Subversion Repositories ALCASAR

#!/bin/sh

#  $Id: alcasar.sh 589 2011-04-26 20:08:21Z richard $ 

# alcasar.sh

# by Franck BOUIJOUX, Pascal LEVANT and Richard REY

# This script is distributed under the Gnu General Public License (GPL)

# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)

# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)

# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :

# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :

# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, dialupadmin, awstat, ntpd, openssl, dnsmasq, havp, libclamav  and firewalleyes

# Options :

#       -i or --install

#       -u or --uninstall

# Functions :

#       testing         : Tests de connectivité et de téléchargement avant installation

#       init            : Installation des RPM et des scripts

#       network         : Paramètrage du réseau

#       gestion         : Installation de l'interface de gestion

#       AC              : Initialisation de l'autorité de certification. Création des certificats

#       init_db         : Création de la base 'radius' sur le serveur MySql

#       param_radius    : Configuration du serveur d'authentification FreeRadius

#       param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)

#       param_chilli    : Configuration du daemon 'coova-chilli' et de la page d'authentification

#       param_squid     : Configuration du proxy squid en mode 'cache'

#       param_dansguardian : Configuration de l'analyseur de contenu DansGuardian

#       antivirus       : Installation havp + libclamav

#       firewall        : Mise en place des règles du parefeu et de l'interface WEB FirewallEyes

#       param_awstats   : Configuration de l'interface des statistiques de consultation WEB

#       dnsmasq         : Configuration du serveur de noms et du serveur dhcp de secours

#       BL              : Configuration de la BlackList

#       cron            : Mise en place des exports de logs (+ chiffrement)

#       post_install    : Finalisation environnement ( sécurité, bannières, rotation logs, ...)

VERSION=`cat VERSION`

DATE=`date '+%d %B %Y - %Hh%M'`

DATE_SHORT=`date '+%d/%m/%Y'`

# ******* Files parameters - paramètres fichiers *********

DIR_INSTALL=`pwd`                               # répertoire d'installation

DIR_CONF="$DIR_INSTALL/conf"                    # répertoire d'installation contenant les fichiers de configuration

DIR_SCRIPTS="$DIR_INSTALL/scripts"              # répertoire d'installation contenant les scripts

DIR_SAVE="/var/Save"                            # répertoire de sauvegarde (ISO, backup, etc.)

DIR_WEB="/var/www/html"                         # répertoire racine APACHE

DIR_ACC="$DIR_WEB/acc"                          # répertoire du centre de gestion 'ALCASAR Control Center'

DIR_DEST_BIN="/usr/local/bin"                   # répertoire des scripts

DIR_DEST_SBIN="/usr/local/sbin"                 # répertoire des scripts d'admin

DIR_DEST_ETC="/usr/local/etc"                   # répertoire des fichiers de conf

FIC_PARAM="/root/ALCASAR-parameters.txt"        # fichier texte résumant les paramètres d'installation

FIC_PASSWD="/root/ALCASAR-passwords.txt"        # fichier texte contenant les mots de passe et secrets partagés 

# ******* DBMS parameters - paramètres SGBD ********

DB_RADIUS="radius"                              # nom de la base de données utilisée par le serveur FreeRadius

DB_USER="radius"                                # nom de l'utilisateur de la base de données

# ******* Network parameters - paramètres réseau *******

HOSTNAME="alcasar"                              # 

DOMAIN="localdomain"                            # domaine local

EXTIF="eth0"                                    # ETH0 est l'interface connectée à Internet (Box FAI)

INTIF="eth1"                                    # ETH1 est l'interface connectée au réseau local de consultation

CUSTOM_PRIVATE_NETWORK_MASK="192.168.182.0/24"  # adresse du réseau de consultation proposée par défaut

SQUID_PORT="3128"                               # Port d'écoute du proxy Squid

# ****** Paths - chemin des commandes *******

SED="/bin/sed -i"

# ****************** End of global parameters *********************

header_install ()

{

        clear

        echo "-----------------------------------------------------------------------------"

        echo "                     ALCASAR V$VERSION Installation"

        echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"

        echo "-----------------------------------------------------------------------------"

} # End of header_install ()

##################################################################

##                      Fonction TESTING                        ##

## - Test de la connectivité Internet                          ##

##################################################################

testing ()

{

        echo "Tests des paramètres réseau."

        echo -n "Network parameters tests : "

# We test the Ethernet links state

        for i in $EXTIF $INTIF

        do

                /sbin/ip link set $i up

                sleep 3

                if [ "`/usr/sbin/ethtool $i|grep Link|cut -d' ' -f3`" != "yes" ]

                        then

                        echo "Échec"

                        echo "Le lien réseau de la carte $i n'est pas actif."

                        echo "Réglez ce problème puis relancez ce script."

                        echo "Failed"

                        echo "The link state of $i interface id down."

                        echo "Resolv this problem, then restart this script."

                        exit 0

                fi

        echo -n "."

        done

# On teste la présence d'un routeur par défaut (Box FAI)

        if [ `/sbin/route -n|grep -c ^0.0.0.0` -ne "1" ] ; then

                echo "Échec"

                echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."

                echo "Réglez ce problème puis relancez ce script."

                echo "Failed"

                echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"

                echo "Resolv this problem, then restart this script."

                exit 0

        fi

        echo -n "."

# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)

        if [ `/sbin/route -n|grep ^0.0.0.0|grep -c eth1` -eq "1" ] ; then

                echo "La configuration des cartes réseau va être corrigée."

                echo "The Ethernet card configuration will be corrected."

                /etc/init.d/network stop

                mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0

                $SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0

                /etc/init.d/network start

                echo 0 > /proc/sys/net/ipv4/conf/all/log_martians

                sleep 2

                echo "Configuration corrigée"

                echo "Configuration updated"

                sleep 2

                echo "Vous pouvez relancer ce script."

                echo "You can restart this script."

                exit 0

        fi

        echo -n "."

# On test le lien vers le routeur par default

        IP_GW=`ip route list|grep ^default|cut -d" " -f3`

        arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW|grep response|cut -d" " -f2`

        if [ $(expr $arp_reply) -eq 0 ]

                then

                echo "Échec"

                echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."

                echo "Réglez ce problème puis relancez ce script."

                echo "Failed"

                echo "The Internet gateway doesn't answered"

                echo "Resolv this problem, then restart this script."

                exit 0

        fi

        echo -n "."

# On teste la connectivité Internet

        rm -rf /tmp/con_ok.html

        /usr/bin/curl www.google.fr -s -o /tmp/con_ok.html

        if [ ! -e /tmp/con_ok.html ]

        then

                echo "La tentative de connexion vers Internet a échoué (google.fr)."

                echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."

                echo "Vérifiez la validité des adresses IP des DNS."

                echo "The Internet connection try failed (google.fr)."

                echo "Please, verify that the $EXTIF card is connected with the Internet gateway."

                echo "Verify the DNS IP addresses"

                exit 0

        fi

        rm -rf /tmp/con_ok.html

        echo ". : ok"

} # end of testing

##################################################################

##                      Fonction INIT                           ##

## - Création du fichier "/root/ALCASAR_parametres.txt"                ##

## - Installation et modification des scripts du portail        ##

##################################################################

init ()

{

        if [ "$mode" != "update" ]

        then

# On affecte le nom d'organisme

                ORGANISME=!

                PTN='^[a-zA-Z0-9-]*$'

                until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]

                do

                        echo "Entrez le nom de votre organisme : "

                        echo -n "Enter the name of your organisation : "

                        read ORGANISME

                        if [ "$ORGANISME" = "" ]

                                then

                                ORGANISME=!

                        fi

                done

        fi

# On crée aléatoirement les mots de passe et les secrets partagés

        rm -f $FIC_PASSWD

        grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`        # mot de passe de protection du menu Grub

        echo -n "mot de passe de protection du menu de démarrage (GRUB) : " > $FIC_PASSWD

        echo "$grubpwd" >> $FIC_PASSWD

        md5_grubpwd=`/usr/bin/md5pass $grubpwd`

        $SED "/^password.*/d" /boot/grub/menu.lst

        $SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst

        mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`       # mot de passe de l'administrateur Mysqld

        echo -n "compte et mot de passe de l'administrateur Mysqld : " >> $FIC_PASSWD

        echo "root / $mysqlpwd" >> $FIC_PASSWD

        radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`      # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)

        echo -n "compte et mot de passe de l'utilisateur Mysqld : " >> $FIC_PASSWD

        echo "$DB_USER / $radiuspwd" >> $FIC_PASSWD

        secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`      # secret partagé entre intercept.php et coova-chilli

        echo -n "secret partagé entre le script 'intercept.php' et coova-chilli : " >> $FIC_PASSWD

        echo "$secretuam" >> $FIC_PASSWD

        secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`   # secret partagé entre coova-chilli et FreeRadius

        echo -n "secret partagé entre coova-chilli et FreeRadius : " >> $FIC_PASSWD

        echo "$secretradius" >> $FIC_PASSWD

        chmod 640 $FIC_PASSWD

# On installe les scripts et fichiers de configuration d'ALCASAR 

#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}

        cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*

#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}

        cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*

#  - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}

        cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*

        $SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh

        $SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh

        $SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh

        $SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh

# On génère le début du fichier récapitulatif

        cat <<EOF > $FIC_PARAM

########################################################

##                                                    ##

##   Fichier récapitulatif des paramètres d'ALCASAR   ##

##                                                    ##

########################################################

- Date d'installation : $DATE

- Version istallée : $VERSION

- Organisme : $ORGANISME

EOF

        chmod o-rwx $FIC_PARAM

} # End of init ()

##################################################################

##                      Fonction network                        ##

## - Définition du plan d'adressage du réseau de consultation ##

##  (merci à Alexandre Trias pour le calcul de masque et RegEx) ##

## - Nommage DNS du système (portail + nom d'organisme)                ##

## - Configuration de l'interface eth1 (réseau de consultation)        ##

## - Modification du fichier /etc/hosts                         ##

## - Configuration du serveur de temps (NTP)                    ##

## - Renseignement des fichiers hosts.allow et hosts.deny       ##

##################################################################

network ()

{

        header_install

        echo "Par défaut, le plan d'adressage du réseau de consultation est : $CUSTOM_PRIVATE_NETWORK_MASK"

        response=0

        PTN='^[oOnN]$'

        until [[ $(expr $response : $PTN) -gt 0 ]]

                do

                        echo -n "Voulez-vous utiliser ce plan d'adressage (recommandé) (O/n)? : "

                        read response

                done

        if [ "$response" = "n" ] || [ "$response" = "N" ]

        then

                CUSTOM_PRIVATE_NETWORK_MASK="0"

                PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'

                until [[ $(expr $CUSTOM_PRIVATE_NETWORK_MASK : $PTN) -gt 0 ]]

                        do

                                echo -n "Entrez un plan d'adressage au format CIDR (a.b.c.d/xx) : "

                                read CUSTOM_PRIVATE_NETWORK_MASK

                        done

        fi

# Récupération de la config réseau côté "LAN de consultation"

        hostname $HOSTNAME

        echo "- Nom du système : $HOSTNAME" >> $FIC_PARAM

        PRIVATE_NETWORK=`/bin/ipcalc -n $CUSTOM_PRIVATE_NETWORK_MASK | cut -d"=" -f2`           # @ réseau de consultation (ex.: 192.168.182.0)

        private_prefix=`/bin/ipcalc -p $CUSTOM_PRIVATE_NETWORK_MASK |cut -d"=" -f2`             # prefixe du réseau (ex. 24)

        PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix                                   # @ réseau + masque (x.0.0.0/8 ou x.y.0.0/16 ou x.y.z.0/24)

        classe=$((private_prefix/8));                                                           # classe de réseau (ex.: 2=classe B, 3=classe C)

        PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.                  # @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)

        PRIVATE_MASK=`/bin/ipcalc -m $PRIVATE_NETWORK_MASK | cut -d"=" -f2`                     # masque réseau de consultation (ex.: 255.255.255.0)

        PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`                # @ broadcast réseau de consultation (ex.: 192.168.182.255)

        TMP_MASK=`echo $PRIVATE_NETWORK_MASK|cut -d"/" -f2`; HALF_MASK=`expr $TMP_MASK + 1`     # masque du 1/2 réseau de consultation (ex.: 25)

        PRIVATE_STAT_IP=$PRIVATE_NETWORK/$HALF_MASK                                             # plage des adresses statiques (ex.: 192.168.182.0/25)

        PRIVATE_STAT_MASK=`/bin/ipcalc -m $PRIVATE_STAT_IP/$HALF_MASK | cut -d"=" -f2`          # masque des adresses statiques (ex.: 255.255.255.128)

        classe_sup=`expr $classe + 1`

        classe_sup_sup=`expr $classe + 2`

        private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`

        private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`

        private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`

        private_half_plage=`expr $private_plage / 2`

        private_dyn=`expr $private_half_plage + $private_network_ending`

        private_dyn_ip_network=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup_sup-5`

        PRIVATE_DYN_IP=`echo $private_dyn_ip_network | cut -d"." -f1-4`/$HALF_MASK              # plage des adresses dynamiques (ex.: 192.168.182.128/25)

        PRIVATE_DYN_MASK=`/bin/ipcalc -m $PRIVATE_DYN_IP/$HALF_MASK | cut -d"=" -f2`            # masque des adresses dynamiques (ex.: 255.255.255.128)

        private_dyn_ip_network=`echo $PRIVATE_DYN_IP | cut -d"/" -f1`                           # plage des adresses dynamiques sans le masque (ex.: 192.168.182.0)

        private_dyn_ip_end=`echo $private_dyn_ip_network | cut -d"." -f4`                       # dernier octet de la plage des adresses dynamiques (ex.: 128)

        PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network | cut -d"." -f1-3`"."`expr $private_dyn_ip_end + 1`  # 1ère adresse de la plage dynamique (ex.: 192.168.182.129)

        private_broadcast_end=`echo $PRIVATE_BROADCAST | cut -d"." -f4`

        PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_end - 1`     # dernière adresse de la plage dynamique (ex.: 192.168.182.254)

        PRIVATE_IP=`echo $PRIVATE_NETWORK | cut -d"." -f1-3`"."`expr $private_network_end + 1`  # @ip du portail (côté réseau de consultation)

# Récupération de la config réseau côté "Internet"

        [ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF

        EXT_IP=`grep IPADDR /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`  # @ip du portail (côté Internet)

        [ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default

        DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`      # @ip 1er DNS

        DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`      # @ip 2ème DNS

        DNS1=${DNS1:=208.67.220.220}

        DNS2=${DNS2:=208.67.222.222}

        EXT_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`

        EXT_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`

        echo "- Adresse IP 'côté Internet' ($EXTIF) : $EXT_IP / $EXT_NETMASK" >> $FIC_PARAM

        echo "- Serveurs DNS renseignés : $DNS1 et $DNS2" >> $FIC_PARAM

        echo "- Routeur de sortie : $EXT_GATEWAY" >> $FIC_PARAM

# Configuration réseau

        cat <<EOF > /etc/sysconfig/network

NETWORKING=yes

HOSTNAME="$HOSTNAME"

FORWARD_IPV4=true

EOF

# Modif /etc/hosts

        [ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default

        cat <<EOF > /etc/hosts

127.0.0.1       localhost

$PRIVATE_IP     $HOSTNAME

EOF

        echo "- Adresse IP 'côté réseau de consultation' ($INTIF) : $PRIVATE_IP / $PRIVATE_NETWORK_MASK" >> $FIC_PARAM

        echo "    - plage d'adresses statiques : $PRIVATE_STAT_IP" >> $FIC_PARAM

        echo "    - plage d'adresses dynamiques (via DHCP) : $PRIVATE_DYN_IP" >> $FIC_PARAM

# Configuration de l'interface eth0 (Internet)

        cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF

DEVICE=$EXTIF

BOOTPROTO=static

IPADDR=$EXT_IP

NETMASK=$EXT_NETMASK

GATEWAY=$EXT_GATEWAY

DNS1=127.0.0.1

ONBOOT=yes

METRIC=10

NOZEROCONF=yes

MII_NOT_SUPPORTED=yes

IPV6INIT=no

IPV6TO4INIT=no

ACCOUNTING=no

USERCTL=no

EOF

# Configuration de l'interface eth1 (réseau de consultation)

        cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF

DEVICE=$INTIF

BOOTPROTO=static

IPADDR=$PRIVATE_IP

NETMASK=$PRIVATE_MASK

ONBOOT=yes

METRIC=10

NOZEROCONF=yes

MII_NOT_SUPPORTED=yes

IPV6INIT=no

IPV6TO4INIT=no

ACCOUNTING=no

USERCTL=no

EOF

# Mise à l'heure du serveur

        [ -e /etc/ntp/step-tickers.default ] || cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default

        cat <<EOF > /etc/ntp/step-tickers

0.fr.pool.ntp.org       # adapt to your country

1.fr.pool.ntp.org

2.fr.pool.ntp.org

EOF

# Configuration du serveur de temps (sur lui même)

        [ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default

        cat <<EOF > /etc/ntp.conf

server 0.fr.pool.ntp.org        # adapt to your country

server 1.fr.pool.ntp.org

server 2.fr.pool.ntp.org

server 127.127.1.0              # local clock si NTP internet indisponible ...

fudge 127.127.1.0 stratum 10

restrict $PRIVATE_NETWORK mask $PRIVATE_MASK nomodify notrap

restrict 127.0.0.1

driftfile /var/lib/ntp/drift

logfile /var/log/ntp.log

EOF

        chown -R ntp:ntp /var/lib/ntp

# Renseignement des fichiers hosts.allow et hosts.deny

        [ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default

        cat <<EOF > /etc/hosts.allow

ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP

sshd: $PRIVATE_NETWORK_SHORT

ntpd: $PRIVATE_NETWORK_SHORT

EOF

        [ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default

        cat <<EOF > /etc/hosts.deny

ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &

EOF

} # End of network ()

##################################################################

##                      Fonction gestion                        ##

## - installation du centre de gestion                          ##

## - configuration du serveur web (Apache)                      ##

## - définition du 1er comptes de gestion                      ##

## - sécurisation des accès                                   ##

##################################################################

gestion()

{

# Suppression des CGI et des pages WEB installés par défaut

        rm -rf /var/www/cgi-bin/*

        [ -d $DIR_WEB ] && rm -rf $DIR_WEB

        mkdir $DIR_WEB

# Copie et configuration des fichiers du centre de gestion

        cp -rf $DIR_INSTALL/web/* $DIR_WEB/

        echo "$VERSION du $DATE" > $DIR_WEB/VERSION

        $SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php

        $SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php

        $SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php

        $SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php

        $SED "s?^\$private_ip =.*?\$private_ip = \"$PRIVATE_IP\";?g" $DIR_WEB/index.php

        $SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php

        chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php

        chown -R apache:apache $DIR_WEB/*

        for i in ISO base logs/firewall logs/httpd logs/squid ;

        do

                [ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i

        done

        chown -R root:apache $DIR_SAVE

# Configuration et sécurisation php

        [ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default

        timezone=`cat /etc/sysconfig/clock|grep ZONE|cut -d"=" -f2`

        $SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini

        $SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini

        $SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini

        $SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini

        $SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini

# Configuration et sécurisation Apache

        [ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default

        $SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf

        $SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf

        $SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf

        $SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf

        $SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf

        FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`

        $SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF

        $SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html

        [ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default

        cat <<EOF > /var/www/error/include/bottom.html

</body>

</html>

EOF

        echo "- URL d'accès au centre de gestion : http://$HOSTNAME" >> $FIC_PARAM

# Définition du premier compte lié au profil 'admin'

        header_install

        if [ "$mode" = "install" ]

        then

                header_install

                echo "Pour administrer Alcasar via le centre de gestion WEB, trois profils de comptes ont été définis :"

                echo " - le profil 'admin' capable de réaliser toutes les opérations"

                echo " - le profil 'backup' lié uniquement aux fonctions d'archivage"

                echo " - le profil 'manager' lié uniquement aux fonctions de gestion des usagers"

                echo ""

                echo "Définissez le premier compte du profil 'admin' :"

                echo

                echo -n "Nom : "

                read admin_portail

                echo "- Nom du premier compte lié au profil 'admin' : $admin_portail" >> $FIC_PARAM

# Création du fichier de clés de ce compte dans le profil "admin"

                [ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest

                mkdir -p $DIR_DEST_ETC/digest

                chmod 755 $DIR_DEST_ETC/digest

                until [ -s $DIR_DEST_ETC/digest/key_admin ]

                        do

                                /usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portail

                        done

                $DIR_DEST_SBIN/alcasar-profil.sh --list

        else   # version < 2.1

                if ([ $MAJ_RUNNING_VERSION -lt 2 ] || ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))

                        then

                        echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"

                        echo

                        echo -n "Nom : "

                        read admin_portail

                        echo "- Nom du premier compte lié au profil 'admin' : $admin_portail" >> $FIC_PARAM

                        [ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest

                        mkdir -p $DIR_DEST_ETC/digest

                        chmod 755 $DIR_DEST_ETC/digest

                        until [ -s $DIR_DEST_ETC/digest/key_admin ]

                        do

                                /usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portail

                        done

                        $DIR_DEST_SBIN/alcasar-profil.sh --list

                fi

        fi

# synchronisation horaire

        ntpd -q -g &

# Sécurisation du centre

        rm -f /etc/httpd/conf/webapps.d/*

        cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf

<Directory $DIR_ACC>

        SSLRequireSSL

        AllowOverride None

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

        Allow from $PRIVATE_NETWORK_MASK

#       Allow from $SRC_ADMIN 

        require valid-user

        AuthType digest

        AuthName $HOSTNAME

        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

        AuthUserFile $DIR_DEST_ETC/digest/key_all

        ErrorDocument 404 https://$HOSTNAME/

</Directory>

<Directory $DIR_ACC/admin>

        SSLRequireSSL

        AllowOverride None

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

        Allow from $PRIVATE_NETWORK_MASK

#       Allow from $SRC_ADMIN

        require valid-user

        AuthType digest

        AuthName $HOSTNAME

        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

        AuthUserFile $DIR_DEST_ETC/digest/key_admin

        ErrorDocument 404 https://$HOSTNAME/

</Directory>

<Directory $DIR_ACC/manager>

        SSLRequireSSL

        AllowOverride None

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

        Allow from $PRIVATE_NETWORK_MASK

#       Allow from $SRC_ADMIN

        require valid-user

        AuthType digest

        AuthName $HOSTNAME

        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

        AuthUserFile $DIR_DEST_ETC/digest/key_manager

        ErrorDocument 404 https://$HOSTNAME/

</Directory>

<Directory $DIR_ACC/backup>

        SSLRequireSSL

        AllowOverride None

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

        Allow from $PRIVATE_NETWORK_MASK

#       Allow from $SRC_ADMIN

        require valid-user

        AuthType digest

        AuthName $HOSTNAME

        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

        AuthUserFile $DIR_DEST_ETC/digest/key_backup

        ErrorDocument 404 https://$HOSTNAME/

</Directory>

Alias /save/ "$DIR_SAVE/"

<Directory $DIR_SAVE>

        SSLRequireSSL

        Options Indexes

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

        Allow from $PRIVATE_NETWORK_MASK

#       Allow from $SRC_ADMIN

        require valid-user

        AuthType digest

        AuthName $HOSTNAME

        AuthUserFile $DIR_DEST_ETC/digest/key_backup

        ErrorDocument 404 https://$HOSTNAME/

        ReadmeName      /readmeSave.html

</Directory>

EOF

} # End of gestion ()

##########################################################################################

##                              Fonction AC()                                           ##

## - Création d'une Autorité de Certification et du certificat serveur pour apache    ##

##########################################################################################

AC ()

{

        $SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh

        $DIR_DEST_BIN/alcasar-CA.sh

        FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl*`

        [ -e /etc/httpd/conf/vhosts-ssl.default ]  || cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default

        $SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL

        $SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL

        chown -R root:apache /etc/pki

        chmod -R 750 /etc/pki

} # End AC ()

##########################################################################################

##                      Fonction init_db()                                              ##

## - Initialisation de la base Mysql                                                    ##

## - Affectation du mot de passe de l'administrateur (root)                             ##

## - Suppression des bases et des utilisateurs superflus                                ##

## - Création de la base 'radius'                                                      ##

## - Installation du schéma de cette base                                              ##

## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)  ##

##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)              ##

##########################################################################################

init_db ()

{

        mkdir -p /var/lib/mysql/.tmp

        chown mysql:mysql /var/lib/mysql/.tmp

        [ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf          # prend en compte les migrations de MySQL

        [ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default

        $SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf

        /etc/init.d/mysqld start

        sleep 4

        mysqladmin -u root password $mysqlpwd

        MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"

# On supprime les tables d'exemple

        $MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;"

        # On crée la base 'radius'

        $MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"

# Ajout d'une base vierge       

        mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql

} # End init_db ()

##########################################################################

##                      Fonction param_radius                           ##

## - Paramètrage des fichiers de configuration FreeRadius              ##

## - Affectation du secret partagé entre coova-chilli et freeradius    ##

## - Modification de fichier de conf pour l'accès à Mysql             ##

##########################################################################

param_radius ()

{

        cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/

        chown -R radius:radius /etc/raddb

        [ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default

# paramètrage radius.conf

        $SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf

        $SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf

        $SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf

# suppression de la fonction proxy

        $SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf

        $SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf

# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)

        $SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf

# prise en compte du module SQL et des compteurs SQL

        $SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf

        $SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf

        $SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf

# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar

        rm -f /etc/raddb/sites-enabled/*

        cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar

        chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)

        chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap

        chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules

        ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar

# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'

        touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}

# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)

        [ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default

        cat << EOF > /etc/raddb/clients.conf

client 127.0.0.1 {

        secret = $secretradius

        shortname = localhost

}

EOF

# modif sql.conf

        [ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default

        $SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf

        $SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf

        $SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf

        $SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf

# modif dialup.conf

        [ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default

        cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf

} # End param_radius ()

##########################################################################

##                      Fonction param_web_radius                       ##

## - Import, modification et paramètrage de l'interface "dialupadmin"  ##

## - Création du lien vers la page de changement de mot de passe        ##

##########################################################################

param_web_radius ()

{

# copie de l'interface d'origine dans la structure Alcasar

        [ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/

        rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme

        rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html

# copie des fichiers modifiés

        cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/

        chown -R apache:apache $DIR_ACC/manager/

# Modification des fichiers de configuration

        [ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default

        $SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf

        $SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf

        $SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf

        $SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf

        $SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf

        $SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf

        $SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf

        $SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf

        $SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf

        [ -e /etc/freeradius-web/config.php.default ] || cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default

        cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php

        cat <<EOF > /etc/freeradius-web/naslist.conf

nas1_name: alcasar.%{general_domain}

nas1_model: Portail captif

nas1_ip: $PRIVATE_IP

nas1_port_num: 0

nas1_community: public

EOF

# Modification des attributs visibles lors de la création d'un usager ou d'un groupe

        [ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default

        cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs

# Ajout du mappage des attributs chillispot

        [ -e /etc/freeradius-web/sql.attrmap.default ] || mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default

        cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap

# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)

        [ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default

        $SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs

        $SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs

        chown -R apache:apache /etc/freeradius-web

# Ajout de l'alias vers la page de "changement de mot de passe usager"

        cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf

<Directory $DIR_WEB/pass>

        SSLRequireSSL

        AllowOverride None

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

        Allow from $PRIVATE_NETWORK_MASK

        ErrorDocument 404 https://$HOSTNAME

</Directory>

EOF

        echo "- URL pour le changement du mot de passe usager : https://$HOSTNAME/pass/" >> $FIC_PARAM

} # End of param_web_radius ()

##########################################################################################

##                      Fonction param_chilli                                           ##

## - Paramètrage du fichier d'initialisation et de configuration de coova-chilli       ##

## - Paramètrage de la page d'authentification (intercept.php)                         ##