Subversion Repositories ALCASAR

#!/bin/sh

#  $Id: alcasar.sh 123 2010-05-20 20:47:01Z franck $ 

# alcasar.sh

# by Franck BOUIJOUX, Pascal LEVANT and Richard REY

# This script is distributed under the Gnu General Public License (GPL)

# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)

# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)

# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :

# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :

# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, dialupadmin, awstat, ntpd, dhcpd, openssl bind and firewalleyes

# Options :

#       -install

#       -uninstall

# Funtions :

#	testing		: Tests de connectivité et de téléchargement avant installation

#	init		: Installation des RPM et des scripts

#	network		: Paramètrage du réseau

#	gestion		: Installation de l'interface de gestion

#	AC		: Initialisation de l'autorité de certification. Création des certificats

#	init_db		: Création de la base 'radius' sur le serveur MySql

#	param_radius	: Configuration du serveur d'authentification FreeRadius

#	param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)

#	param_chilli	: Configuration du daemon 'coova-chilli' et de la page d'authentification

#	param_squid	: Configuration du proxy squid en mode 'cache'

#	param_dansguardian : Configuration de l'analyseur de contenu DansGuardian

#	antivius	: Installation havp + clamav

#	firewall	: Mise en place des règles du parefeu et de l'interface WEB FirewallEyes

#	param_awstats	: Configuration de l'interface des statistiques de consultation WEB

#	bind		: Configuration du serveur de noms

#	cron		: Mise en place des exports de logs (+ chiffrement)

VERSION=`cat VERSION`

MDV_NEEDED="2010.0"

DATE=`date '+%d %B %Y - %Hh%M'`

DATE_SHORT=`date '+%d/%m/%Y'`

# ******* Files parameters - paramètres fichiers *********

DIR_INSTALL=`pwd`				# répertoire d'installation

DIR_GESTION="$DIR_INSTALL/gestion"		# répertoire d'installation contenant l'interface de gestion

DIR_CONF="$DIR_INSTALL/conf"			# répertoire d'installation contenant les fichiers de configuration

DIR_SCRIPTS="$DIR_INSTALL/scripts"		# répertoire d'installation contenant les scripts

DIR_SAVE="/var/Save"				# répertoire de sauvegarde (ISO, backup, etc.)

DIR_WEB="/var/www/html"				# répertoire du centre de gestion

DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts

DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin

DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf

FIC_PARAM="/root/ALCASAR-parameters.txt"	# fichier texte résumant les paramètres d'installation

FIC_PASSWD="/root/ALCASAR-passwords.txt"	# fichier texte contenant les mots de passe et secrets partagés 

# ******* DBMS parameters - paramètres SGBD ********

DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius

DB_USER="radius"				# nom de l'utilisateur de la base de données

# ******* Network parameters - paramètres réseau *******

DOMAIN="localdomain"				# domaine local

EXTIF="eth0"					# ETH0 est l'interface connectée à Internet (Box FAI)

INTIF="eth1"					# ETH1 est l'interface connectée au réseau local de consultation

CUSTOM_PRIVATE_NETWORK_MASK="192.168.182.0/24"	# adresse du réseau de consultation proposée par défaut

SQUID_PORT="3128"				# Port d'écoute du proxy Squid

UAMPORT="3990"

# ****** Paths - chemin des commandes *******

SED="/bin/sed -i"

# ****** Alcasar needed RPMS - paquetages nécessaires au fonctionnement d'Alcasar ******

PACKAGES="freeradius freeradius-mysql freeradius-ldap freeradius-web apache-mpm-prefork apache-mod_ssl apache-mod_php squid dansguardian postfix MySQL logwatch ntp awstats mondo cdrecord buffer vim-enhanced bind-utils wget arpscan ulogd dhcp-server openssh-server php-xml coova-chilli pam_ccreds rng-utils lsb-release bind clamav sudo"

# ****************** End of global parameters *********************

header_install ()

{

	clear

	echo "-----------------------------------------------------------------------------"

	echo "                     Installation d'ALCASAR V$VERSION"

	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"

	echo "-----------------------------------------------------------------------------"

} # End of header_install ()

##################################################################

##			Fonction TESTING			##

## - Test de la connectivité Internet				##

## - Test la mise à jour système				##

## - Test l'installation des RPM additionnels			##

##################################################################

testing ()

{

	echo -n "Tests des paramètres réseau : "

# On teste l'état du lien des interfaces réseau

	for i in $EXTIF $INTIF

	do

		/sbin/ifconfig $i up

		sleep 2

		if [ "`/usr/sbin/ethtool $i|grep Link|cut -d' ' -f3`" != "yes" ]

			then

			echo "Échec"

			echo "Le lien réseau de la carte $i n'est pas actif."

			echo "Réglez ce problème avant de poursuivre l'installation d'ALCASAR."

			exit 0

		fi

	done

# On teste la présence d'un routeur par défaut (Box FAI)

	if [ `/sbin/route -n|grep -c ^0.0.0.0` -ne "1" ] ; then

		echo "Échec"

		echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."

		echo "Réglez ce problème avant de poursuivre."

		exit 0

	fi

# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certains BIOS et sur VirtualBox)

	if [ `/sbin/route -n|grep ^0.0.0.0|grep -c eth1` -eq "1" ] ; then

		echo "Échec. La configuration des cartes réseau va être corrigée."

		/etc/init.d/network stop

		mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0

		$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0

		/etc/init.d/network start

		echo 0 > /proc/sys/net/ipv4/conf/all/log_martians

		sleep 2

		echo "Configuration corrigée"

		sleep 2

		echo "Vous pouvez relancer ce script (sh alcasar.sh -install)."

		exit 0

	fi

# On teste la connectivité Internet

	rm -rf /tmp/con_ok.html

	/usr/bin/curl www.google.fr -# -o /tmp/con_ok.html

	if [ ! -e /tmp/con_ok.html ]

	then

		echo "La tentative de connexion vers Internet a échoué (google.fr)."

		echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."

		echo "Vérifiez la validité des adresses DNS."

		exit 0

	fi

	echo "Tests de connectivité Internet corrects"

	rm -rf /tmp/con_ok.html

# On configure les dépots et on les teste 

	echo "Configuration des dépots de paquetages Internet (repository)"

	chmod u+x $DIR_SCRIPTS/alcasar-urpmi.sh

	$DIR_SCRIPTS/alcasar-urpmi.sh >/dev/null

	if [ "$?" != "0" ]

	then

		echo

		echo "Une erreur s'est produite lors de la synchronisation avec les dépots Internet"

		echo "Relancez l'installationi ultérieurement."

	       echo "Si vous rencontrez de nouveau ce problème, changez de dépot en modifiant le fichier 'scripts/alcasar-urpmi.sh'"

		exit 0

	fi

# On teste la mise à jour du système

	echo "Récupération des paquetages de mise à jour. Veuillez patienter ..."

	urpmi --auto --auto-update --quiet --test

	if [ "$?" != "0" ]

	then

		echo

		echo "Une erreur  a été détectée lors de la récupération des paquetages de mise à jour"

		echo "Relancez l'installationi ultérieurement."

	       echo "Si vous rencontrez de nouveau ce problème, changez de dépot en modifiant le fichier 'scripts/alcasar-urpmi.sh'"

		exit 0

	fi

# On teste l'installation des paquetages complémentaires

	echo "Récupération des paquetages complémentaires. Veuillez patienter ..."

	urpmi --auto $PACKAGES --quiet --test

	if [ "$?" != "0" ]

	then

		echo

		echo "Une erreur  a été détectée lors de la récupération des paquetages complémentaires"

		echo "Relancez l'installationi ultérieurement."

	       echo "Si vous rencontrez de nouveau ce problème, changez de dépot en modifiant le fichier 'scripts/alcasar-urpmi.sh'"

		exit 0

	fi

} # end of testing

##################################################################

##			Fonction INIT				##

## - Création du fichier "/root/ALCASAR_parametres.txt"		##

## - Installation et modification des scripts du portail	##

## - Mise à jour système					##

## - Installation des paquetages complémentaires		##

##################################################################

init ()

{

	if [ ! "$mode" = "update" ]

	then

		header_install

# On affecte le nom d'organisme

		header_install

		ORGANISME=!

		PTN='^[a-zA-Z1-9-]*$'

		until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]

                do

			echo -n "Entrez le nom de votre organisme : "

                        read ORGANISME

                        if [ "$ORGANISME" = "" ]

                                then

                                ORGANISME=!

                        fi

                done

	fi

# On mets à jour le système

	urpmi --auto --auto-update 

# On installe les paquetages complémentaires

	urpmi --auto $PACKAGES 

# On supprime les paquetages et les services inutiles

	for rm_rpm in avahi mandi shorewall-common shorewall 

	do

		/usr/sbin/urpme --auto $rm_rpm

	done

	for svc in alsa sound dm atd memcached dc_server

	do

		/sbin/chkconfig --del $svc

	done

# On installe les RPMs spécifiques à la version

	fic=`cat /etc/product.id`

	old="$IFS"

	IFS=","

	set $fic

	for i in $*

	do

		if [ "`echo $i|grep arch|cut -d'=' -f1`" == "arch" ]

		then 

			ARCH=`echo $i|cut -d"=" -f2`

		fi

	done

	IFS="$old"

	urpmi --no-verify --auto $DIR_CONF/rpms/$ARCH/*.rpm

# On supprime les paquetages orphelins

	/usr/sbin/urpme --auto-orphans --auto

# On vide le répertoire temporaire

	urpmi --clean

# On crée aléatoirement les mots de passe et les secrets partagés

	rm -f $FIC_PASSWD

	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub

	echo -n "mot de passe de protection du menu de démarrage (GRUB) : " > $FIC_PASSWD

	echo "$grubpwd" >> $FIC_PASSWD

	md5_grubpwd=`/usr/bin/md5pass $grubpwd`

	sed -i "/^password.*/d" /boot/grub/menu.lst

	sed -i "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst

	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld

	echo -n "compte et mot de passe de l'administrateur Mysqld : " >> $FIC_PASSWD

	echo "root / $mysqlpwd" >> $FIC_PASSWD

	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)

	echo -n "compte et mot de passe de l'utilisateur Mysqld : " >> $FIC_PASSWD

	echo "$DB_USER / $radiuspwd" >> $FIC_PASSWD

	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli

	echo -n "secret partagé entre le script 'intercept.php' et coova-chilli : " >> $FIC_PASSWD

	echo "$secretuam" >> $FIC_PASSWD

	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius

	echo -n "secret partagé entre coova-chilli et FreeRadius : " >> $FIC_PASSWD

	echo "$secretradius" >> $FIC_PASSWD

	chmod 640 $FIC_PASSWD

# On installe et on modifie les scripts d'Alcasar

	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*

	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*

	cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*

	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh

	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh

	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh

	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh

# On génère le début du fichier récapitulatif

	cat <<EOF > $FIC_PARAM

########################################################

##                                                    ##

##   Fichier récapitulatif des paramètres d'ALCASAR   ##

##                                                    ##

########################################################

- Date d'installation : $DATE

- Version istallée : $VERSION

- Organisme : $ORGANISME

EOF

	chmod o-rwx $FIC_PARAM

} # End of init ()

##################################################################

##			Fonction network			##

## - Définition du plan d'adressage du réseau de consultation	##

##  (merci à Alexandre Trias pour le calcul de masque et RegEx) ##

## - Nommage DNS du système (portail + nom d'organisme)		##

## - Configuration de l'interface eth1 (réseau de consultation)	##

## - Modification du fichier /etc/hosts				##

## - Configuration du serveur de temps (NTP)			##

## - Renseignement des fichiers hosts.allow et hosts.deny	##

##################################################################

network ()

{

	header_install

	echo "Par défaut, le plan d'adressage du réseau de consultation est : $CUSTOM_PRIVATE_NETWORK_MASK"

	response=0

	PTN='^[oOnN]$'

	until [[ $(expr $response : $PTN) -gt 0 ]]

		do

			echo -n "Voulez-vous utiliser ce plan d'adressage (recommandé) (O/n)? : "

			read response

		done

	if [ "$response" = "n" ] || [ "$response" = "N" ]

	then

		CUSTOM_PRIVATE_NETWORK_MASK="0"

		PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'

		until [[ $(expr $CUSTOM_PRIVATE_NETWORK_MASK : $PTN) -gt 0 ]]

			do

				echo -n "Entrez un plan d'adressage au format CIDR (a.b.c.d/xx) : "

				read CUSTOM_PRIVATE_NETWORK_MASK

			done

	fi

# Récupération de la config réseau côté "LAN de consultation"

	HOSTNAME=alcasar-$ORGANISME

	hostname $HOSTNAME

	echo "- Nom du système : $HOSTNAME" >> $FIC_PARAM

	PRIVATE_NETWORK=`/bin/ipcalc -n $CUSTOM_PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ réseau de consultation (ex.: 192.168.182.0)

	private_prefix=`/bin/ipcalc -p $CUSTOM_PRIVATE_NETWORK_MASK |cut -d"=" -f2`		# prefixe du réseau (ex. 24)

	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix					# @ réseau + masque (x.0.0.0/8 ou x.y.0.0/16 ou x.y.z.0/24)

	classe=$((private_prefix/8));								# classe de réseau (ex.: 2=classe B, 3=classe C)

	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.			# @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)

	PRIVATE_MASK=`/bin/ipcalc -m $PRIVATE_NETWORK_MASK | cut -d"=" -f2`			# masque réseau de consultation (ex.: 255.255.255.0)

	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ broadcast réseau de consultation (ex.: 192.168.182.255)

	TMP_MASK=`echo $PRIVATE_NETWORK_MASK|cut -d"/" -f2`; HALF_MASK=`expr $TMP_MASK + 1`	# masque du 1/2 réseau de consultation (ex.: 25)

	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$HALF_MASK						# plage des adresses statiques (ex.: 192.168.182.0/25)

	PRIVATE_STAT_MASK=`/bin/ipcalc -m $PRIVATE_STAT_IP/$HALF_MASK | cut -d"=" -f2`		# masque des adresses statiques (ex.: 255.255.255.128)

	classe_sup=`expr $classe + 1`

	classe_sup_sup=`expr $classe + 2`

	private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`

	private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`

	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`

	private_half_plage=`expr $private_plage / 2`

	private_dyn=`expr $private_half_plage + $private_network_ending`

	private_dyn_ip_network=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup_sup-5`

	PRIVATE_DYN_IP=`echo $private_dyn_ip_network | cut -d"." -f1-4`/$HALF_MASK		# plage des adresses dynamiques (ex.: 192.168.182.128/25)

	PRIVATE_DYN_MASK=`/bin/ipcalc -m $PRIVATE_DYN_IP/$HALF_MASK | cut -d"=" -f2`		# masque des adresses dynamiques (ex.: 255.255.255.128)

	private_dyn_ip_network=`echo $PRIVATE_DYN_IP | cut -d"/" -f1`				# plage des adresses dynamiques sans le masque (ex.: 192.168.182.0)

	private_dyn_ip_end=`echo $private_dyn_ip_network | cut -d"." -f4`			# dernier octet de la plage des adresses dynamiques (ex.: 128)

	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network | cut -d"." -f1-3`"."`expr $private_dyn_ip_end + 1`	# 1ère adresse de la plage dynamique (ex.: 192.168.182.129)

	private_broadcast_end=`echo $PRIVATE_BROADCAST | cut -d"." -f4`

	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_end - 1`	# dernière adresse de la plage dynamique (ex.: 192.168.182.254)

	PRIVATE_IP=`echo $PRIVATE_NETWORK | cut -d"." -f1-3`"."`expr $private_network_end + 1`	# @ip du portail (côté réseau de consultation)

# Récupération de la config réseau côté "Internet"

	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF

	EXT_IP=`grep IPADDR /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip du portail (côté Internet)

	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default

	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 1er DNS

	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 2ème DNS

	DNS1=${DNS1:=208.67.220.220}

	DNS2=${DNS2:=208.67.222.222}

	EXT_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`

	EXT_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`

	echo "- Adresse IP 'côté Internet' ($EXTIF) : $EXT_IP / $EXT_NETMASK" >> $FIC_PARAM

	echo "- Serveurs DNS renseignés : $DNS1 et $DNS2" >> $FIC_PARAM

	echo "- Routeur de sortie : $EXT_GATEWAY" >> $FIC_PARAM

# Configuration réseau

	cat <<EOF > /etc/sysconfig/network

NETWORKING=yes

HOSTNAME="$HOSTNAME"

FORWARD_IPV4=true

EOF

# On supprime les log_martians

	$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/security.conf

# Modif /etc/hosts

	[ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default

	cat <<EOF > /etc/hosts

127.0.0.1	$HOSTNAME localhost.localdomain localhost

$PRIVATE_IP	$HOSTNAME alcasar portail

EOF

	echo "- Adresse IP 'côté réseau de consultation' ($INTIF) : $PRIVATE_IP / $PRIVATE_NETWORK_MASK" >> $FIC_PARAM

	echo "    - plage d'adresses statiques : $PRIVATE_STAT_IP" >> $FIC_PARAM

	echo "    - plage d'adresses dynamiques (via DHCP) : $PRIVATE_DYN_IP" >> $FIC_PARAM

# Configuration de l'interface eth0 (Internet)

	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF

DEVICE=$EXTIF

BOOTPROTO=static

IPADDR=$EXT_IP

NETMASK=$EXT_NETMASK

GATEWAY=$EXT_GATEWAY

DNS1=127.0.0.1

ONBOOT=yes

METRIC=10

NOZEROCONF=yes

MII_NOT_SUPPORTED=yes

IPV6INIT=no

IPV6TO4INIT=no

ACCOUNTING=no

USERCTL=no

EOF

# Configuration de l'interface eth1 (réseau de consultation)

	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF

DEVICE=$INTIF

BOOTPROTO=static

IPADDR=$PRIVATE_IP

NETMASK=$PRIVATE_MASK

ONBOOT=yes

METRIC=10

NOZEROCONF=yes

MII_NOT_SUPPORTED=yes

IPV6INIT=no

IPV6TO4INIT=no

ACCOUNTING=no

USERCTL=no

EOF

# Configuration du serveur de temps

	[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default

	cat <<EOF > /etc/ntp.conf

server 0.fr.pool.ntp.org

server 1.fr.pool.ntp.org

server 2.fr.pool.ntp.org

restrict default nomodify notrap noquery

restrict $PRIVATE_NETWORK mask $PRIVATE_MASK

restrict 127.0.0.1

driftfile /etc/ntp/drift

logfile /var/log/ntp.log

EOF

	chown -R ntp:ntp /etc/ntp

# Configuration du serveur dhcpd

	[ -e /etc/dhcpd.conf.default ] || cp /etc/dhcpd.conf /etc/dhcpd.conf.default 2> /dev/null

	cat <<EOF > /etc/dhcpd.conf

ddns-update-style interim;

subnet $PRIVATE_NETWORK netmask $PRIVATE_MASK {

  option routers $PRIVATE_IP;

  option subnet-mask $PRIVATE_MASK;

  option domain-name-servers $PRIVATE_IP;

  option domain-name "localdomain";

  range dynamic-bootp $PRIVATE_DYN_LAST_IP $PRIVATE_DYN_FIRST_IP;

  default-lease-time 21600;

  max-lease-time 43200;

}

log-facility	local3;

## Exemple reservation @IP fixe sur @MAC

# host MACHINE1  {

#      hardware ethernet 00:06:9a:f3:07:01;

#      fixed-address 192.168.182.140;

# }

EOF

# écoute côté LAN seulement

	[ -e /etc/sysconfig/dhcpd.default ] || cp /etc/sysconfig/dhcpd /etc/sysconfig/dhcpd.default 2> /dev/null

	$SED "s?^#INTERFACES=.*?INTERFACES=\"$INTIF\"?g" /etc/sysconfig/dhcpd

	/sbin/chkconfig --level 345 dhcpd on

# Renseignement des fichiers hosts.allow et hosts.deny

	[ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default

	cat <<EOF > /etc/hosts.allow

ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP

sshd: $PRIVATE_NETWORK_SHORT

ntpd: $PRIVATE_NETWORK_SHORT

EOF

	[ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default

	cat <<EOF > /etc/hosts.deny

ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &

EOF

} # End of network ()

##################################################################

##			Fonction gestion			##

## - installation du centre de gestion				##

## - configuration du serveur web (Apache)			##

## - définition du 1er comptes de gestion 			##

## - sécurisation des accès					##

##################################################################

gestion()

{

# Suppression des CGI et des pages WEB installés par défaut

	rm -rf /var/www/cgi-bin/*

	[ -d $DIR_WEB ] && rm -rf $DIR_WEB

	mkdir $DIR_WEB

# Copie et configuration des fichiers du centre de gestion

	cp -rf $DIR_GESTION/* $DIR_WEB/

	echo "$VERSION du $DATE" > $DIR_WEB/VERSION

	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_WEB/menu.php

	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_WEB/phpsysinfo/includes/xml/portail.php

	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_WEB/phpsysinfo/includes/xml/portail.php

	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_WEB/phpsysinfo/includes/xml/portail.php

	chmod 640 $DIR_WEB/phpsysinfo/includes/xml/portail.php

	chown -R apache:apache $DIR_WEB/*

	for i in ISO base logs/firewall logs/httpd logs/squid ;

	do

		[ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i

	done

	chown -R root:apache $DIR_SAVE

# Configuration et sécurisation php

	[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default

	$SED "s?^upload_max_filesize.*?upload_max_filesize = 20M?g" /etc/php.ini

	$SED "s?^post_max_size.*?post_max_size = 20M?g" /etc/php.ini

	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini

	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini

# Configuration et sécurisation Apache

	[ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default

	$SED "s?^#ServerName.*?ServerName $PRIVATE_IP?g" /etc/httpd/conf/httpd.conf

	$SED "s?^Listen.*?#Listen 127.0.0.1:80?g" /etc/httpd/conf/httpd.conf

	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf

	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf

	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf

	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`

	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF

	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html

	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default

	cat <<EOF > /var/www/error/include/bottom.html

</body>

</html>

EOF

	echo "- URL d'accès au centre de gestion : https://$PRIVATE_IP" >> $FIC_PARAM

# Définition du premier compte lié au profil 'admin'

	if [ "$mode" = "install" ]

	then

		header_install

		echo "Pour administrer Alcasar via le centre de gestion WEB, trois profils de comptes ont été définis :"

		echo " - le profil 'admin' capable de réaliser toutes les opérations"

		echo " - le profil 'backup' lié uniquement aux fonctions d'archivage"

		echo " - le profil 'manager' lié uniquement aux fonctions de gestion des usagers"

		echo ""

		echo "Définissez le premier compte du profil 'admin' :"

		echo

		echo -n "Nom : "

		read admin_portail

		echo "- Nom du premier compte lié au profil 'admin' : $admin_portail" >> $FIC_PARAM

# Création du fichier de clés de ce compte dans le profil "admin"

		[ -d $DIR_WEB/digest ] && rm -rf $DIR_WEB/digest

		mkdir -p $DIR_WEB/digest

		chmod 755 $DIR_WEB/digest

		until [ -s $DIR_WEB/digest/key_admin ]

			do

				/usr/sbin/htdigest -c $DIR_WEB/digest/key_admin $HOSTNAME $admin_portail

			done

# Création des fichiers de clés des deux autres profils (backup + manager) contenant ce compte

		$DIR_DEST_SBIN/alcasar-profil.sh -list

	fi

# synchronisation horaire

	ntpd -q -g &

# Sécurisation du centre

	rm -f /etc/httpd/conf/webapps.d/*

	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf

<Directory $DIR_WEB/digest>

	AllowOverride none

	Order deny,allow

	Deny from all

</Directory>

<Directory $DIR_WEB/admin>

	SSLRequireSSL

	AllowOverride None

	Order deny,allow

	Deny from all

	Allow from 127.0.0.1

	Allow from $PRIVATE_NETWORK_MASK

	require valid-user

	AuthType digest

	AuthName $HOSTNAME

	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

	AuthUserFile $DIR_WEB/digest/key_admin

	ErrorDocument 404 https://$PRIVATE_IP/

</Directory>

<Directory $DIR_WEB/manager/htdocs>

	SSLRequireSSL

	AllowOverride None

	Order deny,allow

	Deny from all

	Allow from 127.0.0.1

	Allow from $PRIVATE_NETWORK_MASK

	require valid-user

	AuthType digest

	AuthName $HOSTNAME

	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

	AuthUserFile $DIR_WEB/digest/key_manager

	ErrorDocument 404 https://$PRIVATE_IP/

</Directory>

<Directory $DIR_WEB/manager/html>

	SSLRequireSSL

	AllowOverride None

	Order deny,allow

	Deny from all

	Allow from 127.0.0.1

	Allow from $PRIVATE_NETWORK_MASK

	require valid-user

	AuthType digest

	AuthName $HOSTNAME

	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

	AuthUserFile $DIR_WEB/digest/key_manager

	ErrorDocument 404 https://$PRIVATE_IP/

</Directory>

<Directory $DIR_WEB/backup>

	SSLRequireSSL

	AllowOverride None

	Order deny,allow

	Deny from all

	Allow from 127.0.0.1

	Allow from $PRIVATE_NETWORK_MASK

	require valid-user

	AuthType digest

	AuthName $HOSTNAME

	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

	AuthUserFile $DIR_WEB/digest/key_backup

	ErrorDocument 404 https://$PRIVATE_IP/

</Directory>

Alias /save/ "$DIR_SAVE/"

<Directory $DIR_SAVE>

	SSLRequireSSL

	Options Indexes

	Order deny,allow

	Deny from all

	Allow from 127.0.0.1

	Allow from $PRIVATE_NETWORK_MASK

	require valid-user

	AuthType digest

	AuthName $HOSTNAME

	AuthUserFile $DIR_WEB/digest/key_backup

	ErrorDocument 404 https://$PRIVATE_IP/

	ReadmeName	/readmeSave.html

</Directory>

EOF

} # End of gestion ()

##########################################################################################

##				Fonction AC()						##

## - Création d'une Autorité de Certification et du certificat serveur pour apache 	##

##########################################################################################

AC ()

{

	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh

	$DIR_DEST_BIN/alcasar-CA.sh $mode

	MOD_SSL=`find /etc/httpd/conf -type f -name *default_ssl*`

	$SED "s?localhost.crt?alcasar.crt?g" $MOD_SSL

	$SED "s?localhost.key?alcasar.key?g" $MOD_SSL

	chown -R root:apache /etc/pki

	chmod -R 750 /etc/pki

} # End AC ()

##########################################################################################

##			Fonction init_db()						##

## - Initialisation de la base Mysql							##

## - Affectation du mot de passe de l'administrateur (root)				##

## - Suppression des bases et des utilisateurs superflus				##

## - Création de la base 'radius'							##

## - Installation du schéma de cette base						##

## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)	##

##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)		##

##########################################################################################

init_db ()

{

	mkdir -p /var/lib/mysql/.tmp

	chown mysql:mysql /var/lib/mysql/.tmp

	[ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default

	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf

	/etc/init.d/mysqld start

	sleep 4

	mysqladmin -u root password $mysqlpwd

	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"

# On supprime les tables d'exemple

	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;" 

	# On crée la base 'radius'

	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"

	FICSQL_LIBFREERADIUS=`find /etc/raddb/sql/mysql -type f -name schema.sql`

	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $FICSQL_LIBFREERADIUS

	$MYSQL="connect $DB_RADIUS;ALTER table radpostauth DROP column pass;" 

# Ajout des tables de comptabilité journalière et mensuelle (accounting)

	DIRSQL_FREERADIUS=`find /usr/share/doc/freeradius-web* -type d -name mysql`

	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/mtotacct.sql

	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/totacct.sql

# correction d'un bug sur la table 'userinfo' avant import

	$SED "s?^  id int(10).*?  id int(10) NOT NULL auto_increment,?g" $DIRSQL_FREERADIUS/userinfo.sql

	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/userinfo.sql

# correction d'un bug sur la table 'badusers' avant import (elle reste inutilisée par Alcasar pour l'instant)

	#$SED "s?^  id int(10).*?  id int(10) NOT NULL auto_increment,?g" $DIRSQL_FREERADIUS/badusers.sql

	#mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/badusers.sql

} # End init_db ()

##########################################################################

##			Fonction param_radius				##

## - Paramètrage des fichiers de configuration FreeRadius		##

## - Affectation du secret partagé entre coova-chilli et freeradius	##

## - Modification de fichier de conf pour l'accès à Mysql		##

##########################################################################

param_radius ()

{

	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/

	chown -R radius:radius /etc/raddb

	[ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default

# paramètrage radius.conf

	$SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf

	$SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf

	$SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf

# suppression de la fonction proxy

	$SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf

	$SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf

# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)

	$SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf

# prise en compte du module SQL et des compteurs SQL

	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf

	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf

	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf

# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar

	rm -f /etc/raddb/sites-enabled/*

       	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar

	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)

	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap

	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules

	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar

	# Inutile dans notre fonctionnement mais les liens sont recrés par un update de radius ... donc là forcé en tant que fichier

	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}

# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)

	[ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default

	cat << EOF > /etc/raddb/clients.conf

client 127.0.0.1 {

	secret = $secretradius

	shortname = localhost

}

client $PRIVATE_NETWORK_MASK {

	secret = $secretradius

	shortname = localhost

}

EOF

# modif sql.conf

	[ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default

	$SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf

	$SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf

	$SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf

	$SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf

# modif dialup.conf

	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default

	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf

} # End param_radius ()

##########################################################################

##			Fonction param_web_radius			##

## - Import, modification et paramètrage de l'interface "dialupadmin"	##

## - Création du lien vers la page de changement de mot de passe        ##

##########################################################################

param_web_radius ()

{

# copie de l'interface d'origine dans la structure Alcasar

	# mdv 2009.0 et 2009.1

	if [ -d /var/www/freeradius-web ]

		then

		cp -rf /var/www/freeradius-web/* $DIR_WEB/manager/

		chmod a-x /var/www/freeradius-web

	else # mdv 2010.0

	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_WEB/manager/

	fi

# copie des fichiers modifiés et suppression des fichiers inutiles

	cp -rf $DIR_GESTION/manager/* $DIR_WEB/manager/

	rm -f $DIR_WEB/manager/index.html $DIR_WEB/manager/readme 

	rm -f $DIR_WEB/manager/htdocs/about.html $DIR_WEB/manager/htdocs/index.html $DIR_WEB/manager/htdocs/content.html

	chown -R apache:apache $DIR_WEB/manager/

# Modification du fichier de configuration

	[ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default

	$SED "s?^general_domain:.*?general_domain: $ORGANISME.$DOMAIN?g" /etc/freeradius-web/admin.conf

	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf

	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf

	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf

	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf

	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf

	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf

	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf

	cat <<EOF > /etc/freeradius-web/naslist.conf

nas1_name: alcasar.%{general_domain}

nas1_model: Portail captif

nas1_ip: $PRIVATE_IP

nas1_port_num: 0

nas1_community: public

EOF

# Modification des attributs visibles lors de la création d'un usager ou d'un groupe

	[ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default

	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs

# Ajout du mappage des attributs chillispot

	[ -e /etc/freeradius-web/sql.attrmap.default ] || mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default

	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap

# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)

	[ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default

	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs

	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs

	chown -R apache:apache /etc/freeradius-web

# Ajout de l'alias vers la page de "changement de mot de passe usager"

	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf

Alias /pass/ "$DIR_WEB/manager/pass/"

<Directory $DIR_WEB/manager/pass>

	SSLRequireSSL

	AllowOverride None

	Order deny,allow

	Deny from all

	Allow from 127.0.0.1

	Allow from $PRIVATE_NETWORK_MASK

	ErrorDocument 404 https://$PRIVATE_IP

</Directory>

EOF

	echo "- URL pour le changement du mot de passe usager : https://$PRIVATE_IP/pass/" >> $FIC_PARAM

} # End of param_web_radius ()

##########################################################################

##			Fonction param_chilli				##

## - Paramètrage du fichier de configuration de coova-chilli		##