github]]
-[[https://gitlab.com/marsat/CTparental/uploads/04f30f69ff34efba54072a38e7374779/ctparental_ubuntu16.04_lighttpd_4.45.07-2.0_all.deb|v-4.45.07-2.0 pour ubuntu 16.04]]
+[[https://gitlab.com/ctparentalgroup/CTparental/uploads/6fe05d78f6daab865f6cece30b060091/ctparental_ubuntu18.04_lighttpd_4.45.09-1.0_all.deb|v-4.45.09-1.0 pour ubuntu 18.04]]
-[[https://gitlab.com/marsat/CTparental/uploads/6bfd01a995a616f4c915a04b37e570c4/ctparental_ubuntu18.04_lightttpd_4.45.07-2.0_all.deb|v-4.45.07-2.0 pour ubuntu 17.xx et 18.04]]
+[[https://gitlab.com/-/project/6842998/uploads/b7dfeaf0ad3eb92e41ecfc1bf4915e3b/ctparental-full-lighttpd_debian10_ubuntu20.04_5.1.24-1.0_all.deb|v-5.1.24-1.0 pour ubuntu 20.04]]
-[[https://gitlab.com/marsat/CTparental/uploads/0422e80c9175a61c7d80f4dd5c36657b/ctparental_ubuntu19.04_lighttpd_4.45.07-2.0_all.deb|v-4.45.07-2.0 pour ubuntu 18.10 et 19.04]]
+[[https://gitlab.com/-/project/6842998/uploads/1b9bf9bd7f87b87d2b13ff8edeedd53f/ctparental-full-lighttpd_debian11_ubuntu21.10_5.1.24-1.0_all.deb|v-5.1.24-1.0 pour ubuntu 22.04]]
-[[https://gitlab.com/marsat/CTparental/uploads/db70dc1def27c456f2ed9a2ddbfb8de1/ctparental_ubuntu20.04_lighttpd_4.45.07-2.0_all.deb|v-4.45.07-2.0 pour ubuntu 20.04]]
+[[https://gitlab.com/-/project/6842998/uploads/d4c662d8726dcbd2bad7c66eb458ec1e/ctparental-full-lighttpd_debian13_ubuntu24.04_5.1.24-1.0_all.deb|v-5.1.24-1.0 pour ubuntu 24.04]]
-les identifiants et mots de passe seront définis pendant cette procédure sauf pour l’installe par [[/software-center|software-center]]  (fortement déconseillé) et pour ubuntu14.04 ou ceux ci sont réciproquement **admin** et **admin**.
+les identifiants et mots de passe seront définis pendant cette procédure sauf pour l’installe par [[:gnome-software|GNOME Logiciels]]   ceux ci sont réciproquement **admin** et **admin**.
 <note important>
@@ Ligne 61: / Ligne 60: @@
 </note>
 <note>Par la suite on pourra les redéfinir en lançant la commande** sudo CTparental -uhtml** dans un terminal. On pourra aussi activer le mot de passe grub2 pour les menus sensibles avec la commande ** sudo CTparental -grubPon**
 </note>
 <note important>Il faut désinstaller les versions précédentes avant installation de nouvelle versions ,
@@ Ligne 82: / Ligne 81: @@
 </note>
 <note important>Pour UBUNTU 16.04 : Dans le cas ou lighttpd n'arrive pas à démarrer en fin d'installation et où la commande
    journalctl -xe
 renvoie:
@@ Ligne 95: / Ligne 94: @@
 Une liste complémentaire à la blackliste de Toulouse se nommant ctparental est à ajouter dans les catégories, pour limiter encore un peu plus les publicités et la pornographie.
-à ajouter aux catégories adult,agressif,[[https://cryptoactuel.com/|bitcoin]],dangerous_material,dating,ddos,drogue,gambling,hacking,malware,marketingware,mixed_adult,phishing,publicite,redirector,sect,strict_redirector et strong_redirector pour être efficace.
+à ajouter aux catégories adult,agressif,bitcoin,dangerous_material,dating,ddos,drogue,gambling,hacking,malware,marketingware,mixed_adult,phishing,publicite,redirector,sect,strict_redirector et strong_redirector pour être efficace.
 Principales fonctions :
@@ Ligne 114: / Ligne 113: @@
   - Force SafeSearch bing (en http seulement) https supporter depuis la version 4.20.27
   - Force SafeSearch Qwant  supporter depuis la version 4.20.27
+  - Force SafeSearch Ecosia supporter depuis la version 5.1.21
+  - Force SafeSearch Brave supporter depuis la version 5.1.23
   - Blocage de moteurs de recherches jugés non sûr comme search.yahoo.com.
   - Ajout du mot de passe grub2, le mot de passe est persistants, après un update-grub ou une mise à jour grub2. Le clavier bascule en qwerty pour le paramétrage du login mots de passe grub2 cela évite les problèmes de caractère impossible a faire avec le clavier qwerty du menu grub2.
@@ Ligne 132: / Ligne 133: @@
 <note> [[https://wiki.nftables.org/wiki-nftables/index.php/Main_Page|nftables]] le remplacent d'iptables est utilisé a partir de ubuntu18.10</note>
-Pour l'installer manuellement et les dernières infos c'est par [[https://gitlab.com/marsat/CTparental/wikis/installation-fr|ici]]
+Pour l'installer manuellement et les dernières infos c'est par [[https://gitlab.com/ctparentalgroup/CTparental/wikis/installation-fr|ici]]
-Dépôt GIT : [[https://gitlab.com/marsat/CTparental]]
+Dépôt GIT : [[https://gitlab.com/ctparentalgroup/CTparental]]
 **Explication des différents paramètres pour une utilisation en ligne de commandes. **
@@ Ligne 153: / Ligne 154: @@
 ==== Solution radicale ====
 Soit une machine sur laquelle sont existants un compte disposant des droits d'administration, d'autres comptes sans droits d'administration et parmi ceux-ci au moins un pour lequel l'accès à internet n'a pas lieu d'être contrôlé. Pour fixer les idées, mettons Adulte00, Adulte01, Progeniture00 et Progeniture01. Mettons que Adulte00 et 01 décident d'un commun accord que le contrôle le plus simple et le plus efficace tout en étant le moins demandeur en ressource humaine consiste en la solution radicale d'absence d'accès au net tout court pour Progéniture00 et 01. Dans ce cas, l'administrateur peut aller dans les propriétés de la connexion, qu'elle soit filaire ou wifi, et décocher la case en bas à gauche "Disponible pour tous les utilisateurs". Problème : le compte non-admin pour lequel l'accès à internet n'a pas lieu d'être contrôlé (//i.e.// Adulte00 ou (//i.e.// xor) 01) se retrouve lui aussi sans connexion. Il faut alors se connecter avec ce compte et activer la connexion, ce qui devrait demander le mot de passe admin. A partir de ce moment, ce compte devrait avoir accès au réseau à chaque login. Mais là encore, tous les autres comptes auront accès à la connexion ... Comme précédemment, il suffit de modifier les propriétés de la connexion en décochant la case en bas à gauche "Disponible pour tous les utilisateurs".
 **En résumé** : activation de la connexion pour chacun des adultes et modification en décochant la case "Disponible pour tous les utilisateurs". Rien du tout pour la progéniture.
 ==== OpenDNS FamilyShield ====
 Cette méthode est la plus simple de toutes !
 Avec OpenDNS FamilyShield, les filtres appliqués sont les mêmes pour tous (pas de paramétrage possible). Il suffit d'utiliser comme serveurs DNS 208.67.222.123 et 208.67.220.123 et le tour est joué. Ces DNS filtrent automatiquement les sites adultes. Il suffit donc de mettre cette connexion par défaut pour tout le monde, et rajouter éventuellement des connexions avec d'autres serveurs DNS pour chacun des utilisateurs qui n'ont pas besoin de filtrage;
@@ Ligne 187: / Ligne 188: @@
   - cocher toutes les options des paramètres principaux, et notamment l'option "empêcher la désactivation ou la désinstallation"
 __Deux remarques :__
 Le blocage d'accès via la liste blanche ne marche pas pour certains sites, par ex. fr.youtube.com. Dans ce cas, ajouter le nom du site (youtube) à la liste des données explicites du Filtre principal dans la colonne "sites bloqués".
@@ Ligne 262: / Ligne 263: @@
 Dans le cas qui nous intéresse, le contrôle parental, on peut utiliser les filtres suivants :
   * Autoriser l'accès uniquement à une liste de sites (liste blanche).
   * Bloquer l'accès à une série de domaines (liste noire).
   * Bloquer les pages dont l'URL contient un mot interdit.
 La configuration a lieu en deux temps. On crée d'abord les ACL correspondants :
   acl whitelist dstdomain "/etc/squid3/whitelist"
@@ Ligne 278: / Ligne 279: @@
   http_access deny filtre_reg
 Squid applique les filtres dans l'ordre. Le premier filtre vérifié s'applique et pas les suivants.
 Il faut donc prendre garde à l'ordre dans lequel on les écrit.
 Ici, le filtrage pour la whitelist est placé avant celui de la blacklist.
 Ainsi, si un domaine se trouve dans les deux listes, le site ne sera pas bloqué
 car Squid appliquera le premier filtre.
 Pour finir, si aucune des règles n'est vérifiée on autorise l'accès :
   http_access allow localhost
 (avec localhost un ACL du type acl localhost src 127.0.0.1/32)
@@ Ligne 318: / Ligne 319: @@
 Pour mettre automatiquement à jour, chaque semaine, les listes noires de SquidGuard, il suffit de créer une tâche cron. Créez le fichier /etc/cron.weekly/squidguard_blacklists :
-<code>sudo gedit /etc/cron.weekly/squidguard_blacklists</code>
+<code>sudo nano /etc/cron.weekly/squidguard_blacklists</code>
 et inscrivez-y les lignes suivantes :
 <code>
@@ Ligne 417: / Ligne 418: @@
 <note important>Si Squid ne démarre pas, et que /var/log/squid3/cache.log signale le problème "The url_rewriter helpers are crashing too rapidly", c'est que SquidGuard ne répond pas assez vite. Ceci est probablement dû à un thème contenant des expressions régulières (par exemple la base redirectors). Dans ce cas, essayer de mettre moins de thèmes dans l'ACL</note>
 Maintenant il faut générer la base de données avec la commande suivante :
   sudo squidGuard -C all
@@ Ligne 458: / Ligne 459: @@
 === Démarrage de Squid ===
 Maintenant que tout est prêt, il suffit de lancer Squid, mais avant tout il va falloir lancer quelques commandes pour bien définir les droits des fichiers :
   sudo chown -R proxy:proxy /etc/squid /var/log/squid /var/spool/squid /usr/lib/squid /usr/sbin/squid /var/lib/squidguard
@@ Ligne 503: / Ligne 504: @@
 <code bash>
 $ sudo cp /etc/resolv.conf /etc/resolv.conf.auto
-$ gksudo gedit /etc/dhcp3/dhclient.conf
+$ gksudo nano /etc/dhcp3/dhclient.conf
 # Ajoutez la ligne suivante au document
 prepend domain-name-servers 208.67.222.222,208.67.220.220;
@@ Ligne 526: / Ligne 527: @@
 « opendnslogin » est à remplacer par le login de votre compte OpenDNS
 « opendnspassword » est à remplacer par le mot de passe de votre compte OpenDNS
 == avec ddclient ==
@@ Ligne 545: / Ligne 546: @@
 </file>
 « opendnslogin » est à remplacer par le login de votre compte OpenDNS
 « opendnspassword » est à remplacer par le mot de passe de votre compte OpenDNS
@@ Ligne 569: / Ligne 570: @@
 Vérifiez que run_daemon est bien sur true
 vous pouvez tester le client avec
 <code bash>
 sudo ddclient -v
 </code>
 et relancer le daemon
 <code bash>
 sudo /etc/init.d/ddclient restart
@@ Ligne 580: / Ligne 581: @@
 === OpenDNS et session utilisateur ===
 Il est possible de faire en sorte que le filtrage ne s'applique que si la session d'un utilisateur bien défini est ouverte.
 Pour cela il faut créer un script bash et deux fichiers DNS (resolv), un pour les utilisateurs non restreints et un pour l'utilisateur à restreindre.
@@ Ligne 588: / Ligne 589: @@
 Créer le fichier /etc/resolv.child :
 <code bash>
-$ sudo gedit /etc/resolv.child
+$ sudo nano /etc/resolv.child
 </code>
 avec les lignes suivantes :
@@ Ligne 612: / Ligne 613: @@
 Créer le fichier /etc/resolv.adult :
 <code bash>
-$ sudo gedit /etc/resolv.adult
+$ sudo nano /etc/resolv.adult
 </code>
 Avec les lignes suivantes :
@@ Ligne 636: / Ligne 637: @@
 $ sudo chmod 644 /etc/resolv.adult
 </code>
 Créer le fichier /usr/sbin/opendns :
 <code bash>
-$ sudo gedit /usr/sbin/opendns
+$ sudo nano /usr/sbin/opendns
 </code>
 avec les lignes suivantes :
@@ Ligne 658: / Ligne 659: @@
 fi
 </file>
 A la ligne
 if users | grep -c "child" > /dev/null ; then
@@ Ligne 701: / Ligne 702: @@
   * [[https://addons.mozilla.org/fr/firefox/addon/11595|eXtension broozi]]
-  * [[http://forum.ubuntu-fr.org/viewtopic.php?id=167998|Discussion "Contròle parental et IPtables" sur le forum ubuntu-fr]]
+  * [[https://forum.ubuntu-fr.org/viewtopic.php?id=167998|Discussion "Contròle parental et IPtables" sur le forum ubuntu-fr]]
   * [[:tutoriel:restrictions_horaires|Restreindre les plages horaires autorisées pour chaque utilisateur]]
   * [[https://github.com/raf64flo/parental_control|Scripts shell sur Github pour installer et supprimer le contrôle parental (à adapter, il n'y a pas de paramètres à ce jour)]]