WebSVN – ALCASAR – Blame – /alcasar.sh

Rev	Author	Line No.	Line
1	root	1	#!/bin/sh
57	franck	2	# $Id: alcasar.sh 629 2011-06-09 20:54:27Z richard $
1	root	3
		4	# alcasar.sh
		5	# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
		6	# This script is distributed under the Gnu General Public License (GPL)
		7
		8	# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
		9	# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
		10
		11	# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
		12	# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
604	richard	13	# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, awstat, ntpd, openssl, dnsmasq, havp, libclamav and firewalleyes
1	root	14
		15	# Options :
376	franck	16	# -i or --install
		17	# -u or --uninstall
1	root	18
376	franck	19	# Functions :
29	richard	20	# testing : Tests de connectivité et de téléchargement avant installation
1	root	21	# init : Installation des RPM et des scripts
		22	# network : Paramètrage du réseau
		23	# gestion : Installation de l'interface de gestion
		24	# AC : Initialisation de l'autorité de certification. Création des certificats
		25	# init_db : Création de la base 'radius' sur le serveur MySql
		26	# param_radius : Configuration du serveur d'authentification FreeRadius
		27	# param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
		28	# param_chilli : Configuration du daemon 'coova-chilli' et de la page d'authentification
		29	# param_squid : Configuration du proxy squid en mode 'cache'
		30	# param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
479	richard	31	# antivirus : Installation havp + libclamav
1	root	32	# param_awstats : Configuration de l'interface des statistiques de consultation WEB
297	richard	33	# dnsmasq : Configuration du serveur de noms et du serveur dhcp de secours
308	richard	34	# BL : Configuration de la BlackList
1	root	35	# cron : Mise en place des exports de logs (+ chiffrement)
532	richard	36	# post_install : Finalisation environnement ( sécurité, bannières, rotation logs, ...)
1	root	37
95	franck	38	VERSION=`cat VERSION`
1	root	39	DATE=`date '+%d %B %Y - %Hh%M'`
		40	DATE_SHORT=`date '+%d/%m/%Y'`
595	richard	41	Lang=`echo $LANG\|cut -c 1-2`
1	root	42	# ***** Files parameters - paramètres fichiers *******
		43	DIR_INSTALL=`pwd` # répertoire d'installation
		44	DIR_CONF="$DIR_INSTALL/conf" # répertoire d'installation contenant les fichiers de configuration
		45	DIR_SCRIPTS="$DIR_INSTALL/scripts" # répertoire d'installation contenant les scripts
		46	DIR_SAVE="/var/Save" # répertoire de sauvegarde (ISO, backup, etc.)
316	richard	47	DIR_WEB="/var/www/html" # répertoire racine APACHE
		48	DIR_ACC="$DIR_WEB/acc" # répertoire du centre de gestion 'ALCASAR Control Center'
1	root	49	DIR_DEST_BIN="/usr/local/bin" # répertoire des scripts
		50	DIR_DEST_SBIN="/usr/local/sbin" # répertoire des scripts d'admin
		51	DIR_DEST_ETC="/usr/local/etc" # répertoire des fichiers de conf
628	richard	52	CONF_FILE="$DIR_DEST_ETC/alcasar.conf" # fichier de conf d'alcasar
		53	PASSWD_FILE="/root/ALCASAR-passwords.txt" # fichier texte contenant les mots de passe et secrets partagés
1	root	54	# ***** DBMS parameters - paramètres SGBD ******
		55	DB_RADIUS="radius" # nom de la base de données utilisée par le serveur FreeRadius
		56	DB_USER="radius" # nom de l'utilisateur de la base de données
		57	# ***** Network parameters - paramètres réseau *****
503	richard	58	HOSTNAME="alcasar" #
1	root	59	DOMAIN="localdomain" # domaine local
		60	EXTIF="eth0" # ETH0 est l'interface connectée à Internet (Box FAI)
		61	INTIF="eth1" # ETH1 est l'interface connectée au réseau local de consultation
597	richard	62	DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24" # adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
1	root	63	# **** Paths - chemin des commandes *****
		64	SED="/bin/sed -i"
		65	# **************** End of global parameters *******************
		66
		67	header_install ()
		68	{
		69	clear
		70	echo "-----------------------------------------------------------------------------"
460	richard	71	echo " ALCASAR V$VERSION Installation"
1	root	72	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
		73	echo "-----------------------------------------------------------------------------"
		74	} # End of header_install ()
		75
		76	##################################################################
29	richard	77	## Fonction TESTING ##
		78	## - Test de la connectivité Internet ##
		79	##################################################################
		80	testing ()
		81	{
595	richard	82	if [ $Lang == "fr" ]
		83	then echo -n "Tests des paramètres réseau :"
		84	else echo -n "Network parameters tests : "
		85	fi
460	richard	86	# We test the Ethernet links state
29	richard	87	for i in $EXTIF $INTIF
		88	do
294	richard	89	/sbin/ip link set $i up
306	richard	90	sleep 3
29	richard	91	if [ "`/usr/sbin/ethtool $i\|grep Link\|cut -d' ' -f3`" != "yes" ]
		92	then
595	richard	93	if [ $Lang == "fr" ]
		94	then
		95	echo "Échec"
		96	echo "Le lien réseau de la carte $i n'est pas actif."
		97	echo "Réglez ce problème puis relancez ce script."
		98	else
		99	echo "Failed"
		100	echo "The link state of $i interface id down."
		101	echo "Resolv this problem, then restart this script."
		102	fi
29	richard	103	exit 0
		104	fi
308	richard	105	echo -n "."
29	richard	106	done
		107	# On teste la présence d'un routeur par défaut (Box FAI)
		108	if [ `/sbin/route -n\|grep -c ^0.0.0.0` -ne "1" ] ; then
595	richard	109	if [ $Lang == "fr" ]
		110	then
		111	echo "Échec"
		112	echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
		113	echo "Réglez ce problème puis relancez ce script."
		114	else
		115	echo "Failed"
		116	echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
		117	echo "Resolv this problem, then restart this script."
		118	fi
29	richard	119	exit 0
		120	fi
308	richard	121	echo -n "."
		122	# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
29	richard	123	if [ `/sbin/route -n\|grep ^0.0.0.0\|grep -c eth1` -eq "1" ] ; then
595	richard	124	if [ $Lang == "fr" ]
		125	then echo "La configuration des cartes réseau va être corrigée."
		126	else echo "The Ethernet card configuration will be corrected."
		127	fi
29	richard	128	/etc/init.d/network stop
		129	mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
		130	$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
		131	/etc/init.d/network start
		132	echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
		133	sleep 2
595	richard	134	if [ $Lang == "fr" ]
		135	then echo "Configuration corrigée"
		136	else echo "Configuration updated"
		137	fi
29	richard	138	sleep 2
595	richard	139	if [ $Lang == "fr" ]
		140	then echo "Vous pouvez relancer ce script."
		141	else echo "You can restart this script."
		142	fi
29	richard	143	exit 0
		144	fi
308	richard	145	echo -n "."
		146	# On test le lien vers le routeur par default
		147	IP_GW=`ip route list\|grep ^default\|cut -d" " -f3`
		148	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW\|grep response\|cut -d" " -f2`
527	richard	149	if [ $(expr $arp_reply) -eq 0 ]
308	richard	150	then
595	richard	151	if [ $Lang == "fr" ]
		152	then
		153	echo "Échec"
		154	echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
		155	echo "Réglez ce problème puis relancez ce script."
		156	else
		157	echo "Failed"
		158	echo "The Internet gateway doesn't answered"
		159	echo "Resolv this problem, then restart this script."
		160	fi
308	richard	161	exit 0
		162	fi
		163	echo -n "."
421	franck	164	# On teste la connectivité Internet
29	richard	165	rm -rf /tmp/con_ok.html
308	richard	166	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
29	richard	167	if [ ! -e /tmp/con_ok.html ]
		168	then
595	richard	169	if [ $Lang == "fr" ]
		170	then
		171	echo "La tentative de connexion vers Internet a échoué (google.fr)."
		172	echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
		173	echo "Vérifiez la validité des adresses IP des DNS."
		174	else
		175	echo "The Internet connection try failed (google.fr)."
		176	echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
		177	echo "Verify the DNS IP addresses"
		178	fi
29	richard	179	exit 0
		180	fi
		181	rm -rf /tmp/con_ok.html
308	richard	182	echo ". : ok"
302	richard	183	} # end of testing
		184
		185	##################################################################
		186	## Fonction INIT ##
		187	## - Création du fichier "/root/ALCASAR_parametres.txt" ##
		188	## - Installation et modification des scripts du portail ##
		189	##################################################################
		190	init ()
		191	{
527	richard	192	if [ "$mode" != "update" ]
302	richard	193	then
		194	# On affecte le nom d'organisme
597	richard	195	header_install
302	richard	196	ORGANISME=!
		197	PTN='^[a-zA-Z0-9-]*$'
580	richard	198	until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
302	richard	199	do
595	richard	200	if [ $Lang == "fr" ]
597	richard	201	then echo -n "Entrez le nom de votre organisme : "
		202	else echo -n "Enter the name of your organism : "
595	richard	203	fi
330	franck	204	read ORGANISME
613	richard	205	if [ "$ORGANISME" == "" ]
330	franck	206	then
		207	ORGANISME=!
		208	fi
		209	done
302	richard	210	fi
1	root	211	# On crée aléatoirement les mots de passe et les secrets partagés
628	richard	212	rm -f $PASSWD_FILE
59	richard	213	grubpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de protection du menu Grub
628	richard	214	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
		215	echo "$grubpwd" >> $PASSWD_FILE
59	richard	216	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
384	richard	217	$SED "/^password.*/d" /boot/grub/menu.lst
		218	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1	root	219	mysqlpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'administrateur Mysqld
628	richard	220	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
		221	echo "root / $mysqlpwd" >> $PASSWD_FILE
1	root	222	radiuspwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
628	richard	223	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
		224	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
1	root	225	secretuam=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre intercept.php et coova-chilli
628	richard	226	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
		227	echo "$secretuam" >> $PASSWD_FILE
1	root	228	secretradius=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre coova-chilli et FreeRadius
628	richard	229	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
		230	echo "$secretradius" >> $PASSWD_FILE
		231	chmod 640 $PASSWD_FILE
453	franck	232	# On installe les scripts et fichiers de configuration d'ALCASAR
		233	# - dans /usr/local/bin : alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}
5	franck	234	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
453	franck	235	# - dans /usr/local/sbin : alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
5	franck	236	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
453	franck	237	# - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
5	franck	238	cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1	root	239	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
		240	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5	franck	241	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
		242	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
628	richard	243	# generate central conf file
		244	cat <<EOF > $CONF_FILE
612	richard	245	##########################################
		246	## ##
		247	## ALCASAR Parameters ##
		248	## ##
		249	##########################################
1	root	250
612	richard	251	INSTALL_DATE=$DATE
		252	VERSION=$VERSION
		253	ORGANISM=$ORGANISME
		254	EOF
628	richard	255	chmod o-rwx $CONF_FILE
1	root	256	} # End of init ()
		257
		258	##################################################################
		259	## Fonction network ##
		260	## - Définition du plan d'adressage du réseau de consultation ##
595	richard	261	## - Nommage DNS du système ##
1	root	262	## - Configuration de l'interface eth1 (réseau de consultation) ##
		263	## - Modification du fichier /etc/hosts ##
		264	## - Configuration du serveur de temps (NTP) ##
		265	## - Renseignement des fichiers hosts.allow et hosts.deny ##
		266	##################################################################
		267	network ()
		268	{
		269	header_install
595	richard	270	if [ $Lang == "fr" ]
597	richard	271	then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
		272	else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
595	richard	273	fi
1	root	274	response=0
595	richard	275	PTN='^[oOyYnN]$'
580	richard	276	until [[ $(expr $response : $PTN) -gt 0 ]]
1	root	277	do
595	richard	278	if [ $Lang == "fr" ]
618	richard	279	then echo -n "Voulez-vous utiliser cette addresse et ce plan d'adressage (recommandé) (O/n)? : "
		280	else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
595	richard	281	fi
1	root	282	read response
		283	done
		284	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		285	then
597	richard	286	PRIVATE_IP_MASK="0"
1	root	287	PTN='^$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$/[012]\?[[:digit:]]$'
597	richard	288	until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
1	root	289	do
595	richard	290	if [ $Lang == "fr" ]
597	richard	291	then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
		292	else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
595	richard	293	fi
597	richard	294	read PRIVATE_IP_MASK
1	root	295
		296	done
595	richard	297	else
597	richard	298	PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
1	root	299	fi
595	richard	300	# Définition de la config réseau côté "LAN de consultation"
1	root	301	hostname $HOSTNAME
607	richard	302	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK \| cut -d"=" -f2` # @ réseau de consultation (ex.: 192.168.182.0)
		303	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK \| cut -d"=" -f2` # masque réseau de consultation (ex.: 255.255.255.0)
		304	PRIVATE_IP=`echo $PRIVATE_IP_MASK \| cut -d"/" -f1` # @ip du portail (côté réseau de consultation)
		305	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK \|cut -d"=" -f2` # prefixe du réseau (ex. 24)
		306	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix # @ + masque du réseau de consult (192.168.182.0/24)
		307	classe=$((private_prefix/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2` # classes de réseau (ex.: 2=classe B, 3=classe C)
		308	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`. # @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
		309	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # @ broadcast réseau de consultation (ex.: 192.168.182.255)
		310	tmp_mask=`echo $PRIVATE_NETWORK_MASK\|cut -d"/" -f2`; half_mask=`expr $tmp_mask + 1` # masque du 1/2 réseau de consultation (ex.: 25)
		311	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$half_mask # plage des adresses statiques (ex.: 192.168.182.0/25)
		312	private_network_ending=`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup` # dernier octet de l'@ de réseau
		313	private_broadcast_ending=`echo $PRIVATE_BROADCAST \| cut -d"." -f$classe_sup` # dernier octet de l'@ de broadcast
		314	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
		315	private_half_plage=`expr $private_plage / 2`
		316	private_dyn=`expr $private_half_plage + $private_network_ending`
		317	private_dyn_ip_network=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup_sup-5`
		318	PRIVATE_DYN_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-4`/$half_mask # @ réseau (CIDR) de la plage des adresses dynamiques (ex.: 192.168.182.128/25)
		319	private_dyn_ip_ending=`echo $private_dyn_ip_network \| cut -d"." -f4`
		320	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-3`"."`expr $private_dyn_ip_ending + 1` # 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
		321	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST \| cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1` # dernière adresse de la plage dynamique (ex.: 192.168.182.254)
14	richard	322	# Récupération de la config réseau côté "Internet"
		323	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] \|\| cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
597	richard	324	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip du portail (côté Internet)
14	richard	325	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 1er DNS
		326	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 2ème DNS
70	franck	327	DNS1=${DNS1:=208.67.220.220}
		328	DNS2=${DNS2:=208.67.222.222}
597	richard	329	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
		330	PUBLIC_PREFIX=`/bin/ipcalc -p $PUBLIC_IP $PUBLIC_NETMASK \|cut -d"=" -f2` # prefixe du réseau (ex. 24)
		331	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
628	richard	332	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
		333	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE
		334	echo "DNS1=$DNS1" >> $CONF_FILE
		335	echo "DNS2=$DNS2" >> $CONF_FILE
		336	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
		337	echo "DHCP=on" >> $CONF_FILE
		338	echo "DHCP_FIRST=$PRIVATE_DYN_FIRST_IP" >> $CONF_FILE
		339	echo "DHCP_LAST=$PRIVATE_DYN_LAST_IP" >> $CONF_FILE
597	richard	340	[ -e /etc/sysconfig/network.default ] \|\| cp /etc/sysconfig/network /etc/sysconfig/network.default
14	richard	341	# Configuration réseau
1	root	342	cat <<EOF > /etc/sysconfig/network
		343	NETWORKING=yes
		344	HOSTNAME="$HOSTNAME"
		345	FORWARD_IPV4=true
		346	EOF
		347	# Modif /etc/hosts
		348	[ -e /etc/hosts.default ] \|\| cp /etc/hosts /etc/hosts.default
		349	cat <<EOF > /etc/hosts
503	richard	350	127.0.0.1 localhost
		351	$PRIVATE_IP $HOSTNAME
1	root	352	EOF
14	richard	353	# Configuration de l'interface eth0 (Internet)
		354	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
		355	DEVICE=$EXTIF
		356	BOOTPROTO=static
597	richard	357	IPADDR=$PUBLIC_IP
		358	NETMASK=$PUBLIC_NETMASK
		359	GATEWAY=$PUBLIC_GATEWAY
14	richard	360	DNS1=127.0.0.1
		361	ONBOOT=yes
		362	METRIC=10
		363	NOZEROCONF=yes
		364	MII_NOT_SUPPORTED=yes
		365	IPV6INIT=no
		366	IPV6TO4INIT=no
		367	ACCOUNTING=no
		368	USERCTL=no
		369	EOF
1	root	370	# Configuration de l'interface eth1 (réseau de consultation)
		371	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
		372	DEVICE=$INTIF
		373	BOOTPROTO=static
		374	IPADDR=$PRIVATE_IP
604	richard	375	NETMASK=$PRIVATE_NETMASK
1	root	376	ONBOOT=yes
		377	METRIC=10
		378	NOZEROCONF=yes
		379	MII_NOT_SUPPORTED=yes
14	richard	380	IPV6INIT=no
		381	IPV6TO4INIT=no
		382	ACCOUNTING=no
		383	USERCTL=no
1	root	384	EOF
440	franck	385	# Mise à l'heure du serveur
		386	[ -e /etc/ntp/step-tickers.default ] \|\| cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
		387	cat <<EOF > /etc/ntp/step-tickers
455	franck	388	0.fr.pool.ntp.org # adapt to your country
		389	1.fr.pool.ntp.org
		390	2.fr.pool.ntp.org
440	franck	391	EOF
		392	# Configuration du serveur de temps (sur lui même)
1	root	393	[ -e /etc/ntp.conf.default ] \|\| cp /etc/ntp.conf /etc/ntp.conf.default
		394	cat <<EOF > /etc/ntp.conf
456	franck	395	server 0.fr.pool.ntp.org # adapt to your country
447	franck	396	server 1.fr.pool.ntp.org
		397	server 2.fr.pool.ntp.org
		398	server 127.127.1.0 # local clock si NTP internet indisponible ...
411	richard	399	fudge 127.127.1.0 stratum 10
604	richard	400	restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
1	root	401	restrict 127.0.0.1
310	richard	402	driftfile /var/lib/ntp/drift
1	root	403	logfile /var/log/ntp.log
		404	EOF
440	franck	405
310	richard	406	chown -R ntp:ntp /var/lib/ntp
1	root	407	# Renseignement des fichiers hosts.allow et hosts.deny
		408	[ -e /etc/hosts.allow.default ] \|\| cp /etc/hosts.allow /etc/hosts.allow.default
		409	cat <<EOF > /etc/hosts.allow
		410	ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
604	richard	411	sshd: ALL
1	root	412	ntpd: $PRIVATE_NETWORK_SHORT
		413	EOF
		414	[ -e /etc/host.deny.default ] \|\| cp /etc/hosts.deny /etc/hosts.deny.default
		415	cat <<EOF > /etc/hosts.deny
		416	ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" \| /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
		417	EOF
604	richard	418	# Firewall config
		419	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		420	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		421	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
		422	# création du fichier d'exception au filtrage
		423	touch $DIR_DEST_ETC/alcasar-filter-exceptions
		424	# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
1	root	425	} # End of network ()
		426
		427	##################################################################
		428	## Fonction gestion ##
		429	## - installation du centre de gestion ##
		430	## - configuration du serveur web (Apache) ##
		431	## - définition du 1er comptes de gestion ##
		432	## - sécurisation des accès ##
		433	##################################################################
		434	gestion()
		435	{
		436	# Suppression des CGI et des pages WEB installés par défaut
		437	rm -rf /var/www/cgi-bin/*
		438	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
		439	mkdir $DIR_WEB
		440	# Copie et configuration des fichiers du centre de gestion
316	richard	441	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
1	root	442	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
316	richard	443	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
		444	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		445	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		446	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
498	richard	447	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
316	richard	448	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
5	franck	449	chown -R apache:apache $DIR_WEB/*
1	root	450	for i in ISO base logs/firewall logs/httpd logs/squid ;
		451	do
		452	[ -d $DIR_SAVE/$i ] \|\| mkdir -p $DIR_SAVE/$i
		453	done
5	franck	454	chown -R root:apache $DIR_SAVE
71	richard	455	# Configuration et sécurisation php
		456	[ -e /etc/php.ini.default ] \|\| cp /etc/php.ini /etc/php.ini.default
534	richard	457	timezone=`cat /etc/sysconfig/clock\|grep ZONE\|cut -d"=" -f2`
		458	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
411	richard	459	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
		460	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
71	richard	461	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
		462	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
		463	# Configuration et sécurisation Apache
1	root	464	[ -e /etc/httpd/conf/httpd.conf.default ] \|\| cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
580	richard	465	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
303	richard	466	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
1	root	467	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
		468	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
		469	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
		470	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
		471	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
		472	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
		473	[ -e /var/www/error/include/bottom.html.default ] \|\| mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
		474	cat <<EOF > /var/www/error/include/bottom.html
		475	</body>
		476	</html>
		477	EOF
		478	# Définition du premier compte lié au profil 'admin'
509	richard	479	header_install
510	richard	480	if [ "$mode" = "install" ]
		481	then
613	richard	482	admin_portal=!
		483	PTN='^[a-zA-Z0-9-]*$'
		484	until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
		485	do
		486	header_install
		487	if [ $Lang == "fr" ]
		488	then
		489	echo ""
		490	echo "Définissez un premier compte d'administration du portail :"
		491	echo
		492	echo -n "Nom : "
		493	else
		494	echo ""
		495	echo "Define the first account allow to administrate the portal :"
		496	echo
		497	echo -n "Account : "
		498	fi
		499	read admin_portal
		500	if [ "$admin_portal" == "" ]
		501	then
		502	admin_portal=!
		503	fi
		504	done
1	root	505	# Création du fichier de clés de ce compte dans le profil "admin"
510	richard	506	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		507	mkdir -p $DIR_DEST_ETC/digest
		508	chmod 755 $DIR_DEST_ETC/digest
		509	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		510	do
613	richard	511	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	512	done
		513	$DIR_DEST_SBIN/alcasar-profil.sh --list
595	richard	514	else # mise à jour des versions < 2.1
510	richard	515	if ([ $MAJ_RUNNING_VERSION -lt 2 ] \|\| ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
		516	then
613	richard	517	if [ $Lang == "fr" ]
		518	then
		519	echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
		520	echo
		521	echo -n "Nom : "
		522	else
		523	echo "This update need to redefine the first admin account"
		524	echo
		525	echo -n "Account : "
		526	fi
		527	read admin_portal
510	richard	528	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		529	mkdir -p $DIR_DEST_ETC/digest
		530	chmod 755 $DIR_DEST_ETC/digest
		531	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		532	do
613	richard	533	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	534	done
		535	$DIR_DEST_SBIN/alcasar-profil.sh --list
		536	fi
		537	fi
434	richard	538	# synchronisation horaire
		539	ntpd -q -g &
1	root	540	# Sécurisation du centre
		541	rm -f /etc/httpd/conf/webapps.d/*
		542	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	543	<Directory $DIR_ACC>
1	root	544	SSLRequireSSL
		545	AllowOverride None
		546	Order deny,allow
		547	Deny from all
		548	Allow from 127.0.0.1
		549	Allow from $PRIVATE_NETWORK_MASK
		550	require valid-user
		551	AuthType digest
		552	AuthName $HOSTNAME
		553	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	554	AuthUserFile $DIR_DEST_ETC/digest/key_all
580	richard	555	ErrorDocument 404 https://$HOSTNAME/
1	root	556	</Directory>
316	richard	557	<Directory $DIR_ACC/admin>
1	root	558	SSLRequireSSL
		559	AllowOverride None
		560	Order deny,allow
		561	Deny from all
		562	Allow from 127.0.0.1
		563	Allow from $PRIVATE_NETWORK_MASK
		564	require valid-user
		565	AuthType digest
		566	AuthName $HOSTNAME
		567	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	568	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	569	ErrorDocument 404 https://$HOSTNAME/
1	root	570	</Directory>
344	richard	571	<Directory $DIR_ACC/manager>
1	root	572	SSLRequireSSL
		573	AllowOverride None
		574	Order deny,allow
		575	Deny from all
		576	Allow from 127.0.0.1
		577	Allow from $PRIVATE_NETWORK_MASK
		578	require valid-user
		579	AuthType digest
		580	AuthName $HOSTNAME
		581	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	582	AuthUserFile $DIR_DEST_ETC/digest/key_manager
580	richard	583	ErrorDocument 404 https://$HOSTNAME/
1	root	584	</Directory>
316	richard	585	<Directory $DIR_ACC/backup>
		586	SSLRequireSSL
		587	AllowOverride None
		588	Order deny,allow
		589	Deny from all
		590	Allow from 127.0.0.1
		591	Allow from $PRIVATE_NETWORK_MASK
		592	require valid-user
		593	AuthType digest
		594	AuthName $HOSTNAME
		595	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	596	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580	richard	597	ErrorDocument 404 https://$HOSTNAME/
316	richard	598	</Directory>
1	root	599	Alias /save/ "$DIR_SAVE/"
		600	<Directory $DIR_SAVE>
		601	SSLRequireSSL
		602	Options Indexes
		603	Order deny,allow
		604	Deny from all
		605	Allow from 127.0.0.1
		606	Allow from $PRIVATE_NETWORK_MASK
		607	require valid-user
		608	AuthType digest
		609	AuthName $HOSTNAME
434	richard	610	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580	richard	611	ErrorDocument 404 https://$HOSTNAME/
1	root	612	ReadmeName /readmeSave.html
		613	</Directory>
		614	EOF
		615	} # End of gestion ()
		616
		617	##########################################################################################
		618	## Fonction AC() ##
		619	## - Création d'une Autorité de Certification et du certificat serveur pour apache ##
		620	##########################################################################################
		621	AC ()
		622	{
		623	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
510	richard	624	$DIR_DEST_BIN/alcasar-CA.sh
303	richard	625	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name default_ssl`
		626	[ -e /etc/httpd/conf/vhosts-ssl.default ] \|\| cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
		627	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
		628	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
5	franck	629	chown -R root:apache /etc/pki
1	root	630	chmod -R 750 /etc/pki
		631	} # End AC ()
		632
		633	##########################################################################################
		634	## Fonction init_db() ##
		635	## - Initialisation de la base Mysql ##
		636	## - Affectation du mot de passe de l'administrateur (root) ##
		637	## - Suppression des bases et des utilisateurs superflus ##
		638	## - Création de la base 'radius' ##
		639	## - Installation du schéma de cette base ##
		640	## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo) ##
		641	## ces table proviennent de 'dialupadmin' (paquetage freeradius-web) ##
		642	##########################################################################################
		643	init_db ()
		644	{
		645	mkdir -p /var/lib/mysql/.tmp
		646	chown mysql:mysql /var/lib/mysql/.tmp
227	franck	647	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf # prend en compte les migrations de MySQL
1	root	648	[ -e /etc/my.cnf.default ] \|\| cp /etc/my.cnf /etc/my.cnf.default
		649	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
		650	/etc/init.d/mysqld start
		651	sleep 4
		652	mysqladmin -u root password $mysqlpwd
		653	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615	richard	654	# Delete exemple databases if exist
1	root	655	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;"
615	richard	656	# Create 'radius' database
1	root	657	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
615	richard	658	# Add an empty radius database structure
364	franck	659	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
615	richard	660	# modify the start script in order to close accounting connexion when the system is comming down or up
		661	[ -e /etc/init.d/mysqld.default ] \|\| cp /etc/init.d/mysqld /etc/init.d/mysqld.default
		662	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
		663	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
1	root	664	} # End init_db ()
		665
		666	##########################################################################
		667	## Fonction param_radius ##
		668	## - Paramètrage des fichiers de configuration FreeRadius ##
		669	## - Affectation du secret partagé entre coova-chilli et freeradius ##
		670	## - Modification de fichier de conf pour l'accès à Mysql ##
		671	##########################################################################
		672	param_radius ()
		673	{
		674	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
		675	chown -R radius:radius /etc/raddb
		676	[ -e /etc/raddb/radiusd.conf.default ] \|\| cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
		677	# paramètrage radius.conf
		678	$SED "s?^[\t ]#[\t ]user =.*?user = radius?g" /etc/raddb/radiusd.conf
		679	$SED "s?^[\t ]#[\t ]group =.*?group = radius?g" /etc/raddb/radiusd.conf
		680	$SED "s?^[\t ]status_server =.?status_server = no?g" /etc/raddb/radiusd.conf
		681	# suppression de la fonction proxy
		682	$SED "s?^[\t ]proxy_requests.?proxy_requests = no?g" /etc/raddb/radiusd.conf
		683	$SED "s?^[\t ]\$INCLUDE proxy.conf.?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
		684	# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
		685	$SED "s?^[\t ]ipaddr =.?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
		686	# prise en compte du module SQL et des compteurs SQL
		687	$SED "s?^[\t ]#[\t ]\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
		688	$SED "s?^[\t ]#[\t ]\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
		689	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
		690	# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
		691	rm -f /etc/raddb/sites-enabled/*
		692	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
		693	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
		694	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
		695	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
		696	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
384	richard	697	# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
1	root	698	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
		699	# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
		700	[ -e /etc/raddb/clients.conf.default ] \|\| cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
		701	cat << EOF > /etc/raddb/clients.conf
		702	client 127.0.0.1 {
		703	secret = $secretradius
		704	shortname = localhost
		705	}
		706	EOF
		707	# modif sql.conf
		708	[ -e /etc/raddb/sql.conf.default ] \|\| cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
		709	$SED "s?^[\t ]login =.?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
		710	$SED "s?^[\t ]password =.?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
		711	$SED "s?^[\t ]radius_db =.?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
		712	$SED "s?^[\t ]sqltrace =.?sqltrace = no?g" /etc/raddb/sql.conf
		713	# modif dialup.conf
		714	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] \|\| cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
		715	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
		716	} # End param_radius ()
		717
		718	##########################################################################
		719	## Fonction param_web_radius ##
		720	## - Import, modification et paramètrage de l'interface "dialupadmin" ##
		721	## - Création du lien vers la page de changement de mot de passe ##
		722	##########################################################################
		723	param_web_radius ()
		724	{
		725	# copie de l'interface d'origine dans la structure Alcasar
316	richard	726	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
		727	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme
		728	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
344	richard	729	# copie des fichiers modifiés
		730	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
316	richard	731	chown -R apache:apache $DIR_ACC/manager/
344	richard	732	# Modification des fichiers de configuration
1	root	733	[ -e /etc/freeradius-web/admin.conf.default ] \|\| cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
503	richard	734	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
1	root	735	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
		736	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
		737	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
		738	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
		739	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
		740	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
		741	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
582	richard	742	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
344	richard	743	[ -e /etc/freeradius-web/config.php.default ] \|\| cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
		744	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
131	richard	745	cat <<EOF > /etc/freeradius-web/naslist.conf
1	root	746	nas1_name: alcasar.%{general_domain}
		747	nas1_model: Portail captif
		748	nas1_ip: $PRIVATE_IP
		749	nas1_port_num: 0
		750	nas1_community: public
		751	EOF
		752	# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
		753	[ -e /etc/freeradius-web/user_edit.attrs.default ] \|\| mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
		754	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
114	richard	755	# Ajout du mappage des attributs chillispot
		756	[ -e /etc/freeradius-web/sql.attrmap.default ] \|\| mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
		757	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
1	root	758	# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
		759	[ -e /etc/freeradius-web/sql.attrs.default ] \|\| cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
		760	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
		761	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5	franck	762	chown -R apache:apache /etc/freeradius-web
1	root	763	# Ajout de l'alias vers la page de "changement de mot de passe usager"
		764	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
344	richard	765	<Directory $DIR_WEB/pass>
1	root	766	SSLRequireSSL
		767	AllowOverride None
		768	Order deny,allow
		769	Deny from all
		770	Allow from 127.0.0.1
		771	Allow from $PRIVATE_NETWORK_MASK
580	richard	772	ErrorDocument 404 https://$HOSTNAME
1	root	773	</Directory>
		774	EOF
		775	} # End of param_web_radius ()
		776
346	richard	777	##########################################################################################
		778	## Fonction param_chilli ##
		779	## - Paramètrage du fichier d'initialisation et de configuration de coova-chilli ##
		780	## - Paramètrage de la page d'authentification (intercept.php) ##
		781	##########################################################################################
1	root	782	param_chilli ()
		783	{
461	richard	784	# modification du fichier d'initialisation
		785	[ -e /etc/init.d/chilli.default ] \|\| cp /etc/init.d/chilli /etc/init.d/chilli.default
		786	# configuration d'eth1 (utile pour dnsmasq))
		787	$SED "s?ifconfig.*?ifconfig \$HS_LANIF $PRIVATE_IP?g" /etc/init.d/chilli
		788	# ajout de la fonction 'status' (utile pour la gestion du process)
		789	$SED "/^.*functions/i. /etc/init.d/functions" /etc/init.d/chilli
		790	$SED "/^[\t ]*stop)/i\ status)\n status chilli\n RETVAL=$?\n ;;\n" /etc/init.d/chilli
		791	# insertion d'une tempo sur le 'restart' pour permettre à tun0 d'être libérée
		792	$SED "/^[\t ]*\$0 start/i\ sleep 2" /etc/init.d/chilli
		793	# suppression des fonctions 'writeconfig' et 'radiusconfig'
		794	$SED "/writeconfig/d" /etc/init.d/chilli
		795	$SED "/radiusconfig/d" /etc/init.d/chilli
		796	# suppression de warning disgracieux
		797	$SED "s?which start-stop-daemon?which start-stop-daemon 2>/dev/null?g" /etc/init.d/chilli
1	root	798	# création du fichier de conf
346	richard	799	[ -e /etc/chilli.conf.default ] \|\| cp /etc/chilli.conf /etc/chilli.conf.default
		800	cat <<EOF > /etc/chilli.conf
		801	# coova config for ALCASAR
		802	cmdsocket /var/run/chilli.sock
		803	unixipc chilli.eth1.ipc
		804	pidfile /var/run/chilli.eth1.pid
		805	net $PRIVATE_NETWORK_MASK
595	richard	806	dhcpif $INTIF
		807	#nodynip
607	richard	808	dynip $PRIVATE_DYN_IP
		809	statip $PRIVATE_STAT_IP
595	richard	810	ethers $DIR_DEST_ETC/alcasar-ethers
346	richard	811	domain localdomain
355	richard	812	dns1 $PRIVATE_IP
		813	dns2 $PRIVATE_IP
346	richard	814	uamlisten $PRIVATE_IP
503	richard	815	uamport 3990
346	richard	816	macallowlocal
		817	locationname $HOSTNAME
		818	radiusserver1 127.0.0.1
		819	radiusserver2 127.0.0.1
		820	radiussecret $secretradius
		821	radiusauthport 1812
		822	radiusacctport 1813
467	richard	823	uamserver https://$HOSTNAME/intercept.php
346	richard	824	radiusnasid $HOSTNAME
		825	uamsecret $secretuam
		826	coaport 3799
503	richard	827	include $DIR_DEST_ETC/alcasar-uamallowed
		828	include $DIR_DEST_ETC/alcasar-uamdomain
		829	include $DIR_DEST_ETC/alcasar-macallowed
346	richard	830	EOF
605	richard	831	# création du fichier d'allocation d'adresses IP statiques
		832	touch $DIR_DEST_ETC/alcasar-ethers
1	root	833	# création des fichiers de sites, d'urls et d'adresses MAC de confiance
613	richard	834	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
503	richard	835	chown root:apache $DIR_DEST_ETC/alcasar-*
		836	chmod 660 $DIR_DEST_ETC/alcasar-*
		837	# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
526	stephane	838	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
		839	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
		840	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
1	root	841	} # End of param_chilli ()
		842
		843	##########################################################
		844	## Fonction param_squid ##
		845	## - Paramètrage du proxy 'squid' en mode 'cache' ##
		846	## - Initialisation de la base de données ##
		847	##########################################################
		848	param_squid ()
		849	{
		850	# paramètrage de Squid (connecté en série derrière Dansguardian)
		851	[ -e /etc/squid/squid.conf.default ] \|\| cp /etc/squid/squid.conf /etc/squid/squid.conf.default
		852	# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
		853	$SED "/^acl localnet/d" /etc/squid/squid.conf
		854	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
		855	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
		856	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
		857	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
		858	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
		859	# mode 'proxy transparent local'
595	richard	860	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
405	franck	861	# emplacement et formatage standard des logs
419	franck	862	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
		863	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Ag' >> /etc/squid/squid.conf
405	franck	864	echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
1	root	865	# compatibilité des logs avec awstats
315	richard	866	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
313	richard	867	# pour éviter les message d'erreur lors des changement d'état des interfaces réseaux
		868	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
1	root	869	# Initialisation du cache de Squid
		870	/usr/sbin/squid -z
		871	} # End of param_squid ()
		872
		873	##################################################################
		874	## Fonction param_dansguardian ##
		875	## - Paramètrage du gestionnaire de contenu Dansguardian ##
		876	##################################################################
		877	param_dansguardian ()
		878	{
497	richard	879	DIR_DG="/etc/dansguardian"
1	root	880	mkdir /var/dansguardian
		881	chown dansguardian /var/dansguardian
497	richard	882	[ -e $DIR_DG/dansguardian.conf.default ] \|\| cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
307	richard	883	# Le filtrage est désactivé par défaut
497	richard	884	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1	root	885	# la page d'interception est en français
497	richard	886	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1	root	887	# on limite l'écoute de Dansguardian côté LAN
497	richard	888	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
75	richard	889	# on chaîne Dansguardian au proxy antivirus HAVP
497	richard	890	$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
1	root	891	# on remplace la page d'interception (template)
		892	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
		893	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
		894	# on ne loggue que les deny (pour le reste, on a squid)
497	richard	895	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
1	root	896	# on désactive par défaut le controle de contenu des pages html
497	richard	897	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
		898	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
		899	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1	root	900	# on désactive par défaut le contrôle d'URL par expressions régulières
497	richard	901	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
		902	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1	root	903	# on désactive par défaut le contrôle de téléchargement de fichiers
497	richard	904	[ -e $DIR_DG/dansguardianf1.conf.default ] \|\| cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
		905	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
		906	[ -e $DIR_DG/lists/bannedextensionlist.default ] \|\| mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
		907	[ -e $DIR_DG/lists/bannedmimetypelist.default ] \|\| mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
		908	touch $DIR_DG/lists/bannedextensionlist
		909	touch $DIR_DG/lists/bannedmimetypelist
		910	# 'Safesearch' regex actualisation
498	richard	911	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
497	richard	912	# empty LAN IP list that won't be WEB filtered
		913	[ -e $DIR_DG/lists/exceptioniplist.default ] \|\| mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
		914	touch $DIR_DG/lists/exceptioniplist
		915	# Keep a copy of URL & domain filter configuration files
		916	[ -e $DIR_DG/lists/bannedsitelist.default ] \|\| mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
		917	[ -e $DIR_DG/lists/bannedurllist.default ] \|\| mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1	root	918	} # End of param_dansguardian ()
		919
71	richard	920	##################################################################
		921	## Fonction antivirus ##
479	richard	922	## - configuration havp + libclamav ##
71	richard	923	##################################################################
		924	antivirus ()
		925	{
288	richard	926	# création de l'usager 'havp'
		927	havp_exist=`grep havp /etc/passwd\|wc -l`
307	richard	928	if [ "$havp_exist" == "1" ]
288	richard	929	then
478	richard	930	userdel -r havp 2>/dev/null
288	richard	931	fi
307	richard	932	groupadd -f havp
478	richard	933	useradd -M -g havp havp
476	richard	934	mkdir -p /var/tmp/havp /var/log/havp
		935	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
307	richard	936	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
109	richard	937	# configuration d'HAVP
		938	[ -e /etc/havp/havp.config.default ] \|\| cp /etc/havp/havp.config /etc/havp/havp.config.default
		939	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
		940	$SED "s?^# PARENTPROXY.*?PARENTPROXY 127.0.0.1?g" /etc/havp/havp.config
		941	$SED "s?^# PARENTPORT.*?PARENTPORT 3128?g" /etc/havp/havp.config
		942	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config
		943	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config
		944	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config
315	richard	945	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config
481	franck	946	# remplacement du fichier d'initialisation
335	richard	947	[ -e /etc/init.d/havp.default ] \|\| cp /etc/init.d/havp /etc/init.d/havp.default
481	franck	948	cp -f $DIR_CONF/havp-init /etc/init.d/havp
340	richard	949	# on remplace la page d'interception (template)
		950	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
		951	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
489	richard	952	# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
		953	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
		954	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
589	richard	955	# on supprime les fichiers '*.cld' (cas d'une mise à jour)
		956	rm -f /var/lib/clamav/*.cld
71	richard	957	}
		958
1	root	959	##################################################################################
476	richard	960	## param_ulogd function ##
		961	## - Ulog config for multi-log files ##
		962	##################################################################################
		963	param_ulogd ()
		964	{
		965	# Three instances of ulogd (three different logfiles)
		966	[ -d /var/log/firewall ] \|\| mkdir -p /var/log/firewall
478	richard	967	nl=1
		968	for log_type in tracability ssh ext-access
		969	do
		970	[ -e /var/log/firewall/$log_type.log ] \|\| touch /var/log/firewall/$log_type.log
		971	cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
		972	$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf
		973	$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
		974	cat << EOF >> /etc/ulogd-$log_type.conf
		975	[LOGEMU]
		976	file="/var/log/firewall/$log_type.log"
		977	sync=1
		978	EOF
		979	nl=`expr $nl + 1`
		980	done
476	richard	981	chown -R root:apache /var/log/firewall
		982	chmod 750 /var/log/firewall
		983	chmod 640 /var/log/firewall/*
		984	[ -e /etc/init.d/ulogd.default ] \|\| cp /etc/init.d/ulogd /etc/init.d/ulogd.default
		985	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
		986	} # End of param_ulogd ()
		987
		988	##################################################################################
1	root	989	## Fonction param_awstats ##
		990	## - configuration de l'interface des logs de consultation WEB (AWSTAT) ##
		991	##################################################################################
		992	param_awstats()
		993	{
316	richard	994	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
		995	chown -R apache:apache $DIR_ACC/awstats
1	root	996	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
		997	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
		998	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
		999	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
		1000	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
		1001	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
344	richard	1002	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
		1003	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1	root	1004	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
		1005	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59	richard	1006	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
580	richard	1007	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
		1008	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1009	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1010	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
		1011	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
		1012	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
		1013	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
		1014	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
		1015	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
		1016	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
		1017	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
		1018	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
		1019	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
		1020	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
		1021	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
		1022
1	root	1023	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	1024	<Directory $DIR_ACC/awstats>
1	root	1025	SSLRequireSSL
		1026	Options ExecCGI
		1027	AddHandler cgi-script .pl
		1028	DirectoryIndex awstats.pl
		1029	Order deny,allow
		1030	Deny from all
		1031	Allow from 127.0.0.1
		1032	Allow from $PRIVATE_NETWORK_MASK
		1033	require valid-user
		1034	AuthType digest
		1035	AuthName $HOSTNAME
		1036	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	1037	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	1038	ErrorDocument 404 https://$HOSTNAME/
1	root	1039	</Directory>
		1040	SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
		1041	EOF
		1042	} # End of param_awstats ()
		1043
		1044	##########################################################
235	richard	1045	## Fonction param_dnsmasq ##
1	root	1046	##########################################################
219	jeremy	1047	param_dnsmasq ()
		1048	{
		1049	[ -d /var/log/dnsmasq ] \|\| mkdir /var/log/dnsmasq
259	richard	1050	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
503	richard	1051	[ -e /etc/dnsmasq.conf.default ] \|\| cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
520	richard	1052	# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
503	richard	1053	cat << EOF > /etc/dnsmasq.conf
520	richard	1054	# Configuration file for "dnsmasq in forward mode"
503	richard	1055	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
259	richard	1056	listen-address=$PRIVATE_IP
		1057	listen-address=127.0.0.1
286	richard	1058	no-dhcp-interface=$INTIF
259	richard	1059	bind-interfaces
		1060	cache-size=256
		1061	domain=$DOMAIN
		1062	domain-needed
		1063	expand-hosts
		1064	bogus-priv
		1065	filterwin2k
		1066	server=$DNS1
		1067	server=$DNS2
498	richard	1068	# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
604	richard	1069	dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_NETMASK,12h
259	richard	1070	#dhcp-option=3,1.2.3.4
		1071	#dhcp-option=option:router,1.2.3.4
		1072	#dhcp-option=42,0.0.0.0
		1073	#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
		1074
291	franck	1075	# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
420	franck	1076	#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
259	richard	1077	EOF
520	richard	1078	# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
		1079	cat << EOF > /etc/dnsmasq-blackhole.conf
		1080	# Configuration file for "dnsmasq with blackhole"
		1081	# Inclusion de la blacklist <domains> de Toulouse dans la configuration
		1082	conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
503	richard	1083	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
498	richard	1084	listen-address=$PRIVATE_IP
		1085	port=54
		1086	no-dhcp-interface=$INTIF
		1087	bind-interfaces
		1088	cache-size=256
		1089	domain=$DOMAIN
		1090	domain-needed
		1091	expand-hosts
		1092	bogus-priv
		1093	filterwin2k
		1094	server=$DNS1
		1095	server=$DNS2
		1096	EOF
		1097	# On crée le fichier de résolution locale
503	richard	1098	cat << EOF > $DIR_DEST_ETC/alcasar-dns-name
		1099	# Here you can define your local domain name
		1100	# use the /etc/hosts file to define your hosts name
		1101	local=/$DOMAIN/
		1102	EOF
		1103	# On modifie le fichier d'initialisattion (lancement et arret de la deuxième instance)
		1104	[ -e /etc/init.d/dnsmasq.default ] \|\| cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
520	richard	1105	$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
503	richard	1106	$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
308	richard	1107	} # End dnsmasq
		1108
		1109	##########################################################
		1110	## Fonction BL (BlackList) ##
		1111	##########################################################
		1112	BL ()
		1113	{
		1114	# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
		1115	rm -rf /etc/dansguardian/lists/blacklists
599	franck	1116	tar zxf $DIR_CONF/blacklists.tar.gz --directory=/etc/dansguardian/lists/ > /dev/null 2>&1
316	richard	1117	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
		1118	chown apache:apache $DIR_ACC/VERSION-BL
308	richard	1119	# on crée le répertoire de la BL secondaire
		1120	mkdir /etc/dansguardian/lists/blacklists/ossi
		1121	touch /etc/dansguardian/lists/blacklists/ossi/domains
		1122	touch /etc/dansguardian/lists/blacklists/ossi/urls
309	richard	1123	# On crée les fichiers vides de sites ou d'URL réhabilités
308	richard	1124	[ -e /etc/dansguardian/lists/exceptionsitelist.default ] \|\| mv /etc/dansguardian/lists/exceptionsitelist /etc/dansguardian/lists/exceptionsitelist.default
		1125	[ -e /etc/dansguardian/lists/exceptionurllist.default ] \|\| mv /etc/dansguardian/lists/exceptionurllist /etc/dansguardian/lists/exceptionurllist.default
		1126	touch /etc/dansguardian/lists/exceptionsitelist
323	richard	1127	touch /etc/dansguardian/lists/exceptionurllist
311	richard	1128	# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
		1129	cat <<EOF > /etc/dansguardian/lists/bannedurllist
		1130	# Dansguardian filter config for ALCASAR
		1131	EOF
		1132	cat <<EOF > /etc/dansguardian/lists/bannedsitelist
		1133	# Dansguardian domain filter config for ALCASAR
		1134	# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
		1135	#**
		1136	# block all SSL and CONNECT tunnels
		1137	**s
		1138	# block all SSL and CONNECT tunnels specified only as an IP
		1139	*ips
		1140	# block all sites specified only by an IP
		1141	*ip
		1142	EOF
		1143	chown -R dansguardian:apache /etc/dansguardian/
		1144	chmod -R g+rw /etc/dansguardian
304	richard	1145	# On crée la structure du DNS-blackhole :
503	richard	1146	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1147	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1148	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
308	richard	1149	# On fait pointer le black-hole sur une page interne
		1150	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
		1151	# On récupère la dernière version de la BL Toulouse
420	franck	1152	$DIR_DEST_SBIN/alcasar-bl.sh --download
308	richard	1153	}
219	jeremy	1154
1	root	1155	##########################################################
		1156	## Fonction cron ##
		1157	## - Mise en place des différents fichiers de cron ##
		1158	##########################################################
		1159	cron ()
		1160	{
		1161	# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
		1162	[ -e /etc/crontab.default ] \|\| cp /etc/crontab /etc/crontab.default
		1163	cat <<EOF > /etc/crontab
		1164	SHELL=/bin/bash
		1165	PATH=/sbin:/bin:/usr/sbin:/usr/bin
		1166	MAILTO=root
		1167	HOME=/
		1168
		1169	# run-parts
		1170	01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
		1171	02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
		1172	22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
		1173	42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
		1174	EOF
		1175	[ -e /etc/anacrontab.default ] \|\| cp /etc/anacrontab /etc/anacrontab.default
		1176	cat <<EOF >> /etc/anacrontab
		1177	7 10 cron.logExport nice /etc/cron.d/export_log
		1178	7 15 cron.logClean nice /etc/cron.d/clean_log
168	franck	1179	7 20 cron.importClean nice /etc/cron.d/clean_import
1	root	1180	EOF
		1181	# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
		1182	cat <<EOF > /etc/cron.d/clean_log
		1183	30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
		1184	EOF
		1185	# export de la base des usagers (tous les lundi à 4h45)
		1186	cat <<EOF > /etc/cron.d/mysql
		1187	45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh -dump
		1188	EOF
		1189	# export des log squid, firewall et apache (tous les lundi à 5h00)
		1190	cat <<EOF > /etc/cron.d/export_log
		1191	#!/bin/sh
		1192	00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
		1193	EOF
		1194	# mise à jour des stats de consultation WEB toutes les 30' ## existe en double pour le daily sans l'@IP
		1195	# sans mèl ( > /dev/null 2>&1)
		1196	cat << EOF > /etc/cron.d/awstats
419	franck	1197	/30 * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1	root	1198	EOF
219	jeremy	1199	# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
168	franck	1200	cat << EOF > /etc/cron.d/clean_import
503	richard	1201	30 * * * * root $DIR_DEST_BIN/alcasar-import-clean.sh
168	franck	1202	EOF
1	root	1203	# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
		1204	# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
		1205	# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct')
		1206	# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
		1207	# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
		1208	# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
		1209	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
		1210	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
		1211	rm -f /etc/cron.daily/freeradius-web
		1212	rm -f /etc/cron.monthly/freeradius-web
		1213	cat << EOF > /etc/cron.d/freeradius-web
		1214	1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
		1215	5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
		1216	10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
		1217	15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
		1218	EOF
310	richard	1219	# activation du "chien de garde" (watchdog) toutes les 3'
1	root	1220	cat << EOF > /etc/cron.d/watchdog
		1221	/3 * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
		1222	EOF
522	richard	1223	# suppression des crons usagers
		1224	rm -f /var/spool/cron/*
1	root	1225	} # End cron
		1226
		1227	##################################################################
		1228	## Fonction post_install ##
		1229	## - Modification des bannières (locales et ssh) et des prompts ##
		1230	## - Installation de la structure de chiffrement pour root ##
		1231	## - Mise en place du sudoers et de la sécurité sur les fichiers##
		1232	## - Mise en place du la rotation des logs ##
5	franck	1233	## - Configuration dans le cas d'une mise à jour ##
1	root	1234	##################################################################
		1235	post_install()
		1236	{
		1237	# adaptation du script "chien de garde" (watchdog)
376	franck	1238	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1239	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1	root	1240	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1241	# création de la bannière locale
		1242	[ -e /etc/mandriva-release.default ] \|\| cp /etc/mandriva-release /etc/mandriva-release.default
589	richard	1243	cp -f $DIR_CONF/banner /etc/mandriva-release
		1244	echo " V$VERSION" >> /etc/mandriva-release
1	root	1245	# création de la bannière SSH
		1246	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5	franck	1247	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1	root	1248	[ -e /etc/ssh/sshd_config.default ] \|\| cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
		1249	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
		1250	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
604	richard	1251	# sshd écoute côté LAN et WAN
1	root	1252	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
604	richard	1253	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config
612	richard	1254	# Put the default value in conf file (sshd, QOS, protocols filter and dns filter are off)(web antivirus is on)
1	root	1255	/sbin/chkconfig --del sshd
628	richard	1256	echo "SSH=off" >> $CONF_FILE
		1257	echo "QOS=off" >> $CONF_FILE
		1258	echo "LDAP=off" >> $CONF_FILE
		1259	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
		1260	echo "DNS_FILTERING=off" >> $CONF_FILE
		1261	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
1	root	1262	# Coloration des prompts
		1263	[ -e /etc/bashrc.default ] \|\| cp /etc/bashrc /etc/bashrc.default
5	franck	1264	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
1	root	1265	# Droits d'exécution pour utilisateur apache et sysadmin
		1266	[ -e /etc/sudoers.default ] \|\| cp /etc/sudoers /etc/sudoers.default
5	franck	1267	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
629	richard	1268	$SED "s?^Host_Alias.*?Host_Alias LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost #réseau de l'organisme?g" /etc/sudoers
132	franck	1269	# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1	root	1270	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
		1271	chmod 644 /etc/logrotate.d/*
		1272	# processus lancés par défaut au démarrage
384	richard	1273	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd mysqld dansguardian havp freshclam
1	root	1274	do
		1275	/sbin/chkconfig --add $i
		1276	done
595	richard	1277	# pour éviter les alertes de dépendance entre service.
384	richard	1278	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
497	richard	1279	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
595	richard	1280	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
		1281	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
306	richard	1282	# On affecte le niveau de sécurité du système : type "fileserver"
235	richard	1283	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
306	richard	1284	# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
235	richard	1285	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
568	richard	1286
		1287	# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
		1288	# Apply French Security Agency rules (sysctl + msec when possible)
		1289	# ignorer les broadcast ICMP. (attaque smurf)
		1290	$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
		1291	sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
		1292	# ignorer les erreurs ICMP bogus
		1293	$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
		1294	sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
595	richard	1295	# désactiver l'envoi et la réponse aux ICMP redirects
568	richard	1296	accept_redirect=`grep accept_redirect /etc/sysctl.conf\|wc -l`
		1297	if [ "$accept_redirect" == "0" ]
		1298	then
		1299	echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
		1300	fi
		1301	send_redirect=`grep send_redirect /etc/sysctl.conf\|wc -l`
		1302	if [ "$send_redirect" == "0" ]
		1303	then
		1304	echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
		1305	fi
		1306	$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
		1307	$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
		1308	sysctl -w net.ipv4.conf.all.accept_redirects=0
		1309	sysctl -w net.ipv4.conf.all.send_redirects=0
		1310	# activer les SYN Cookies (attaque syn flood)
		1311	tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf\|wc -l`
		1312	if [ "$tcp_syncookies" == "0" ]
		1313	then
		1314	echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
		1315	fi
		1316	$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
		1317	sysctl -w net.ipv4.tcp_syncookies=1
595	richard	1318	# activer l'antispoofing niveau Noyau
568	richard	1319	$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
		1320	sysctl -w net.ipv4.conf.all.rp_filter=1
		1321	# ignorer le source routing
		1322	accept_source_route=`grep accept_source_route /etc/sysctl.conf\|wc -l`
		1323	if [ "$accept_source_route" == "0" ]
		1324	then
		1325	echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
		1326	fi
		1327	$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
		1328	sysctl -w net.ipv4.conf.all.accept_source_route=0
		1329	# On supprime les log_martians (ALCASAR est souvent entre deux réseaux dont les plans d'adressage sont de type 'privée')
		1330	sysctl -w net.ipv4.conf.all.log_martians=0
		1331	$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
		1332
306	richard	1333	# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
		1334	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1	root	1335	# On mets en place la sécurité sur les fichiers
		1336	# des modif par rapport à radius update
		1337	cat <<EOF > /etc/security/msec/perm.local
		1338	/var/log/firewall/ root.apache 750
		1339	/var/log/firewall/* root.apache 640
		1340	/etc/security/msec/perm.local root.root 640
		1341	/etc/security/msec/level.local root.root 640
		1342	/etc/freeradius-web root.apache 750
		1343	/etc/freeradius-web/admin.conf root.apache 640
		1344	/etc/freeradius-web/config.php root.apache 640
		1345	/etc/raddb/dictionnary root.radius 640
		1346	/etc/raddb/ldap.attrmap root.radius 640
		1347	/etc/raddb/hints root.radius 640
		1348	/etc/raddb/huntgroups root.radius 640
		1349	/etc/raddb/attrs.access_reject root.radius 640
		1350	/etc/raddb/attrs.accounting_response root.radius 640
		1351	/etc/raddb/acct_users root.radius 640
		1352	/etc/raddb/preproxy_users root.radius 640
		1353	/etc/raddb/modules/ldap radius.apache 660
		1354	/etc/raddb/sites-available/alcasar radius.apache 660
		1355	/etc/pki/* root.apache 750
		1356	EOF
		1357	/usr/sbin/msec
59	richard	1358	# modification /etc/inittab
		1359	[ -e /etc/inittab.default ] \|\| cp /etc/inittab /etc/inittab.default
60	richard	1360	# On ne garde que 3 terminaux
59	richard	1361	$SED "s?^4.*?#&?g" /etc/inittab
		1362	$SED "s?^5.*?#&?g" /etc/inittab
		1363	$SED "s?^6.*?#&?g" /etc/inittab
470	richard	1364	# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
		1365	$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
		1366	$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
532	richard	1367	# On supprime les services et les utilisateurs inutiles
		1368	for svc in alsa sound dm atd netfs bootlogd stop-bootlogd
		1369	do
		1370	/sbin/chkconfig --del $svc
		1371	done
		1372	for rm_users in avahi-autoipd avahi icapd
		1373	do
		1374	user=`cat /etc/passwd\|grep $rm_users\|cut -d":" -f1`
		1375	if [ "$user" == "$rm_users" ]
		1376	then
		1377	/usr/sbin/userdel -f $rm_users
		1378	fi
		1379	done
628	richard	1380	# Load and update the previous conf file
5	franck	1381	if [ "$mode" = "update" ]
		1382	then
389	franck	1383	$DIR_DEST_BIN/alcasar-conf.sh --load
628	richard	1384	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
		1385	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
		1386	$SED "s?^ORGANISM=.*?ORGANISM=$ORGANISM?g" $CONF_FILE
5	franck	1387	fi
595	richard	1388	rm -f /tmp/alcasar-conf*
434	richard	1389	chown -R root:apache $DIR_DEST_ETC/*
512	richard	1390	chmod -R 660 $DIR_DEST_ETC/*
434	richard	1391	chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1	root	1392	cd $DIR_INSTALL
5	franck	1393	echo ""
1	root	1394	echo "#############################################################################"
		1395	echo "# Fin d'installation d'ALCASAR #"
		1396	echo "# #"
		1397	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1398	echo "# des Accès au Réseau ( ALCASAR ) #"
		1399	echo "# #"
		1400	echo "#############################################################################"
		1401	echo
		1402	echo "- ALCASAR sera fonctionnel après redémarrage du système"
		1403	echo
		1404	echo "- Lisez attentivement la documentation d'exploitation"
		1405	echo
		1406	echo "- L'interface de gestion est consultable à partir de n'importe quel poste"
497	richard	1407	echo " situé sur le réseau de consultation à l'URL http://alcasar"
1	root	1408	echo
		1409	echo " Appuyez sur 'Entrée' pour continuer"
		1410	read a
490	richard	1411	# On applique les règles de filtrage (et on les sauvegarde)
		1412	sh $DIR_DEST_BIN/alcasar-iptables.sh
		1413	sleep 2
1	root	1414	clear
		1415	reboot
		1416	} # End post_install ()
		1417
		1418	#################################
		1419	# Boucle principale du script #
		1420	#################################
291	franck	1421	usage="Usage: alcasar.sh {-i or --install} \| {-u or --uninstall}"
1	root	1422	nb_args=$#
		1423	args=$1
		1424	if [ $nb_args -eq 0 ]
		1425	then
		1426	nb_args=1
		1427	args="-h"
		1428	fi
		1429	case $args in
		1430	-\? \| -h* \| --h*)
		1431	echo "$usage"
		1432	exit 0
		1433	;;
291	franck	1434	-i \| --install)
5	franck	1435	header_install
29	richard	1436	testing
597	richard	1437	# Test if ALCASAR is already installed
5	franck	1438	if [ -e $DIR_WEB/VERSION ]
1	root	1439	then
460	richard	1440	actual_version=`cat $DIR_WEB/VERSION`
595	richard	1441	if [ $Lang == "fr" ]
		1442	then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
		1443	else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
		1444	fi
5	franck	1445	response=0
460	richard	1446	PTN='^[oOnNyY]$'
580	richard	1447	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1448	do
595	richard	1449	if [ $Lang == "fr" ]
		1450	then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
		1451	else echo -n "Do you want to update (Y/n)?";
		1452	fi
5	franck	1453	read response
		1454	done
597	richard	1455	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
5	franck	1456	then
597	richard	1457	rm -f /tmp/alcasar-conf*
		1458	else
510	richard	1459	RUNNING_VERSION=`cat $DIR_WEB/VERSION\|cut -d" " -f1`
		1460	MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f1`
		1461	MIN_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f2\|cut -c1`
		1462	UPD_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f3`
597	richard	1463	# Create the conf file of the running version
5	franck	1464	chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
389	franck	1465	$DIR_SCRIPTS/alcasar-conf.sh --create
532	richard	1466	mode="update"
5	franck	1467	fi
1	root	1468	fi
595	richard	1469	# RPMs install
		1470	$DIR_SCRIPTS/alcasar-urpmi.sh
		1471	if [ "$?" != "0" ]
1	root	1472	then
595	richard	1473	exit 0
		1474	fi
		1475	if [ -e $DIR_WEB/VERSION ]
		1476	then
597	richard	1477	# Uninstall the running version
532	richard	1478	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
595	richard	1479	fi
597	richard	1480	if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
595	richard	1481	then
		1482	if [ $Lang == "fr" ]
597	richard	1483	then echo -n "Le fichier de configuration d'une ancienne version a été trouvé";
		1484	else echo -n "The configuration file of an old version has been found";
595	richard	1485	fi
597	richard	1486	response=0
		1487	PTN='^[oOnNyY]$'
		1488	until [[ $(expr $response : $PTN) -gt 0 ]]
		1489	do
		1490	if [ $Lang == "fr" ]
		1491	then echo -n "Voulez-vous l'utiliser (O/n)? ";
		1492	else echo -n "Do you want to use it (Y/n)?";
		1493	fi
		1494	read response
		1495	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		1496	then rm -f /tmp/alcasar-conf*
		1497	fi
		1498	done
		1499	fi
		1500	if [ -e /tmp/alcasar-conf.tar.gz ]
		1501	then
		1502	if [ $Lang == "fr" ]
		1503	then echo "#### Installation avec mise à jour ####";
		1504	else echo "#### Installation with update ####";
		1505	fi
		1506	# Read the organism name from the conf file
503	richard	1507	tar -xvf /tmp/alcasar-conf.tar.gz conf/organisme
		1508	ORGANISME=`cat $DIR_CONF/organisme`
5	franck	1509	mode="update"
		1510	else
		1511	mode="install"
1	root	1512	fi
604	richard	1513	for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
5	franck	1514	do
		1515	$func
595	richard	1516	echo "* 'debug' : end of function $func *"; read a
14	richard	1517	done
5	franck	1518	;;
291	franck	1519	-u \| --uninstall)
5	franck	1520	if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1	root	1521	then
597	richard	1522	if [ $Lang == "fr" ]
		1523	then echo "ALCASAR n'est pas installé!";
		1524	else echo "ALCASAR isn't installed!";
		1525	fi
1	root	1526	exit 0
		1527	fi
5	franck	1528	response=0
		1529	PTN='^[oOnN]$'
580	richard	1530	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1531	do
597	richard	1532	if [ $Lang == "fr" ]
		1533	then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
		1534	else echo -n "Do you want to crate the running version configuration file (Y/n)? ";
		1535	fi
5	franck	1536	read response
		1537	done
597	richard	1538	if [ "$reponse" = "o" ] \|\| [ "$reponse" = "O" ] \|\| [ "$response" = "Y" ] \|\| [ "$response" = "y" ]
1	root	1539	then
389	franck	1540	$DIR_SCRIPT/alcasar-conf.sh --create
498	richard	1541	else
		1542	rm -f /tmp/alcasar-conf*
1	root	1543	fi
597	richard	1544	# Uninstall the running version
65	richard	1545	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1	root	1546	;;
		1547	*)
		1548	echo "Argument inconnu :$1";
460	richard	1549	echo "Unknown argument :$1";
1	root	1550	echo "$usage"
		1551	exit 1
		1552	;;
		1553	esac
10	franck	1554	# end of script
366	franck	1555

Subversion Repositories ALCASAR

(root)/alcasar.sh @ 2681 – Rev 629