WebSVN – ALCASAR – Blame – /alcasar.sh

Rev	Author	Line No.	Line
672	richard	1	#!/bin/bash
57	franck	2	# $Id: alcasar.sh 722 2011-09-26 13:07:34Z franck $
1	root	3
		4	# alcasar.sh
		5	# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
		6	# This script is distributed under the Gnu General Public License (GPL)
		7
672	richard	8	# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
		9	# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
1	root	10	# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
		11	# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
672	richard	12	#
604	richard	13	# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, awstat, ntpd, openssl, dnsmasq, havp, libclamav and firewalleyes
1	root	14
		15	# Options :
376	franck	16	# -i or --install
		17	# -u or --uninstall
1	root	18
376	franck	19	# Functions :
29	richard	20	# testing : Tests de connectivité et de téléchargement avant installation
1	root	21	# init : Installation des RPM et des scripts
		22	# network : Paramètrage du réseau
		23	# gestion : Installation de l'interface de gestion
		24	# AC : Initialisation de l'autorité de certification. Création des certificats
		25	# init_db : Création de la base 'radius' sur le serveur MySql
		26	# param_radius : Configuration du serveur d'authentification FreeRadius
		27	# param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
		28	# param_chilli : Configuration du daemon 'coova-chilli' et de la page d'authentification
		29	# param_squid : Configuration du proxy squid en mode 'cache'
		30	# param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
479	richard	31	# antivirus : Installation havp + libclamav
1	root	32	# param_awstats : Configuration de l'interface des statistiques de consultation WEB
297	richard	33	# dnsmasq : Configuration du serveur de noms et du serveur dhcp de secours
308	richard	34	# BL : Configuration de la BlackList
1	root	35	# cron : Mise en place des exports de logs (+ chiffrement)
532	richard	36	# post_install : Finalisation environnement ( sécurité, bannières, rotation logs, ...)
1	root	37
95	franck	38	VERSION=`cat VERSION`
1	root	39	DATE=`date '+%d %B %Y - %Hh%M'`
		40	DATE_SHORT=`date '+%d/%m/%Y'`
595	richard	41	Lang=`echo $LANG\|cut -c 1-2`
1	root	42	# ***** Files parameters - paramètres fichiers *******
		43	DIR_INSTALL=`pwd` # répertoire d'installation
		44	DIR_CONF="$DIR_INSTALL/conf" # répertoire d'installation contenant les fichiers de configuration
		45	DIR_SCRIPTS="$DIR_INSTALL/scripts" # répertoire d'installation contenant les scripts
		46	DIR_SAVE="/var/Save" # répertoire de sauvegarde (ISO, backup, etc.)
316	richard	47	DIR_WEB="/var/www/html" # répertoire racine APACHE
648	richard	48	DIR_DG="/etc/dansguardian" # répertoire de config de DansGuardian
316	richard	49	DIR_ACC="$DIR_WEB/acc" # répertoire du centre de gestion 'ALCASAR Control Center'
1	root	50	DIR_DEST_BIN="/usr/local/bin" # répertoire des scripts
		51	DIR_DEST_SBIN="/usr/local/sbin" # répertoire des scripts d'admin
		52	DIR_DEST_ETC="/usr/local/etc" # répertoire des fichiers de conf
628	richard	53	CONF_FILE="$DIR_DEST_ETC/alcasar.conf" # fichier de conf d'alcasar
		54	PASSWD_FILE="/root/ALCASAR-passwords.txt" # fichier texte contenant les mots de passe et secrets partagés
1	root	55	# ***** DBMS parameters - paramètres SGBD ******
		56	DB_RADIUS="radius" # nom de la base de données utilisée par le serveur FreeRadius
		57	DB_USER="radius" # nom de l'utilisateur de la base de données
		58	# ***** Network parameters - paramètres réseau *****
503	richard	59	HOSTNAME="alcasar" #
1	root	60	DOMAIN="localdomain" # domaine local
		61	EXTIF="eth0" # ETH0 est l'interface connectée à Internet (Box FAI)
		62	INTIF="eth1" # ETH1 est l'interface connectée au réseau local de consultation
597	richard	63	DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24" # adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
1	root	64	# **** Paths - chemin des commandes *****
		65	SED="/bin/sed -i"
		66	# **************** End of global parameters *******************
		67
		68	header_install ()
		69	{
		70	clear
		71	echo "-----------------------------------------------------------------------------"
460	richard	72	echo " ALCASAR V$VERSION Installation"
1	root	73	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
		74	echo "-----------------------------------------------------------------------------"
		75	} # End of header_install ()
		76
		77	##################################################################
29	richard	78	## Fonction TESTING ##
		79	## - Test de la connectivité Internet ##
		80	##################################################################
		81	testing ()
		82	{
595	richard	83	if [ $Lang == "fr" ]
		84	then echo -n "Tests des paramètres réseau :"
		85	else echo -n "Network parameters tests : "
		86	fi
460	richard	87	# We test the Ethernet links state
29	richard	88	for i in $EXTIF $INTIF
		89	do
294	richard	90	/sbin/ip link set $i up
306	richard	91	sleep 3
29	richard	92	if [ "`/usr/sbin/ethtool $i\|grep Link\|cut -d' ' -f3`" != "yes" ]
		93	then
595	richard	94	if [ $Lang == "fr" ]
		95	then
		96	echo "Échec"
		97	echo "Le lien réseau de la carte $i n'est pas actif."
		98	echo "Réglez ce problème puis relancez ce script."
		99	else
		100	echo "Failed"
		101	echo "The link state of $i interface id down."
		102	echo "Resolv this problem, then restart this script."
		103	fi
29	richard	104	exit 0
		105	fi
308	richard	106	echo -n "."
29	richard	107	done
		108	# On teste la présence d'un routeur par défaut (Box FAI)
		109	if [ `/sbin/route -n\|grep -c ^0.0.0.0` -ne "1" ] ; then
595	richard	110	if [ $Lang == "fr" ]
		111	then
		112	echo "Échec"
		113	echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
		114	echo "Réglez ce problème puis relancez ce script."
		115	else
		116	echo "Failed"
		117	echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
		118	echo "Resolv this problem, then restart this script."
		119	fi
29	richard	120	exit 0
		121	fi
308	richard	122	echo -n "."
		123	# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
29	richard	124	if [ `/sbin/route -n\|grep ^0.0.0.0\|grep -c eth1` -eq "1" ] ; then
595	richard	125	if [ $Lang == "fr" ]
		126	then echo "La configuration des cartes réseau va être corrigée."
		127	else echo "The Ethernet card configuration will be corrected."
		128	fi
29	richard	129	/etc/init.d/network stop
		130	mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
		131	$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
		132	/etc/init.d/network start
		133	echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
		134	sleep 2
595	richard	135	if [ $Lang == "fr" ]
		136	then echo "Configuration corrigée"
		137	else echo "Configuration updated"
		138	fi
29	richard	139	sleep 2
595	richard	140	if [ $Lang == "fr" ]
		141	then echo "Vous pouvez relancer ce script."
		142	else echo "You can restart this script."
		143	fi
29	richard	144	exit 0
		145	fi
308	richard	146	echo -n "."
		147	# On test le lien vers le routeur par default
		148	IP_GW=`ip route list\|grep ^default\|cut -d" " -f3`
		149	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW\|grep response\|cut -d" " -f2`
527	richard	150	if [ $(expr $arp_reply) -eq 0 ]
308	richard	151	then
595	richard	152	if [ $Lang == "fr" ]
		153	then
		154	echo "Échec"
		155	echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
		156	echo "Réglez ce problème puis relancez ce script."
		157	else
		158	echo "Failed"
		159	echo "The Internet gateway doesn't answered"
		160	echo "Resolv this problem, then restart this script."
		161	fi
308	richard	162	exit 0
		163	fi
		164	echo -n "."
421	franck	165	# On teste la connectivité Internet
29	richard	166	rm -rf /tmp/con_ok.html
308	richard	167	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
29	richard	168	if [ ! -e /tmp/con_ok.html ]
		169	then
595	richard	170	if [ $Lang == "fr" ]
		171	then
		172	echo "La tentative de connexion vers Internet a échoué (google.fr)."
		173	echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
		174	echo "Vérifiez la validité des adresses IP des DNS."
		175	else
		176	echo "The Internet connection try failed (google.fr)."
		177	echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
		178	echo "Verify the DNS IP addresses"
		179	fi
29	richard	180	exit 0
		181	fi
		182	rm -rf /tmp/con_ok.html
308	richard	183	echo ". : ok"
302	richard	184	} # end of testing
		185
		186	##################################################################
		187	## Fonction INIT ##
		188	## - Création du fichier "/root/ALCASAR_parametres.txt" ##
		189	## - Installation et modification des scripts du portail ##
		190	##################################################################
		191	init ()
		192	{
527	richard	193	if [ "$mode" != "update" ]
302	richard	194	then
		195	# On affecte le nom d'organisme
597	richard	196	header_install
302	richard	197	ORGANISME=!
		198	PTN='^[a-zA-Z0-9-]*$'
580	richard	199	until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
302	richard	200	do
595	richard	201	if [ $Lang == "fr" ]
597	richard	202	then echo -n "Entrez le nom de votre organisme : "
		203	else echo -n "Enter the name of your organism : "
595	richard	204	fi
330	franck	205	read ORGANISME
613	richard	206	if [ "$ORGANISME" == "" ]
330	franck	207	then
		208	ORGANISME=!
		209	fi
		210	done
302	richard	211	fi
1	root	212	# On crée aléatoirement les mots de passe et les secrets partagés
628	richard	213	rm -f $PASSWD_FILE
59	richard	214	grubpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de protection du menu Grub
628	richard	215	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
		216	echo "$grubpwd" >> $PASSWD_FILE
59	richard	217	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
384	richard	218	$SED "/^password.*/d" /boot/grub/menu.lst
		219	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1	root	220	mysqlpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'administrateur Mysqld
628	richard	221	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
		222	echo "root / $mysqlpwd" >> $PASSWD_FILE
1	root	223	radiuspwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
628	richard	224	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
		225	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
1	root	226	secretuam=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre intercept.php et coova-chilli
628	richard	227	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
		228	echo "$secretuam" >> $PASSWD_FILE
1	root	229	secretradius=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre coova-chilli et FreeRadius
628	richard	230	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
		231	echo "$secretradius" >> $PASSWD_FILE
		232	chmod 640 $PASSWD_FILE
453	franck	233	# On installe les scripts et fichiers de configuration d'ALCASAR
		234	# - dans /usr/local/bin : alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}
5	franck	235	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
453	franck	236	# - dans /usr/local/sbin : alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
5	franck	237	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
453	franck	238	# - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
648	richard	239	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1	root	240	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
		241	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5	franck	242	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
		243	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
628	richard	244	# generate central conf file
		245	cat <<EOF > $CONF_FILE
612	richard	246	##########################################
		247	## ##
		248	## ALCASAR Parameters ##
		249	## ##
		250	##########################################
1	root	251
612	richard	252	INSTALL_DATE=$DATE
		253	VERSION=$VERSION
		254	ORGANISM=$ORGANISME
		255	EOF
628	richard	256	chmod o-rwx $CONF_FILE
1	root	257	} # End of init ()
		258
		259	##################################################################
		260	## Fonction network ##
		261	## - Définition du plan d'adressage du réseau de consultation ##
595	richard	262	## - Nommage DNS du système ##
1	root	263	## - Configuration de l'interface eth1 (réseau de consultation) ##
		264	## - Modification du fichier /etc/hosts ##
		265	## - Configuration du serveur de temps (NTP) ##
		266	## - Renseignement des fichiers hosts.allow et hosts.deny ##
		267	##################################################################
		268	network ()
		269	{
		270	header_install
636	richard	271	if [ "$mode" != "update" ]
		272	then
		273	if [ $Lang == "fr" ]
		274	then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
		275	else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
		276	fi
		277	response=0
		278	PTN='^[oOyYnN]$'
		279	until [[ $(expr $response : $PTN) -gt 0 ]]
1	root	280	do
595	richard	281	if [ $Lang == "fr" ]
659	richard	282	then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
618	richard	283	else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
595	richard	284	fi
1	root	285	read response
		286	done
636	richard	287	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		288	then
		289	PRIVATE_IP_MASK="0"
		290	PTN='^$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$/[012]\?[[:digit:]]$'
		291	until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
1	root	292	do
595	richard	293	if [ $Lang == "fr" ]
597	richard	294	then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
		295	else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
595	richard	296	fi
597	richard	297	read PRIVATE_IP_MASK
1	root	298	done
636	richard	299	else
		300	PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
		301	fi
595	richard	302	else
637	richard	303	PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf\|cut -d"=" -f2`
		304	rm -rf conf/etc/alcasar.conf
1	root	305	fi
595	richard	306	# Définition de la config réseau côté "LAN de consultation"
1	root	307	hostname $HOSTNAME
607	richard	308	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK \| cut -d"=" -f2` # @ réseau de consultation (ex.: 192.168.182.0)
		309	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK \| cut -d"=" -f2` # masque réseau de consultation (ex.: 255.255.255.0)
		310	PRIVATE_IP=`echo $PRIVATE_IP_MASK \| cut -d"/" -f1` # @ip du portail (côté réseau de consultation)
		311	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK \|cut -d"=" -f2` # prefixe du réseau (ex. 24)
		312	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix # @ + masque du réseau de consult (192.168.182.0/24)
		313	classe=$((private_prefix/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2` # classes de réseau (ex.: 2=classe B, 3=classe C)
		314	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`. # @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
		315	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # @ broadcast réseau de consultation (ex.: 192.168.182.255)
		316	tmp_mask=`echo $PRIVATE_NETWORK_MASK\|cut -d"/" -f2`; half_mask=`expr $tmp_mask + 1` # masque du 1/2 réseau de consultation (ex.: 25)
		317	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$half_mask # plage des adresses statiques (ex.: 192.168.182.0/25)
		318	private_network_ending=`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup` # dernier octet de l'@ de réseau
		319	private_broadcast_ending=`echo $PRIVATE_BROADCAST \| cut -d"." -f$classe_sup` # dernier octet de l'@ de broadcast
		320	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
		321	private_half_plage=`expr $private_plage / 2`
		322	private_dyn=`expr $private_half_plage + $private_network_ending`
		323	private_dyn_ip_network=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup_sup-5`
		324	PRIVATE_DYN_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-4`/$half_mask # @ réseau (CIDR) de la plage des adresses dynamiques (ex.: 192.168.182.128/25)
		325	private_dyn_ip_ending=`echo $private_dyn_ip_network \| cut -d"." -f4`
		326	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-3`"."`expr $private_dyn_ip_ending + 1` # 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
		327	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST \| cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1` # dernière adresse de la plage dynamique (ex.: 192.168.182.254)
14	richard	328	# Récupération de la config réseau côté "Internet"
		329	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] \|\| cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
597	richard	330	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip du portail (côté Internet)
14	richard	331	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 1er DNS
		332	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 2ème DNS
70	franck	333	DNS1=${DNS1:=208.67.220.220}
		334	DNS2=${DNS2:=208.67.222.222}
597	richard	335	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
		336	PUBLIC_PREFIX=`/bin/ipcalc -p $PUBLIC_IP $PUBLIC_NETMASK \|cut -d"=" -f2` # prefixe du réseau (ex. 24)
		337	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
628	richard	338	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
		339	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE
		340	echo "DNS1=$DNS1" >> $CONF_FILE
		341	echo "DNS2=$DNS2" >> $CONF_FILE
		342	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
		343	echo "DHCP=on" >> $CONF_FILE
597	richard	344	[ -e /etc/sysconfig/network.default ] \|\| cp /etc/sysconfig/network /etc/sysconfig/network.default
14	richard	345	# Configuration réseau
1	root	346	cat <<EOF > /etc/sysconfig/network
		347	NETWORKING=yes
		348	HOSTNAME="$HOSTNAME"
		349	FORWARD_IPV4=true
		350	EOF
		351	# Modif /etc/hosts
		352	[ -e /etc/hosts.default ] \|\| cp /etc/hosts /etc/hosts.default
		353	cat <<EOF > /etc/hosts
503	richard	354	127.0.0.1 localhost
		355	$PRIVATE_IP $HOSTNAME
1	root	356	EOF
14	richard	357	# Configuration de l'interface eth0 (Internet)
		358	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
		359	DEVICE=$EXTIF
		360	BOOTPROTO=static
597	richard	361	IPADDR=$PUBLIC_IP
		362	NETMASK=$PUBLIC_NETMASK
		363	GATEWAY=$PUBLIC_GATEWAY
14	richard	364	DNS1=127.0.0.1
		365	ONBOOT=yes
		366	METRIC=10
		367	NOZEROCONF=yes
		368	MII_NOT_SUPPORTED=yes
		369	IPV6INIT=no
		370	IPV6TO4INIT=no
		371	ACCOUNTING=no
		372	USERCTL=no
		373	EOF
1	root	374	# Configuration de l'interface eth1 (réseau de consultation)
		375	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
		376	DEVICE=$INTIF
		377	BOOTPROTO=static
		378	IPADDR=$PRIVATE_IP
604	richard	379	NETMASK=$PRIVATE_NETMASK
1	root	380	ONBOOT=yes
		381	METRIC=10
		382	NOZEROCONF=yes
		383	MII_NOT_SUPPORTED=yes
14	richard	384	IPV6INIT=no
		385	IPV6TO4INIT=no
		386	ACCOUNTING=no
		387	USERCTL=no
1	root	388	EOF
440	franck	389	# Mise à l'heure du serveur
		390	[ -e /etc/ntp/step-tickers.default ] \|\| cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
		391	cat <<EOF > /etc/ntp/step-tickers
455	franck	392	0.fr.pool.ntp.org # adapt to your country
		393	1.fr.pool.ntp.org
		394	2.fr.pool.ntp.org
440	franck	395	EOF
		396	# Configuration du serveur de temps (sur lui même)
1	root	397	[ -e /etc/ntp.conf.default ] \|\| cp /etc/ntp.conf /etc/ntp.conf.default
		398	cat <<EOF > /etc/ntp.conf
456	franck	399	server 0.fr.pool.ntp.org # adapt to your country
447	franck	400	server 1.fr.pool.ntp.org
		401	server 2.fr.pool.ntp.org
		402	server 127.127.1.0 # local clock si NTP internet indisponible ...
411	richard	403	fudge 127.127.1.0 stratum 10
604	richard	404	restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
1	root	405	restrict 127.0.0.1
310	richard	406	driftfile /var/lib/ntp/drift
1	root	407	logfile /var/log/ntp.log
		408	EOF
440	franck	409
310	richard	410	chown -R ntp:ntp /var/lib/ntp
1	root	411	# Renseignement des fichiers hosts.allow et hosts.deny
		412	[ -e /etc/hosts.allow.default ] \|\| cp /etc/hosts.allow /etc/hosts.allow.default
		413	cat <<EOF > /etc/hosts.allow
		414	ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
604	richard	415	sshd: ALL
1	root	416	ntpd: $PRIVATE_NETWORK_SHORT
		417	EOF
		418	[ -e /etc/host.deny.default ] \|\| cp /etc/hosts.deny /etc/hosts.deny.default
		419	cat <<EOF > /etc/hosts.deny
		420	ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" \| /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
		421	EOF
604	richard	422	# Firewall config
		423	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		424	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		425	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
		426	# création du fichier d'exception au filtrage
		427	touch $DIR_DEST_ETC/alcasar-filter-exceptions
		428	# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
1	root	429	} # End of network ()
		430
		431	##################################################################
		432	## Fonction gestion ##
		433	## - installation du centre de gestion ##
		434	## - configuration du serveur web (Apache) ##
		435	## - définition du 1er comptes de gestion ##
		436	## - sécurisation des accès ##
		437	##################################################################
		438	gestion()
		439	{
		440	# Suppression des CGI et des pages WEB installés par défaut
		441	rm -rf /var/www/cgi-bin/*
		442	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
		443	mkdir $DIR_WEB
		444	# Copie et configuration des fichiers du centre de gestion
316	richard	445	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
1	root	446	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
316	richard	447	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
		448	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		449	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		450	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
498	richard	451	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
316	richard	452	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
5	franck	453	chown -R apache:apache $DIR_WEB/*
1	root	454	for i in ISO base logs/firewall logs/httpd logs/squid ;
		455	do
		456	[ -d $DIR_SAVE/$i ] \|\| mkdir -p $DIR_SAVE/$i
		457	done
5	franck	458	chown -R root:apache $DIR_SAVE
71	richard	459	# Configuration et sécurisation php
		460	[ -e /etc/php.ini.default ] \|\| cp /etc/php.ini /etc/php.ini.default
534	richard	461	timezone=`cat /etc/sysconfig/clock\|grep ZONE\|cut -d"=" -f2`
		462	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
411	richard	463	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
		464	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
71	richard	465	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
		466	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
		467	# Configuration et sécurisation Apache
1	root	468	[ -e /etc/httpd/conf/httpd.conf.default ] \|\| cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
580	richard	469	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
303	richard	470	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
1	root	471	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
		472	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
		473	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
		474	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
		475	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
		476	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
		477	[ -e /var/www/error/include/bottom.html.default ] \|\| mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
		478	cat <<EOF > /var/www/error/include/bottom.html
		479	</body>
		480	</html>
		481	EOF
		482	# Définition du premier compte lié au profil 'admin'
509	richard	483	header_install
510	richard	484	if [ "$mode" = "install" ]
		485	then
613	richard	486	admin_portal=!
		487	PTN='^[a-zA-Z0-9-]*$'
		488	until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
		489	do
		490	header_install
		491	if [ $Lang == "fr" ]
		492	then
		493	echo ""
		494	echo "Définissez un premier compte d'administration du portail :"
		495	echo
		496	echo -n "Nom : "
		497	else
		498	echo ""
		499	echo "Define the first account allow to administrate the portal :"
		500	echo
		501	echo -n "Account : "
		502	fi
		503	read admin_portal
		504	if [ "$admin_portal" == "" ]
		505	then
		506	admin_portal=!
		507	fi
		508	done
1	root	509	# Création du fichier de clés de ce compte dans le profil "admin"
510	richard	510	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		511	mkdir -p $DIR_DEST_ETC/digest
		512	chmod 755 $DIR_DEST_ETC/digest
		513	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		514	do
613	richard	515	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	516	done
		517	$DIR_DEST_SBIN/alcasar-profil.sh --list
595	richard	518	else # mise à jour des versions < 2.1
510	richard	519	if ([ $MAJ_RUNNING_VERSION -lt 2 ] \|\| ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
		520	then
613	richard	521	if [ $Lang == "fr" ]
		522	then
		523	echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
		524	echo
		525	echo -n "Nom : "
		526	else
		527	echo "This update need to redefine the first admin account"
		528	echo
		529	echo -n "Account : "
		530	fi
		531	read admin_portal
510	richard	532	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		533	mkdir -p $DIR_DEST_ETC/digest
		534	chmod 755 $DIR_DEST_ETC/digest
		535	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		536	do
613	richard	537	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	538	done
		539	$DIR_DEST_SBIN/alcasar-profil.sh --list
		540	fi
		541	fi
434	richard	542	# synchronisation horaire
		543	ntpd -q -g &
1	root	544	# Sécurisation du centre
		545	rm -f /etc/httpd/conf/webapps.d/*
		546	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	547	<Directory $DIR_ACC>
1	root	548	SSLRequireSSL
		549	AllowOverride None
		550	Order deny,allow
		551	Deny from all
		552	Allow from 127.0.0.1
		553	Allow from $PRIVATE_NETWORK_MASK
		554	require valid-user
		555	AuthType digest
		556	AuthName $HOSTNAME
		557	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	558	AuthUserFile $DIR_DEST_ETC/digest/key_all
580	richard	559	ErrorDocument 404 https://$HOSTNAME/
1	root	560	</Directory>
316	richard	561	<Directory $DIR_ACC/admin>
1	root	562	SSLRequireSSL
		563	AllowOverride None
		564	Order deny,allow
		565	Deny from all
		566	Allow from 127.0.0.1
		567	Allow from $PRIVATE_NETWORK_MASK
		568	require valid-user
		569	AuthType digest
		570	AuthName $HOSTNAME
		571	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	572	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	573	ErrorDocument 404 https://$HOSTNAME/
1	root	574	</Directory>
344	richard	575	<Directory $DIR_ACC/manager>
1	root	576	SSLRequireSSL
		577	AllowOverride None
		578	Order deny,allow
		579	Deny from all
		580	Allow from 127.0.0.1
		581	Allow from $PRIVATE_NETWORK_MASK
		582	require valid-user
		583	AuthType digest
		584	AuthName $HOSTNAME
		585	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	586	AuthUserFile $DIR_DEST_ETC/digest/key_manager
580	richard	587	ErrorDocument 404 https://$HOSTNAME/
1	root	588	</Directory>
316	richard	589	<Directory $DIR_ACC/backup>
		590	SSLRequireSSL
		591	AllowOverride None
		592	Order deny,allow
		593	Deny from all
		594	Allow from 127.0.0.1
		595	Allow from $PRIVATE_NETWORK_MASK
		596	require valid-user
		597	AuthType digest
		598	AuthName $HOSTNAME
		599	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	600	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580	richard	601	ErrorDocument 404 https://$HOSTNAME/
316	richard	602	</Directory>
1	root	603	Alias /save/ "$DIR_SAVE/"
		604	<Directory $DIR_SAVE>
		605	SSLRequireSSL
		606	Options Indexes
		607	Order deny,allow
		608	Deny from all
		609	Allow from 127.0.0.1
		610	Allow from $PRIVATE_NETWORK_MASK
		611	require valid-user
		612	AuthType digest
		613	AuthName $HOSTNAME
434	richard	614	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580	richard	615	ErrorDocument 404 https://$HOSTNAME/
1	root	616	ReadmeName /readmeSave.html
		617	</Directory>
		618	EOF
		619	} # End of gestion ()
		620
		621	##########################################################################################
		622	## Fonction AC() ##
		623	## - Création d'une Autorité de Certification et du certificat serveur pour apache ##
		624	##########################################################################################
		625	AC ()
		626	{
		627	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
510	richard	628	$DIR_DEST_BIN/alcasar-CA.sh
303	richard	629	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name default_ssl`
		630	[ -e /etc/httpd/conf/vhosts-ssl.default ] \|\| cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
		631	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
		632	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
679	richard	633	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
5	franck	634	chown -R root:apache /etc/pki
1	root	635	chmod -R 750 /etc/pki
		636	} # End AC ()
		637
		638	##########################################################################################
		639	## Fonction init_db() ##
		640	## - Initialisation de la base Mysql ##
		641	## - Affectation du mot de passe de l'administrateur (root) ##
		642	## - Suppression des bases et des utilisateurs superflus ##
		643	## - Création de la base 'radius' ##
		644	## - Installation du schéma de cette base ##
		645	## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo) ##
		646	## ces table proviennent de 'dialupadmin' (paquetage freeradius-web) ##
		647	##########################################################################################
		648	init_db ()
		649	{
		650	mkdir -p /var/lib/mysql/.tmp
		651	chown mysql:mysql /var/lib/mysql/.tmp
227	franck	652	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf # prend en compte les migrations de MySQL
1	root	653	[ -e /etc/my.cnf.default ] \|\| cp /etc/my.cnf /etc/my.cnf.default
		654	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
		655	/etc/init.d/mysqld start
		656	sleep 4
		657	mysqladmin -u root password $mysqlpwd
		658	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615	richard	659	# Delete exemple databases if exist
1	root	660	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;"
615	richard	661	# Create 'radius' database
1	root	662	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
615	richard	663	# Add an empty radius database structure
364	franck	664	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
615	richard	665	# modify the start script in order to close accounting connexion when the system is comming down or up
		666	[ -e /etc/init.d/mysqld.default ] \|\| cp /etc/init.d/mysqld /etc/init.d/mysqld.default
		667	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
		668	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
1	root	669	} # End init_db ()
		670
		671	##########################################################################
		672	## Fonction param_radius ##
		673	## - Paramètrage des fichiers de configuration FreeRadius ##
		674	## - Affectation du secret partagé entre coova-chilli et freeradius ##
		675	## - Modification de fichier de conf pour l'accès à Mysql ##
		676	##########################################################################
		677	param_radius ()
		678	{
		679	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
		680	chown -R radius:radius /etc/raddb
		681	[ -e /etc/raddb/radiusd.conf.default ] \|\| cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
		682	# paramètrage radius.conf
		683	$SED "s?^[\t ]#[\t ]user =.*?user = radius?g" /etc/raddb/radiusd.conf
		684	$SED "s?^[\t ]#[\t ]group =.*?group = radius?g" /etc/raddb/radiusd.conf
		685	$SED "s?^[\t ]status_server =.?status_server = no?g" /etc/raddb/radiusd.conf
		686	# suppression de la fonction proxy
		687	$SED "s?^[\t ]proxy_requests.?proxy_requests = no?g" /etc/raddb/radiusd.conf
		688	$SED "s?^[\t ]\$INCLUDE proxy.conf.?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
654	richard	689	# suppression du module EAP
		690	$SED "s?^[\t ]\$INCLUDE eap.conf.?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
1	root	691	# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
		692	$SED "s?^[\t ]ipaddr =.?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
		693	# prise en compte du module SQL et des compteurs SQL
		694	$SED "s?^[\t ]#[\t ]\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
		695	$SED "s?^[\t ]#[\t ]\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
		696	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
		697	# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
		698	rm -f /etc/raddb/sites-enabled/*
		699	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
		700	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
		701	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
		702	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
		703	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
384	richard	704	# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
1	root	705	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
		706	# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
		707	[ -e /etc/raddb/clients.conf.default ] \|\| cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
		708	cat << EOF > /etc/raddb/clients.conf
		709	client 127.0.0.1 {
		710	secret = $secretradius
		711	shortname = localhost
		712	}
		713	EOF
		714	# modif sql.conf
		715	[ -e /etc/raddb/sql.conf.default ] \|\| cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
		716	$SED "s?^[\t ]login =.?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
		717	$SED "s?^[\t ]password =.?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
		718	$SED "s?^[\t ]radius_db =.?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
		719	$SED "s?^[\t ]sqltrace =.?sqltrace = no?g" /etc/raddb/sql.conf
		720	# modif dialup.conf
		721	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] \|\| cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
		722	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
		723	} # End param_radius ()
		724
		725	##########################################################################
		726	## Fonction param_web_radius ##
		727	## - Import, modification et paramètrage de l'interface "dialupadmin" ##
		728	## - Création du lien vers la page de changement de mot de passe ##
		729	##########################################################################
		730	param_web_radius ()
		731	{
		732	# copie de l'interface d'origine dans la structure Alcasar
316	richard	733	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
		734	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme
		735	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
344	richard	736	# copie des fichiers modifiés
		737	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
316	richard	738	chown -R apache:apache $DIR_ACC/manager/
344	richard	739	# Modification des fichiers de configuration
1	root	740	[ -e /etc/freeradius-web/admin.conf.default ] \|\| cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
503	richard	741	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
1	root	742	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
		743	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
		744	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
		745	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
		746	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
		747	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
		748	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
582	richard	749	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
344	richard	750	[ -e /etc/freeradius-web/config.php.default ] \|\| cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
		751	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
131	richard	752	cat <<EOF > /etc/freeradius-web/naslist.conf
632	richard	753	nas1_name: alcasar-$ORGANISME
1	root	754	nas1_model: Portail captif
		755	nas1_ip: $PRIVATE_IP
		756	nas1_port_num: 0
		757	nas1_community: public
		758	EOF
		759	# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
		760	[ -e /etc/freeradius-web/user_edit.attrs.default ] \|\| mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
		761	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
114	richard	762	# Ajout du mappage des attributs chillispot
		763	[ -e /etc/freeradius-web/sql.attrmap.default ] \|\| mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
		764	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
1	root	765	# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
		766	[ -e /etc/freeradius-web/sql.attrs.default ] \|\| cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
		767	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
		768	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5	franck	769	chown -R apache:apache /etc/freeradius-web
1	root	770	# Ajout de l'alias vers la page de "changement de mot de passe usager"
		771	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
344	richard	772	<Directory $DIR_WEB/pass>
1	root	773	SSLRequireSSL
		774	AllowOverride None
		775	Order deny,allow
		776	Deny from all
		777	Allow from 127.0.0.1
		778	Allow from $PRIVATE_NETWORK_MASK
580	richard	779	ErrorDocument 404 https://$HOSTNAME
1	root	780	</Directory>
		781	EOF
		782	} # End of param_web_radius ()
		783
346	richard	784	##########################################################################################
		785	## Fonction param_chilli ##
		786	## - Paramètrage du fichier d'initialisation et de configuration de coova-chilli ##
		787	## - Paramètrage de la page d'authentification (intercept.php) ##
		788	##########################################################################################
1	root	789	param_chilli ()
		790	{
461	richard	791	# modification du fichier d'initialisation
		792	[ -e /etc/init.d/chilli.default ] \|\| cp /etc/init.d/chilli /etc/init.d/chilli.default
		793	# configuration d'eth1 (utile pour dnsmasq))
		794	$SED "s?ifconfig.*?ifconfig \$HS_LANIF $PRIVATE_IP?g" /etc/init.d/chilli
		795	# ajout de la fonction 'status' (utile pour la gestion du process)
		796	$SED "/^.*functions/i. /etc/init.d/functions" /etc/init.d/chilli
		797	$SED "/^[\t ]*stop)/i\ status)\n status chilli\n RETVAL=$?\n ;;\n" /etc/init.d/chilli
		798	# insertion d'une tempo sur le 'restart' pour permettre à tun0 d'être libérée
		799	$SED "/^[\t ]*\$0 start/i\ sleep 2" /etc/init.d/chilli
		800	# suppression des fonctions 'writeconfig' et 'radiusconfig'
		801	$SED "/writeconfig/d" /etc/init.d/chilli
		802	$SED "/radiusconfig/d" /etc/init.d/chilli
		803	# suppression de warning disgracieux
		804	$SED "s?which start-stop-daemon?which start-stop-daemon 2>/dev/null?g" /etc/init.d/chilli
1	root	805	# création du fichier de conf
346	richard	806	[ -e /etc/chilli.conf.default ] \|\| cp /etc/chilli.conf /etc/chilli.conf.default
		807	cat <<EOF > /etc/chilli.conf
		808	# coova config for ALCASAR
		809	cmdsocket /var/run/chilli.sock
		810	unixipc chilli.eth1.ipc
		811	pidfile /var/run/chilli.eth1.pid
		812	net $PRIVATE_NETWORK_MASK
595	richard	813	dhcpif $INTIF
		814	#nodynip
607	richard	815	dynip $PRIVATE_DYN_IP
		816	statip $PRIVATE_STAT_IP
595	richard	817	ethers $DIR_DEST_ETC/alcasar-ethers
346	richard	818	domain localdomain
355	richard	819	dns1 $PRIVATE_IP
		820	dns2 $PRIVATE_IP
346	richard	821	uamlisten $PRIVATE_IP
503	richard	822	uamport 3990
346	richard	823	macallowlocal
		824	locationname $HOSTNAME
		825	radiusserver1 127.0.0.1
		826	radiusserver2 127.0.0.1
		827	radiussecret $secretradius
		828	radiusauthport 1812
		829	radiusacctport 1813
467	richard	830	uamserver https://$HOSTNAME/intercept.php
346	richard	831	radiusnasid $HOSTNAME
		832	uamsecret $secretuam
		833	coaport 3799
503	richard	834	include $DIR_DEST_ETC/alcasar-uamallowed
		835	include $DIR_DEST_ETC/alcasar-uamdomain
		836	include $DIR_DEST_ETC/alcasar-macallowed
346	richard	837	EOF
605	richard	838	# création du fichier d'allocation d'adresses IP statiques
		839	touch $DIR_DEST_ETC/alcasar-ethers
1	root	840	# création des fichiers de sites, d'urls et d'adresses MAC de confiance
613	richard	841	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
503	richard	842	chown root:apache $DIR_DEST_ETC/alcasar-*
		843	chmod 660 $DIR_DEST_ETC/alcasar-*
		844	# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
526	stephane	845	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
		846	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
		847	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
1	root	848	} # End of param_chilli ()
		849
		850	##########################################################
		851	## Fonction param_squid ##
		852	## - Paramètrage du proxy 'squid' en mode 'cache' ##
		853	## - Initialisation de la base de données ##
		854	##########################################################
		855	param_squid ()
		856	{
		857	# paramètrage de Squid (connecté en série derrière Dansguardian)
		858	[ -e /etc/squid/squid.conf.default ] \|\| cp /etc/squid/squid.conf /etc/squid/squid.conf.default
		859	# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
		860	$SED "/^acl localnet/d" /etc/squid/squid.conf
		861	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
		862	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
		863	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
		864	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
		865	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
		866	# mode 'proxy transparent local'
595	richard	867	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
405	franck	868	# emplacement et formatage standard des logs
419	franck	869	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
		870	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Ag' >> /etc/squid/squid.conf
405	franck	871	echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
1	root	872	# compatibilité des logs avec awstats
315	richard	873	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
313	richard	874	# pour éviter les message d'erreur lors des changement d'état des interfaces réseaux
		875	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
1	root	876	# Initialisation du cache de Squid
		877	/usr/sbin/squid -z
		878	} # End of param_squid ()
		879
		880	##################################################################
		881	## Fonction param_dansguardian ##
		882	## - Paramètrage du gestionnaire de contenu Dansguardian ##
		883	##################################################################
		884	param_dansguardian ()
		885	{
		886	mkdir /var/dansguardian
		887	chown dansguardian /var/dansguardian
497	richard	888	[ -e $DIR_DG/dansguardian.conf.default ] \|\| cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
307	richard	889	# Le filtrage est désactivé par défaut
497	richard	890	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1	root	891	# la page d'interception est en français
497	richard	892	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1	root	893	# on limite l'écoute de Dansguardian côté LAN
497	richard	894	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
75	richard	895	# on chaîne Dansguardian au proxy antivirus HAVP
497	richard	896	$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
1	root	897	# on remplace la page d'interception (template)
		898	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
		899	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
		900	# on ne loggue que les deny (pour le reste, on a squid)
497	richard	901	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
659	richard	902	# lauch of 10 daemons (20 in largest server)
		903	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1	root	904	# on désactive par défaut le controle de contenu des pages html
497	richard	905	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
		906	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
		907	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1	root	908	# on désactive par défaut le contrôle d'URL par expressions régulières
497	richard	909	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
		910	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1	root	911	# on désactive par défaut le contrôle de téléchargement de fichiers
497	richard	912	[ -e $DIR_DG/dansguardianf1.conf.default ] \|\| cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
		913	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
		914	[ -e $DIR_DG/lists/bannedextensionlist.default ] \|\| mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
		915	[ -e $DIR_DG/lists/bannedmimetypelist.default ] \|\| mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
		916	touch $DIR_DG/lists/bannedextensionlist
		917	touch $DIR_DG/lists/bannedmimetypelist
		918	# 'Safesearch' regex actualisation
498	richard	919	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
497	richard	920	# empty LAN IP list that won't be WEB filtered
		921	[ -e $DIR_DG/lists/exceptioniplist.default ] \|\| mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
		922	touch $DIR_DG/lists/exceptioniplist
		923	# Keep a copy of URL & domain filter configuration files
		924	[ -e $DIR_DG/lists/bannedsitelist.default ] \|\| mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
		925	[ -e $DIR_DG/lists/bannedurllist.default ] \|\| mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1	root	926	} # End of param_dansguardian ()
		927
71	richard	928	##################################################################
		929	## Fonction antivirus ##
479	richard	930	## - configuration havp + libclamav ##
71	richard	931	##################################################################
		932	antivirus ()
		933	{
288	richard	934	# création de l'usager 'havp'
		935	havp_exist=`grep havp /etc/passwd\|wc -l`
307	richard	936	if [ "$havp_exist" == "1" ]
288	richard	937	then
478	richard	938	userdel -r havp 2>/dev/null
288	richard	939	fi
307	richard	940	groupadd -f havp
478	richard	941	useradd -M -g havp havp
476	richard	942	mkdir -p /var/tmp/havp /var/log/havp
		943	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
307	richard	944	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
109	richard	945	# configuration d'HAVP
		946	[ -e /etc/havp/havp.config.default ] \|\| cp /etc/havp/havp.config /etc/havp/havp.config.default
		947	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
631	richard	948	$SED "s?^# PARENTPROXY.*?PARENTPROXY 127.0.0.1?g" /etc/havp/havp.config # datas come from DG
		949	$SED "s?^# PARENTPORT.*?PARENTPORT 3128?g" /etc/havp/havp.config # datas are send to squid (3128)
		950	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config # datas come on 8090
		951	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config # we listen only on loopback
		952	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config # active libclamav AV
		953	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config # log only when malware matches
659	richard	954	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config # 10 daemons are started simultaneously
481	franck	955	# remplacement du fichier d'initialisation
335	richard	956	[ -e /etc/init.d/havp.default ] \|\| cp /etc/init.d/havp /etc/init.d/havp.default
481	franck	957	cp -f $DIR_CONF/havp-init /etc/init.d/havp
340	richard	958	# on remplace la page d'interception (template)
		959	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
		960	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
489	richard	961	# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
		962	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
		963	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
589	richard	964	# on supprime les fichiers '*.cld' (cas d'une mise à jour)
		965	rm -f /var/lib/clamav/*.cld
71	richard	966	}
		967
1	root	968	##################################################################################
476	richard	969	## param_ulogd function ##
		970	## - Ulog config for multi-log files ##
		971	##################################################################################
		972	param_ulogd ()
		973	{
		974	# Three instances of ulogd (three different logfiles)
		975	[ -d /var/log/firewall ] \|\| mkdir -p /var/log/firewall
478	richard	976	nl=1
		977	for log_type in tracability ssh ext-access
		978	do
		979	[ -e /var/log/firewall/$log_type.log ] \|\| touch /var/log/firewall/$log_type.log
		980	cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
		981	$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf
		982	$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
		983	cat << EOF >> /etc/ulogd-$log_type.conf
		984	[LOGEMU]
		985	file="/var/log/firewall/$log_type.log"
		986	sync=1
		987	EOF
		988	nl=`expr $nl + 1`
		989	done
476	richard	990	chown -R root:apache /var/log/firewall
		991	chmod 750 /var/log/firewall
		992	chmod 640 /var/log/firewall/*
		993	[ -e /etc/init.d/ulogd.default ] \|\| cp /etc/init.d/ulogd /etc/init.d/ulogd.default
		994	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
		995	} # End of param_ulogd ()
		996
		997	##################################################################################
1	root	998	## Fonction param_awstats ##
		999	## - configuration de l'interface des logs de consultation WEB (AWSTAT) ##
		1000	##################################################################################
		1001	param_awstats()
		1002	{
316	richard	1003	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
		1004	chown -R apache:apache $DIR_ACC/awstats
1	root	1005	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
		1006	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
		1007	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
		1008	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
		1009	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
		1010	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
344	richard	1011	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
		1012	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1	root	1013	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
		1014	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59	richard	1015	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
580	richard	1016	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
		1017	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1018	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1019	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
		1020	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
		1021	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
		1022	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
		1023	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
		1024	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
		1025	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
		1026	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
		1027	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
		1028	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
		1029	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
		1030	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
		1031
1	root	1032	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	1033	<Directory $DIR_ACC/awstats>
1	root	1034	SSLRequireSSL
		1035	Options ExecCGI
		1036	AddHandler cgi-script .pl
		1037	DirectoryIndex awstats.pl
		1038	Order deny,allow
		1039	Deny from all
		1040	Allow from 127.0.0.1
		1041	Allow from $PRIVATE_NETWORK_MASK
		1042	require valid-user
		1043	AuthType digest
		1044	AuthName $HOSTNAME
		1045	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	1046	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	1047	ErrorDocument 404 https://$HOSTNAME/
1	root	1048	</Directory>
		1049	SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
		1050	EOF
		1051	} # End of param_awstats ()
		1052
		1053	##########################################################
235	richard	1054	## Fonction param_dnsmasq ##
1	root	1055	##########################################################
219	jeremy	1056	param_dnsmasq ()
		1057	{
		1058	[ -d /var/log/dnsmasq ] \|\| mkdir /var/log/dnsmasq
259	richard	1059	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
503	richard	1060	[ -e /etc/dnsmasq.conf.default ] \|\| cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
520	richard	1061	# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
503	richard	1062	cat << EOF > /etc/dnsmasq.conf
520	richard	1063	# Configuration file for "dnsmasq in forward mode"
503	richard	1064	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
259	richard	1065	listen-address=$PRIVATE_IP
		1066	listen-address=127.0.0.1
286	richard	1067	no-dhcp-interface=$INTIF
259	richard	1068	bind-interfaces
		1069	cache-size=256
		1070	domain=$DOMAIN
		1071	domain-needed
		1072	expand-hosts
		1073	bogus-priv
		1074	filterwin2k
		1075	server=$DNS1
		1076	server=$DNS2
498	richard	1077	# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
604	richard	1078	dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_NETMASK,12h
632	richard	1079	dhcp-option=option:router,$PRIVATE_IP
259	richard	1080	#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
		1081
291	franck	1082	# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
420	franck	1083	#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
259	richard	1084	EOF
520	richard	1085	# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
		1086	cat << EOF > /etc/dnsmasq-blackhole.conf
		1087	# Configuration file for "dnsmasq with blackhole"
		1088	# Inclusion de la blacklist <domains> de Toulouse dans la configuration
		1089	conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
503	richard	1090	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
498	richard	1091	listen-address=$PRIVATE_IP
		1092	port=54
		1093	no-dhcp-interface=$INTIF
		1094	bind-interfaces
		1095	cache-size=256
		1096	domain=$DOMAIN
		1097	domain-needed
		1098	expand-hosts
		1099	bogus-priv
		1100	filterwin2k
		1101	server=$DNS1
		1102	server=$DNS2
		1103	EOF
718	franck	1104
		1105	# On modifie le fichier d'initialisation (lancement et arret de la deuxième instance)
503	richard	1106	[ -e /etc/init.d/dnsmasq.default ] \|\| cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
520	richard	1107	$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
503	richard	1108	$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
308	richard	1109	} # End dnsmasq
		1110
		1111	##########################################################
		1112	## Fonction BL (BlackList) ##
		1113	##########################################################
		1114	BL ()
		1115	{
		1116	# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
648	richard	1117	rm -rf $DIR_DG/lists/blacklists
		1118	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
316	richard	1119	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
		1120	chown apache:apache $DIR_ACC/VERSION-BL
648	richard	1121	# on crée le répertoire de la BL secondaire et le répertoire "pureip" (catégorie virtuelle)
		1122	mkdir $DIR_DG/lists/blacklists/ossi $DIR_DG/lists/blacklists/ip
		1123	touch $DIR_DG/lists/blacklists/ossi/domains $DIR_DG/lists/blacklists/ip/domains
		1124	touch $DIR_DG/lists/blacklists/ossi/urls $DIR_DG/lists/blacklists/ip/urls
309	richard	1125	# On crée les fichiers vides de sites ou d'URL réhabilités
648	richard	1126	[ -e $DIR_DG/lists/exceptionsitelist.default ] \|\| mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
673	richard	1127	[ -e $DIR_DG/lists/exceptionurllist.default ] \|\| mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
648	richard	1128	touch $DIR_DG/lists/exceptionsitelist
		1129	touch $DIR_DG/lists/exceptionurllist
311	richard	1130	# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
648	richard	1131	cat <<EOF > $DIR_DG/lists/bannedurllist
311	richard	1132	# Dansguardian filter config for ALCASAR
		1133	EOF
648	richard	1134	cat <<EOF > $DIR_DG/lists/bannedsitelist
311	richard	1135	# Dansguardian domain filter config for ALCASAR
		1136	# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
		1137	#**
		1138	# block all SSL and CONNECT tunnels
		1139	**s
		1140	# block all SSL and CONNECT tunnels specified only as an IP
		1141	*ips
		1142	# block all sites specified only by an IP
		1143	*ip
		1144	EOF
648	richard	1145	chown -R dansguardian:apache $DIR_DG
		1146	chmod -R g+rw $DIR_DG
304	richard	1147	# On crée la structure du DNS-blackhole :
503	richard	1148	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1149	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1150	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
308	richard	1151	# On fait pointer le black-hole sur une page interne
		1152	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
648	richard	1153	# On récupère la dernière version de la BL Toulouse et on l'adapte à notre structure
420	franck	1154	$DIR_DEST_SBIN/alcasar-bl.sh --download
654	richard	1155	if [ "$mode" != "update" ]; then
		1156	$DIR_DEST_SBIN/alcasar-bl.sh --adapt
		1157	fi
308	richard	1158	}
219	jeremy	1159
1	root	1160	##########################################################
		1161	## Fonction cron ##
		1162	## - Mise en place des différents fichiers de cron ##
		1163	##########################################################
		1164	cron ()
		1165	{
		1166	# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
		1167	[ -e /etc/crontab.default ] \|\| cp /etc/crontab /etc/crontab.default
		1168	cat <<EOF > /etc/crontab
		1169	SHELL=/bin/bash
		1170	PATH=/sbin:/bin:/usr/sbin:/usr/bin
		1171	MAILTO=root
		1172	HOME=/
		1173
		1174	# run-parts
		1175	01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
		1176	02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
		1177	22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
		1178	42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
		1179	EOF
		1180	[ -e /etc/anacrontab.default ] \|\| cp /etc/anacrontab /etc/anacrontab.default
		1181	cat <<EOF >> /etc/anacrontab
667	franck	1182	7 8 cron.MysqlDump nice /etc/cron.d/alcasar-mysql
		1183	7 10 cron.logExport nice /etc/cron.d/alcasar-export_log
		1184	7 15 cron.logClean nice /etc/cron.d/alcasar-clean_log
		1185	7 20 cron.importClean nice /etc/cron.d/alcasar-clean_import
1	root	1186	EOF
		1187	# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
667	franck	1188	cat <<EOF > /etc/cron.d/alcasar-clean_log
713	franck	1189	# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1	root	1190	30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
		1191	EOF
		1192	# export de la base des usagers (tous les lundi à 4h45)
667	franck	1193	cat <<EOF > /etc/cron.d/alcasar-mysql
713	franck	1194	# export des log squid, firewall et apache (tous les lundi à 5h00)
671	franck	1195	45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
1	root	1196	EOF
		1197	# export des log squid, firewall et apache (tous les lundi à 5h00)
667	franck	1198	cat <<EOF > /etc/cron.d/alcasar-export_log
713	franck	1199	# export des log squid, firewall et apache (tous les lundi à 5h00)
1	root	1200	00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
		1201	EOF
		1202	# mise à jour des stats de consultation WEB toutes les 30' ## existe en double pour le daily sans l'@IP
		1203	# sans mèl ( > /dev/null 2>&1)
		1204	cat << EOF > /etc/cron.d/awstats
713	franck	1205	# mise à jour des stats de consultation WEB toutes les 30'
419	franck	1206	/30 * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1	root	1207	EOF
219	jeremy	1208	# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
667	franck	1209	cat << EOF > /etc/cron.d/alcasar-clean_import
713	franck	1210	# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
503	richard	1211	30 * * * * root $DIR_DEST_BIN/alcasar-import-clean.sh
168	franck	1212	EOF
713	franck	1213	# mise à jour automatique de la blacklist de Toulouse
		1214	cat << EOF > /etc/cron.d/alcasar-bl_download
		1215	# mise à jour automatique de la blacklist de Toulouse tous les premier du mois à 2h30
		1216	30 2 1 * * root $DIR_DEST_BIN/alcasar-bl.sh --download && $DIR_DEST_BIN/alcasar-bl.sh --reload 2>&1
		1217	EOF
722	franck	1218	# mise à jour automatique de la distribution
		1219	cat << EOF > /etc/cron.d/alcasar-distrib-updates
		1220	# mise à jour automatique de la distribution tous les jours 3h30
		1221	30 3 * * * root urpmi --auto-update --auto 2>&1
		1222	EOF
1	root	1223	# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
		1224	# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
		1225	# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct')
		1226	# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
		1227	# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
		1228	# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
		1229	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
		1230	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
		1231	rm -f /etc/cron.daily/freeradius-web
		1232	rm -f /etc/cron.monthly/freeradius-web
		1233	cat << EOF > /etc/cron.d/freeradius-web
		1234	1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
		1235	5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
		1236	10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
		1237	15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
		1238	EOF
310	richard	1239	# activation du "chien de garde" (watchdog) toutes les 3'
671	franck	1240	cat << EOF > /etc/cron.d/alcasar-watchdog
713	franck	1241	# activation du "chien de garde" (watchdog) toutes les 3'
1	root	1242	/3 * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
		1243	EOF
522	richard	1244	# suppression des crons usagers
		1245	rm -f /var/spool/cron/*
1	root	1246	} # End cron
		1247
		1248	##################################################################
		1249	## Fonction post_install ##
		1250	## - Modification des bannières (locales et ssh) et des prompts ##
		1251	## - Installation de la structure de chiffrement pour root ##
		1252	## - Mise en place du sudoers et de la sécurité sur les fichiers##
		1253	## - Mise en place du la rotation des logs ##
5	franck	1254	## - Configuration dans le cas d'une mise à jour ##
1	root	1255	##################################################################
		1256	post_install()
		1257	{
		1258	# adaptation du script "chien de garde" (watchdog)
376	franck	1259	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1260	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1	root	1261	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1262	# création de la bannière locale
		1263	[ -e /etc/mandriva-release.default ] \|\| cp /etc/mandriva-release /etc/mandriva-release.default
589	richard	1264	cp -f $DIR_CONF/banner /etc/mandriva-release
		1265	echo " V$VERSION" >> /etc/mandriva-release
1	root	1266	# création de la bannière SSH
		1267	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5	franck	1268	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1	root	1269	[ -e /etc/ssh/sshd_config.default ] \|\| cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
		1270	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
		1271	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
604	richard	1272	# sshd écoute côté LAN et WAN
1	root	1273	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
604	richard	1274	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config
612	richard	1275	# Put the default value in conf file (sshd, QOS, protocols filter and dns filter are off)(web antivirus is on)
1	root	1276	/sbin/chkconfig --del sshd
628	richard	1277	echo "SSH=off" >> $CONF_FILE
694	franck	1278	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
628	richard	1279	echo "QOS=off" >> $CONF_FILE
		1280	echo "LDAP=off" >> $CONF_FILE
694	franck	1281	echo "LDAP_IP=0.0.0.0" >> $CONF_FILE
628	richard	1282	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
		1283	echo "DNS_FILTERING=off" >> $CONF_FILE
		1284	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
1	root	1285	# Coloration des prompts
		1286	[ -e /etc/bashrc.default ] \|\| cp /etc/bashrc /etc/bashrc.default
5	franck	1287	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
630	franck	1288	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1	root	1289	# Droits d'exécution pour utilisateur apache et sysadmin
		1290	[ -e /etc/sudoers.default ] \|\| cp /etc/sudoers /etc/sudoers.default
5	franck	1291	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
629	richard	1292	$SED "s?^Host_Alias.*?Host_Alias LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost #réseau de l'organisme?g" /etc/sudoers
132	franck	1293	# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1	root	1294	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
		1295	chmod 644 /etc/logrotate.d/*
714	franck	1296	# rectification sur versions précédentes de la compression des logs
706	franck	1297	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
		1298	# actualisation des fichiers logs compressés
714	franck	1299	for dir in firewall squid dansguardian httpd
706	franck	1300	do
714	franck	1301	find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
706	franck	1302	done
		1303	# export des logs en 'retard' dans /var/Save/logs
		1304	/usr/local/bin/alcasar-log-export.sh
1	root	1305	# processus lancés par défaut au démarrage
384	richard	1306	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd mysqld dansguardian havp freshclam
1	root	1307	do
		1308	/sbin/chkconfig --add $i
		1309	done
595	richard	1310	# pour éviter les alertes de dépendance entre service.
384	richard	1311	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
497	richard	1312	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
595	richard	1313	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
		1314	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
306	richard	1315	# On affecte le niveau de sécurité du système : type "fileserver"
235	richard	1316	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
306	richard	1317	# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
235	richard	1318	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
568	richard	1319
		1320	# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
		1321	# Apply French Security Agency rules (sysctl + msec when possible)
		1322	# ignorer les broadcast ICMP. (attaque smurf)
		1323	$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
		1324	sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
		1325	# ignorer les erreurs ICMP bogus
		1326	$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
		1327	sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
595	richard	1328	# désactiver l'envoi et la réponse aux ICMP redirects
679	richard	1329	sysctl -w net.ipv4.conf.all.accept_redirects=0
568	richard	1330	accept_redirect=`grep accept_redirect /etc/sysctl.conf\|wc -l`
		1331	if [ "$accept_redirect" == "0" ]
		1332	then
679	richard	1333	echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
		1334	else
		1335	$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
568	richard	1336	fi
679	richard	1337	sysctl -w net.ipv4.conf.all.send_redirects=0
568	richard	1338	send_redirect=`grep send_redirect /etc/sysctl.conf\|wc -l`
		1339	if [ "$send_redirect" == "0" ]
		1340	then
679	richard	1341	echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
		1342	else
		1343	$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
568	richard	1344	fi
		1345	# activer les SYN Cookies (attaque syn flood)
679	richard	1346	sysctl -w net.ipv4.tcp_syncookies=1
568	richard	1347	tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf\|wc -l`
		1348	if [ "$tcp_syncookies" == "0" ]
		1349	then
679	richard	1350	echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
		1351	else
		1352	$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
568	richard	1353	fi
595	richard	1354	# activer l'antispoofing niveau Noyau
568	richard	1355	$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
		1356	sysctl -w net.ipv4.conf.all.rp_filter=1
		1357	# ignorer le source routing
679	richard	1358	sysctl -w net.ipv4.conf.all.accept_source_route=0
568	richard	1359	accept_source_route=`grep accept_source_route /etc/sysctl.conf\|wc -l`
		1360	if [ "$accept_source_route" == "0" ]
		1361	then
679	richard	1362	echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
		1363	else
		1364	$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
568	richard	1365	fi
679	richard	1366	# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
		1367	sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
		1368	timeout_established=`grep timeout_established /etc/sysctl.conf\|wc -l`
		1369	if [ "$timeout_established" == "0" ]
		1370	then
		1371	echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
		1372	else
		1373	$SED "s?timeout_established.*?itimeout_established = 3600?g" /etc/sysctl.conf
		1374	fi
		1375	# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée)
568	richard	1376	sysctl -w net.ipv4.conf.all.log_martians=0
		1377	$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
		1378
306	richard	1379	# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
		1380	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1	root	1381	# On mets en place la sécurité sur les fichiers
		1382	# des modif par rapport à radius update
		1383	cat <<EOF > /etc/security/msec/perm.local
		1384	/var/log/firewall/ root.apache 750
		1385	/var/log/firewall/* root.apache 640
		1386	/etc/security/msec/perm.local root.root 640
		1387	/etc/security/msec/level.local root.root 640
		1388	/etc/freeradius-web root.apache 750
		1389	/etc/freeradius-web/admin.conf root.apache 640
		1390	/etc/freeradius-web/config.php root.apache 640
		1391	/etc/raddb/dictionnary root.radius 640
		1392	/etc/raddb/ldap.attrmap root.radius 640
		1393	/etc/raddb/hints root.radius 640
		1394	/etc/raddb/huntgroups root.radius 640
		1395	/etc/raddb/attrs.access_reject root.radius 640
		1396	/etc/raddb/attrs.accounting_response root.radius 640
		1397	/etc/raddb/acct_users root.radius 640
		1398	/etc/raddb/preproxy_users root.radius 640
		1399	/etc/raddb/modules/ldap radius.apache 660
		1400	/etc/raddb/sites-available/alcasar radius.apache 660
		1401	/etc/pki/* root.apache 750
		1402	EOF
		1403	/usr/sbin/msec
59	richard	1404	# modification /etc/inittab
		1405	[ -e /etc/inittab.default ] \|\| cp /etc/inittab /etc/inittab.default
60	richard	1406	# On ne garde que 3 terminaux
59	richard	1407	$SED "s?^4.*?#&?g" /etc/inittab
		1408	$SED "s?^5.*?#&?g" /etc/inittab
		1409	$SED "s?^6.*?#&?g" /etc/inittab
470	richard	1410	# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
		1411	$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
		1412	$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
532	richard	1413	# On supprime les services et les utilisateurs inutiles
		1414	for svc in alsa sound dm atd netfs bootlogd stop-bootlogd
		1415	do
		1416	/sbin/chkconfig --del $svc
		1417	done
		1418	for rm_users in avahi-autoipd avahi icapd
		1419	do
		1420	user=`cat /etc/passwd\|grep $rm_users\|cut -d":" -f1`
		1421	if [ "$user" == "$rm_users" ]
		1422	then
		1423	/usr/sbin/userdel -f $rm_users
		1424	fi
		1425	done
628	richard	1426	# Load and update the previous conf file
5	franck	1427	if [ "$mode" = "update" ]
		1428	then
389	franck	1429	$DIR_DEST_BIN/alcasar-conf.sh --load
628	richard	1430	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
		1431	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
5	franck	1432	fi
595	richard	1433	rm -f /tmp/alcasar-conf*
434	richard	1434	chown -R root:apache $DIR_DEST_ETC/*
512	richard	1435	chmod -R 660 $DIR_DEST_ETC/*
434	richard	1436	chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1	root	1437	cd $DIR_INSTALL
5	franck	1438	echo ""
1	root	1439	echo "#############################################################################"
638	richard	1440	if [ $Lang == "fr" ]
		1441	then
		1442	echo "# Fin d'installation d'ALCASAR #"
		1443	echo "# #"
		1444	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1445	echo "# des Accès au Réseau ( ALCASAR ) #"
		1446	echo "# #"
		1447	echo "#############################################################################"
		1448	echo
		1449	echo "- ALCASAR sera fonctionnel après redémarrage du système"
		1450	echo
		1451	echo "- Lisez attentivement la documentation d'exploitation"
		1452	echo
		1453	echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
		1454	echo
		1455	echo " Appuyez sur 'Entrée' pour continuer"
		1456	else
		1457	echo "# Enf of ALCASAR install process #"
		1458	echo "# #"
		1459	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1460	echo "# des Accès au Réseau ( ALCASAR ) #"
		1461	echo "# #"
		1462	echo "#############################################################################"
		1463	echo
		1464	echo "- The system will be rebooted in order to operate ALCASAR"
		1465	echo
		1466	echo "- Read the exploitation documentation"
		1467	echo
		1468	echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
		1469	echo
		1470	echo " Hit 'Enter' to continue"
		1471	fi
		1472	read a
490	richard	1473	# On applique les règles de filtrage (et on les sauvegarde)
		1474	sh $DIR_DEST_BIN/alcasar-iptables.sh
		1475	sleep 2
1	root	1476	clear
		1477	reboot
		1478	} # End post_install ()
		1479
		1480	#################################
		1481	# Boucle principale du script #
		1482	#################################
291	franck	1483	usage="Usage: alcasar.sh {-i or --install} \| {-u or --uninstall}"
1	root	1484	nb_args=$#
		1485	args=$1
		1486	if [ $nb_args -eq 0 ]
		1487	then
		1488	nb_args=1
		1489	args="-h"
		1490	fi
		1491	case $args in
		1492	-\? \| -h* \| --h*)
		1493	echo "$usage"
		1494	exit 0
		1495	;;
291	franck	1496	-i \| --install)
5	franck	1497	header_install
29	richard	1498	testing
597	richard	1499	# Test if ALCASAR is already installed
5	franck	1500	if [ -e $DIR_WEB/VERSION ]
1	root	1501	then
460	richard	1502	actual_version=`cat $DIR_WEB/VERSION`
595	richard	1503	if [ $Lang == "fr" ]
		1504	then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
		1505	else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
		1506	fi
5	franck	1507	response=0
460	richard	1508	PTN='^[oOnNyY]$'
580	richard	1509	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1510	do
595	richard	1511	if [ $Lang == "fr" ]
		1512	then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
		1513	else echo -n "Do you want to update (Y/n)?";
		1514	fi
5	franck	1515	read response
		1516	done
597	richard	1517	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
5	franck	1518	then
597	richard	1519	rm -f /tmp/alcasar-conf*
		1520	else
510	richard	1521	RUNNING_VERSION=`cat $DIR_WEB/VERSION\|cut -d" " -f1`
		1522	MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f1`
		1523	MIN_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f2\|cut -c1`
		1524	UPD_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f3`
636	richard	1525	# Create a backup of running version importants files
5	franck	1526	chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
389	franck	1527	$DIR_SCRIPTS/alcasar-conf.sh --create
532	richard	1528	mode="update"
5	franck	1529	fi
1	root	1530	fi
595	richard	1531	# RPMs install
		1532	$DIR_SCRIPTS/alcasar-urpmi.sh
		1533	if [ "$?" != "0" ]
1	root	1534	then
595	richard	1535	exit 0
		1536	fi
		1537	if [ -e $DIR_WEB/VERSION ]
		1538	then
597	richard	1539	# Uninstall the running version
532	richard	1540	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
595	richard	1541	fi
636	richard	1542	# Test if manual update
597	richard	1543	if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
595	richard	1544	then
636	richard	1545	header_install
595	richard	1546	if [ $Lang == "fr" ]
636	richard	1547	then echo "Le fichier de configuration d'une ancienne version a été trouvé";
		1548	else echo "The configuration file of an old version has been found";
595	richard	1549	fi
597	richard	1550	response=0
		1551	PTN='^[oOnNyY]$'
		1552	until [[ $(expr $response : $PTN) -gt 0 ]]
		1553	do
		1554	if [ $Lang == "fr" ]
		1555	then echo -n "Voulez-vous l'utiliser (O/n)? ";
		1556	else echo -n "Do you want to use it (Y/n)?";
		1557	fi
		1558	read response
		1559	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		1560	then rm -f /tmp/alcasar-conf*
		1561	fi
		1562	done
		1563	fi
636	richard	1564	# Test if update
597	richard	1565	if [ -e /tmp/alcasar-conf.tar.gz ]
		1566	then
		1567	if [ $Lang == "fr" ]
		1568	then echo "#### Installation avec mise à jour ####";
		1569	else echo "#### Installation with update ####";
		1570	fi
636	richard	1571	# Extract the central configuration file
637	richard	1572	tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf
		1573	ORGANISME=`grep ORGANISM conf/etc/alcasar.conf\|cut -d"=" -f2`
5	franck	1574	mode="update"
		1575	else
		1576	mode="install"
1	root	1577	fi
604	richard	1578	for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
5	franck	1579	do
		1580	$func
637	richard	1581	# echo "* 'debug' : end of function $func *"; read a
14	richard	1582	done
5	franck	1583	;;
291	franck	1584	-u \| --uninstall)
5	franck	1585	if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1	root	1586	then
597	richard	1587	if [ $Lang == "fr" ]
		1588	then echo "ALCASAR n'est pas installé!";
		1589	else echo "ALCASAR isn't installed!";
		1590	fi
1	root	1591	exit 0
		1592	fi
5	franck	1593	response=0
		1594	PTN='^[oOnN]$'
580	richard	1595	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1596	do
597	richard	1597	if [ $Lang == "fr" ]
		1598	then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
		1599	else echo -n "Do you want to crate the running version configuration file (Y/n)? ";
		1600	fi
5	franck	1601	read response
		1602	done
597	richard	1603	if [ "$reponse" = "o" ] \|\| [ "$reponse" = "O" ] \|\| [ "$response" = "Y" ] \|\| [ "$response" = "y" ]
1	root	1604	then
389	franck	1605	$DIR_SCRIPT/alcasar-conf.sh --create
498	richard	1606	else
		1607	rm -f /tmp/alcasar-conf*
1	root	1608	fi
597	richard	1609	# Uninstall the running version
65	richard	1610	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1	root	1611	;;
		1612	*)
		1613	echo "Argument inconnu :$1";
460	richard	1614	echo "Unknown argument :$1";
1	root	1615	echo "$usage"
		1616	exit 1
		1617	;;
		1618	esac
10	franck	1619	# end of script
366	franck	1620

Subversion Repositories ALCASAR

(root)/alcasar.sh @ 2681 – Rev 722