Subversion Repositories ALCASAR

Rev

Rev 959 | Rev 972 | Go to most recent revision | Details | Compare with Previous | Last modification | View Log

Rev Author Line No. Line
672 richard 1
#!/bin/bash
57 franck 2
#  $Id: alcasar.sh 967 2012-08-02 20:37:45Z franck $ 
1 root 3
 
4
# alcasar.sh
959 franck 5
 
6
# ALCASAR - Portail captif d'accès à l'Internet -  Copyright (C) [2005] [ALcasar team - Rexy - 3abtux - ...] 
7
# Ce programme est un logiciel libre ; vous pouvez le redistribuer et/ou le modifier au titre des clauses de la Licence Publique Générale GNU, 
8
# elle que publiée par la Free Software Foundation ; soit la version 3 de la Licence. 
9
# Ce programme est distribué dans l'espoir qu'il sera utile, mais SANS AUCUNE GARANTIE ; 
10
# sans même une garantie implicite de COMMERCIABILITE ou DE CONFORMITE A UNE UTILISATION PARTICULIERE. 
11
# Voir la Licence Publique Générale GNU pour plus de détails. 
12
# Vous devriez avoir reçu un exemplaire de la Licence Publique Générale GNU avec ce programme ; 
13
# si ce n’est pas le cas, consultez :   <http://www.gnu.org/licenses/>.
14
 
967 franck 15
#  team@alcasar.net
959 franck 16
 
1 root 17
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
18
# This script is distributed under the Gnu General Public License (GPL)
19
 
672 richard 20
# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
21
# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
1 root 22
# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
23
# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
672 richard 24
#
806 richard 25
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, awstat, ntpd, openssl, dnsmasq, havp, libclamav  and firewalleyes
1 root 26
 
27
# Options :
376 franck 28
#       -i or --install
29
#       -u or --uninstall
1 root 30
 
376 franck 31
# Functions :
29 richard 32
#	testing		: Tests de connectivité et de téléchargement avant installation
1 root 33
#	init		: Installation des RPM et des scripts
34
#	network		: Paramètrage du réseau
35
#	gestion		: Installation de l'interface de gestion
36
#	AC		: Initialisation de l'autorité de certification. Création des certificats
37
#	init_db		: Création de la base 'radius' sur le serveur MySql
38
#	param_radius	: Configuration du serveur d'authentification FreeRadius
39
#	param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
40
#	param_chilli	: Configuration du daemon 'coova-chilli' et de la page d'authentification
41
#	param_squid	: Configuration du proxy squid en mode 'cache'
42
#	param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
479 richard 43
#	antivirus	: Installation havp + libclamav
1 root 44
#	param_awstats	: Configuration de l'interface des statistiques de consultation WEB
297 richard 45
#	dnsmasq		: Configuration du serveur de noms et du serveur dhcp de secours
308 richard 46
#	BL		: Configuration de la BlackList
1 root 47
#	cron		: Mise en place des exports de logs (+ chiffrement)
532 richard 48
#	post_install	: Finalisation environnement ( sécurité, bannières, rotation logs, ...)
1 root 49
 
50
DATE=`date '+%d %B %Y - %Hh%M'`
51
DATE_SHORT=`date '+%d/%m/%Y'`
595 richard 52
Lang=`echo $LANG|cut -c 1-2`
1 root 53
# ******* Files parameters - paramètres fichiers *********
832 richard 54
DIR_INSTALL=`pwd`				# install directory 
1 root 55
DIR_CONF="$DIR_INSTALL/conf"			# répertoire d'installation contenant les fichiers de configuration
56
DIR_SCRIPTS="$DIR_INSTALL/scripts"		# répertoire d'installation contenant les scripts
806 richard 57
DIR_SAVE="/var/Save"				# répertoire de sauvegarde (system_backup, user_db_backup, logs)
316 richard 58
DIR_WEB="/var/www/html"				# répertoire racine APACHE
648 richard 59
DIR_DG="/etc/dansguardian"			# répertoire de config de DansGuardian
316 richard 60
DIR_ACC="$DIR_WEB/acc"				# répertoire du centre de gestion 'ALCASAR Control Center'
1 root 61
DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts
62
DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin
63
DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf
628 richard 64
CONF_FILE="$DIR_DEST_ETC/alcasar.conf"		# fichier de conf d'alcasar
65
PASSWD_FILE="/root/ALCASAR-passwords.txt"	# fichier texte contenant les mots de passe et secrets partagés 
1 root 66
# ******* DBMS parameters - paramètres SGBD ********
67
DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius
68
DB_USER="radius"				# nom de l'utilisateur de la base de données
69
# ******* Network parameters - paramètres réseau *******
503 richard 70
HOSTNAME="alcasar"				# 
1 root 71
DOMAIN="localdomain"				# domaine local
72
EXTIF="eth0"					# ETH0 est l'interface connectée à Internet (Box FAI)
73
INTIF="eth1"					# ETH1 est l'interface connectée au réseau local de consultation
597 richard 74
DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24"	# adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
1 root 75
# ****** Paths - chemin des commandes *******
76
SED="/bin/sed -i"
77
# ****************** End of global parameters *********************
78
 
959 franck 79
license ()
80
{
81
	if [ $Lang == "fr" ]
967 franck 82
	then cat $DIR_INSTALL/gpl-3.0.fr.txt | more
83
	else cat $DIR_INSTALL/gpl-3.0.txt | more
959 franck 84
	fi
967 franck 85
	echo "Taper une touche pour continuer !"
959 franck 86
	read a
87
}
88
 
1 root 89
header_install ()
90
{
91
	clear
92
	echo "-----------------------------------------------------------------------------"
460 richard 93
	echo "                     ALCASAR V$VERSION Installation"
1 root 94
	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
95
	echo "-----------------------------------------------------------------------------"
96
} # End of header_install ()
97
 
98
##################################################################
29 richard 99
##			Fonction TESTING			##
100
## - Test de la connectivité Internet				##
101
##################################################################
102
testing ()
103
{
595 richard 104
	if [ $Lang == "fr" ]
784 richard 105
		then echo -n "Tests des paramètres réseau : "
595 richard 106
		else echo -n "Network parameters tests : "
107
	fi
784 richard 108
# We test eth0 config files
109
	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
110
	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
111
	if [ `echo $PUBLIC_IP|wc -c` -lt 7 ] || [ `echo $PUBLIC_GATEWAY|wc -c` -lt 7 ]
112
		then
113
		if [ $Lang == "fr" ]
114
		then 
115
			echo "Échec"
116
			echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."
117
			echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
830 richard 118
			echo "Appliquez les changements : 'service network restart'"
784 richard 119
		else
120
			echo "Failed"
121
			echo "The Internet connected network card ($EXTIF) isn't well configured."
122
			echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
830 richard 123
			echo "Apply the new configuration 'service network restart'"
784 richard 124
		fi
830 richard 125
		echo "DEVICE=$EXTIF"
784 richard 126
		echo "IPADDR="
127
		echo "NETMASK="
128
		echo "GATEWAY="
129
		echo "DNS1="
130
		echo "DNS2="
830 richard 131
		echo "ONBOOT=yes"
784 richard 132
		exit 0
133
	fi
134
	echo -n "."
460 richard 135
# We test the Ethernet links state
29 richard 136
	for i in $EXTIF $INTIF
137
	do
294 richard 138
		/sbin/ip link set $i up
306 richard 139
		sleep 3
808 franck 140
		CMD=`/usr/sbin/ethtool $i |grep Link | awk '{print $NF}'`
141
		CMD2=`/sbin/mii-tool $i | grep -i link | awk '{print $NF}'`
142
		if [ $CMD != "yes" ] && [ $CMD2 != "ok" ]
29 richard 143
			then
595 richard 144
			if [ $Lang == "fr" ]
145
			then 
146
				echo "Échec"
147
				echo "Le lien réseau de la carte $i n'est pas actif."
148
				echo "Réglez ce problème puis relancez ce script."
149
			else
150
				echo "Failed"
151
				echo "The link state of $i interface id down."
152
				echo "Resolv this problem, then restart this script."
153
			fi
29 richard 154
			exit 0
155
		fi
308 richard 156
	echo -n "."
29 richard 157
	done
158
# On teste la présence d'un routeur par défaut (Box FAI)
784 richard 159
	if [ `ip route list|grep -c ^default` -ne "1" ] ; then
595 richard 160
		if [ $Lang == "fr" ]
161
		then 
162
			echo "Échec"
163
			echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
164
			echo "Réglez ce problème puis relancez ce script."
165
		else
166
			echo "Failed"
167
			echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
168
			echo "Resolv this problem, then restart this script."
169
		fi
29 richard 170
		exit 0
171
	fi
308 richard 172
	echo -n "."
173
# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
784 richard 174
	if [ `ip route list|grep ^default|grep -c eth1` -eq "1" ] ; then
595 richard 175
		if [ $Lang == "fr" ]
176
			then echo "La configuration des cartes réseau va être corrigée."
177
			else echo "The Ethernet card configuration will be corrected."
178
		fi
29 richard 179
		/etc/init.d/network stop
180
		mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
181
		$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
182
		/etc/init.d/network start
183
		echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
184
		sleep 2
595 richard 185
		if [ $Lang == "fr" ]
186
			then echo "Configuration corrigée"
187
			else echo "Configuration updated"
188
		fi
29 richard 189
		sleep 2
595 richard 190
		if [ $Lang == "fr" ]
191
			then echo "Vous pouvez relancer ce script."
192
			else echo "You can restart this script."
193
		fi
29 richard 194
		exit 0
195
	fi
308 richard 196
	echo -n "."
197
# On test le lien vers le routeur par default
198
	IP_GW=`ip route list|grep ^default|cut -d" " -f3`
199
	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW|grep response|cut -d" " -f2`
527 richard 200
	if [ $(expr $arp_reply) -eq 0 ]
308 richard 201
	       	then
595 richard 202
		if [ $Lang == "fr" ]
203
		then 
204
			echo "Échec"
205
			echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
206
			echo "Réglez ce problème puis relancez ce script."
207
		else
208
			echo "Failed"
209
			echo "The Internet gateway doesn't answered"
210
			echo "Resolv this problem, then restart this script."
211
		fi
308 richard 212
		exit 0
213
	fi
214
	echo -n "."
421 franck 215
# On teste la connectivité Internet
29 richard 216
	rm -rf /tmp/con_ok.html
308 richard 217
	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
29 richard 218
	if [ ! -e /tmp/con_ok.html ]
219
	then
595 richard 220
		if [ $Lang == "fr" ]
221
		then 
222
			echo "La tentative de connexion vers Internet a échoué (google.fr)."
223
			echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
224
			echo "Vérifiez la validité des adresses IP des DNS."
225
		else
226
			echo "The Internet connection try failed (google.fr)."
227
			echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
228
			echo "Verify the DNS IP addresses"
229
		fi
29 richard 230
		exit 0
231
	fi
232
	rm -rf /tmp/con_ok.html
308 richard 233
	echo ". : ok"
302 richard 234
} # end of testing
235
 
236
##################################################################
237
##			Fonction INIT				##
238
## - Création du fichier "/root/ALCASAR_parametres.txt"		##
239
## - Installation et modification des scripts du portail	##
240
##################################################################
241
init ()
242
{
527 richard 243
	if [ "$mode" != "update" ]
302 richard 244
	then
245
# On affecte le nom d'organisme
597 richard 246
		header_install
302 richard 247
		ORGANISME=!
248
		PTN='^[a-zA-Z0-9-]*$'
580 richard 249
		until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
302 richard 250
                do
595 richard 251
			if [ $Lang == "fr" ]
597 richard 252
			       	then echo -n "Entrez le nom de votre organisme : "
253
				else echo -n "Enter the name of your organism : "
595 richard 254
			fi
330 franck 255
			read ORGANISME
613 richard 256
			if [ "$ORGANISME" == "" ]
330 franck 257
				then
258
				ORGANISME=!
259
			fi
260
		done
302 richard 261
	fi
1 root 262
# On crée aléatoirement les mots de passe et les secrets partagés
628 richard 263
	rm -f $PASSWD_FILE
59 richard 264
	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub
628 richard 265
	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
266
	echo "$grubpwd" >> $PASSWD_FILE
59 richard 267
	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
384 richard 268
	$SED "/^password.*/d" /boot/grub/menu.lst
269
	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1 root 270
	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld
628 richard 271
	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
272
	echo "root / $mysqlpwd" >> $PASSWD_FILE
1 root 273
	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
628 richard 274
	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
275
	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
1 root 276
	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli
628 richard 277
	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
278
	echo "$secretuam" >> $PASSWD_FILE
1 root 279
	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius
628 richard 280
	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
281
	echo "$secretradius" >> $PASSWD_FILE
282
	chmod 640 $PASSWD_FILE
453 franck 283
# On installe les scripts et fichiers de configuration d'ALCASAR 
865 richard 284
#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log.sh,watchdog.sh}
5 franck 285
	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
453 franck 286
#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
5 franck 287
	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
453 franck 288
#  - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
648 richard 289
	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1 root 290
	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
291
	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5 franck 292
	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
293
	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
628 richard 294
# generate central conf file
295
	cat <<EOF > $CONF_FILE
612 richard 296
##########################################
297
##                                      ##
298
##          ALCASAR Parameters          ##
299
##                                      ##
300
##########################################
1 root 301
 
612 richard 302
INSTALL_DATE=$DATE
303
VERSION=$VERSION
304
ORGANISM=$ORGANISME
923 franck 305
DOMAIN=$DOMAIN
612 richard 306
EOF
628 richard 307
	chmod o-rwx $CONF_FILE
1 root 308
} # End of init ()
309
 
310
##################################################################
311
##			Fonction network			##
312
## - Définition du plan d'adressage du réseau de consultation	##
595 richard 313
## - Nommage DNS du système 					##
1 root 314
## - Configuration de l'interface eth1 (réseau de consultation)	##
315
## - Modification du fichier /etc/hosts				##
316
## - Configuration du serveur de temps (NTP)			##
317
## - Renseignement des fichiers hosts.allow et hosts.deny	##
318
##################################################################
319
network ()
320
{
321
	header_install
636 richard 322
	if [ "$mode" != "update" ]
323
		then
324
		if [ $Lang == "fr" ]
325
			then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
326
			else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
327
		fi
328
		response=0
329
		PTN='^[oOyYnN]$'
330
		until [[ $(expr $response : $PTN) -gt 0 ]]
1 root 331
		do
595 richard 332
			if [ $Lang == "fr" ]
659 richard 333
				then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
618 richard 334
				else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
595 richard 335
			fi
1 root 336
			read response
337
		done
636 richard 338
		if [ "$response" = "n" ] || [ "$response" = "N" ]
339
		then
340
			PRIVATE_IP_MASK="0"
341
			PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'
342
			until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
1 root 343
			do
595 richard 344
				if [ $Lang == "fr" ]
597 richard 345
					then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
346
					else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
595 richard 347
				fi
597 richard 348
				read PRIVATE_IP_MASK
1 root 349
			done
636 richard 350
		else
351
       			PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
352
		fi
595 richard 353
	else
637 richard 354
		PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf|cut -d"=" -f2` 
355
		rm -rf conf/etc/alcasar.conf
1 root 356
	fi
861 richard 357
# Define LAN side global parameters
1 root 358
	hostname $HOSTNAME
837 richard 359
	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK | cut -d"=" -f2`			# private network address (ie.: 192.168.182.0)
360
	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK | cut -d"=" -f2`			# private network mask (ie.: 255.255.255.0)
361
	PRIVATE_IP=`echo $PRIVATE_IP_MASK | cut -d"/" -f1`					# ALCASAR private ip address (consultation LAN side)
861 richard 362
	PRIVATE_PREFIX=`/bin/ipcalc -p $PRIVATE_IP_MASK |cut -d"=" -f2`				# network prefix (ie. 24)
363
	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$PRIVATE_PREFIX					# ie.: 192.168.182.0/24
364
	classe=$((PRIVATE_PREFIX/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2`		# ie.: 2=classe B, 3=classe C
837 richard 365
	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.			# compatibility with hosts.allow et hosts.deny (ie.: 192.168.182.)
366
	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# private network broadcast (ie.: 192.168.182.255)
367
	private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`		# last octet of LAN address
368
	private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`		# last octet of LAN broadcast
369
	PRIVATE_FIRST_IP=`echo $PRIVATE_NETWORK | cut -d"." -f1-3`"."`expr $private_network_ending + 1`		# First network address (ex.: 192.168.182.1)
370
	PRIVATE_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1`	# last network address (ex.: 192.168.182.254)
861 richard 371
 
841 richard 372
# Define Internet parameters
14 richard 373
	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
374
	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 1er DNS
375
	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 2ème DNS
70 franck 376
	DNS1=${DNS1:=208.67.220.220}
377
	DNS2=${DNS2:=208.67.222.222}
597 richard 378
	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
784 richard 379
	DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 | cut -d"=" -f2`
380
	PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}
381
	PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK|cut -d"=" -f2`
861 richard 382
 
765 stephane 383
	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
384
	echo "PUBLIC_MTU=1500" >> $CONF_FILE
628 richard 385
	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE 
386
	echo "DNS1=$DNS1" >> $CONF_FILE
387
	echo "DNS2=$DNS2" >> $CONF_FILE
388
	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
941 richard 389
	echo "DHCP=full" >> $CONF_FILE
914 franck 390
	echo "EXT_DHCP_IP=none" >> $CONF_FILE
391
	echo "RELAY_DHCP_IP=none" >> $CONF_FILE
392
	echo "RELAY_DHCP_PORT=none" >> $CONF_FILE
597 richard 393
	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default
841 richard 394
# config network
1 root 395
	cat <<EOF > /etc/sysconfig/network
396
NETWORKING=yes
397
HOSTNAME="$HOSTNAME"
398
FORWARD_IPV4=true
399
EOF
841 richard 400
# config /etc/hosts
1 root 401
	[ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default
402
	cat <<EOF > /etc/hosts
503 richard 403
127.0.0.1	localhost
914 franck 404
$PRIVATE_IP	$HOSTNAME $HOSTNAME.$DOMAIN
1 root 405
EOF
841 richard 406
# Config eth0 (Internet)
14 richard 407
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
408
DEVICE=$EXTIF
409
BOOTPROTO=static
597 richard 410
IPADDR=$PUBLIC_IP
411
NETMASK=$PUBLIC_NETMASK
412
GATEWAY=$PUBLIC_GATEWAY
14 richard 413
DNS1=127.0.0.1
414
ONBOOT=yes
415
METRIC=10
416
NOZEROCONF=yes
417
MII_NOT_SUPPORTED=yes
418
IPV6INIT=no
419
IPV6TO4INIT=no
420
ACCOUNTING=no
421
USERCTL=no
422
EOF
841 richard 423
# Config eth1 (consultation LAN) in normal mode
424
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
425
DEVICE=$INTIF
426
BOOTPROTO=static
427
ONBOOT=yes
428
NOZEROCONF=yes
429
MII_NOT_SUPPORTED=yes
430
IPV6INIT=no
431
IPV6TO4INIT=no
432
ACCOUNTING=no
433
USERCTL=no
434
EOF
435
# Config of eth1 in bypass mode (see "alcasar-bypass.sh")
793 richard 436
	cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF
1 root 437
DEVICE=$INTIF
438
BOOTPROTO=static
439
IPADDR=$PRIVATE_IP
604 richard 440
NETMASK=$PRIVATE_NETMASK
1 root 441
ONBOOT=yes
442
METRIC=10
443
NOZEROCONF=yes
444
MII_NOT_SUPPORTED=yes
14 richard 445
IPV6INIT=no
446
IPV6TO4INIT=no
447
ACCOUNTING=no
448
USERCTL=no
1 root 449
EOF
440 franck 450
# Mise à l'heure du serveur
451
	[ -e /etc/ntp/step-tickers.default ] || cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
452
	cat <<EOF > /etc/ntp/step-tickers
455 franck 453
0.fr.pool.ntp.org	# adapt to your country
454
1.fr.pool.ntp.org
455
2.fr.pool.ntp.org
440 franck 456
EOF
457
# Configuration du serveur de temps (sur lui même)
1 root 458
	[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
459
	cat <<EOF > /etc/ntp.conf
456 franck 460
server 0.fr.pool.ntp.org	# adapt to your country
447 franck 461
server 1.fr.pool.ntp.org
462
server 2.fr.pool.ntp.org
463
server 127.127.1.0   		# local clock si NTP internet indisponible ...
411 richard 464
fudge 127.127.1.0 stratum 10
604 richard 465
restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
1 root 466
restrict 127.0.0.1
310 richard 467
driftfile /var/lib/ntp/drift
1 root 468
logfile /var/log/ntp.log
469
EOF
440 franck 470
 
310 richard 471
	chown -R ntp:ntp /var/lib/ntp
1 root 472
# Renseignement des fichiers hosts.allow et hosts.deny
473
	[ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default
474
	cat <<EOF > /etc/hosts.allow
475
ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
604 richard 476
sshd: ALL
1 root 477
ntpd: $PRIVATE_NETWORK_SHORT
478
EOF
479
	[ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default
480
	cat <<EOF > /etc/hosts.deny
481
ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
482
EOF
604 richard 483
# Firewall config
790 richard 484
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
485
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
486
	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
860 richard 487
# create the filter exception file and ip_bloqued file
790 richard 488
	touch $DIR_DEST_ETC/alcasar-filter-exceptions
860 richard 489
# create the ip_blocked file with a first line (LAN between ALCASAR and the Internet GW)
490
	echo "#$PUBLIC_IP/$PUBLIC_PREFIX LAN-ALCASAR-BOX" > $DIR_DEST_ETC/alcasar-ip-blocked
790 richard 491
# load conntrack ftp module
492
	[ -e /etc/modprobe.preload.default ] || cp /etc/modprobe.preload /etc/modprobe.preload.default
493
	echo "ip_conntrack_ftp" >>  /etc/modprobe.preload
860 richard 494
# the script "$DIR_DEST_BIN/alcasar-iptables.sh" is launched at the end in order to allow update via ssh
1 root 495
} # End of network ()
496
 
497
##################################################################
498
##			Fonction gestion			##
499
## - installation du centre de gestion				##
500
## - configuration du serveur web (Apache)			##
501
## - définition du 1er comptes de gestion 			##
502
## - sécurisation des accès					##
503
##################################################################
504
gestion()
505
{
506
	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
507
	mkdir $DIR_WEB
508
# Copie et configuration des fichiers du centre de gestion
316 richard 509
	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
1 root 510
	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
316 richard 511
	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
512
	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
513
	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
514
	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
498 richard 515
	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
316 richard 516
	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
5 franck 517
	chown -R apache:apache $DIR_WEB/*
840 richard 518
	for i in system_backup base logs/firewall logs/httpd logs/squid logs/security;
1 root 519
	do
520
		[ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i
521
	done
5 franck 522
	chown -R root:apache $DIR_SAVE
71 richard 523
# Configuration et sécurisation php
524
	[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default
534 richard 525
	timezone=`cat /etc/sysconfig/clock|grep ZONE|cut -d"=" -f2`
526
	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
411 richard 527
	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
528
	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
71 richard 529
	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
530
	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
531
# Configuration et sécurisation Apache
790 richard 532
	rm -rf /var/www/cgi-bin/* /var/www/perl/* /var/www/icons/README* /var/www/error/README*
1 root 533
	[ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
580 richard 534
	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
303 richard 535
	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
1 root 536
	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
537
	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
538
	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
790 richard 539
	$SED "s?^LoadModule authn_anon_module.*?#LoadModule authn_anon_module modules/mod_authn_anon.so?g" /etc/httpd/conf/httpd.conf
540
	$SED "s?^LoadModule status_module.*?#LoadModule status_module modules/mod_status.so?g" /etc/httpd/conf/httpd.conf
541
	$SED "s?^LoadModule autoindex_module.*?#LoadModule autoindex_module modules/mod_autoindex.so?g" /etc/httpd/conf/httpd.conf
542
	$SED "s?^LoadModule info_module.*?#LoadModule info_module modules/mod_info.so?g" /etc/httpd/conf/httpd.conf
543
	$SED "s?^LoadModule imagemap_module.*?#LoadModule imagemap_module modules/mod_imagemap.so?g" /etc/httpd/conf/httpd.conf
544
	$SED "s?^LoadModule rewrite_module.*?#LoadModule rewrite_module modules/mod_rewrite.so?g" /etc/httpd/conf/httpd.conf
1 root 545
	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
546
	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
547
	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
548
	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
549
	cat <<EOF > /var/www/error/include/bottom.html
550
</body>
551
</html>
552
EOF
553
# Définition du premier compte lié au profil 'admin'
509 richard 554
	header_install
510 richard 555
	if [ "$mode" = "install" ]
556
	then
613 richard 557
		admin_portal=!
558
		PTN='^[a-zA-Z0-9-]*$'
559
		until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
560
                	do
561
			header_install
562
			if [ $Lang == "fr" ]
563
			then 
564
				echo ""
565
				echo "Définissez un premier compte d'administration du portail :"
566
				echo
567
				echo -n "Nom : "
568
			else
569
				echo ""
570
				echo "Define the first account allow to administrate the portal :"
571
				echo
572
				echo -n "Account : "
573
			fi
574
			read admin_portal
575
			if [ "$admin_portal" == "" ]
576
				then
577
				admin_portal=!
578
			fi
579
			done
1 root 580
# Création du fichier de clés de ce compte dans le profil "admin"
510 richard 581
		[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
582
		mkdir -p $DIR_DEST_ETC/digest
583
		chmod 755 $DIR_DEST_ETC/digest
584
		until [ -s $DIR_DEST_ETC/digest/key_admin ]
585
			do
613 richard 586
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510 richard 587
			done
588
		$DIR_DEST_SBIN/alcasar-profil.sh --list
595 richard 589
	else   # mise à jour des versions < 2.1
510 richard 590
		if ([ $MAJ_RUNNING_VERSION -lt 2 ] || ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
591
			then
613 richard 592
			if [ $Lang == "fr" ]
593
			then 
594
				echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
595
				echo
596
				echo -n "Nom : "
597
			else
598
				echo "This update need to redefine the first admin account"
599
				echo
600
				echo -n "Account : "
601
			fi
602
			read admin_portal
510 richard 603
			[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
604
			mkdir -p $DIR_DEST_ETC/digest
605
			chmod 755 $DIR_DEST_ETC/digest
606
			until [ -s $DIR_DEST_ETC/digest/key_admin ]
607
			do
613 richard 608
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510 richard 609
			done
610
			$DIR_DEST_SBIN/alcasar-profil.sh --list
611
		fi
612
	fi
434 richard 613
# synchronisation horaire
614
	ntpd -q -g &
1 root 615
# Sécurisation du centre
616
	rm -f /etc/httpd/conf/webapps.d/*
617
	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
316 richard 618
<Directory $DIR_ACC>
1 root 619
	SSLRequireSSL
620
	AllowOverride None
621
	Order deny,allow
622
	Deny from all
623
	Allow from 127.0.0.1
624
	Allow from $PRIVATE_NETWORK_MASK
625
	require valid-user
626
	AuthType digest
627
	AuthName $HOSTNAME
628
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 629
	AuthUserFile $DIR_DEST_ETC/digest/key_all
580 richard 630
	ErrorDocument 404 https://$HOSTNAME/
1 root 631
</Directory>
316 richard 632
<Directory $DIR_ACC/admin>
1 root 633
	SSLRequireSSL
634
	AllowOverride None
635
	Order deny,allow
636
	Deny from all
637
	Allow from 127.0.0.1
638
	Allow from $PRIVATE_NETWORK_MASK
639
	require valid-user
640
	AuthType digest
641
	AuthName $HOSTNAME
642
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 643
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580 richard 644
	ErrorDocument 404 https://$HOSTNAME/
1 root 645
</Directory>
344 richard 646
<Directory $DIR_ACC/manager>
1 root 647
	SSLRequireSSL
648
	AllowOverride None
649
	Order deny,allow
650
	Deny from all
651
	Allow from 127.0.0.1
652
	Allow from $PRIVATE_NETWORK_MASK
653
	require valid-user
654
	AuthType digest
655
	AuthName $HOSTNAME
656
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 657
	AuthUserFile $DIR_DEST_ETC/digest/key_manager
580 richard 658
	ErrorDocument 404 https://$HOSTNAME/
1 root 659
</Directory>
316 richard 660
<Directory $DIR_ACC/backup>
661
	SSLRequireSSL
662
	AllowOverride None
663
	Order deny,allow
664
	Deny from all
665
	Allow from 127.0.0.1
666
	Allow from $PRIVATE_NETWORK_MASK
667
	require valid-user
668
	AuthType digest
669
	AuthName $HOSTNAME
670
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 671
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580 richard 672
	ErrorDocument 404 https://$HOSTNAME/
316 richard 673
</Directory>
811 richard 674
Alias /save/ "$DIR_SAVE/"
675
<Directory $DIR_SAVE>
676
	SSLRequireSSL
677
	Options Indexes
678
	Order deny,allow
679
	Deny from all
680
	Allow from 127.0.0.1
681
	Allow from $PRIVATE_NETWORK_MASK
682
	require valid-user
683
	AuthType digest
684
	AuthName $HOSTNAME
685
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
686
	ErrorDocument 404 https://$HOSTNAME/
687
</Directory>
1 root 688
EOF
689
} # End of gestion ()
690
 
691
##########################################################################################
692
##				Fonction AC()						##
693
## - Création d'une Autorité de Certification et du certificat serveur pour apache 	##
694
##########################################################################################
695
AC ()
696
{
697
	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
510 richard 698
	$DIR_DEST_BIN/alcasar-CA.sh
800 richard 699
	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl_vhost.conf`
303 richard 700
	[ -e /etc/httpd/conf/vhosts-ssl.default ]  || cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
701
	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
702
	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
679 richard 703
	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
5 franck 704
	chown -R root:apache /etc/pki
1 root 705
	chmod -R 750 /etc/pki
706
} # End AC ()
707
 
708
##########################################################################################
709
##			Fonction init_db()						##
710
## - Initialisation de la base Mysql							##
711
## - Affectation du mot de passe de l'administrateur (root)				##
712
## - Suppression des bases et des utilisateurs superflus				##
713
## - Création de la base 'radius'							##
714
## - Installation du schéma de cette base						##
715
## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)	##
716
##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)		##
717
##########################################################################################
718
init_db ()
719
{
720
	mkdir -p /var/lib/mysql/.tmp
721
	chown mysql:mysql /var/lib/mysql/.tmp
227 franck 722
	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf		# prend en compte les migrations de MySQL
1 root 723
	[ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default
724
	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
725
	/etc/init.d/mysqld start
726
	sleep 4
727
	mysqladmin -u root password $mysqlpwd
728
	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615 richard 729
# Delete exemple databases if exist
1 root 730
	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;" 
615 richard 731
# Create 'radius' database
1 root 732
	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
615 richard 733
# Add an empty radius database structure
364 franck 734
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
615 richard 735
# modify the start script in order to close accounting connexion when the system is comming down or up
736
	[ -e /etc/init.d/mysqld.default ] || cp /etc/init.d/mysqld /etc/init.d/mysqld.default
737
	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
738
	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
1 root 739
} # End init_db ()
740
 
741
##########################################################################
742
##			Fonction param_radius				##
743
## - Paramètrage des fichiers de configuration FreeRadius		##
744
## - Affectation du secret partagé entre coova-chilli et freeradius	##
745
## - Modification de fichier de conf pour l'accès à Mysql		##
746
##########################################################################
747
param_radius ()
748
{
749
	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
750
	chown -R radius:radius /etc/raddb
751
	[ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
752
# paramètrage radius.conf
753
	$SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf
754
	$SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf
755
	$SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf
756
# suppression de la fonction proxy
757
	$SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf
758
	$SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
654 richard 759
# suppression du module EAP
760
	$SED "s?^[\t ]*\$INCLUDE eap.conf.*?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
1 root 761
# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
762
	$SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
763
# prise en compte du module SQL et des compteurs SQL
764
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
765
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
766
	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
767
# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
768
	rm -f /etc/raddb/sites-enabled/*
769
       	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
770
	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
771
	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
772
	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
773
	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
384 richard 774
# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
1 root 775
	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
776
# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
777
	[ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
778
	cat << EOF > /etc/raddb/clients.conf
779
client 127.0.0.1 {
780
	secret = $secretradius
781
	shortname = localhost
782
}
783
EOF
784
# modif sql.conf
785
	[ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
786
	$SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
787
	$SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
788
	$SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
789
	$SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf
790
# modif dialup.conf
791
	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
792
	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
793
} # End param_radius ()
794
 
795
##########################################################################
796
##			Fonction param_web_radius			##
797
## - Import, modification et paramètrage de l'interface "dialupadmin"	##
798
## - Création du lien vers la page de changement de mot de passe        ##
799
##########################################################################
800
param_web_radius ()
801
{
802
# copie de l'interface d'origine dans la structure Alcasar
316 richard 803
	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
804
	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme 
805
	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
344 richard 806
# copie des fichiers modifiés
807
	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
316 richard 808
	chown -R apache:apache $DIR_ACC/manager/
344 richard 809
# Modification des fichiers de configuration
1 root 810
	[ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
503 richard 811
	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
1 root 812
	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
813
	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
814
	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
815
	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
816
	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
817
	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
818
	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
946 richard 819
	$SED "s?^general_charset.*?general_charset: utf-8?g" /etc/freeradius-web/admin.conf
344 richard 820
	[ -e /etc/freeradius-web/config.php.default ] || cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
821
	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
131 richard 822
	cat <<EOF > /etc/freeradius-web/naslist.conf
632 richard 823
nas1_name: alcasar-$ORGANISME
1 root 824
nas1_model: Portail captif
825
nas1_ip: $PRIVATE_IP
826
nas1_port_num: 0
827
nas1_community: public
828
EOF
829
# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
830
	[ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
831
	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
114 richard 832
# Ajout du mappage des attributs chillispot
833
	[ -e /etc/freeradius-web/sql.attrmap.default ] || mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
834
	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
1 root 835
# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
836
	[ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
837
	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
838
	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5 franck 839
	chown -R apache:apache /etc/freeradius-web
1 root 840
# Ajout de l'alias vers la page de "changement de mot de passe usager"
841
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
344 richard 842
<Directory $DIR_WEB/pass>
1 root 843
	SSLRequireSSL
844
	AllowOverride None
845
	Order deny,allow
846
	Deny from all
847
	Allow from 127.0.0.1
848
	Allow from $PRIVATE_NETWORK_MASK
580 richard 849
	ErrorDocument 404 https://$HOSTNAME
1 root 850
</Directory>
851
EOF
852
} # End of param_web_radius ()
853
 
799 richard 854
##################################################################################
855
##			Fonction param_chilli					##
856
## - Création du fichier d'initialisation et de configuration de coova-chilli	##
857
## - Paramètrage de la page d'authentification (intercept.php)			##
858
##################################################################################
1 root 859
param_chilli ()
860
{
799 richard 861
# init file creation
461 richard 862
	[ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default
799 richard 863
	cat <<EOF > /etc/init.d/chilli
864
#!/bin/sh
865
#
866
# chilli CoovaChilli init
867
#
868
# chkconfig: 2345 65 35
869
# description: CoovaChilli
870
### BEGIN INIT INFO
871
# Provides:       chilli
872
# Required-Start: network 
873
# Should-Start: 
874
# Required-Stop:  network
875
# Should-Stop: 
876
# Default-Start:  2 3 5
877
# Default-Stop:
878
# Description:    CoovaChilli access controller
879
### END INIT INFO
880
 
881
[ -f /usr/sbin/chilli ] || exit 0
882
. /etc/init.d/functions
883
CONFIG=/etc/chilli.conf
884
pidfile=/var/run/chilli.pid
885
[ -f \$CONFIG ] || {
886
    echo "\$CONFIG Not found"
887
    exit 0
888
}
889
RETVAL=0
890
prog="chilli"
891
case \$1 in
892
    start)
893
	if [ -f \$pidfile ] ; then 
894
		gprintf "chilli is already running"
895
	else
896
        	gprintf "Starting \$prog: "
897
		rm -f /var/run/chilli* # cleaning
898
        	/sbin/modprobe tun >/dev/null 2>&1
899
        	echo 1 > /proc/sys/net/ipv4/ip_forward
900
		[ -e /dev/net/tun ] || {
901
	    	(cd /dev; 
902
			mkdir net; 
903
			cd net; 
904
			mknod tun c 10 200)
905
		}
906
		ifconfig eth1 0.0.0.0
907
		daemon /usr/sbin/chilli -c \$CONFIG --pidfile=\$pidfile &
908
        	RETVAL=$?
909
	fi
910
	;;
911
 
912
    reload)
913
	killall -HUP chilli
914
	;;
915
 
916
    restart)
917
	\$0 stop
918
        sleep 2
919
	\$0 start
920
	;;
921
 
922
    status)
923
        status chilli
924
        RETVAL=0
925
        ;;
926
 
927
    stop)
928
	if [ -f \$pidfile ] ; then  
929
        	gprintf "Shutting down \$prog: "
930
		killproc /usr/sbin/chilli
931
		RETVAL=\$?
932
		[ \$RETVAL = 0 ] && rm -f $pidfile
933
	else	
934
        	gprintf "chilli is not running"
935
	fi
936
	;;
937
 
938
    *)
939
        echo "Usage: \$0 {start|stop|restart|reload|status}"
940
        exit 1
941
esac
942
echo
943
EOF
944
 
945
# conf file creation
346 richard 946
	[ -e /etc/chilli.conf.default ] || cp /etc/chilli.conf /etc/chilli.conf.default
947
	cat <<EOF > /etc/chilli.conf
948
# coova config for ALCASAR
949
cmdsocket	/var/run/chilli.sock
950
unixipc		chilli.eth1.ipc
951
pidfile		/var/run/chilli.eth1.pid
952
net		$PRIVATE_NETWORK_MASK
595 richard 953
dhcpif		$INTIF
841 richard 954
ethers		$DIR_DEST_ETC/alcasar-ethers
861 richard 955
#nodynip
865 richard 956
#statip
957
dynip		$PRIVATE_NETWORK_MASK
346 richard 958
domain		localdomain
355 richard 959
dns1		$PRIVATE_IP
960
dns2		$PRIVATE_IP
346 richard 961
uamlisten	$PRIVATE_IP
503 richard 962
uamport		3990
837 richard 963
macauth
964
macpasswd	password
346 richard 965
locationname	$HOSTNAME
966
radiusserver1	127.0.0.1
967
radiusserver2	127.0.0.1
968
radiussecret	$secretradius
969
radiusauthport	1812
970
radiusacctport	1813
467 richard 971
uamserver	https://$HOSTNAME/intercept.php
346 richard 972
radiusnasid	$HOSTNAME
973
uamsecret	$secretuam
793 richard 974
uamallowed	alcasar
346 richard 975
coaport		3799
503 richard 976
include		$DIR_DEST_ETC/alcasar-uamallowed
977
include		$DIR_DEST_ETC/alcasar-uamdomain
917 franck 978
#dhcpgateway
979
#dhcprelayagent
980
#dhcpgatewayport
346 richard 981
EOF
605 richard 982
# création du fichier d'allocation d'adresses IP statiques
983
	touch $DIR_DEST_ETC/alcasar-ethers
840 richard 984
# create files for trusted domains and urls
985
	touch $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
503 richard 986
	chown root:apache $DIR_DEST_ETC/alcasar-*
987
	chmod 660 $DIR_DEST_ETC/alcasar-*
847 richard 988
# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli)
526 stephane 989
	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
990
	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
796 richard 991
# user 'chilli' creation (in order to run conup/off and up/down scripts
992
	chilli_exist=`grep chilli /etc/passwd|wc -l`
993
	if [ "$chilli_exist" == "1" ]
994
	then
995
	      userdel -r chilli 2>/dev/null
996
	fi
997
	groupadd -f chilli
998
	useradd -r -g chilli -s /bin/false -c "system user for coova-chilli" chilli
1 root 999
}  # End of param_chilli ()
1000
 
1001
##########################################################
1002
##			Fonction param_squid		##
1003
## - Paramètrage du proxy 'squid' en mode 'cache'	##
1004
## - Initialisation de la base de données  		##
1005
##########################################################
1006
param_squid ()
1007
{
1008
# paramètrage de Squid (connecté en série derrière Dansguardian)
1009
	[ -e /etc/squid/squid.conf.default  ] || cp /etc/squid/squid.conf /etc/squid/squid.conf.default
1010
# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
1011
	$SED "/^acl localnet/d" /etc/squid/squid.conf
1012
	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
1013
	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
1014
	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
1015
	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
1016
	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
1017
# mode 'proxy transparent local'
595 richard 1018
	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
726 franck 1019
# Configuration du cache local
749 franck 1020
	$SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 256 16 256?g" /etc/squid/squid.conf
405 franck 1021
# emplacement et formatage standard des logs
419 franck 1022
	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
749 franck 1023
	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh' >> /etc/squid/squid.conf
405 franck 1024
        echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
1 root 1025
# compatibilité des logs avec awstats
315 richard 1026
	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
749 franck 1027
	echo "half_closed_clients off" >> /etc/squid/squid.conf
1028
	echo "server_persistent_connections off" >> /etc/squid/squid.conf
1029
	echo "client_persistent_connections on" >> /etc/squid/squid.conf
1030
	echo "client_lifetime 1440 minutes" >> /etc/squid/squid.conf
1031
	echo "request_timeout 5 minutes" >> /etc/squid/squid.conf
1032
	echo "persistent_request_timeout 2 minutes" >> /etc/squid/squid.conf
726 franck 1033
	echo "cache_mem 256 MB" >> /etc/squid/squid.conf
749 franck 1034
	echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
1035
	echo "maximum_object_size     4096 KB" >> /etc/squid/squid.conf
835 richard 1036
# anonymisation of squid version
813 richard 1037
	echo "via off" >> /etc/squid/squid.conf
835 richard 1038
# remove the 'X_forwarded' http option
812 richard 1039
	echo "forwarded_for delete" >> /etc/squid/squid.conf
835 richard 1040
# linked squid output in HAVP input
1041
	echo "cache_peer 127.0.0.1 parent 8090 0 no-query default" >> /etc/squid/squid.conf
1042
	echo "never_direct allow all" >> /etc/squid/squid.conf
1043
# avoid error messages on network interfaces state changes
313 richard 1044
	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
894 richard 1045
# reduce squid shutdown time (100 to 50)
1046
	$SED "s?^SQUID_SHUTDOWN_TIMEOUT.*?SQUID_SHUTDOWN_TIMEOUT=50?g" /etc/sysconfig/squid
1047
 
835 richard 1048
# Squid cache init
1 root 1049
	/usr/sbin/squid -z
1050
}  # End of param_squid ()
1051
 
1052
##################################################################
1053
##		Fonction param_dansguardian			##
1054
## - Paramètrage du gestionnaire de contenu Dansguardian	##
1055
##################################################################
1056
param_dansguardian ()
1057
{
1058
	mkdir /var/dansguardian
1059
	chown dansguardian /var/dansguardian
497 richard 1060
	[ -e $DIR_DG/dansguardian.conf.default ] || cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
307 richard 1061
# Le filtrage est désactivé par défaut 
497 richard 1062
	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1 root 1063
# la page d'interception est en français
497 richard 1064
	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1 root 1065
# on limite l'écoute de Dansguardian côté LAN
497 richard 1066
	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
835 richard 1067
# on chaîne Dansguardian au proxy cache SQUID
1068
	$SED "s?^proxyport.*?proxyport = 3128?g" $DIR_DG/dansguardian.conf
1 root 1069
# on remplace la page d'interception (template)
1070
	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
1071
	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
1072
# on ne loggue que les deny (pour le reste, on a squid)
497 richard 1073
	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
659 richard 1074
# lauch of 10 daemons (20 in largest server)
1075
	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1 root 1076
# on désactive par défaut le controle de contenu des pages html
497 richard 1077
	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
1078
	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
1079
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1 root 1080
# on désactive par défaut le contrôle d'URL par expressions régulières
497 richard 1081
	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
1082
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1 root 1083
# on désactive par défaut le contrôle de téléchargement de fichiers
497 richard 1084
	[ -e $DIR_DG/dansguardianf1.conf.default ] || cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
1085
	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
1086
	[ -e $DIR_DG/lists/bannedextensionlist.default ] || mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
1087
	[ -e $DIR_DG/lists/bannedmimetypelist.default ] || mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
1088
	touch $DIR_DG/lists/bannedextensionlist
1089
	touch $DIR_DG/lists/bannedmimetypelist
1090
# 'Safesearch' regex actualisation
498 richard 1091
	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
497 richard 1092
# empty LAN IP list that won't be WEB filtered
1093
	[ -e $DIR_DG/lists/exceptioniplist.default ] || mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
1094
	touch $DIR_DG/lists/exceptioniplist
1095
# Keep a copy of URL & domain filter configuration files
1096
	[ -e $DIR_DG/lists/bannedsitelist.default ] || mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
1097
	[ -e $DIR_DG/lists/bannedurllist.default ] || mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1 root 1098
} # End of param_dansguardian ()
1099
 
71 richard 1100
##################################################################
1101
##			Fonction antivirus			##
479 richard 1102
## - configuration havp + libclamav				##
71 richard 1103
##################################################################
1104
antivirus ()		
1105
{
288 richard 1106
# création de l'usager 'havp'
1107
	havp_exist=`grep havp /etc/passwd|wc -l`
307 richard 1108
	if [ "$havp_exist" == "1" ]
288 richard 1109
	then
478 richard 1110
	      userdel -r havp 2>/dev/null
894 richard 1111
	      groupdel havp 2>/dev/null
288 richard 1112
	fi
307 richard 1113
	groupadd -f havp
796 richard 1114
	useradd -r -g havp -s /bin/false -c "system user for havp" havp
476 richard 1115
	mkdir -p /var/tmp/havp /var/log/havp
1116
	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
307 richard 1117
	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
109 richard 1118
# configuration d'HAVP
1119
	[ -e /etc/havp/havp.config.default ] || cp /etc/havp/havp.config /etc/havp/havp.config.default
1120
	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
631 richard 1121
	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config				# datas come on 8090			
1122
	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config	# we listen only on loopback
1123
	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config		# active libclamav AV
1124
	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config			# log only when malware matches
659 richard 1125
	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config		# 10 daemons are started simultaneously
835 richard 1126
	$SED "s?^# SCANIMAGES.*?SCANIMAGES false?g" /etc/havp/havp.config		# doesn't scan image files
1127
	$SED "s?^# SKIPMIME.*?SKIPMIME image\/\* video\/\* audio\/\*?g" /etc/havp/havp.config # doesn't scan some multimedia files
481 franck 1128
# remplacement du fichier d'initialisation
335 richard 1129
	[ -e /etc/init.d/havp.default ] || cp /etc/init.d/havp /etc/init.d/havp.default
481 franck 1130
	cp -f $DIR_CONF/havp-init /etc/init.d/havp
340 richard 1131
# on remplace la page d'interception (template)
1132
	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
1133
	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
489 richard 1134
# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
1135
	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
1136
	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
734 richard 1137
# Virus database update
1138
	rm -f /var/lib/clamav/*.cld # in case of old database scheme
1139
	[ -e /var/lib/clamav/main.cvd ] || /usr/bin/freshclam
71 richard 1140
}
1141
 
1 root 1142
##################################################################################
476 richard 1143
##			param_ulogd function					##
1144
## - Ulog config for multi-log files 						##
1145
##################################################################################
1146
param_ulogd ()
1147
{
1148
# Three instances of ulogd (three different logfiles)
1149
	[ -d /var/log/firewall ] || mkdir -p /var/log/firewall
478 richard 1150
	nl=1
1151
	for log_type in tracability ssh ext-access
1152
	do
1153
		[ -e /var/log/firewall/$log_type.log ] || touch /var/log/firewall/$log_type.log
1154
		cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
1155
		$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf 
1156
		$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
1157
		cat << EOF >> /etc/ulogd-$log_type.conf
1158
[LOGEMU]
1159
file="/var/log/firewall/$log_type.log"
1160
sync=1
1161
EOF
1162
		nl=`expr $nl + 1`
1163
	done
476 richard 1164
	chown -R root:apache /var/log/firewall
1165
	chmod 750 /var/log/firewall
1166
	chmod 640 /var/log/firewall/*
1167
	[ -e /etc/init.d/ulogd.default ] || cp /etc/init.d/ulogd /etc/init.d/ulogd.default
1168
	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
1169
}  # End of param_ulogd ()
1170
 
1171
##################################################################################
1 root 1172
##				Fonction param_awstats				##
1173
## - configuration de l'interface des logs de consultation WEB (AWSTAT)		##
1174
##################################################################################
1175
param_awstats()
1176
{
316 richard 1177
	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
1178
	chown -R apache:apache $DIR_ACC/awstats
1 root 1179
	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
1180
	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
1181
	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
1182
	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
1183
	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
1184
	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
344 richard 1185
	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
1186
	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1 root 1187
	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
1188
	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59 richard 1189
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
580 richard 1190
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1191
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1192
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1193
	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
1194
	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
1195
	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
1196
	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
1197
	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
1198
	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
1199
	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
1200
	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
1201
	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
1202
	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
1203
	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
1204
	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
1205
 
1 root 1206
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
316 richard 1207
<Directory $DIR_ACC/awstats>
1 root 1208
	SSLRequireSSL
1209
	Options ExecCGI
1210
	AddHandler cgi-script .pl
1211
	DirectoryIndex awstats.pl
1212
	Order deny,allow
1213
	Deny from all
1214
	Allow from 127.0.0.1
1215
	Allow from $PRIVATE_NETWORK_MASK
1216
	require valid-user
1217
	AuthType digest
1218
	AuthName $HOSTNAME
1219
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 1220
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580 richard 1221
	ErrorDocument 404 https://$HOSTNAME/
1 root 1222
</Directory>
1223
SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
1224
EOF
1225
} # End of param_awstats ()
1226
 
1227
##########################################################
235 richard 1228
##		Fonction param_dnsmasq			##
1 root 1229
##########################################################
219 jeremy 1230
param_dnsmasq ()
1231
{
1232
	[ -d /var/log/dnsmasq ] || mkdir /var/log/dnsmasq
259 richard 1233
	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
503 richard 1234
	[ -e /etc/dnsmasq.conf.default ] || cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
520 richard 1235
# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
503 richard 1236
	cat << EOF > /etc/dnsmasq.conf 
520 richard 1237
# Configuration file for "dnsmasq in forward mode"
503 richard 1238
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
259 richard 1239
listen-address=$PRIVATE_IP
1240
listen-address=127.0.0.1
286 richard 1241
no-dhcp-interface=$INTIF
259 richard 1242
bind-interfaces
1243
cache-size=256
1244
domain=$DOMAIN
1245
domain-needed
1246
expand-hosts
1247
bogus-priv
1248
filterwin2k
1249
server=$DNS1
1250
server=$DNS2
498 richard 1251
# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
865 richard 1252
dhcp-range=$PRIVATE_FIRST_IP,$PRIVATE_LAST_IP,$PRIVATE_NETMASK,12h
632 richard 1253
dhcp-option=option:router,$PRIVATE_IP
259 richard 1254
#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
1255
 
291 franck 1256
# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
420 franck 1257
#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
259 richard 1258
EOF
520 richard 1259
# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
1260
	cat << EOF > /etc/dnsmasq-blackhole.conf 
1261
	# Configuration file for "dnsmasq with blackhole"
1262
# Inclusion de la blacklist <domains> de Toulouse dans la configuration
1263
conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
503 richard 1264
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
498 richard 1265
listen-address=$PRIVATE_IP
1266
port=54
1267
no-dhcp-interface=$INTIF
1268
bind-interfaces
1269
cache-size=256
1270
domain=$DOMAIN
1271
domain-needed
1272
expand-hosts
1273
bogus-priv
1274
filterwin2k
1275
server=$DNS1
1276
server=$DNS2
1277
EOF
718 franck 1278
 
800 richard 1279
# Init file modification
503 richard 1280
[ -e /etc/init.d/dnsmasq.default ] || cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
800 richard 1281
# Start and stop a 2nd process for the "DNS blackhole"
520 richard 1282
$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
503 richard 1283
$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
800 richard 1284
# Start after chilli (65) which create tun0
1285
$SED "s?^# chkconfig:.*?# chkconfig: 2345 99 40?g" /etc/init.d/dnsmasq
933 franck 1286
# Optionnellement on pré-active les logs DNS des clients
786 richard 1287
[ -e /etc/sysconfig/dnsmasq.default ] || cp /etc/sysconfig/dnsmasq /etc/sysconfig/dnsmasq.default
933 franck 1288
$SED "s?log-facility?#OPTIONS=\"-q --log-facility=/var/log/dnsmasq/queries.log\"?g"  /etc/sysconfig/dnsmasq
1289
# Optionnellement, exemple de configuration avec un A.D.
1290
echo '#OPTIONS="$OPTIONS --server=/your-domain/192.168.182.2"' >> /etc/sysconfig/dnsmasq
308 richard 1291
} # End dnsmasq
1292
 
1293
##########################################################
1294
##		Fonction BL (BlackList)			##
1295
##########################################################
1296
BL ()
1297
{
1298
# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
648 richard 1299
	rm -rf $DIR_DG/lists/blacklists
1300
	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
878 richard 1301
# on crée le répertoire ossi (noms de domaine et URLs ajoutés à la BL)
1302
	mkdir $DIR_DG/lists/blacklists/ossi
1303
	touch $DIR_DG/lists/blacklists/ossi/domains
1304
	touch $DIR_DG/lists/blacklists/ossi/urls
309 richard 1305
# On crée les fichiers vides de sites ou d'URL réhabilités
648 richard 1306
	[ -e $DIR_DG/lists/exceptionsitelist.default ] || mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
673 richard 1307
	[ -e $DIR_DG/lists/exceptionurllist.default ] || mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
648 richard 1308
	touch $DIR_DG/lists/exceptionsitelist
1309
	touch $DIR_DG/lists/exceptionurllist
311 richard 1310
# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
648 richard 1311
	cat <<EOF > $DIR_DG/lists/bannedurllist
311 richard 1312
# Dansguardian filter config for ALCASAR
1313
EOF
648 richard 1314
	cat <<EOF > $DIR_DG/lists/bannedsitelist
311 richard 1315
# Dansguardian domain filter config for ALCASAR
1316
# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
1317
#**
1318
# block all SSL and CONNECT tunnels
1319
**s
1320
# block all SSL and CONNECT tunnels specified only as an IP
1321
*ips
1322
# block all sites specified only by an IP
1323
*ip
1324
EOF
878 richard 1325
# On ajoute Bing et Youtube à la récriture d'URL liée au contrôle scolaire/parental
1326
	cat <<EOF >> $DIR_DG/lists/urlregexplist
1327
# Bing - add 'adlt=strict'
1328
#"(^http://[0-9a-z]+\.bing\.[a-z]+[-/%.0-9a-z]*\?)(.*)"->"\1\2&adlt=strict"
1329
# Youtube - add 'edufilter=your_ID' 
885 richard 1330
#"(^http://[0-9a-z]+\.youtube\.[a-z]+[-/%.0-9a-z]*\?)(.*)"->"\1\2&edufilter=ABCD1234567890abcdef"
878 richard 1331
EOF
648 richard 1332
	chown -R dansguardian:apache $DIR_DG
1333
	chmod -R g+rw $DIR_DG
304 richard 1334
# On crée la structure du DNS-blackhole :
503 richard 1335
  	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1336
	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1337
	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
786 richard 1338
# On adapte la BL de Toulouse à notre structure
654 richard 1339
	if [ "$mode" != "update" ]; then
1340
		$DIR_DEST_SBIN/alcasar-bl.sh --adapt
1341
	fi
308 richard 1342
}
219 jeremy 1343
 
1 root 1344
##########################################################
1345
##		Fonction cron				##
1346
## - Mise en place des différents fichiers de cron	##
1347
##########################################################
1348
cron ()
1349
{
1350
# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
1351
	[ -e /etc/crontab.default ] || cp /etc/crontab /etc/crontab.default
1352
	cat <<EOF > /etc/crontab
1353
SHELL=/bin/bash
1354
PATH=/sbin:/bin:/usr/sbin:/usr/bin
1355
MAILTO=root
1356
HOME=/
1357
 
1358
# run-parts
1359
01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
1360
02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
1361
22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
1362
42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
1363
EOF
1364
	[ -e /etc/anacrontab.default ] || cp /etc/anacrontab /etc/anacrontab.default
1365
	cat <<EOF >> /etc/anacrontab
667 franck 1366
7       8       cron.MysqlDump          nice /etc/cron.d/alcasar-mysql
1367
7       10      cron.logExport          nice /etc/cron.d/alcasar-export_log
1368
7       15      cron.logClean           nice /etc/cron.d/alcasar-clean_log
1369
7	20	cron.importClean	nice /etc/cron.d/alcasar-clean_import
1 root 1370
EOF
667 franck 1371
	cat <<EOF > /etc/cron.d/alcasar-clean_log
713 franck 1372
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
865 richard 1373
30 4 * * 1 root $DIR_DEST_BIN/alcasar-log.sh --clean
1 root 1374
EOF
811 richard 1375
	cat <<EOF > /etc/cron.d/alcasar-mysql
868 richard 1376
# Contrôle, réparation et export de la base des usagers (tous les lundi à 4h45)
955 richard 1377
45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
905 franck 1378
# Nettoyage des utilisateurs dont la date d'expiration du compte est supérieure à 7 jours
917 franck 1379
40 4 * * * root /usr/local/sbin/alcasar-mysql.sh --expire_user 2>&1 >/dev/null
1 root 1380
EOF
667 franck 1381
	cat <<EOF > /etc/cron.d/alcasar-export_log
713 franck 1382
# export des log squid, firewall et apache (tous les lundi à 5h00)
865 richard 1383
00 5 * * 1 root $DIR_DEST_BIN/alcasar-log.sh --export
1 root 1384
EOF
952 franck 1385
	cat <<EOF > /etc/cron.d/alcasar-archive
1386
# Archive des logs et de la base de données (tous les lundi à 5h35)
1387
35 5 * * 1 root $DIR_DEST_BIN/alcasar-archive.sh --now
1388
EOF
1 root 1389
	cat << EOF > /etc/cron.d/awstats
713 franck 1390
# mise à jour des stats de consultation WEB toutes les 30'
419 franck 1391
*/30 * * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1 root 1392
EOF
667 franck 1393
	cat << EOF > /etc/cron.d/alcasar-clean_import
713 franck 1394
# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
503 richard 1395
30 * * * *  root $DIR_DEST_BIN/alcasar-import-clean.sh
168 franck 1396
EOF
722 franck 1397
	cat << EOF > /etc/cron.d/alcasar-distrib-updates
1398
# mise à jour automatique de la distribution tous les jours 3h30
762 franck 1399
30 3 * * *  root /usr/sbin/urpmi --auto-update --auto 2>&1
722 franck 1400
EOF
1 root 1401
# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
1402
# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
1403
# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct') 
1404
# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
1405
# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
1406
# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
1407
	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
1408
	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
1409
	rm -f /etc/cron.daily/freeradius-web
1410
	rm -f /etc/cron.monthly/freeradius-web
1411
	cat << EOF > /etc/cron.d/freeradius-web
1412
1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
1413
5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
1414
10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
1415
15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
1416
EOF
671 franck 1417
	cat << EOF > /etc/cron.d/alcasar-watchdog
713 franck 1418
# activation du "chien de garde" (watchdog) toutes les 3'
1 root 1419
*/3 * * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
1420
EOF
808 franck 1421
# activation du "chien de garde des services" (watchdog) toutes les 18'
1422
	cat << EOF > /etc/cron.d/alcasar-daemon-watchdog
1423
# activation du "chien de garde" (daemon-watchdog) toutes les 18'
1424
*/18 * * * * root $DIR_DEST_BIN/alcasar-daemon.sh > /dev/null 2>&1
1425
EOF
522 richard 1426
# suppression des crons usagers
1427
	rm -f /var/spool/cron/*
1 root 1428
} # End cron
1429
 
1430
##################################################################
1431
##			Fonction post_install			##
1432
## - Modification des bannières (locales et ssh) et des prompts ##
1433
## - Installation de la structure de chiffrement pour root	##
1434
## - Mise en place du sudoers et de la sécurité sur les fichiers##
1435
## - Mise en place du la rotation des logs			##
5 franck 1436
## - Configuration dans le cas d'une mise à jour		##
1 root 1437
##################################################################
1438
post_install()
1439
{
1440
# adaptation du script "chien de garde" (watchdog)
376 franck 1441
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1442
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1 root 1443
# création de la bannière locale
1444
	[ -e /etc/mandriva-release.default ]  || cp /etc/mandriva-release /etc/mandriva-release.default
589 richard 1445
	cp -f $DIR_CONF/banner /etc/mandriva-release
1446
	echo " V$VERSION" >> /etc/mandriva-release
1 root 1447
# création de la bannière SSH
1448
	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5 franck 1449
	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1 root 1450
	[ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
1451
	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1452
	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
793 richard 1453
# postfix banner anonymisation
1454
	$SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf
604 richard 1455
# sshd écoute côté LAN et WAN
1 root 1456
	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
604 richard 1457
	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config 
860 richard 1458
	# Put the default value in conf file (sshd, QOS and protocols/dns/ are off)(web antivirus is on)
1 root 1459
	/sbin/chkconfig --del sshd
628 richard 1460
	echo "SSH=off" >> $CONF_FILE
694 franck 1461
	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
628 richard 1462
	echo "QOS=off" >> $CONF_FILE
1463
	echo "LDAP=off" >> $CONF_FILE
786 richard 1464
	echo "LDAP_IP=0.0.0.0/0.0.0.0" >> $CONF_FILE
885 richard 1465
	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
628 richard 1466
	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
1467
	echo "DNS_FILTERING=off" >> $CONF_FILE
885 richard 1468
	echo "YOUTUBE_ID=ABCD1234567890abcdef" >> $CONF_FILE
1 root 1469
# Coloration des prompts
1470
	[ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default
5 franck 1471
	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
630 franck 1472
	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1 root 1473
# Droits d'exécution pour utilisateur apache et sysadmin
1474
	[ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default
5 franck 1475
	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
629 richard 1476
	$SED "s?^Host_Alias.*?Host_Alias	LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost		#réseau de l'organisme?g" /etc/sudoers
132 franck 1477
# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1 root 1478
	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
1479
	chmod 644 /etc/logrotate.d/*
714 franck 1480
# rectification sur versions précédentes de la compression des logs
706 franck 1481
	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
1482
# actualisation des fichiers logs compressés
714 franck 1483
	for dir in firewall squid dansguardian httpd
706 franck 1484
	do
714 franck 1485
	      find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
706 franck 1486
	done
1487
# export des logs en 'retard' dans /var/Save/logs
865 richard 1488
	/usr/local/bin/alcasar-log.sh --export
1 root 1489
# processus lancés par défaut au démarrage
796 richard 1490
	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd netfs mysqld dansguardian havp freshclam
1 root 1491
	do
1492
		/sbin/chkconfig --add $i
1493
	done
953 franck 1494
# On rajoute une tempo pour relancer radius après le redémarrage de mysqld (bug en cours d'analyse)
1495
	cat << EOF > /etc/rc.local
1496
#!/bin/sh
1497
#
1498
### BEGIN INIT INFO
1499
# Provides: rc.local
1500
# X-Mandriva-Compat-Mode
1501
# Default-Start: 2 3 4 5
1502
# Short-Description: Local initialization script
1503
# Description: This script will be executed *after* all the other init scripts.
1504
#              You can put your own initialization stuff in here if you don't
1505
#              want to do the full Sys V style init stuff.
1506
### END INIT INFO
1507
 
1508
/etc/init.d/mysqld restart
1509
sleep 1
1510
/etc/init.d/radiusd restart
1511
 
1512
touch /var/lock/subsys/local
1513
EOF
595 richard 1514
# pour éviter les alertes de dépendance entre service.
384 richard 1515
	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
497 richard 1516
	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
595 richard 1517
	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
1518
	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
306 richard 1519
# On affecte le niveau de sécurité du système : type "fileserver"
235 richard 1520
	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
306 richard 1521
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
235 richard 1522
	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
568 richard 1523
# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
1524
# Apply French Security Agency rules (sysctl + msec when possible)
1525
# ignorer les broadcast ICMP. (attaque smurf) 
1526
$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
1527
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
1528
# ignorer les erreurs ICMP bogus
1529
$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
1530
sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
595 richard 1531
# désactiver l'envoi et la réponse aux ICMP redirects
679 richard 1532
sysctl -w net.ipv4.conf.all.accept_redirects=0
568 richard 1533
accept_redirect=`grep accept_redirect /etc/sysctl.conf|wc -l`
1534
	if [ "$accept_redirect" == "0" ]
1535
	then
679 richard 1536
		echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
1537
	else
1538
		$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
568 richard 1539
	fi
679 richard 1540
sysctl -w net.ipv4.conf.all.send_redirects=0
568 richard 1541
send_redirect=`grep send_redirect /etc/sysctl.conf|wc -l`
1542
	if [ "$send_redirect" == "0" ]
1543
	then
679 richard 1544
		echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
1545
	else
1546
		$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
568 richard 1547
	fi
1548
# activer les SYN Cookies (attaque syn flood)
679 richard 1549
sysctl -w net.ipv4.tcp_syncookies=1
568 richard 1550
tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf|wc -l`
1551
	if [ "$tcp_syncookies" == "0" ]
1552
	then
679 richard 1553
		echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
1554
	else
1555
		$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
568 richard 1556
	fi
595 richard 1557
# activer l'antispoofing niveau Noyau
568 richard 1558
$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
1559
sysctl -w net.ipv4.conf.all.rp_filter=1
1560
# ignorer le source routing
679 richard 1561
sysctl -w net.ipv4.conf.all.accept_source_route=0
568 richard 1562
accept_source_route=`grep accept_source_route /etc/sysctl.conf|wc -l`
1563
	if [ "$accept_source_route" == "0" ]
1564
	then
679 richard 1565
		echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
1566
	else
1567
		$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
568 richard 1568
	fi
679 richard 1569
# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
1570
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
1571
timeout_established=`grep timeout_established /etc/sysctl.conf|wc -l`
1572
	if [ "$timeout_established" == "0" ]
1573
	then
1574
		echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
1575
	else
793 richard 1576
		$SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf
679 richard 1577
	fi
1578
# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée) 
568 richard 1579
sysctl -w net.ipv4.conf.all.log_martians=0
1580
$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
1581
 
793 richard 1582
 
306 richard 1583
# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
1584
	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1 root 1585
# On mets en place la sécurité sur les fichiers
1586
# des modif par rapport à radius update
1587
	cat <<EOF > /etc/security/msec/perm.local
1588
/var/log/firewall/			root.apache	750
1589
/var/log/firewall/*			root.apache	640
1590
/etc/security/msec/perm.local		root.root	640
1591
/etc/security/msec/level.local		root.root	640
1592
/etc/freeradius-web			root.apache	750
1593
/etc/freeradius-web/admin.conf		root.apache	640
1594
/etc/freeradius-web/config.php		root.apache	640
1595
/etc/raddb/dictionnary			root.radius	640
1596
/etc/raddb/ldap.attrmap			root.radius	640
1597
/etc/raddb/hints			root.radius	640
1598
/etc/raddb/huntgroups			root.radius	640
1599
/etc/raddb/attrs.access_reject		root.radius	640
1600
/etc/raddb/attrs.accounting_response	root.radius	640
1601
/etc/raddb/acct_users			root.radius	640
1602
/etc/raddb/preproxy_users		root.radius	640
1603
/etc/raddb/modules/ldap			radius.apache	660
1604
/etc/raddb/sites-available/alcasar	radius.apache	660
1605
/etc/pki/*				root.apache	750
1606
EOF
1607
	/usr/sbin/msec
59 richard 1608
# modification /etc/inittab
1609
	[ -e /etc/inittab.default ] || cp /etc/inittab /etc/inittab.default
60 richard 1610
# On ne garde que 3 terminaux
59 richard 1611
	$SED "s?^4.*?#&?g" /etc/inittab
1612
	$SED "s?^5.*?#&?g" /etc/inittab
1613
	$SED "s?^6.*?#&?g" /etc/inittab
470 richard 1614
# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
1615
$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
1616
$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
532 richard 1617
# On supprime les services et les utilisateurs inutiles
793 richard 1618
for svc in alsa sound dm atd bootlogd stop-bootlogd
532 richard 1619
do
1620
	/sbin/chkconfig --del $svc
1621
done
1622
for rm_users in avahi-autoipd avahi icapd
1623
do
1624
	user=`cat /etc/passwd|grep $rm_users|cut -d":" -f1`
1625
	if [ "$user" == "$rm_users" ]
1626
	then
1627
		/usr/sbin/userdel -f $rm_users
1628
	fi
1629
done
628 richard 1630
# Load and update the previous conf file
5 franck 1631
if [ "$mode" = "update" ]
1632
then
389 franck 1633
	$DIR_DEST_BIN/alcasar-conf.sh --load
628 richard 1634
	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
1635
	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
5 franck 1636
fi
595 richard 1637
rm -f /tmp/alcasar-conf*
434 richard 1638
chown -R root:apache $DIR_DEST_ETC/*
512 richard 1639
chmod -R 660 $DIR_DEST_ETC/*
434 richard 1640
chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1 root 1641
	cd $DIR_INSTALL
5 franck 1642
	echo ""
1 root 1643
	echo "#############################################################################"
638 richard 1644
	if [ $Lang == "fr" ]
1645
		then
1646
		echo "#                        Fin d'installation d'ALCASAR                       #"
1647
		echo "#                                                                           #"
1648
		echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1649
		echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1650
		echo "#                                                                           #"
1651
		echo "#############################################################################"
1652
		echo
1653
		echo "- ALCASAR sera fonctionnel après redémarrage du système"
1654
		echo
1655
		echo "- Lisez attentivement la documentation d'exploitation"
1656
		echo
1657
		echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
1658
		echo
1659
		echo "                   Appuyez sur 'Entrée' pour continuer"
1660
	else	
1661
		echo "#                        Enf of ALCASAR install process                     #"
1662
		echo "#                                                                           #"
1663
		echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1664
		echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1665
		echo "#                                                                           #"
1666
		echo "#############################################################################"
1667
		echo
1668
		echo "- The system will be rebooted in order to operate ALCASAR"
1669
		echo
1670
		echo "- Read the exploitation documentation"
1671
		echo
1672
		echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
1673
		echo
1674
		echo "                   Hit 'Enter' to continue"
1675
	fi
815 richard 1676
	sleep 2
1677
	if [ "$mode" != "update" ]
820 richard 1678
	then
815 richard 1679
		read a
1680
	fi
774 richard 1681
	clear
1682
# Apply and save the firewall rules
490 richard 1683
 	sh $DIR_DEST_BIN/alcasar-iptables.sh
1684
	sleep 2
1 root 1685
	reboot
1686
} # End post_install ()
1687
 
1688
#################################
1689
#  Boucle principale du script  #
1690
#################################
832 richard 1691
dir_exec=`dirname "$0"`
1692
if [ $dir_exec != "." ]
1693
then
1694
	echo "Lancez ce programme depuis le répertoire de l'archive d'ALCASAR"
1695
	echo "Launch this program from the ALCASAR archive directory"
1696
	exit 0
1697
fi
1698
VERSION=`cat $DIR_INSTALL/VERSION`
291 franck 1699
usage="Usage: alcasar.sh {-i or --install} | {-u or --uninstall}"
1 root 1700
nb_args=$#
1701
args=$1
1702
if [ $nb_args -eq 0 ]
1703
then
1704
	nb_args=1
1705
	args="-h"
1706
fi
1707
case $args in
1708
	-\? | -h* | --h*)
1709
		echo "$usage"
1710
		exit 0
1711
		;;
291 franck 1712
	-i | --install)
959 franck 1713
		license
5 franck 1714
		header_install
29 richard 1715
		testing
597 richard 1716
# Test if ALCASAR is already installed
5 franck 1717
		if [ -e $DIR_WEB/VERSION ]
1 root 1718
		then
460 richard 1719
			actual_version=`cat $DIR_WEB/VERSION`
595 richard 1720
			if [ $Lang == "fr" ]
1721
				then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
1722
				else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
1723
			fi
5 franck 1724
			response=0
460 richard 1725
			PTN='^[oOnNyY]$'
580 richard 1726
			until [[ $(expr $response : $PTN) -gt 0 ]]
5 franck 1727
			do
595 richard 1728
				if [ $Lang == "fr" ]
1729
					then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
1730
					else echo -n "Do you want to update (Y/n)?";
1731
				 fi
5 franck 1732
				read response
1733
			done
597 richard 1734
			if [ "$response" = "n" ] || [ "$response" = "N" ] 
5 franck 1735
			then
597 richard 1736
				rm -f /tmp/alcasar-conf*
1737
			else
510 richard 1738
				RUNNING_VERSION=`cat $DIR_WEB/VERSION|cut -d" " -f1`
1739
				MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f1`
1740
				MIN_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f2|cut -c1`
1741
				UPD_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f3`
636 richard 1742
# Create a backup of running version importants files
5 franck 1743
				chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
389 franck 1744
				$DIR_SCRIPTS/alcasar-conf.sh --create
532 richard 1745
				mode="update"
5 franck 1746
			fi
1 root 1747
		fi
595 richard 1748
# RPMs install
1749
		$DIR_SCRIPTS/alcasar-urpmi.sh
1750
		if [ "$?" != "0" ]
1 root 1751
		then
595 richard 1752
			exit 0
1753
		fi
1754
		if [ -e $DIR_WEB/VERSION ]
1755
		then
597 richard 1756
# Uninstall the running version
532 richard 1757
			$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
595 richard 1758
		fi
636 richard 1759
# Test if manual update	
597 richard 1760
		if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
595 richard 1761
		then
636 richard 1762
			header_install
595 richard 1763
			if [ $Lang == "fr" ]
636 richard 1764
				then echo "Le fichier de configuration d'une ancienne version a été trouvé";
1765
				else echo "The configuration file of an old version has been found";
595 richard 1766
			fi
597 richard 1767
			response=0
1768
			PTN='^[oOnNyY]$'
1769
			until [[ $(expr $response : $PTN) -gt 0 ]]
1770
			do
1771
				if [ $Lang == "fr" ]
1772
					then echo -n "Voulez-vous l'utiliser (O/n)? ";
1773
					else echo -n "Do you want to use it (Y/n)?";
1774
				 fi
1775
				read response
1776
				if [ "$response" = "n" ] || [ "$response" = "N" ] 
1777
				then rm -f /tmp/alcasar-conf*
1778
				fi
1779
			done
1780
		fi
636 richard 1781
# Test if update
597 richard 1782
		if [ -e /tmp/alcasar-conf.tar.gz ] 
1783
		then
1784
			if [ $Lang == "fr" ]
1785
				then echo "#### Installation avec mise à jour ####";
1786
				else echo "#### Installation with update     ####";
1787
			fi
636 richard 1788
# Extract the central configuration file
637 richard 1789
			tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf 
1790
			ORGANISME=`grep ORGANISM conf/etc/alcasar.conf|cut -d"=" -f2`
5 franck 1791
			mode="update"
1792
		else
1793
			mode="install"
1 root 1794
		fi
604 richard 1795
		for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
5 franck 1796
		do
1797
			$func
735 richard 1798
# echo "*** 'debug' : end of function $func ***"; read a
14 richard 1799
		done
5 franck 1800
		;;
291 franck 1801
	-u | --uninstall)
5 franck 1802
		if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1 root 1803
		then
597 richard 1804
			if [ $Lang == "fr" ]
1805
				then echo "ALCASAR n'est pas installé!";
1806
				else echo "ALCASAR isn't installed!";
1807
			fi
1 root 1808
			exit 0
1809
		fi
5 franck 1810
		response=0
1811
		PTN='^[oOnN]$'
580 richard 1812
		until [[ $(expr $response : $PTN) -gt 0 ]]
5 franck 1813
		do
597 richard 1814
			if [ $Lang == "fr" ]
1815
				then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
854 richard 1816
				else echo -n "Do you want to create the running version configuration file (Y/n)? ";
597 richard 1817
			fi
5 franck 1818
			read response
1819
		done
597 richard 1820
		if [ "$reponse" = "o" ] || [ "$reponse" = "O" ] || [ "$response" = "Y" ] || [ "$response" = "y" ]
1 root 1821
		then
389 franck 1822
			$DIR_SCRIPT/alcasar-conf.sh --create
498 richard 1823
		else	
1824
			rm -f /tmp/alcasar-conf*
1 root 1825
		fi
597 richard 1826
# Uninstall the running version
65 richard 1827
		$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1 root 1828
		;;
1829
	*)
1830
		echo "Argument inconnu :$1";
460 richard 1831
		echo "Unknown argument :$1";
1 root 1832
		echo "$usage"
1833
		exit 1
1834
		;;
1835
esac
10 franck 1836
# end of script
366 franck 1837