Subversion Repositories ALCASAR

Rev

Rev 68 | Rev 71 | Go to most recent revision | Details | Compare with Previous | Last modification | View Log

Rev Author Line No. Line
1 root 1
#!/bin/sh
57 franck 2
#  $Id: alcasar.sh 70 2010-04-14 20:01:09Z franck $ 
1 root 3
 
4
# alcasar.sh
5
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
6
# This script is distributed under the Gnu General Public License (GPL)
7
 
8
# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
9
# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
10
 
11
# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
12
# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
5 franck 13
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, dialupadmin, awstat, ntpd, dhcpd, openssl bind and firewalleyes
1 root 14
 
15
# Options :
5 franck 16
#       -install
17
#       -uninstall
1 root 18
 
19
# Funtions :
29 richard 20
#       testing         : Tests de connectivité et de téléchargement avant installation
1 root 21
#       init            : Installation des RPM et des scripts
22
#       network         : Paramètrage du réseau
23
#       gestion         : Installation de l'interface de gestion
24
#       AC              : Initialisation de l'autorité de certification. Création des certificats
25
#       init_db         : Création de la base 'radius' sur le serveur MySql
26
#       param_radius    : Configuration du serveur d'authentification FreeRadius
27
#       param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
28
#       param_chilli    : Configuration du daemon 'coova-chilli' et de la page d'authentification
29
#       param_squid     : Configuration du proxy squid en mode 'cache'
30
#       param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
31
#       firewall        : Mise en place des règles du parefeu et de l'interface WEB FirewallEyes
32
#       param_awstats   : Configuration de l'interface des statistiques de consultation WEB
33
#       bind            : Configuration du serveur de noms
34
#       cron            : Mise en place des exports de logs (+ chiffrement)
35
 
36
 
37
VERSION="1.9a"
5 franck 38
MDV_NEEDED="2010.0"
1 root 39
DATE=`date '+%d %B %Y - %Hh%M'`
40
DATE_SHORT=`date '+%d/%m/%Y'`
41
# ******* Files parameters - paramètres fichiers *********
42
DIR_INSTALL=`pwd`                               # répertoire d'installation
43
DIR_GESTION="$DIR_INSTALL/gestion"              # répertoire d'installation contenant l'interface de gestion
44
DIR_CONF="$DIR_INSTALL/conf"                    # répertoire d'installation contenant les fichiers de configuration
45
DIR_SCRIPTS="$DIR_INSTALL/scripts"              # répertoire d'installation contenant les scripts
46
DIR_SAVE="/var/Save"                            # répertoire de sauvegarde (ISO, backup, etc.)
47
DIR_WEB="/var/www/html"                         # répertoire du centre de gestion
48
DIR_DEST_BIN="/usr/local/bin"                   # répertoire des scripts
49
DIR_DEST_SBIN="/usr/local/sbin"                 # répertoire des scripts d'admin
50
DIR_DEST_ETC="/usr/local/etc"                   # répertoire des fichiers de conf
51
FIC_PARAM="/root/ALCASAR-parameters.txt"        # fichier texte résumant les paramètres d'installation
52
FIC_PASSWD="/root/ALCASAR-passwords.txt"        # fichier texte contenant les mots de passe et secrets partagés 
53
# ******* DBMS parameters - paramètres SGBD ********
54
DB_RADIUS="radius"                              # nom de la base de données utilisée par le serveur FreeRadius
55
DB_USER="radius"                                # nom de l'utilisateur de la base de données
56
# ******* Network parameters - paramètres réseau *******
57
DOMAIN="localdomain"                            # domaine local
58
EXTIF="eth0"                                    # ETH0 est l'interface connectée à Internet (Box FAI)
59
INTIF="eth1"                                    # ETH1 est l'interface connectée au réseau local de consultation
60
CUSTOM_PRIVATE_NETWORK_MASK="192.168.182.0/24"  # adresse du réseau de consultation proposée par défaut
61
SQUID_PORT="3128"                               # Port d'écoute du proxy Squid
62
UAMPORT="3990"
63
# ****** Paths - chemin des commandes *******
64
SED="/bin/sed -i"
65
# ****** Alcasar needed RPMS - paquetages nécessaires au fonctionnement d'Alcasar ******
59 richard 66
PACKAGES="freeradius freeradius-mysql freeradius-ldap freeradius-web apache-mpm-prefork apache-mod_ssl apache-mod_php squid dansguardian postfix MySQL logwatch ntp awstats mondo cdrecord buffer vim-enhanced bind-utils wget arpscan ulogd dhcp-server openssh-server php-xml coova-chilli pam_ccreds rng-utils lsb-release bind clamav"
1 root 67
# ****************** End of global parameters *********************
68
 
69
header_install ()
70
{
71
        clear
72
        echo "-----------------------------------------------------------------------------"
73
        echo "                     Installation d'ALCASAR V$VERSION"
74
        echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
75
        echo "-----------------------------------------------------------------------------"
76
} # End of header_install ()
77
 
78
##################################################################
29 richard 79
##                      Fonction TESTING                        ##
80
## - Test de la connectivité Internet                          ##
81
## - Test la mise à jour système                              ##
82
## - Test l'installation des RPM additionnels                   ##
83
##################################################################
84
testing ()
85
{
86
        echo -n "Tests des paramètres réseau : "
87
# On teste l'état du lien des interfaces réseau
88
        for i in $EXTIF $INTIF
89
        do
90
                /sbin/ifconfig $i up
91
                sleep 2
92
                if [ "`/usr/sbin/ethtool $i|grep Link|cut -d' ' -f3`" != "yes" ]
93
                        then
94
                        echo "Échec"
95
                        echo "Le lien réseau de la carte $i n'est pas actif."
96
                        echo "Réglez ce problème avant de poursuivre l'installation d'ALCASAR."
97
                        exit 0
98
                fi
99
        done
100
# On teste la présence d'un routeur par défaut (Box FAI)
101
        if [ `/sbin/route -n|grep -c ^0.0.0.0` -ne "1" ] ; then
102
                echo "Échec"
103
                echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
104
                echo "Réglez ce problème avant de poursuivre."
105
                exit 0
106
        fi
107
# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certains BIOS et sur VirtualBox)
108
        if [ `/sbin/route -n|grep ^0.0.0.0|grep -c eth1` -eq "1" ] ; then
109
                echo "Échec. La configuration des cartes réseau va être corrigée."
110
                /etc/init.d/network stop
111
                mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
112
                $SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
113
                /etc/init.d/network start
114
                echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
115
                sleep 2
116
                echo "Configuration corrigée"
117
                sleep 2
118
                echo "Vous pouvez relancer ce script (sh alcasar.sh -install)."
119
                exit 0
120
        fi
121
# On teste la connectivité Internet
122
        rm -rf /tmp/con_ok.html
123
        /usr/bin/curl www.google.fr -# -o /tmp/con_ok.html
124
        if [ ! -e /tmp/con_ok.html ]
125
        then
126
                echo "La tentative de connexion vers Internet a échoué (google.fr)."
127
                echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
128
                echo "Vérifiez la validité des adresses DNS."
129
                exit 0
130
        fi
131
        echo "Tests de connectivité Internet corrects"
132
        rm -rf /tmp/con_ok.html
133
# On configure les dépots et on les teste 
134
        echo "Configuration des dépots de paquetages Internet (repository)"
135
        chmod u+x $DIR_SCRIPTS/alcasar-urpmi.sh
136
        $DIR_SCRIPTS/alcasar-urpmi.sh >/dev/null
137
        if [ "$?" != "0" ]
138
        then
139
                echo
140
                echo "Une erreur s'est produite lors de la synchronisation avec les dépots Internet"
141
                echo "Relancez l'installationi ultérieurement."
142
               echo "Si vous rencontrez de nouveau ce problème, changez de dépot en modifiant le fichier 'scripts/alcasar-urpmi.sh'"
143
                exit 0
144
        fi
145
# On test la mise à jour du système
146
        echo "Récupération des paquetages de mise à jour. Veullez patienter ..."
147
        urpmi --auto --auto-update --quiet --test
148
        if [ "$?" != "0" ]
149
        then
150
                echo
151
                echo "Une erreur  a été détectée lors de la récupération des paquetages de mise à jour"
152
                echo "Relancez l'installationi ultérieurement."
153
               echo "Si vous rencontrez de nouveau ce problème, changez de dépot en modifiant le fichier 'scripts/alcasar-urpmi.sh'"
154
                exit 0
155
        fi
156
# On test l'installation des paquetages complémentaires
157
        echo "Récupération des paquetages complémentaires. Veullez patienter ..."
158
        urpmi --auto $PACKAGES --quiet --test
159
        if [ "$?" != "0" ]
160
        then
161
                echo
162
                echo "Une erreur  a été détectée lors de la récupération des paquetages complémentaires"
163
                echo "Relancez l'installationi ultérieurement."
164
               echo "Si vous rencontrez de nouveau ce problème, changez de dépot en modifiant le fichier 'scripts/alcasar-urpmi.sh'"
165
                exit 0
166
        fi
167
} # end of testing
168
 
169
##################################################################
1 root 170
##                      Fonction INIT                           ##
171
## - Création du fichier "/root/ALCASAR_parametres.txt"                ##
172
## - Installation et modification des scripts du portail        ##
29 richard 173
## - Mise à jour système                                      ##
1 root 174
## - Installation des paquetages complémentaires               ##
175
##################################################################
176
init ()
177
{
5 franck 178
        if [ ! "$mode" = "update" ]
1 root 179
        then
180
                header_install
5 franck 181
# On affecte le nom d'organisme
1 root 182
                header_install
183
                ORGANISME=!
184
                PTN='^[a-zA-Z1-9-]*$'
185
                until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
186
                do
187
                        echo -n "Entrez le nom de votre organisme : "
188
                        read ORGANISME
189
                        if [ "$ORGANISME" = "" ]
190
                                then
191
                                ORGANISME=!
192
                        fi
193
                done
5 franck 194
        fi
29 richard 195
# On mets à jour le système
196
        urpmi --auto --auto-update
197
# On installe les paquetages complémentaires
198
        urpmi --auto $PACKAGES
5 franck 199
# On supprime les paquetages et les services inutiles
200
        for rm_rpm in avahi mandi shorewall-common shorewall
201
        do
202
                /usr/sbin/urpme --auto $rm_rpm
203
        done
204
        for svc in alsa sound dm atd memcached dc_server
205
        do
206
                /sbin/chkconfig --del $svc
207
        done
29 richard 208
# On installe les mises à jour spécifiques
1 root 209
        urpmi --no-verify --auto $DIR_CONF/rpms-update/*.rpm
210
# On supprime les paquetages orphelins
211
        /usr/sbin/urpme --auto-orphans --auto
29 richard 212
# On vide le répertoire temporaire
213
        urpmi --clean
1 root 214
# On crée aléatoirement les mots de passe et les secrets partagés
215
        rm -f $FIC_PASSWD
59 richard 216
        grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`        # mot de passe de protection du menu Grub
217
        echo -n "mot de passe de protection du menu de démarrage (GRUB) : " > $FIC_PASSWD
218
        echo "$grubpwd" >> $FIC_PASSWD
219
        md5_grubpwd=`/usr/bin/md5pass $grubpwd`
220
        sed -i "/^password.*/d" /boot/grub/menu.lst
221
        sed -i "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1 root 222
        mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`       # mot de passe de l'administrateur Mysqld
59 richard 223
        echo -n "compte et mot de passe de l'administrateur Mysqld : " >> $FIC_PASSWD
1 root 224
        echo "root / $mysqlpwd" >> $FIC_PASSWD
225
        radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`      # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
226
        echo -n "compte et mot de passe de l'utilisateur Mysqld : " >> $FIC_PASSWD
227
        echo "$DB_USER / $radiuspwd" >> $FIC_PASSWD
228
        secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`      # secret partagé entre intercept.php et coova-chilli
229
        echo -n "secret partagé entre le script 'intercept.php' et coova-chilli : " >> $FIC_PASSWD
230
        echo "$secretuam" >> $FIC_PASSWD
231
        secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`   # secret partagé entre coova-chilli et FreeRadius
232
        echo -n "secret partagé entre coova-chilli et FreeRadius : " >> $FIC_PASSWD
233
        echo "$secretradius" >> $FIC_PASSWD
234
        chmod 640 $FIC_PASSWD
235
# On installe et on modifie les scripts d'Alcasar
5 franck 236
        cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
237
        cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
238
        cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1 root 239
        $SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
240
        $SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5 franck 241
        $SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
242
        $SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
1 root 243
# On génère le début du fichier récapitulatif
244
        cat <<EOF > $FIC_PARAM
245
########################################################
246
##                                                    ##
247
##   Fichier récapitulatif des paramètres d'ALCASAR   ##
248
##                                                    ##
249
########################################################
250
 
251
- Date d'installation : $DATE
252
- Version istallée : $VERSION
253
- Organisme : $ORGANISME
254
EOF
255
        chmod o-rwx $FIC_PARAM
256
} # End of init ()
257
 
258
##################################################################
259
##                      Fonction network                        ##
260
## - Définition du plan d'adressage du réseau de consultation ##
261
##  (merci à Alexandre Trias pour le calcul de masque et RegEx) ##
262
## - Nommage DNS du système (portail + nom d'organisme)                ##
263
## - Configuration de l'interface eth1 (réseau de consultation)        ##
264
## - Modification du fichier /etc/hosts                         ##
265
## - Configuration du serveur de temps (NTP)                    ##
266
## - Renseignement des fichiers hosts.allow et hosts.deny       ##
267
##################################################################
268
network ()
269
{
270
        header_install
271
        echo "Par défaut, le plan d'adressage du réseau de consultation est : $CUSTOM_PRIVATE_NETWORK_MASK"
272
        response=0
273
        PTN='^[oOnN]$'
274
        until [[ $(expr $response : $PTN) -gt 0 ]]
275
                do
276
                        echo -n "Voulez-vous utiliser ce plan d'adressage (recommandé) (O/n)? : "
277
                        read response
278
                done
279
        if [ "$response" = "n" ] || [ "$response" = "N" ]
280
        then
281
                CUSTOM_PRIVATE_NETWORK_MASK="0"
282
                PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'
283
                until [[ $(expr $CUSTOM_PRIVATE_NETWORK_MASK : $PTN) -gt 0 ]]
284
                        do
285
                                echo -n "Entrez un plan d'adressage au format CIDR (a.b.c.d/xx) : "
286
                                read CUSTOM_PRIVATE_NETWORK_MASK
287
 
288
                        done
289
        fi
14 richard 290
# Récupération de la config réseau côté "LAN de consultation"
1 root 291
        HOSTNAME=alcasar-$ORGANISME
292
        hostname $HOSTNAME
293
        echo "- Nom du système : $HOSTNAME" >> $FIC_PARAM
294
        PRIVATE_NETWORK=`/bin/ipcalc -n $CUSTOM_PRIVATE_NETWORK_MASK | cut -d"=" -f2`           # @ réseau de consultation (ex.: 192.168.182.0)
5 franck 295
        private_prefix=`/bin/ipcalc -p $CUSTOM_PRIVATE_NETWORK_MASK |cut -d"=" -f2`             # prefixe du réseau (ex. 24)
1 root 296
        PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix                                   # @ réseau + masque (x.0.0.0/8 ou x.y.0.0/16 ou x.y.z.0/24)
297
        classe=$((private_prefix/8));                                                           # classe de réseau (ex.: 2=classe B, 3=classe C)
298
        PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.                  # @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
299
        PRIVATE_MASK=`/bin/ipcalc -m $PRIVATE_NETWORK_MASK | cut -d"=" -f2`                     # masque réseau de consultation (ex.: 255.255.255.0)
300
        PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`                # @ broadcast réseau de consultation (ex.: 192.168.182.255)
301
        TMP_MASK=`echo $PRIVATE_NETWORK_MASK|cut -d"/" -f2`; HALF_MASK=`expr $TMP_MASK + 1`     # masque du 1/2 réseau de consultation (ex.: 25)
302
        PRIVATE_STAT_IP=$PRIVATE_NETWORK/$HALF_MASK                                             # plage des adresses statiques (ex.: 192.168.182.0/25)
303
        PRIVATE_STAT_MASK=`/bin/ipcalc -m $PRIVATE_STAT_IP/$HALF_MASK | cut -d"=" -f2`          # masque des adresses statiques (ex.: 255.255.255.128)
304
        classe_sup=`expr $classe + 1`
305
        classe_sup_sup=`expr $classe + 2`
306
        private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`
307
        private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`
308
        private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
309
        private_half_plage=`expr $private_plage / 2`
310
        private_dyn=`expr $private_half_plage + $private_network_ending`
311
        private_dyn_ip_network=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup_sup-5`
312
        PRIVATE_DYN_IP=`echo $private_dyn_ip_network | cut -d"." -f1-4`/$HALF_MASK              # plage des adresses dynamiques (ex.: 192.168.182.128/25)
313
        PRIVATE_DYN_MASK=`/bin/ipcalc -m $PRIVATE_DYN_IP/$HALF_MASK | cut -d"=" -f2`            # masque des adresses dynamiques (ex.: 255.255.255.128)
314
        private_dyn_ip_network=`echo $PRIVATE_DYN_IP | cut -d"/" -f1`                           # plage des adresses dynamiques sans le masque (ex.: 192.168.182.0)
315
        private_dyn_ip_end=`echo $private_dyn_ip_network | cut -d"." -f4`                       # dernier octet de la plage des adresses dynamiques (ex.: 128)
316
        PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network | cut -d"." -f1-3`"."`expr $private_dyn_ip_end + 1`  # 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
317
        private_broadcast_end=`echo $PRIVATE_BROADCAST | cut -d"." -f4`
318
        PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_end - 1`     # dernière adresse de la plage dynamique (ex.: 192.168.182.254)
14 richard 319
        PRIVATE_IP=`echo $PRIVATE_NETWORK | cut -d"." -f1-3`"."`expr $private_network_end + 1`  # @ip du portail (côté réseau de consultation)
320
# Récupération de la config réseau côté "Internet"
321
        [ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
322
        EXT_IP=`grep IPADDR /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`  # @ip du portail (côté Internet)
1 root 323
        [ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default
14 richard 324
        DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`      # @ip 1er DNS
325
        DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`      # @ip 2ème DNS
70 franck 326
        DNS1=${DNS1:=208.67.220.220}
327
        DNS2=${DNS2:=208.67.222.222}
14 richard 328
        EXT_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
329
        EXT_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
330
        echo "- Adresse IP 'côté Internet' ($EXTIF) : $EXT_IP / $EXT_NETMASK" >> $FIC_PARAM
331
        echo "- Serveurs DNS renseignés : $DNS1 et $DNS2" >> $FIC_PARAM
332
        echo "- Routeur de sortie : $EXT_GATEWAY" >> $FIC_PARAM
333
# Configuration réseau
1 root 334
        cat <<EOF > /etc/sysconfig/network
335
NETWORKING=yes
336
HOSTNAME="$HOSTNAME"
337
FORWARD_IPV4=true
338
EOF
339
# On supprime les log_martians
340
        $SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/security.conf
341
# Modif /etc/hosts
342
        [ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default
343
        cat <<EOF > /etc/hosts
344
127.0.0.1       $HOSTNAME localhost.localdomain localhost
345
$PRIVATE_IP     $HOSTNAME alcasar portail
346
EOF
14 richard 347
        echo "- Adresse IP 'côté réseau de consultation' ($INTIF) : $PRIVATE_IP / $PRIVATE_NETWORK_MASK" >> $FIC_PARAM
348
        echo "    - plage d'adresses statiques : $PRIVATE_STAT_IP" >> $FIC_PARAM
349
        echo "    - plage d'adresses dynamiques (via DHCP) : $PRIVATE_DYN_IP" >> $FIC_PARAM
350
# Configuration de l'interface eth0 (Internet)
351
        cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
352
DEVICE=$EXTIF
353
BOOTPROTO=static
354
IPADDR=$EXT_IP
355
NETMASK=$EXT_NETMASK
356
GATEWAY=$EXT_GATEWAY
357
DNS1=127.0.0.1
358
ONBOOT=yes
359
METRIC=10
360
NOZEROCONF=yes
361
MII_NOT_SUPPORTED=yes
362
IPV6INIT=no
363
IPV6TO4INIT=no
364
ACCOUNTING=no
365
USERCTL=no
366
EOF
1 root 367
# Configuration de l'interface eth1 (réseau de consultation)
368
        cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
369
DEVICE=$INTIF
370
BOOTPROTO=static
371
IPADDR=$PRIVATE_IP
372
NETMASK=$PRIVATE_MASK
373
ONBOOT=yes
374
METRIC=10
375
NOZEROCONF=yes
376
MII_NOT_SUPPORTED=yes
14 richard 377
IPV6INIT=no
378
IPV6TO4INIT=no
379
ACCOUNTING=no
380
USERCTL=no
1 root 381
EOF
382
# Configuration du serveur de temps
383
        echo "synchronisation horaire ..."
384
        [ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
385
        cat <<EOF > /etc/ntp.conf
386
server 0.fr.pool.ntp.org
387
server 1.fr.pool.ntp.org
388
server 2.fr.pool.ntp.org
389
restrict default nomodify notrap noquery
390
restrict $PRIVATE_NETWORK mask $PRIVATE_MASK
391
restrict 127.0.0.1
392
driftfile /etc/ntp/drift
393
logfile /var/log/ntp.log
394
EOF
395
        chown -R ntp:ntp /etc/ntp
29 richard 396
ntpd -q -g &
1 root 397
# Configuration du serveur dhcpd de secours (mode bypass)
398
        [ -e /etc/dhcpd.conf.default ] || cp /etc/dhcpd.conf /etc/dhcpd.conf.default 2> /dev/null
399
        cat <<EOF > /etc/dhcpd.conf
400
ddns-update-style interim;
401
subnet $PRIVATE_NETWORK netmask $PRIVATE_MASK {
402
option routers $PRIVATE_IP;
403
option subnet-mask $PRIVATE_MASK;
404
option domain-name-servers $DNS1;
405
range dynamic-bootp $PRIVATE_DYN_LAST_IP $PRIVATE_DYN_FIRST_IP;
406
default-lease-time 21600;
407
max-lease-time 43200;
408
}
409
EOF
410
# écoute côté LAN seulement
411
        [ -e /etc/sysconfig/dhcpd.default ] || cp /etc/sysconfig/dhcpd /etc/sysconfig/dhcpd.default 2> /dev/null
412
        $SED "s?^#INTERFACES=.*?INTERFACES=\"$INTIF\"?g" /etc/sysconfig/dhcpd
413
        /sbin/chkconfig --level 345 dhcpd off
414
# Renseignement des fichiers hosts.allow et hosts.deny
415
        [ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default
416
        cat <<EOF > /etc/hosts.allow
417
ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
418
sshd: $PRIVATE_NETWORK_SHORT
419
ntpd: $PRIVATE_NETWORK_SHORT
420
EOF
421
        [ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default
422
        cat <<EOF > /etc/hosts.deny
423
ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
424
EOF
425
} # End of network ()
426
 
427
##################################################################
428
##                      Fonction gestion                        ##
429
## - installation du centre de gestion                          ##
430
## - configuration du serveur web (Apache)                      ##
431
## - définition du 1er comptes de gestion                      ##
432
## - sécurisation des accès                                   ##
433
##################################################################
434
gestion()
435
{
436
# Suppression des CGI et des pages WEB installés par défaut
437
        rm -rf /var/www/cgi-bin/*
438
        [ -d $DIR_WEB ] && rm -rf $DIR_WEB
439
        mkdir $DIR_WEB
440
# Copie et configuration des fichiers du centre de gestion
441
        cp -rf $DIR_GESTION/* $DIR_WEB/
442
        echo "$VERSION du $DATE" > $DIR_WEB/VERSION
443
        $SED "s?99/99/9999?$DATE_SHORT?g" $DIR_WEB/menu.php
444
        $SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_WEB/phpsysinfo/includes/xml/portail.php
445
        $SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_WEB/phpsysinfo/includes/xml/portail.php
446
        $SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_WEB/phpsysinfo/includes/xml/portail.php
447
        chmod 640 $DIR_WEB/phpsysinfo/includes/xml/portail.php
5 franck 448
        chown -R apache:apache $DIR_WEB/*
1 root 449
        for i in ISO base logs/firewall logs/httpd logs/squid ;
450
        do
451
                [ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i
452
        done
5 franck 453
        chown -R root:apache $DIR_SAVE
1 root 454
# Configuration php
455
        $SED "s?^upload_max_filesize.*?upload_max_filesize = 20M?g" /etc/php.ini
456
        $SED "s?^post_max_size.*?post_max_size = 20M?g" /etc/php.ini
457
# Configuration Apache
458
        [ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
459
        $SED "s?^#ServerName.*?ServerName $PRIVATE_IP?g" /etc/httpd/conf/httpd.conf
460
        $SED "s?^Listen.*?#Listen 127.0.0.1:80?g" /etc/httpd/conf/httpd.conf
461
        $SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
462
        $SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
463
        $SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
464
        FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
465
        $SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
466
        $SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
467
        [ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
468
        cat <<EOF > /var/www/error/include/bottom.html
469
</body>
470
</html>
471
EOF
472
        echo "- URL d'accès au centre de gestion : https://$PRIVATE_IP" >> $FIC_PARAM
473
# Définition du premier compte lié au profil 'admin'
474
        if [ "$mode" = "install" ]
475
        then
476
                header_install
477
                echo "Pour administrer Alcasar via le centre de gestion WEB, trois profils de comptes ont été définis :"
478
                echo " - le profil 'admin' capable de réaliser toutes les opérations"
479
                echo " - le profil 'backup' lié uniquement aux fonctions d'archivage"
480
                echo " - le profil 'manager' lié uniquement aux fonctions de gestion des usagers"
481
                echo ""
482
                echo "Définissez le premier compte du profil 'admin' :"
483
                echo
484
                echo -n "Nom : "
485
                read admin_portail
486
                echo "- Nom du premier compte lié au profil 'admin' : $admin_portail" >> $FIC_PARAM
487
# Création du fichier de clés de ce compte dans le profil "admin"
488
                [ -d $DIR_WEB/digest ] && rm -rf $DIR_WEB/digest
489
                mkdir -p $DIR_WEB/digest
490
                chmod 755 $DIR_WEB/digest
491
                until [ -s $DIR_WEB/digest/key_admin ]
492
                        do
493
                                /usr/sbin/htdigest -c $DIR_WEB/digest/key_admin $HOSTNAME $admin_portail
494
                        done
495
# Création des fichiers de clés des deux autres profils (backup + manager) contenant ce compte
496
                $DIR_DEST_SBIN/alcasar-profil.sh -list
497
        fi
498
# Sécurisation du centre
499
        rm -f /etc/httpd/conf/webapps.d/*
500
        cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
501
<Directory $DIR_WEB/digest>
502
        AllowOverride none
503
        Order deny,allow
504
        Deny from all
505
</Directory>
506
<Directory $DIR_WEB/admin>
507
        SSLRequireSSL
508
        AllowOverride None
509
        Order deny,allow
510
        Deny from all
511
        Allow from 127.0.0.1
512
        Allow from $PRIVATE_NETWORK_MASK
513
        require valid-user
514
        AuthType digest
515
        AuthName $HOSTNAME
516
        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
517
        AuthUserFile $DIR_WEB/digest/key_admin
518
        ErrorDocument 404 https://$PRIVATE_IP/
519
</Directory>
520
<Directory $DIR_WEB/manager/htdocs>
521
        SSLRequireSSL
522
        AllowOverride None
523
        Order deny,allow
524
        Deny from all
525
        Allow from 127.0.0.1
526
        Allow from $PRIVATE_NETWORK_MASK
527
        require valid-user
528
        AuthType digest
529
        AuthName $HOSTNAME
530
        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
531
        AuthUserFile $DIR_WEB/digest/key_manager
532
        ErrorDocument 404 https://$PRIVATE_IP/
533
</Directory>
534
<Directory $DIR_WEB/manager/html>
535
        SSLRequireSSL
536
        AllowOverride None
537
        Order deny,allow
538
        Deny from all
539
        Allow from 127.0.0.1
540
        Allow from $PRIVATE_NETWORK_MASK
541
        require valid-user
542
        AuthType digest
543
        AuthName $HOSTNAME
544
        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
545
        AuthUserFile $DIR_WEB/digest/key_manager
546
        ErrorDocument 404 https://$PRIVATE_IP/
547
</Directory>
548
<Directory $DIR_WEB/backup>
549
        SSLRequireSSL
550
        AllowOverride None
551
        Order deny,allow
552
        Deny from all
553
        Allow from 127.0.0.1
554
        Allow from $PRIVATE_NETWORK_MASK
555
        require valid-user
556
        AuthType digest
557
        AuthName $HOSTNAME
558
        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
559
        AuthUserFile $DIR_WEB/digest/key_backup
560
        ErrorDocument 404 https://$PRIVATE_IP/
561
</Directory>
562
Alias /save/ "$DIR_SAVE/"
563
<Directory $DIR_SAVE>
564
        SSLRequireSSL
565
        Options Indexes
566
        Order deny,allow
567
        Deny from all
568
        Allow from 127.0.0.1
569
        Allow from $PRIVATE_NETWORK_MASK
570
        require valid-user
571
        AuthType digest
572
        AuthName $HOSTNAME
573
        AuthUserFile $DIR_WEB/digest/key_backup
574
        ErrorDocument 404 https://$PRIVATE_IP/
575
        ReadmeName      /readmeSave.html
576
</Directory>
577
EOF
578
} # End of gestion ()
579
 
580
##########################################################################################
581
##                              Fonction AC()                                           ##
582
## - Création d'une Autorité de Certification et du certificat serveur pour apache    ##
583
##########################################################################################
584
AC ()
585
{
586
        $SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
587
        $DIR_DEST_BIN/alcasar-CA.sh $mode
588
        MOD_SSL=`find /etc/httpd/conf -type f -name *default_ssl*`
589
        $SED "s?localhost.crt?alcasar.crt?g" $MOD_SSL
590
        $SED "s?localhost.key?alcasar.key?g" $MOD_SSL
5 franck 591
        chown -R root:apache /etc/pki
1 root 592
        chmod -R 750 /etc/pki
593
} # End AC ()
594
 
595
##########################################################################################
596
##                      Fonction init_db()                                              ##
597
## - Initialisation de la base Mysql                                                    ##
598
## - Affectation du mot de passe de l'administrateur (root)                             ##
599
## - Suppression des bases et des utilisateurs superflus                                ##
600
## - Création de la base 'radius'                                                      ##
601
## - Installation du schéma de cette base                                              ##
602
## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)  ##
603
##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)              ##
604
##########################################################################################
605
init_db ()
606
{
607
        mkdir -p /var/lib/mysql/.tmp
608
        chown mysql:mysql /var/lib/mysql/.tmp
609
        [ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default
610
        $SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
611
        /etc/init.d/mysqld start
612
        sleep 4
613
        mysqladmin -u root password $mysqlpwd
614
        MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615
# On supprime les tables d'exemple
616
        $MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;"
617
        # On crée la base 'radius'
618
        $MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
619
        FICSQL_LIBFREERADIUS=`find /etc/raddb/sql/mysql -type f -name schema.sql`
620
        mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $FICSQL_LIBFREERADIUS
621
        $MYSQL="connect $DB_RADIUS;ALTER table radpostauth DROP column pass;"
622
# Ajout des tables de comptabilité journalière et mensuelle (accounting)
623
        DIRSQL_FREERADIUS=`find /usr/share/doc/freeradius-web* -type d -name mysql`
624
        mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/mtotacct.sql
625
        mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/totacct.sql
626
# correction d'un bug sur la table 'userinfo' avant import
627
        $SED "s?^  id int(10).*?  id int(10) NOT NULL auto_increment,?g" $DIRSQL_FREERADIUS/userinfo.sql
628
        mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/userinfo.sql
629
# correction d'un bug sur la table 'badusers' avant import (elle reste inutilisée par Alcasar pour l'instant)
630
        #$SED "s?^  id int(10).*?  id int(10) NOT NULL auto_increment,?g" $DIRSQL_FREERADIUS/badusers.sql
631
        #mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/badusers.sql
632
} # End init_db ()
633
 
634
##########################################################################
635
##                      Fonction param_radius                           ##
636
## - Paramètrage des fichiers de configuration FreeRadius              ##
637
## - Affectation du secret partagé entre coova-chilli et freeradius    ##
638
## - Modification de fichier de conf pour l'accès à Mysql             ##
639
##########################################################################
640
param_radius ()
641
{
642
        cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
643
        chown -R radius:radius /etc/raddb
644
        [ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
645
# paramètrage radius.conf
646
        $SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf
647
        $SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf
648
        $SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf
649
# suppression de la fonction proxy
650
        $SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf
651
        $SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
652
# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
653
        $SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
654
# prise en compte du module SQL et des compteurs SQL
655
        $SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
656
        $SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
657
        $SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
658
# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
659
        rm -f /etc/raddb/sites-enabled/*
660
        cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
661
        chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
662
        chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
663
        chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
664
        ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
665
        # Inutile dans notre fonctionnement mais les liens sont recrés par un update de radius ... donc là forcé en tant que fichier
666
        touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
667
# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
668
        [ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
669
        cat << EOF > /etc/raddb/clients.conf
670
client 127.0.0.1 {
671
        secret = $secretradius
672
        shortname = localhost
673
}
674
client $PRIVATE_NETWORK_MASK {
675
        secret = $secretradius
676
        shortname = localhost
677
}
678
EOF
679
# modif sql.conf
680
        [ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
681
        $SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
682
        $SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
683
        $SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
684
        $SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf
685
# modif dialup.conf
686
        [ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
687
        cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
688
} # End param_radius ()
689
 
690
##########################################################################
691
##                      Fonction param_web_radius                       ##
692
## - Import, modification et paramètrage de l'interface "dialupadmin"  ##
693
## - Création du lien vers la page de changement de mot de passe        ##
694
##########################################################################
695
param_web_radius ()
696
{
697
# copie de l'interface d'origine dans la structure Alcasar
698
        # mdv 2009.0 et 2009.1
699
        if [ -d /var/www/freeradius-web ]
700
                then
701
                cp -rf /var/www/freeradius-web/* $DIR_WEB/manager/
702
                chmod a-x /var/www/freeradius-web
703
        else # mdv 2010.0
704
        [ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_WEB/manager/
705
        fi
706
# copie des fichiers modifiés et suppression des fichiers inutiles
707
        cp -rf $DIR_GESTION/manager/* $DIR_WEB/manager/
708
        rm -f $DIR_WEB/manager/index.html $DIR_WEB/manager/readme
709
        rm -f $DIR_WEB/manager/htdocs/about.html $DIR_WEB/manager/htdocs/index.html $DIR_WEB/manager/htdocs/content.html
5 franck 710
        chown -R apache:apache $DIR_WEB/manager/
1 root 711
# Modification du fichier de configuration
712
        [ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
5 franck 713
        $SED "s?^general_domain:.*?general_domain: $ORGANISME.$DOMAIN?g" /etc/freeradius-web/admin.conf
1 root 714
        $SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
715
        $SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
716
        $SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
717
        $SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
718
        $SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
719
        $SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
720
        $SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
721
        cat <<EOF > /etc/freeradius-web/naslist.conf
722
nas1_name: alcasar.%{general_domain}
723
nas1_model: Portail captif
724
nas1_ip: $PRIVATE_IP
725
nas1_port_num: 0
726
nas1_community: public
727
EOF
728
# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
729
        [ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
730
        cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
731
# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
732
        [ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
733
        $SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
734
        $SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5 franck 735
        chown -R apache:apache /etc/freeradius-web
1 root 736
# Ajout de l'alias vers la page de "changement de mot de passe usager"
737
        cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
738
Alias /pass/ "$DIR_WEB/manager/pass/"
739
<Directory $DIR_WEB/manager/pass>
740
        SSLRequireSSL
741
        AllowOverride None
742
        Order deny,allow
743
        Deny from all
744
        Allow from 127.0.0.1
745
        Allow from $PRIVATE_NETWORK_MASK
746
        ErrorDocument 404 https://$PRIVATE_IP
747
</Directory>
748
EOF
749
        echo "- URL pour le changement du mot de passe usager : https://$PRIVATE_IP/pass/" >> $FIC_PARAM
750
} # End of param_web_radius ()
751
 
752
##########################################################################
753
##                      Fonction param_chilli                           ##
754
## - Paramètrage du fichier de configuration de coova-chilli           ##
755
## - Paramètrage de la page d'authentification (intercept.php)         ##
756
##########################################################################
757
param_chilli ()
758
{
759
# modification du générateur du fichier de conf 
760
        [ -e /etc/chilli/functions.default ] || cp /etc/chilli/functions /etc/chilli/functions.default
761
# suppression du domaine "coova.org" dans la primitive uamallowed
14 richard 762
        $SED "s?www.coova.org,??g" /etc/chilli/functions
1 root 763
# suppression de la primitive "WISPR" (inutilisée par Alcasar)
764
        $SED "s?^HS_WISPRLOGIN=.*??g" /etc/chilli/functions
765
# suppression de la primitive "uamanydns" (les clients ne peuvent utiliser que les serveurs DNS d'Alcasar)
766
        $SED "s?uamanydns??g" /etc/chilli/functions
767
# modification du fichier d'initialisation (suppression du cron et correction de la procédure d'arret)
768
        [ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default
769
        cp -f $DIR_CONF/chilli-init /etc/init.d/chilli
770
# création du fichier de conf
771
        cp /etc/chilli/defaults /etc/chilli/config
772
        $SED "s?^# HS_WANIF=.*?HF_WANIF=$EXTIF?g" /etc/chilli/config
773
        $SED "s?^HS_LANIF=.*?HS_LANIF=$INTIF?g" /etc/chilli/config
774
        $SED "s?^HS_NETWORK=.*?HS_NETWORK=$PRIVATE_NETWORK?g" /etc/chilli/config
775
        $SED "s?^HS_NETMASK=.*?HS_NETMASK=$PRIVATE_MASK?g" /etc/chilli/config
776
        $SED "s?^HS_UAMLISTEN=.*?HS_UAMLISTEN=$PRIVATE_IP?g" /etc/chilli/config
777
        $SED "s?^HS_UAMPORT=.*?HS_UAMPORT=$UAMPORT?g" /etc/chilli/config
778
        $SED "s?^# HS_DYNIP=.*?HS_DYNIP=$PRIVATE_DYN_IP?g" /etc/chilli/config
779
        $SED "s?^# HS_DYNIP_MASK=.*?HS_DYNIP_MASK=$PRIVATE_DYN_MASK?g" /etc/chilli/config
780
        $SED "s?^# HS_STATIP=.*?HS_STATIP=$PRIVATE_STAT_IP?g" /etc/chilli/config
781
        $SED "s?^# HS_STATIP_MASK.*?HS_STATIP_MASK=$PRIVATE_STAT_MASK?g" /etc/chilli/config
782
        $SED "s?^# HS_DNS_DOMAIN=.*?HS_DNS_DOMAIN=$DOMAIN?g" /etc/chilli/config
5 franck 783
        $SED "s?^HS_DNS1=.*?HS_DNS1=$PRIVATE_IP?g" /etc/chilli/config
784
        $SED "s?^HS_DNS2=.*?HS_DNS2=$PRIVATE_IP?g" /etc/chilli/config
1 root 785
        $SED "s?^HS_UAMSECRET=.*?HS_UAMSECRET=$secretuam?g" /etc/chilli/config
786
        $SED "s?^HS_RADIUS=.*?HS_RADIUS=127.0.0.1?g" /etc/chilli/config
787
        $SED "s?^HS_RADIUS2=.*?HS_RADIUS2=127.0.0.1?g" /etc/chilli/config
788
        $SED "s?^HS_RADSECRET=.*?HS_RADSECRET=$secretradius?g" /etc/chilli/config
789
        $SED "s?^HS_UAMALLOW=.*?# HS_UAMALLOW?g" /etc/chilli/config
790
        $SED "s?^HS_UAMSERVER=.*?HS_UAMSERVER=$PRIVATE_IP?g" /etc/chilli/config
791
        $SED "s?^HS_UAMFORMAT=.*?HS_UAMFORMAT=https://\$HS_UAMSERVER/intercept.php?g" /etc/chilli/config
792
        $SED "s?^HS_UAMHOMEPAGE=.*?HS_UAMHOMEPAGE=?g" /etc/chilli/config
793
        $SED "s?^HS_UAMSERVICE=.*?# HS_UAMSERVICE?g" /etc/chilli/config
794
        $SED "s?^# HS_ANYIP=.*?HS_ANYIP=on?g" /etc/chilli/config
795
        $SED "s?^# HS_DNSPARANOIA=.*?HS_DNSPARANOIA=on?g" /etc/chilli/config
796
        $SED "s?^HS_LOC_NAME=.*?HS_LOC_NAME=\"$HOSTNAME\"?g" /etc/chilli/config
797
        $SED "s?^HS_WWWDIR.*?# HS_WWWDIR?g" /etc/chilli/config
798
        $SED "s?^HS_WWWBIN.*?# HS_WWWBIN?g" /etc/chilli/config
799
        $SED "s?^HS_PROVIDER_LINK.*?HS_PROVIDER_LINK=https://\$HS_UAMSERVER/?g" /etc/chilli/config
800
        echo "HS_COAPORT=3799" >> /etc/chilli/config
801
# création des fichiers de sites, d'urls et d'adresses MAC de confiance
802
        echo -e "HS_UAMALLOW=\"\"" > /etc/chilli/alcasar-uamallowed
803
        echo -e "HS_UAMDOMAINS=\"\"" > /etc/chilli/alcasar-uamdomain
804
        $SED "s?^# HS_MACAUTHMODE=.*?HS_MACAUTHMODE=local?g" /etc/chilli/config
805
        echo -e "HS_MACALLOW=\"\"" >> /etc/chilli/alcasar-macallowed
806
        chown root:apache /etc/chilli/alcasar-*
807
        chmod 660 /etc/chilli/alcasar-*
808
        echo ". /etc/chilli/alcasar-uamallowed" >> /etc/chilli/config
809
        echo ". /etc/chilli/alcasar-uamdomain" >> /etc/chilli/config
810
        echo ". /etc/chilli/alcasar-macallowed" >> /etc/chilli/config
811
        echo "- URL de deconnexion du portail : http://$PRIVATE_IP:$UAMPORT/logoff" >> $FIC_PARAM
812
# Définition du secret partagé entre coova-chilli et la page d'authentification (intercept.php)
813
        $SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
814
        $SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
815
        $SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php
816
# Suppression des modifications "iptables" effectuées lors du lancement du daemon coova
817
        $SED "s?^    iptables \$opt \$\*?#   iptables \$opt \$\*?g" /etc/chilli/up.sh
818
}  # End of param_chilli ()
819
 
820
##########################################################
821
##                      Fonction param_squid            ##
822
## - Paramètrage du proxy 'squid' en mode 'cache'      ##
823
## - Initialisation de la base de données              ##
824
##########################################################
825
param_squid ()
826
{
827
# paramètrage de Squid (connecté en série derrière Dansguardian)
828
        [ -e /etc/squid/squid.conf.default  ] || cp /etc/squid/squid.conf /etc/squid/squid.conf.default
829
# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
830
        $SED "/^acl localnet/d" /etc/squid/squid.conf
831
        $SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
832
        $SED "/^icp_port 3130/d" /etc/squid/squid.conf
833
        $SED "/^http_access allow localnet/d" /etc/squid/squid.conf
834
        $SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
835
        $SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
836
# mode 'proxy transparent local'
837
        $SED "s?^http_port.*?http_port 127.0.0.1:$SQUID_PORT transparent?g" /etc/squid/squid.conf
838
# compatibilité des logs avec awstats
839
        $SED "s?^# emulate_httpd_log.*?emulate_httpd_log on?g" /etc/squid/squid.conf
840
        $SED "s?^access_log.*?access_log /var/log/squid/access.log?g" /etc/squid/squid.conf
841
# Initialisation du cache de Squid
842
        /usr/sbin/squid -z
843
}  # End of param_squid ()
844
 
845
##################################################################
846
##              Fonction param_dansguardian                     ##
847
## - Paramètrage du gestionnaire de contenu Dansguardian       ##
848
## - Copie de la blacklist de toulouse                          ##
849
##################################################################
850
param_dansguardian ()
851
{
852
# modification du fichier d'initialisation (correction de la procédure d'arret)
853
        [ -e /etc/init.d/dansguardian.default ] || cp /etc/init.d/dansguardian /etc/init.d/dansguardian.default
854
        cp -f $DIR_CONF/dansguardian-init /etc/init.d/dansguardian
855
        mkdir /var/dansguardian
856
        chown dansguardian /var/dansguardian
857
        [ -e /etc/dansguardian/dansguardian.conf.default ] || cp /etc/dansguardian/dansguardian.conf /etc/dansguardian/dansguardian.conf.default
858
# par défaut, le filtrage WEB est désactivé
859
        $SED "s/^reportinglevel =.*/reportinglevel = -1/g" /etc/dansguardian/dansguardian.conf
860
# la page d'interception est en français
861
        $SED "s?^language =.*?language = french?g" /etc/dansguardian/dansguardian.conf
862
# on limite l'écoute de Dansguardian côté LAN
863
        $SED "s?^filterip =.*?filterip = $PRIVATE_IP?g" /etc/dansguardian/dansguardian.conf
864
# on remplace la page d'interception (template)
865
        cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
866
        cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
867
# on ne loggue que les deny (pour le reste, on a squid)
868
        $SED "s?^loglevel =.*?loglevel = 1?g" /etc/dansguardian/dansguardian.conf
869
# on désactive par défaut le controle de contenu des pages html
870
        $SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" /etc/dansguardian/dansguardian.conf
871
        cp /etc/dansguardian/lists/bannedphraselist /etc/dansguardian/lists/bannedphraselist.default
872
        $SED "s?^[^#]?#&?g" /etc/dansguardian/lists/bannedphraselist # (on commente ce qui ne l'est pas)
873
# on désactive par défaut le contrôle d'URL par expressions régulières
874
        cp /etc/dansguardian/lists/bannedregexpurllist /etc/dansguardian/lists/bannedregexpurllist.default
875
        $SED "s?^[^#]?#&?g" /etc/dansguardian/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
876
# on désactive par défaut le contrôle de téléchargement de fichiers
877
        [ -e /etc/dansguardian/dansguardianf1.conf.default ] || cp /etc/dansguardian/dansguardianf1.conf /etc/dansguardian/dansguardianf1.conf.default
878
        $SED "s?^blockdownloads =.*?blockdownloads = off?g" /etc/dansguardian/dansguardianf1.conf
879
        [ -e /etc/dansguardian/lists/bannedextensionlist.default ] || mv /etc/dansguardian/lists/bannedextensionlist /etc/dansguardian/lists/bannedextensionlist.default
880
        [ -e /etc/dansguardian/lists/bannedmimetypelist.default ] || mv /etc/dansguardian/lists/bannedmimetypelist /etc/dansguardian/lists/bannedmimetypelist.default
881
        touch /etc/dansguardian/lists/bannedextensionlist
882
        touch /etc/dansguardian/lists/bannedmimetypelist
883
# on vide la liste des @IP du Lan ne subissant pas le filtrage WEB
884
        [ -e /etc/dansguardian/lists/exceptioniplist.default ] || mv /etc/dansguardian/lists/exceptioniplist /etc/dansguardian/lists/exceptioniplist.default
885
        touch /etc/dansguardian/lists/exceptioniplist
886
# on copie les fichiers de la BL de toulouse
887
        [ -d /etc/dansguardian/lists/blacklists ] && mv /etc/dansguardian/lists/blacklists /etc/dansguardian/lists/blacklists.default
888
        tar zxvf $DIR_CONF/blacklists.tar.gz --directory=/etc/dansguardian/lists/ 2>&1 >/dev/null
889
        cp -f $DIR_CONF/VERSION-BL $DIR_WEB/
890
        chown apache:apache $DIR_WEB/VERSION-BL
891
# on crée la BL secondaire
892
        mkdir /etc/dansguardian/lists/blacklists/ossi
893
        touch /etc/dansguardian/lists/blacklists/ossi/domains
894
        touch /etc/dansguardian/lists/blacklists/ossi/urls
895
# On crée une WhiteList vide
896
        [ -e /etc/dansguardian/lists/exceptionsitelist.default ] || mv /etc/dansguardian/lists/exceptionsitelist  /etc/dansguardian/lists/exceptionsitelist.default
897
        [ -e /etc/dansguardian/lists/exceptionurllist.default ] || mv /etc/dansguardian/lists/exceptionurllist  /etc/dansguardian/lists/exceptionurllist.default
898
        touch /etc/dansguardian/lists/exceptionsitelist
899
        touch /etc/dansguardian/lists/exceptionurllist
900
# on configure le filtrage de site
901
        [ -e /etc/dansguardian/lists/bannedsitelist.default ] || cp /etc/dansguardian/lists/bannedsitelist /etc/dansguardian/lists/bannedsitelist.default
902
        $SED "s?^[^#]?#&?g" /etc/dansguardian/lists/bannedsitelist # (on commente ce qui ne l'est pas)
903
# on bloque les sites ne possédant pas de nom de domaine (ex: http://12.13.14.15)
904
        $SED "s?^#\*ip?\*ip?g" /etc/dansguardian/lists/bannedsitelist
905
# on bloque le ssl sur port 80
906
        $SED "s?^#\*\*s?\*\*s?g" /etc/dansguardian/lists/bannedsitelist
907
# on configure la BL de toulouse
908
        cat $DIR_CONF/bannedsitelist >> /etc/dansguardian/lists/bannedsitelist
909
[ -e /etc/dansguardian/lists/bannedurllist.default ] || cp /etc/dansguardian/lists/bannedurllist /etc/dansguardian/lists/bannedurllist.default
910
        $SED "s?^[^#]?#&?g" /etc/dansguardian/lists/bannedurllist # (on commente ce qui ne l'est pas)
911
        cat $DIR_CONF/bannedurllist >> /etc/dansguardian/lists/bannedurllist
5 franck 912
        chown -R dansguardian:apache /etc/dansguardian/
1 root 913
        chmod -R g+rw /etc/dansguardian
914
} # End of param_dansguardian ()
915
 
916
##################################################################################
917
##                              Fonction firewall                               ##
918
## - adaptation des scripts du parefeu                                          ##
919
## - mise en place des règles et sauvegarde pour un lancement automatique      ##
920
## - configuration Ulogd                                                        ##
921
##################################################################################
922
firewall ()
923
{
924
        $SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
925
        $SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
926
        $SED "s?^PRIVATE_NETWORK_MASK=.*?PRIVATE_NETWORK_MASK=\"$PRIVATE_NETWORK_MASK\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
927
        $SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
928
        chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
929
        [ -d /var/log/firewall ] || mkdir -p /var/log/firewall
930
        [ -e /var/log/firewall/firewall.log ] || touch /var/log/firewall/firewall.log
5 franck 931
        chown -R root:apache /var/log/firewall
1 root 932
        chmod 750 /var/log/firewall
933
        chmod 640 /var/log/firewall/firewall.log
934
        $SED "s?^file=\"/var/log/ulogd.syslogemu\"?file=\"/var/log/firewall/firewall.log\"?g" /etc/ulogd.conf
935
        sh $DIR_DEST_BIN/alcasar-iptables.sh
936
}  # End of firewall ()
937
 
938
##################################################################################
939
##                              Fonction param_awstats                          ##
940
## - configuration de l'interface des logs de consultation WEB (AWSTAT)         ##
941
##################################################################################
942
param_awstats()
943
{
944
        ln -s /var/www/awstats $DIR_WEB/awstats
945
        cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
946
        $SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
947
        $SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
948
        $SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
949
        $SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
950
        $SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
951
        $SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf   # corrige le fichier de config awstats natif ...
952
        $SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
953
        $SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59 richard 954
        $SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1 root 955
        cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
956
<Directory $DIR_WEB/awstats>
957
        SSLRequireSSL
958
        Options ExecCGI
959
        AddHandler cgi-script .pl
960
        DirectoryIndex awstats.pl
961
        Order deny,allow
962
        Deny from all
963
        Allow from 127.0.0.1
964
        Allow from $PRIVATE_NETWORK_MASK
965
        require valid-user
966
        AuthType digest
967
        AuthName $HOSTNAME
968
        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
969
        AuthUserFile $DIR_WEB/digest/key_admin
970
        ErrorDocument 404 https://$PRIVATE_IP/
971
</Directory>
972
SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
973
EOF
974
} # End of param_awstats ()
975
 
976
##########################################################
977
##              Fonction bind                           ##
978
## - Mise en place des différents fichiers de bind     ##
979
##########################################################
980
param_bind ()
981
{
5 franck 982
        ln -sf /var/lib/named/etc/trusted_networks_acl.conf /etc/
983
        ln -sf /var/lib/named/etc/named.conf /etc/
984
        ln -sf /var/lib/named/var/named /var/
985
        ln -sf /var/lib/named/var/log/ /var/log/named
1 root 986
        [ -e /var/lib/named/etc/trusted_networks_acl.conf.default  ] || cp /var/lib/named/etc/trusted_networks_acl.conf /var/lib/named/etc/trusted_networks_acl.conf.default
987
        [ -e /var/lib/named/etc/named.conf.default  ] || cp /var/lib/named/etc/named.conf /var/lib/named/etc/named.conf.default
988
        [ -e /var/lib/named/var/named/master/localdomain.zone.default  ] || cp /var/lib/named/var/named/master/localdomain.zone /var/lib/named/var/named/master/localdomain.zone.default
5 franck 989
        $SED "s?127.0.0.1;.*?127.0.0.1; $CUSTOM_PRIVATE_NETWORK_MASK;?g" /var/lib/named/etc/trusted_networks_acl.conf
990
        $SED "s?listen-on.*?listen-on port 53 \{ 127.0.0.1; $PRIVATE_IP; \};?g" /var/lib/named/etc/named.conf
70 franck 991
        $SED "s?^\/\/[ ]*forwarders.*?    forward only; forwarders { $DNS1; $DNS2; };?g" /var/lib/named/etc/named.conf
8 franck 992
#       $SED "s?^\/\/ include \"\/etc\/bogon_acl.conf\";.*?include \"\/etc\/bogon_acl.conf\";?g" /var/lib/named/etc/named.conf
5 franck 993
# On crée l'entrée pour le reverse
994
        for i in $(seq $classe -1 1)
995
        do
8 franck 996
                echo -n `echo $PRIVATE_NETWORK|cut -d"." -f$i`. >> /tmp/rev.txt
5 franck 997
        done
998
        echo "in-addr.arpa" >> /tmp/rev.txt
999
        reverse_addr=`cat /tmp/rev.txt`
1000
        rm -f /tmp/rev.txt
1001
cat << EOF >> /var/lib/named/etc/named.conf
1002
zone "$reverse_addr" IN {
1003
        type master;
1004
        file "reverse/localdomain.rev";
1005
        allow-update { none; };
1006
};
1007
EOF
1008
        cp -f $DIR_CONF/localdomain.zone /var/lib/named/var/named/master/localdomain.zone
1009
        echo "$HOSTNAME IN A $PRIVATE_IP" >> /var/lib/named/var/named/master/localdomain.zone
1010
        echo "alcasar   IN CNAME $HOSTNAME" >> /var/lib/named/var/named/master/localdomain.zone
1011
        cp -f $DIR_CONF/localdomain.rev /var/lib/named/var/named/reverse/localdomain.rev
1012
        echo "1         IN PTR alcasar." >> /var/lib/named/var/named/reverse/localdomain.rev
1 root 1013
# fichier de blacklistage de named dans  ... a venir
1014
}
1015
 
1016
##########################################################
1017
##              Fonction cron                           ##
1018
## - Mise en place des différents fichiers de cron     ##
1019
##########################################################
1020
cron ()
1021
{
1022
# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
1023
        [ -e /etc/crontab.default ] || cp /etc/crontab /etc/crontab.default
1024
        cat <<EOF > /etc/crontab
1025
SHELL=/bin/bash
1026
PATH=/sbin:/bin:/usr/sbin:/usr/bin
1027
MAILTO=root
1028
HOME=/
1029
 
1030
# run-parts
1031
01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
1032
02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
1033
22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
1034
42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
1035
EOF
1036
        [ -e /etc/anacrontab.default ] || cp /etc/anacrontab /etc/anacrontab.default
1037
        cat <<EOF >> /etc/anacrontab
1038
7       10      cron.logExport          nice /etc/cron.d/export_log
1039
7       15      cron.logClean           nice /etc/cron.d/clean_log
1040
EOF
1041
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1042
        cat <<EOF > /etc/cron.d/clean_log
1043
30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
1044
EOF
1045
# export de la base des usagers (tous les lundi à 4h45)
1046
        cat <<EOF > /etc/cron.d/mysql
1047
45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh -dump
1048
EOF
1049
# export des log squid, firewall et apache (tous les lundi à 5h00)
1050
        cat <<EOF > /etc/cron.d/export_log
1051
#!/bin/sh
1052
00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
1053
EOF
1054
# mise à jour des stats de consultation WEB toutes les 30'  ## existe en double pour le daily sans l'@IP
1055
# sans mèl ( > /dev/null 2>&1)
1056
        cat << EOF > /etc/cron.d/awstats
1057
*/30 * * * * root /var/www/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1058
EOF
1059
# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
1060
# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
1061
# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct') 
1062
# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
1063
# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
1064
# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
1065
        $SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
1066
        $SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
1067
        rm -f /etc/cron.daily/freeradius-web
1068
        rm -f /etc/cron.monthly/freeradius-web
1069
        cat << EOF > /etc/cron.d/freeradius-web
1070
1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
1071
5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
1072
10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
1073
15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
1074
EOF
1075
# réécriture du fichier cron de coova-chilli pour être cohérent avec l'architecture Alcasar (/etc/crond au lieu de /var/spool/cron/root).
1076
# sans mèl ( > /dev/null 2>&1)
1077
        rm -f /var/spool/cron/root
1078
        cat << EOF > /etc/cron.d/coova
1079
*/60 * * * * root /etc/init.d/chilli radconfig > /dev/null 2>&1
1080
*/10 * * * * root /etc/init.d/chilli checkrunning > /dev/null 2>&1
1081
EOF
1082
# activation du "chien de garde" (watchdog) toutes les 3' afin de déconnecter les usagers authentifiés dont la station est usurpée ou ne répond plus
1083
        cat << EOF > /etc/cron.d/watchdog
1084
*/3 * * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
1085
EOF
1086
} # End cron
1087
 
1088
##################################################################
1089
##                      Fonction post_install                   ##
1090
## - Modification des bannières (locales et ssh) et des prompts ##
1091
## - Installation de la structure de chiffrement pour root      ##
1092
## - Mise en place du sudoers et de la sécurité sur les fichiers##
1093
## - Mise en place du la rotation des logs                      ##
5 franck 1094
## - Configuration dans le cas d'une mise à jour               ##
1 root 1095
##################################################################
1096
post_install()
1097
{
1098
# adaptation du script "chien de garde" (watchdog)
1099
        $SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1100
# création de la bannière locale
1101
        [ -e /etc/mandriva-release.default ]  || cp /etc/mandriva-release /etc/mandriva-release.default
1102
cat <<EOF > /etc/mandriva-release
1103
 Bienvenue sur $HOSTNAME
1104
 
1105
EOF
1106
# création de la bannière SSH
1107
        cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5 franck 1108
        chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1 root 1109
        [ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
1110
        $SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1111
        $SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1112
# sshd écoute côté LAN
1113
        $SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
1114
# sshd n'est pas lancé automatiquement au démarrage
1115
        /sbin/chkconfig --del sshd
1116
# Coloration des prompts
1117
        [ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default
5 franck 1118
        cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
1 root 1119
# Droits d'exécution pour utilisateur apache et sysadmin
1120
        [ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default
5 franck 1121
        cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
1 root 1122
        $SED "s?^Host_Alias.*?Host_Alias        LAN_ORG=$PRIVATE_NETWORK_MASK,localhost         #réseau de l'organisme?g" /etc/sudoers
1123
# prise en compte de la rotation des logs sur 1 an (concerne mysql, htttpd, dansguardian, squid, radiusd, ulogd)
1124
        cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
1125
        chmod 644 /etc/logrotate.d/*
1126
# processus lancés par défaut au démarrage
5 franck 1127
        for i in netfs ntpd iptables ulogd squid chilli httpd radiusd mysqld dansguardian named
1 root 1128
        do
1129
                /sbin/chkconfig --add $i
1130
        done
1131
# On mets en place la sécurité sur les fichiers
1132
# des modif par rapport à radius update
1133
        cat <<EOF > /etc/security/msec/perm.local
1134
/var/log/firewall/                      root.apache     750
1135
/var/log/firewall/*                     root.apache     640
1136
/etc/security/msec/perm.local           root.root       640
1137
/etc/security/msec/level.local          root.root       640
1138
/etc/freeradius-web                     root.apache     750
1139
/etc/freeradius-web/admin.conf          root.apache     640
1140
/etc/freeradius-web/config.php          root.apache     640
1141
/etc/raddb/dictionnary                  root.radius     640
1142
/etc/raddb/ldap.attrmap                 root.radius     640
1143
/etc/raddb/hints                        root.radius     640
1144
/etc/raddb/huntgroups                   root.radius     640
1145
/etc/raddb/attrs.access_reject          root.radius     640
1146
/etc/raddb/attrs.accounting_response    root.radius     640
1147
/etc/raddb/acct_users                   root.radius     640
1148
/etc/raddb/preproxy_users               root.radius     640
1149
/etc/raddb/modules/ldap                 radius.apache   660
1150
/etc/raddb/sites-available/alcasar      radius.apache   660
1151
/etc/pki/*                              root.apache     750
1152
EOF
1153
        /usr/sbin/msec
59 richard 1154
# modification /etc/inittab
1155
        [ -e /etc/inittab.default ] || cp /etc/inittab /etc/inittab.default
60 richard 1156
# On ne garde que 3 terminaux
59 richard 1157
        $SED "s?^4.*?#&?g" /etc/inittab
1158
        $SED "s?^5.*?#&?g" /etc/inittab
1159
        $SED "s?^6.*?#&?g" /etc/inittab
1160
# on charge la conf d'un version précédente
5 franck 1161
if [ "$mode" = "update" ]
1162
then
1163
        $DIR_DEST_BIN/alcasar-conf.sh -load
1164
fi
1 root 1165
        cd $DIR_INSTALL
5 franck 1166
        echo ""
1 root 1167
        echo "#############################################################################"
1168
        echo "#                        Fin d'installation d'ALCASAR                       #"
1169
        echo "#                                                                           #"
1170
        echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1171
        echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1172
        echo "#                                                                           #"
1173
        echo "#############################################################################"
1174
        echo
1175
        echo "- ALCASAR sera fonctionnel après redémarrage du système"
1176
        echo
1177
        echo "- Lisez attentivement la documentation d'exploitation"
1178
        echo
1179
        echo "- L'interface de gestion est consultable à partir de n'importe quel poste"
1180
        echo "  situé sur le réseau de consultation à l'URL https://$PRIVATE_IP "
1181
        echo
1182
        echo "                   Appuyez sur 'Entrée' pour continuer"
1183
        read a
1184
        clear
1185
        reboot
1186
} # End post_install ()
1187
 
1188
#################################
1189
#  Boucle principale du script  #
1190
#################################
5 franck 1191
usage="Usage: alcasar.sh -install | -uninstall"
1 root 1192
nb_args=$#
1193
args=$1
1194
if [ $nb_args -eq 0 ]
1195
then
1196
        nb_args=1
1197
        args="-h"
1198
fi
1199
case $args in
1200
        -\? | -h* | --h*)
1201
                echo "$usage"
1202
                exit 0
1203
                ;;
29 richard 1204
        -install)
5 franck 1205
                header_install
29 richard 1206
                testing
5 franck 1207
# On teste la présence d'une version déjà installée
29 richard 1208
                header_install
5 franck 1209
                if [ -e $DIR_WEB/VERSION ]
1 root 1210
                then
5 franck 1211
                        echo -n "La version "; echo -n `cat $DIR_WEB/VERSION`; echo " d'ALCASAR est déjà installée";
1212
                        response=0
1213
                        PTN='^[oOnN]$'
1214
                        until [[ $(expr $response : $PTN) -gt 0 ]]
1215
                        do
1216
                                echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
1217
                                read response
1218
                        done
1219
                        if [ "$response" = "o" ] || [ "$response" = "O" ]
1220
                        then
1221
# On crée le fichier de conf de la version actuelle
1222
                                chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
1223
                                $DIR_SCRIPTS/alcasar-conf.sh -create
1224
                        fi
1225
# On désinstalle la version actuelle
65 richard 1226
                $DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1 root 1227
                fi
29 richard 1228
# On teste la version du système
1229
                fic=`cat /etc/product.id`
1230
                old="$IFS"
1231
                IFS=","
1232
                set $fic
1233
                for i in $*
1234
                do
1235
                        if [ "`echo $i|grep version|cut -d'=' -f1`" == "version" ]
1236
                        then
1237
                                version=`echo $i|cut -d"=" -f2`
1238
                        fi
1239
                done
1240
                IFS="$old"
1241
                if [ ! "$version" = "$MDV_NEEDED" ]
1242
                then
1243
                        echo "Vous devez installer une des versions suivantes de Linux Mandriva ($MDV_NEEDED)"
1244
                        echo "'/tmp'alcasar-conf.tar.gz' est le fichier de configuration de la version actuelle d'ALCASAR. Récupérez ce fichier et recopiez-le dans le répertoire '/tmp' après installation du nouveau système"
1245
                        exit 0
1246
                fi
5 franck 1247
                if [ -e /tmp/alcasar-conf.tar.gz ]
1 root 1248
                then
14 richard 1249
                echo "#### Installation avec mise à jour ####"
5 franck 1250
# On récupère le nom d'organisme à partir de fichier de conf
1251
                        tar -xvf /tmp/alcasar-conf.tar.gz conf/hostname
1252
                        ORGANISME=`cat $DIR_CONF/hostname|cut -b 9-`
1253
                        hostname `cat $DIR_CONF/hostname`
1254
                        mode="update"
1255
                else
1256
                        mode="install"
1 root 1257
                fi
14 richard 1258
                for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian firewall param_awstats param_bind cron post_install
5 franck 1259
                do
1260
                        $func
1261
# echo "*** 'debug' : end of function $func ***"; read a
14 richard 1262
                done
5 franck 1263
                ;;
1264
        -uninstall)
1265
                if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1 root 1266
                then
5 franck 1267
                        echo "Aucune version d'ALCASAR n'a été trouvée.";
1 root 1268
                        exit 0
1269
                fi
5 franck 1270
                response=0
1271
                PTN='^[oOnN]$'
1272
                until [[ $(expr $response : $PTN) -gt 0 ]]
1273
                do
1274
                        echo -n "Voulez-vous créer le fichier de conf de la version actuelle (0/n)? "
1275
                        read response
1276
                done
1277
                if [ "$reponse" = "o" ] || [ "$reponse" = "O" ]
1 root 1278
                then
5 franck 1279
                        $DIR_SCRIPT/alcasar-conf.sh -create
1 root 1280
                fi
5 franck 1281
# On désinstalle la version actuelle
65 richard 1282
                $DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1 root 1283
                ;;
1284
        *)
1285
                echo "Argument inconnu :$1";
1286
                echo "$usage"
1287
                exit 1
1288
                ;;
1289
esac
10 franck 1290
# end of script