WebSVN – ALCASAR – Blame – /alcasar.sh

Rev	Author	Line No.	Line
672	richard	1	#!/bin/bash
57	franck	2	# $Id: alcasar.sh 735 2011-10-12 17:13:08Z richard $
1	root	3
		4	# alcasar.sh
		5	# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
		6	# This script is distributed under the Gnu General Public License (GPL)
		7
672	richard	8	# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
		9	# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
1	root	10	# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
		11	# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
672	richard	12	#
604	richard	13	# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, awstat, ntpd, openssl, dnsmasq, havp, libclamav and firewalleyes
1	root	14
		15	# Options :
376	franck	16	# -i or --install
		17	# -u or --uninstall
1	root	18
376	franck	19	# Functions :
29	richard	20	# testing : Tests de connectivité et de téléchargement avant installation
1	root	21	# init : Installation des RPM et des scripts
		22	# network : Paramètrage du réseau
		23	# gestion : Installation de l'interface de gestion
		24	# AC : Initialisation de l'autorité de certification. Création des certificats
		25	# init_db : Création de la base 'radius' sur le serveur MySql
		26	# param_radius : Configuration du serveur d'authentification FreeRadius
		27	# param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
		28	# param_chilli : Configuration du daemon 'coova-chilli' et de la page d'authentification
		29	# param_squid : Configuration du proxy squid en mode 'cache'
		30	# param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
479	richard	31	# antivirus : Installation havp + libclamav
1	root	32	# param_awstats : Configuration de l'interface des statistiques de consultation WEB
297	richard	33	# dnsmasq : Configuration du serveur de noms et du serveur dhcp de secours
308	richard	34	# BL : Configuration de la BlackList
1	root	35	# cron : Mise en place des exports de logs (+ chiffrement)
532	richard	36	# post_install : Finalisation environnement ( sécurité, bannières, rotation logs, ...)
1	root	37
95	franck	38	VERSION=`cat VERSION`
1	root	39	DATE=`date '+%d %B %Y - %Hh%M'`
		40	DATE_SHORT=`date '+%d/%m/%Y'`
595	richard	41	Lang=`echo $LANG\|cut -c 1-2`
1	root	42	# ***** Files parameters - paramètres fichiers *******
		43	DIR_INSTALL=`pwd` # répertoire d'installation
		44	DIR_CONF="$DIR_INSTALL/conf" # répertoire d'installation contenant les fichiers de configuration
		45	DIR_SCRIPTS="$DIR_INSTALL/scripts" # répertoire d'installation contenant les scripts
		46	DIR_SAVE="/var/Save" # répertoire de sauvegarde (ISO, backup, etc.)
316	richard	47	DIR_WEB="/var/www/html" # répertoire racine APACHE
648	richard	48	DIR_DG="/etc/dansguardian" # répertoire de config de DansGuardian
316	richard	49	DIR_ACC="$DIR_WEB/acc" # répertoire du centre de gestion 'ALCASAR Control Center'
1	root	50	DIR_DEST_BIN="/usr/local/bin" # répertoire des scripts
		51	DIR_DEST_SBIN="/usr/local/sbin" # répertoire des scripts d'admin
		52	DIR_DEST_ETC="/usr/local/etc" # répertoire des fichiers de conf
628	richard	53	CONF_FILE="$DIR_DEST_ETC/alcasar.conf" # fichier de conf d'alcasar
		54	PASSWD_FILE="/root/ALCASAR-passwords.txt" # fichier texte contenant les mots de passe et secrets partagés
1	root	55	# ***** DBMS parameters - paramètres SGBD ******
		56	DB_RADIUS="radius" # nom de la base de données utilisée par le serveur FreeRadius
		57	DB_USER="radius" # nom de l'utilisateur de la base de données
		58	# ***** Network parameters - paramètres réseau *****
503	richard	59	HOSTNAME="alcasar" #
1	root	60	DOMAIN="localdomain" # domaine local
		61	EXTIF="eth0" # ETH0 est l'interface connectée à Internet (Box FAI)
		62	INTIF="eth1" # ETH1 est l'interface connectée au réseau local de consultation
597	richard	63	DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24" # adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
1	root	64	# **** Paths - chemin des commandes *****
		65	SED="/bin/sed -i"
		66	# **************** End of global parameters *******************
		67
		68	header_install ()
		69	{
		70	clear
		71	echo "-----------------------------------------------------------------------------"
460	richard	72	echo " ALCASAR V$VERSION Installation"
1	root	73	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
		74	echo "-----------------------------------------------------------------------------"
		75	} # End of header_install ()
		76
		77	##################################################################
29	richard	78	## Fonction TESTING ##
		79	## - Test de la connectivité Internet ##
		80	##################################################################
		81	testing ()
		82	{
595	richard	83	if [ $Lang == "fr" ]
		84	then echo -n "Tests des paramètres réseau :"
		85	else echo -n "Network parameters tests : "
		86	fi
460	richard	87	# We test the Ethernet links state
29	richard	88	for i in $EXTIF $INTIF
		89	do
294	richard	90	/sbin/ip link set $i up
306	richard	91	sleep 3
29	richard	92	if [ "`/usr/sbin/ethtool $i\|grep Link\|cut -d' ' -f3`" != "yes" ]
		93	then
595	richard	94	if [ $Lang == "fr" ]
		95	then
		96	echo "Échec"
		97	echo "Le lien réseau de la carte $i n'est pas actif."
		98	echo "Réglez ce problème puis relancez ce script."
		99	else
		100	echo "Failed"
		101	echo "The link state of $i interface id down."
		102	echo "Resolv this problem, then restart this script."
		103	fi
29	richard	104	exit 0
		105	fi
308	richard	106	echo -n "."
29	richard	107	done
		108	# On teste la présence d'un routeur par défaut (Box FAI)
		109	if [ `/sbin/route -n\|grep -c ^0.0.0.0` -ne "1" ] ; then
595	richard	110	if [ $Lang == "fr" ]
		111	then
		112	echo "Échec"
		113	echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
		114	echo "Réglez ce problème puis relancez ce script."
		115	else
		116	echo "Failed"
		117	echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
		118	echo "Resolv this problem, then restart this script."
		119	fi
29	richard	120	exit 0
		121	fi
308	richard	122	echo -n "."
		123	# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
29	richard	124	if [ `/sbin/route -n\|grep ^0.0.0.0\|grep -c eth1` -eq "1" ] ; then
595	richard	125	if [ $Lang == "fr" ]
		126	then echo "La configuration des cartes réseau va être corrigée."
		127	else echo "The Ethernet card configuration will be corrected."
		128	fi
29	richard	129	/etc/init.d/network stop
		130	mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
		131	$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
		132	/etc/init.d/network start
		133	echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
		134	sleep 2
595	richard	135	if [ $Lang == "fr" ]
		136	then echo "Configuration corrigée"
		137	else echo "Configuration updated"
		138	fi
29	richard	139	sleep 2
595	richard	140	if [ $Lang == "fr" ]
		141	then echo "Vous pouvez relancer ce script."
		142	else echo "You can restart this script."
		143	fi
29	richard	144	exit 0
		145	fi
308	richard	146	echo -n "."
		147	# On test le lien vers le routeur par default
		148	IP_GW=`ip route list\|grep ^default\|cut -d" " -f3`
		149	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW\|grep response\|cut -d" " -f2`
527	richard	150	if [ $(expr $arp_reply) -eq 0 ]
308	richard	151	then
595	richard	152	if [ $Lang == "fr" ]
		153	then
		154	echo "Échec"
		155	echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
		156	echo "Réglez ce problème puis relancez ce script."
		157	else
		158	echo "Failed"
		159	echo "The Internet gateway doesn't answered"
		160	echo "Resolv this problem, then restart this script."
		161	fi
308	richard	162	exit 0
		163	fi
		164	echo -n "."
421	franck	165	# On teste la connectivité Internet
29	richard	166	rm -rf /tmp/con_ok.html
308	richard	167	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
29	richard	168	if [ ! -e /tmp/con_ok.html ]
		169	then
595	richard	170	if [ $Lang == "fr" ]
		171	then
		172	echo "La tentative de connexion vers Internet a échoué (google.fr)."
		173	echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
		174	echo "Vérifiez la validité des adresses IP des DNS."
		175	else
		176	echo "The Internet connection try failed (google.fr)."
		177	echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
		178	echo "Verify the DNS IP addresses"
		179	fi
29	richard	180	exit 0
		181	fi
		182	rm -rf /tmp/con_ok.html
308	richard	183	echo ". : ok"
302	richard	184	} # end of testing
		185
		186	##################################################################
		187	## Fonction INIT ##
		188	## - Création du fichier "/root/ALCASAR_parametres.txt" ##
		189	## - Installation et modification des scripts du portail ##
		190	##################################################################
		191	init ()
		192	{
527	richard	193	if [ "$mode" != "update" ]
302	richard	194	then
		195	# On affecte le nom d'organisme
597	richard	196	header_install
302	richard	197	ORGANISME=!
		198	PTN='^[a-zA-Z0-9-]*$'
580	richard	199	until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
302	richard	200	do
595	richard	201	if [ $Lang == "fr" ]
597	richard	202	then echo -n "Entrez le nom de votre organisme : "
		203	else echo -n "Enter the name of your organism : "
595	richard	204	fi
330	franck	205	read ORGANISME
613	richard	206	if [ "$ORGANISME" == "" ]
330	franck	207	then
		208	ORGANISME=!
		209	fi
		210	done
302	richard	211	fi
1	root	212	# On crée aléatoirement les mots de passe et les secrets partagés
628	richard	213	rm -f $PASSWD_FILE
59	richard	214	grubpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de protection du menu Grub
628	richard	215	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
		216	echo "$grubpwd" >> $PASSWD_FILE
59	richard	217	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
384	richard	218	$SED "/^password.*/d" /boot/grub/menu.lst
		219	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1	root	220	mysqlpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'administrateur Mysqld
628	richard	221	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
		222	echo "root / $mysqlpwd" >> $PASSWD_FILE
1	root	223	radiuspwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
628	richard	224	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
		225	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
1	root	226	secretuam=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre intercept.php et coova-chilli
628	richard	227	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
		228	echo "$secretuam" >> $PASSWD_FILE
1	root	229	secretradius=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre coova-chilli et FreeRadius
628	richard	230	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
		231	echo "$secretradius" >> $PASSWD_FILE
		232	chmod 640 $PASSWD_FILE
453	franck	233	# On installe les scripts et fichiers de configuration d'ALCASAR
		234	# - dans /usr/local/bin : alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}
5	franck	235	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
453	franck	236	# - dans /usr/local/sbin : alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
5	franck	237	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
453	franck	238	# - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
648	richard	239	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1	root	240	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
		241	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5	franck	242	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
		243	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
628	richard	244	# generate central conf file
		245	cat <<EOF > $CONF_FILE
612	richard	246	##########################################
		247	## ##
		248	## ALCASAR Parameters ##
		249	## ##
		250	##########################################
1	root	251
612	richard	252	INSTALL_DATE=$DATE
		253	VERSION=$VERSION
		254	ORGANISM=$ORGANISME
		255	EOF
628	richard	256	chmod o-rwx $CONF_FILE
1	root	257	} # End of init ()
		258
		259	##################################################################
		260	## Fonction network ##
		261	## - Définition du plan d'adressage du réseau de consultation ##
595	richard	262	## - Nommage DNS du système ##
1	root	263	## - Configuration de l'interface eth1 (réseau de consultation) ##
		264	## - Modification du fichier /etc/hosts ##
		265	## - Configuration du serveur de temps (NTP) ##
		266	## - Renseignement des fichiers hosts.allow et hosts.deny ##
		267	##################################################################
		268	network ()
		269	{
		270	header_install
636	richard	271	if [ "$mode" != "update" ]
		272	then
		273	if [ $Lang == "fr" ]
		274	then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
		275	else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
		276	fi
		277	response=0
		278	PTN='^[oOyYnN]$'
		279	until [[ $(expr $response : $PTN) -gt 0 ]]
1	root	280	do
595	richard	281	if [ $Lang == "fr" ]
659	richard	282	then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
618	richard	283	else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
595	richard	284	fi
1	root	285	read response
		286	done
636	richard	287	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		288	then
		289	PRIVATE_IP_MASK="0"
		290	PTN='^$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$/[012]\?[[:digit:]]$'
		291	until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
1	root	292	do
595	richard	293	if [ $Lang == "fr" ]
597	richard	294	then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
		295	else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
595	richard	296	fi
597	richard	297	read PRIVATE_IP_MASK
1	root	298	done
636	richard	299	else
		300	PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
		301	fi
595	richard	302	else
637	richard	303	PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf\|cut -d"=" -f2`
		304	rm -rf conf/etc/alcasar.conf
1	root	305	fi
595	richard	306	# Définition de la config réseau côté "LAN de consultation"
1	root	307	hostname $HOSTNAME
607	richard	308	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK \| cut -d"=" -f2` # @ réseau de consultation (ex.: 192.168.182.0)
		309	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK \| cut -d"=" -f2` # masque réseau de consultation (ex.: 255.255.255.0)
		310	PRIVATE_IP=`echo $PRIVATE_IP_MASK \| cut -d"/" -f1` # @ip du portail (côté réseau de consultation)
		311	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK \|cut -d"=" -f2` # prefixe du réseau (ex. 24)
		312	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix # @ + masque du réseau de consult (192.168.182.0/24)
		313	classe=$((private_prefix/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2` # classes de réseau (ex.: 2=classe B, 3=classe C)
		314	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`. # @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
		315	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # @ broadcast réseau de consultation (ex.: 192.168.182.255)
		316	tmp_mask=`echo $PRIVATE_NETWORK_MASK\|cut -d"/" -f2`; half_mask=`expr $tmp_mask + 1` # masque du 1/2 réseau de consultation (ex.: 25)
		317	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$half_mask # plage des adresses statiques (ex.: 192.168.182.0/25)
		318	private_network_ending=`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup` # dernier octet de l'@ de réseau
		319	private_broadcast_ending=`echo $PRIVATE_BROADCAST \| cut -d"." -f$classe_sup` # dernier octet de l'@ de broadcast
		320	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
		321	private_half_plage=`expr $private_plage / 2`
		322	private_dyn=`expr $private_half_plage + $private_network_ending`
		323	private_dyn_ip_network=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup_sup-5`
		324	PRIVATE_DYN_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-4`/$half_mask # @ réseau (CIDR) de la plage des adresses dynamiques (ex.: 192.168.182.128/25)
		325	private_dyn_ip_ending=`echo $private_dyn_ip_network \| cut -d"." -f4`
		326	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-3`"."`expr $private_dyn_ip_ending + 1` # 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
		327	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST \| cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1` # dernière adresse de la plage dynamique (ex.: 192.168.182.254)
14	richard	328	# Récupération de la config réseau côté "Internet"
		329	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] \|\| cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
597	richard	330	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip du portail (côté Internet)
14	richard	331	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 1er DNS
		332	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 2ème DNS
70	franck	333	DNS1=${DNS1:=208.67.220.220}
		334	DNS2=${DNS2:=208.67.222.222}
597	richard	335	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
		336	PUBLIC_PREFIX=`/bin/ipcalc -p $PUBLIC_IP $PUBLIC_NETMASK \|cut -d"=" -f2` # prefixe du réseau (ex. 24)
		337	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
628	richard	338	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
		339	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE
		340	echo "DNS1=$DNS1" >> $CONF_FILE
		341	echo "DNS2=$DNS2" >> $CONF_FILE
		342	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
		343	echo "DHCP=on" >> $CONF_FILE
597	richard	344	[ -e /etc/sysconfig/network.default ] \|\| cp /etc/sysconfig/network /etc/sysconfig/network.default
14	richard	345	# Configuration réseau
1	root	346	cat <<EOF > /etc/sysconfig/network
		347	NETWORKING=yes
		348	HOSTNAME="$HOSTNAME"
		349	FORWARD_IPV4=true
		350	EOF
		351	# Modif /etc/hosts
		352	[ -e /etc/hosts.default ] \|\| cp /etc/hosts /etc/hosts.default
		353	cat <<EOF > /etc/hosts
503	richard	354	127.0.0.1 localhost
		355	$PRIVATE_IP $HOSTNAME
1	root	356	EOF
14	richard	357	# Configuration de l'interface eth0 (Internet)
		358	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
		359	DEVICE=$EXTIF
		360	BOOTPROTO=static
597	richard	361	IPADDR=$PUBLIC_IP
		362	NETMASK=$PUBLIC_NETMASK
		363	GATEWAY=$PUBLIC_GATEWAY
14	richard	364	DNS1=127.0.0.1
		365	ONBOOT=yes
		366	METRIC=10
		367	NOZEROCONF=yes
		368	MII_NOT_SUPPORTED=yes
		369	IPV6INIT=no
		370	IPV6TO4INIT=no
		371	ACCOUNTING=no
		372	USERCTL=no
		373	EOF
1	root	374	# Configuration de l'interface eth1 (réseau de consultation)
		375	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
		376	DEVICE=$INTIF
		377	BOOTPROTO=static
		378	IPADDR=$PRIVATE_IP
604	richard	379	NETMASK=$PRIVATE_NETMASK
1	root	380	ONBOOT=yes
		381	METRIC=10
		382	NOZEROCONF=yes
		383	MII_NOT_SUPPORTED=yes
14	richard	384	IPV6INIT=no
		385	IPV6TO4INIT=no
		386	ACCOUNTING=no
		387	USERCTL=no
1	root	388	EOF
440	franck	389	# Mise à l'heure du serveur
		390	[ -e /etc/ntp/step-tickers.default ] \|\| cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
		391	cat <<EOF > /etc/ntp/step-tickers
455	franck	392	0.fr.pool.ntp.org # adapt to your country
		393	1.fr.pool.ntp.org
		394	2.fr.pool.ntp.org
440	franck	395	EOF
		396	# Configuration du serveur de temps (sur lui même)
1	root	397	[ -e /etc/ntp.conf.default ] \|\| cp /etc/ntp.conf /etc/ntp.conf.default
		398	cat <<EOF > /etc/ntp.conf
456	franck	399	server 0.fr.pool.ntp.org # adapt to your country
447	franck	400	server 1.fr.pool.ntp.org
		401	server 2.fr.pool.ntp.org
		402	server 127.127.1.0 # local clock si NTP internet indisponible ...
411	richard	403	fudge 127.127.1.0 stratum 10
604	richard	404	restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
1	root	405	restrict 127.0.0.1
310	richard	406	driftfile /var/lib/ntp/drift
1	root	407	logfile /var/log/ntp.log
		408	EOF
440	franck	409
310	richard	410	chown -R ntp:ntp /var/lib/ntp
1	root	411	# Renseignement des fichiers hosts.allow et hosts.deny
		412	[ -e /etc/hosts.allow.default ] \|\| cp /etc/hosts.allow /etc/hosts.allow.default
		413	cat <<EOF > /etc/hosts.allow
		414	ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
604	richard	415	sshd: ALL
1	root	416	ntpd: $PRIVATE_NETWORK_SHORT
		417	EOF
		418	[ -e /etc/host.deny.default ] \|\| cp /etc/hosts.deny /etc/hosts.deny.default
		419	cat <<EOF > /etc/hosts.deny
		420	ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" \| /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
		421	EOF
604	richard	422	# Firewall config
		423	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		424	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		425	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
		426	# création du fichier d'exception au filtrage
		427	touch $DIR_DEST_ETC/alcasar-filter-exceptions
		428	# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
1	root	429	} # End of network ()
		430
		431	##################################################################
		432	## Fonction gestion ##
		433	## - installation du centre de gestion ##
		434	## - configuration du serveur web (Apache) ##
		435	## - définition du 1er comptes de gestion ##
		436	## - sécurisation des accès ##
		437	##################################################################
		438	gestion()
		439	{
		440	# Suppression des CGI et des pages WEB installés par défaut
		441	rm -rf /var/www/cgi-bin/*
		442	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
		443	mkdir $DIR_WEB
		444	# Copie et configuration des fichiers du centre de gestion
316	richard	445	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
1	root	446	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
316	richard	447	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
		448	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		449	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		450	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
498	richard	451	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
316	richard	452	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
5	franck	453	chown -R apache:apache $DIR_WEB/*
1	root	454	for i in ISO base logs/firewall logs/httpd logs/squid ;
		455	do
		456	[ -d $DIR_SAVE/$i ] \|\| mkdir -p $DIR_SAVE/$i
		457	done
5	franck	458	chown -R root:apache $DIR_SAVE
71	richard	459	# Configuration et sécurisation php
		460	[ -e /etc/php.ini.default ] \|\| cp /etc/php.ini /etc/php.ini.default
534	richard	461	timezone=`cat /etc/sysconfig/clock\|grep ZONE\|cut -d"=" -f2`
		462	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
411	richard	463	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
		464	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
71	richard	465	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
		466	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
		467	# Configuration et sécurisation Apache
1	root	468	[ -e /etc/httpd/conf/httpd.conf.default ] \|\| cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
580	richard	469	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
303	richard	470	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
1	root	471	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
		472	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
		473	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
		474	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
		475	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
		476	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
		477	[ -e /var/www/error/include/bottom.html.default ] \|\| mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
		478	cat <<EOF > /var/www/error/include/bottom.html
		479	</body>
		480	</html>
		481	EOF
		482	# Définition du premier compte lié au profil 'admin'
509	richard	483	header_install
510	richard	484	if [ "$mode" = "install" ]
		485	then
613	richard	486	admin_portal=!
		487	PTN='^[a-zA-Z0-9-]*$'
		488	until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
		489	do
		490	header_install
		491	if [ $Lang == "fr" ]
		492	then
		493	echo ""
		494	echo "Définissez un premier compte d'administration du portail :"
		495	echo
		496	echo -n "Nom : "
		497	else
		498	echo ""
		499	echo "Define the first account allow to administrate the portal :"
		500	echo
		501	echo -n "Account : "
		502	fi
		503	read admin_portal
		504	if [ "$admin_portal" == "" ]
		505	then
		506	admin_portal=!
		507	fi
		508	done
1	root	509	# Création du fichier de clés de ce compte dans le profil "admin"
510	richard	510	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		511	mkdir -p $DIR_DEST_ETC/digest
		512	chmod 755 $DIR_DEST_ETC/digest
		513	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		514	do
613	richard	515	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	516	done
		517	$DIR_DEST_SBIN/alcasar-profil.sh --list
595	richard	518	else # mise à jour des versions < 2.1
510	richard	519	if ([ $MAJ_RUNNING_VERSION -lt 2 ] \|\| ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
		520	then
613	richard	521	if [ $Lang == "fr" ]
		522	then
		523	echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
		524	echo
		525	echo -n "Nom : "
		526	else
		527	echo "This update need to redefine the first admin account"
		528	echo
		529	echo -n "Account : "
		530	fi
		531	read admin_portal
510	richard	532	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		533	mkdir -p $DIR_DEST_ETC/digest
		534	chmod 755 $DIR_DEST_ETC/digest
		535	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		536	do
613	richard	537	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	538	done
		539	$DIR_DEST_SBIN/alcasar-profil.sh --list
		540	fi
		541	fi
434	richard	542	# synchronisation horaire
		543	ntpd -q -g &
1	root	544	# Sécurisation du centre
		545	rm -f /etc/httpd/conf/webapps.d/*
		546	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	547	<Directory $DIR_ACC>
1	root	548	SSLRequireSSL
		549	AllowOverride None
		550	Order deny,allow
		551	Deny from all
		552	Allow from 127.0.0.1
		553	Allow from $PRIVATE_NETWORK_MASK
		554	require valid-user
		555	AuthType digest
		556	AuthName $HOSTNAME
		557	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	558	AuthUserFile $DIR_DEST_ETC/digest/key_all
580	richard	559	ErrorDocument 404 https://$HOSTNAME/
1	root	560	</Directory>
316	richard	561	<Directory $DIR_ACC/admin>
1	root	562	SSLRequireSSL
		563	AllowOverride None
		564	Order deny,allow
		565	Deny from all
		566	Allow from 127.0.0.1
		567	Allow from $PRIVATE_NETWORK_MASK
		568	require valid-user
		569	AuthType digest
		570	AuthName $HOSTNAME
		571	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	572	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	573	ErrorDocument 404 https://$HOSTNAME/
1	root	574	</Directory>
344	richard	575	<Directory $DIR_ACC/manager>
1	root	576	SSLRequireSSL
		577	AllowOverride None
		578	Order deny,allow
		579	Deny from all
		580	Allow from 127.0.0.1
		581	Allow from $PRIVATE_NETWORK_MASK
		582	require valid-user
		583	AuthType digest
		584	AuthName $HOSTNAME
		585	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	586	AuthUserFile $DIR_DEST_ETC/digest/key_manager
580	richard	587	ErrorDocument 404 https://$HOSTNAME/
1	root	588	</Directory>
316	richard	589	<Directory $DIR_ACC/backup>
		590	SSLRequireSSL
		591	AllowOverride None
		592	Order deny,allow
		593	Deny from all
		594	Allow from 127.0.0.1
		595	Allow from $PRIVATE_NETWORK_MASK
		596	require valid-user
		597	AuthType digest
		598	AuthName $HOSTNAME
		599	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	600	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580	richard	601	ErrorDocument 404 https://$HOSTNAME/
316	richard	602	</Directory>
1	root	603	Alias /save/ "$DIR_SAVE/"
		604	<Directory $DIR_SAVE>
		605	SSLRequireSSL
		606	Options Indexes
		607	Order deny,allow
		608	Deny from all
		609	Allow from 127.0.0.1
		610	Allow from $PRIVATE_NETWORK_MASK
		611	require valid-user
		612	AuthType digest
		613	AuthName $HOSTNAME
434	richard	614	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580	richard	615	ErrorDocument 404 https://$HOSTNAME/
1	root	616	ReadmeName /readmeSave.html
		617	</Directory>
		618	EOF
		619	} # End of gestion ()
		620
		621	##########################################################################################
		622	## Fonction AC() ##
		623	## - Création d'une Autorité de Certification et du certificat serveur pour apache ##
		624	##########################################################################################
		625	AC ()
		626	{
		627	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
510	richard	628	$DIR_DEST_BIN/alcasar-CA.sh
303	richard	629	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name default_ssl`
		630	[ -e /etc/httpd/conf/vhosts-ssl.default ] \|\| cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
		631	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
		632	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
679	richard	633	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
5	franck	634	chown -R root:apache /etc/pki
1	root	635	chmod -R 750 /etc/pki
		636	} # End AC ()
		637
		638	##########################################################################################
		639	## Fonction init_db() ##
		640	## - Initialisation de la base Mysql ##
		641	## - Affectation du mot de passe de l'administrateur (root) ##
		642	## - Suppression des bases et des utilisateurs superflus ##
		643	## - Création de la base 'radius' ##
		644	## - Installation du schéma de cette base ##
		645	## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo) ##
		646	## ces table proviennent de 'dialupadmin' (paquetage freeradius-web) ##
		647	##########################################################################################
		648	init_db ()
		649	{
		650	mkdir -p /var/lib/mysql/.tmp
		651	chown mysql:mysql /var/lib/mysql/.tmp
227	franck	652	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf # prend en compte les migrations de MySQL
1	root	653	[ -e /etc/my.cnf.default ] \|\| cp /etc/my.cnf /etc/my.cnf.default
		654	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
		655	/etc/init.d/mysqld start
		656	sleep 4
		657	mysqladmin -u root password $mysqlpwd
		658	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615	richard	659	# Delete exemple databases if exist
1	root	660	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;"
615	richard	661	# Create 'radius' database
1	root	662	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
615	richard	663	# Add an empty radius database structure
364	franck	664	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
615	richard	665	# modify the start script in order to close accounting connexion when the system is comming down or up
		666	[ -e /etc/init.d/mysqld.default ] \|\| cp /etc/init.d/mysqld /etc/init.d/mysqld.default
		667	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
		668	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
1	root	669	} # End init_db ()
		670
		671	##########################################################################
		672	## Fonction param_radius ##
		673	## - Paramètrage des fichiers de configuration FreeRadius ##
		674	## - Affectation du secret partagé entre coova-chilli et freeradius ##
		675	## - Modification de fichier de conf pour l'accès à Mysql ##
		676	##########################################################################
		677	param_radius ()
		678	{
		679	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
		680	chown -R radius:radius /etc/raddb
		681	[ -e /etc/raddb/radiusd.conf.default ] \|\| cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
		682	# paramètrage radius.conf
		683	$SED "s?^[\t ]#[\t ]user =.*?user = radius?g" /etc/raddb/radiusd.conf
		684	$SED "s?^[\t ]#[\t ]group =.*?group = radius?g" /etc/raddb/radiusd.conf
		685	$SED "s?^[\t ]status_server =.?status_server = no?g" /etc/raddb/radiusd.conf
		686	# suppression de la fonction proxy
		687	$SED "s?^[\t ]proxy_requests.?proxy_requests = no?g" /etc/raddb/radiusd.conf
		688	$SED "s?^[\t ]\$INCLUDE proxy.conf.?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
654	richard	689	# suppression du module EAP
		690	$SED "s?^[\t ]\$INCLUDE eap.conf.?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
1	root	691	# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
		692	$SED "s?^[\t ]ipaddr =.?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
		693	# prise en compte du module SQL et des compteurs SQL
		694	$SED "s?^[\t ]#[\t ]\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
		695	$SED "s?^[\t ]#[\t ]\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
		696	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
		697	# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
		698	rm -f /etc/raddb/sites-enabled/*
		699	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
		700	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
		701	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
		702	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
		703	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
384	richard	704	# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
1	root	705	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
		706	# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
		707	[ -e /etc/raddb/clients.conf.default ] \|\| cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
		708	cat << EOF > /etc/raddb/clients.conf
		709	client 127.0.0.1 {
		710	secret = $secretradius
		711	shortname = localhost
		712	}
		713	EOF
		714	# modif sql.conf
		715	[ -e /etc/raddb/sql.conf.default ] \|\| cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
		716	$SED "s?^[\t ]login =.?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
		717	$SED "s?^[\t ]password =.?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
		718	$SED "s?^[\t ]radius_db =.?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
		719	$SED "s?^[\t ]sqltrace =.?sqltrace = no?g" /etc/raddb/sql.conf
		720	# modif dialup.conf
		721	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] \|\| cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
		722	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
		723	} # End param_radius ()
		724
		725	##########################################################################
		726	## Fonction param_web_radius ##
		727	## - Import, modification et paramètrage de l'interface "dialupadmin" ##
		728	## - Création du lien vers la page de changement de mot de passe ##
		729	##########################################################################
		730	param_web_radius ()
		731	{
		732	# copie de l'interface d'origine dans la structure Alcasar
316	richard	733	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
		734	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme
		735	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
344	richard	736	# copie des fichiers modifiés
		737	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
316	richard	738	chown -R apache:apache $DIR_ACC/manager/
344	richard	739	# Modification des fichiers de configuration
1	root	740	[ -e /etc/freeradius-web/admin.conf.default ] \|\| cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
503	richard	741	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
1	root	742	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
		743	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
		744	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
		745	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
		746	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
		747	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
		748	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
582	richard	749	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
344	richard	750	[ -e /etc/freeradius-web/config.php.default ] \|\| cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
		751	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
131	richard	752	cat <<EOF > /etc/freeradius-web/naslist.conf
632	richard	753	nas1_name: alcasar-$ORGANISME
1	root	754	nas1_model: Portail captif
		755	nas1_ip: $PRIVATE_IP
		756	nas1_port_num: 0
		757	nas1_community: public
		758	EOF
		759	# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
		760	[ -e /etc/freeradius-web/user_edit.attrs.default ] \|\| mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
		761	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
114	richard	762	# Ajout du mappage des attributs chillispot
		763	[ -e /etc/freeradius-web/sql.attrmap.default ] \|\| mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
		764	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
1	root	765	# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
		766	[ -e /etc/freeradius-web/sql.attrs.default ] \|\| cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
		767	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
		768	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5	franck	769	chown -R apache:apache /etc/freeradius-web
1	root	770	# Ajout de l'alias vers la page de "changement de mot de passe usager"
		771	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
344	richard	772	<Directory $DIR_WEB/pass>
1	root	773	SSLRequireSSL
		774	AllowOverride None
		775	Order deny,allow
		776	Deny from all
		777	Allow from 127.0.0.1
		778	Allow from $PRIVATE_NETWORK_MASK
580	richard	779	ErrorDocument 404 https://$HOSTNAME
1	root	780	</Directory>
		781	EOF
		782	} # End of param_web_radius ()
		783
346	richard	784	##########################################################################################
		785	## Fonction param_chilli ##
		786	## - Paramètrage du fichier d'initialisation et de configuration de coova-chilli ##
		787	## - Paramètrage de la page d'authentification (intercept.php) ##
		788	##########################################################################################
1	root	789	param_chilli ()
		790	{
461	richard	791	# modification du fichier d'initialisation
		792	[ -e /etc/init.d/chilli.default ] \|\| cp /etc/init.d/chilli /etc/init.d/chilli.default
		793	# configuration d'eth1 (utile pour dnsmasq))
		794	$SED "s?ifconfig.*?ifconfig \$HS_LANIF $PRIVATE_IP?g" /etc/init.d/chilli
		795	# ajout de la fonction 'status' (utile pour la gestion du process)
		796	$SED "/^.*functions/i. /etc/init.d/functions" /etc/init.d/chilli
		797	$SED "/^[\t ]*stop)/i\ status)\n status chilli\n RETVAL=$?\n ;;\n" /etc/init.d/chilli
		798	# insertion d'une tempo sur le 'restart' pour permettre à tun0 d'être libérée
		799	$SED "/^[\t ]*\$0 start/i\ sleep 2" /etc/init.d/chilli
		800	# suppression des fonctions 'writeconfig' et 'radiusconfig'
		801	$SED "/writeconfig/d" /etc/init.d/chilli
		802	$SED "/radiusconfig/d" /etc/init.d/chilli
		803	# suppression de warning disgracieux
		804	$SED "s?which start-stop-daemon?which start-stop-daemon 2>/dev/null?g" /etc/init.d/chilli
1	root	805	# création du fichier de conf
346	richard	806	[ -e /etc/chilli.conf.default ] \|\| cp /etc/chilli.conf /etc/chilli.conf.default
		807	cat <<EOF > /etc/chilli.conf
		808	# coova config for ALCASAR
		809	cmdsocket /var/run/chilli.sock
		810	unixipc chilli.eth1.ipc
		811	pidfile /var/run/chilli.eth1.pid
		812	net $PRIVATE_NETWORK_MASK
595	richard	813	dhcpif $INTIF
		814	#nodynip
607	richard	815	dynip $PRIVATE_DYN_IP
		816	statip $PRIVATE_STAT_IP
595	richard	817	ethers $DIR_DEST_ETC/alcasar-ethers
346	richard	818	domain localdomain
355	richard	819	dns1 $PRIVATE_IP
		820	dns2 $PRIVATE_IP
346	richard	821	uamlisten $PRIVATE_IP
503	richard	822	uamport 3990
346	richard	823	macallowlocal
		824	locationname $HOSTNAME
		825	radiusserver1 127.0.0.1
		826	radiusserver2 127.0.0.1
		827	radiussecret $secretradius
		828	radiusauthport 1812
		829	radiusacctport 1813
467	richard	830	uamserver https://$HOSTNAME/intercept.php
346	richard	831	radiusnasid $HOSTNAME
		832	uamsecret $secretuam
		833	coaport 3799
503	richard	834	include $DIR_DEST_ETC/alcasar-uamallowed
		835	include $DIR_DEST_ETC/alcasar-uamdomain
		836	include $DIR_DEST_ETC/alcasar-macallowed
346	richard	837	EOF
605	richard	838	# création du fichier d'allocation d'adresses IP statiques
		839	touch $DIR_DEST_ETC/alcasar-ethers
1	root	840	# création des fichiers de sites, d'urls et d'adresses MAC de confiance
613	richard	841	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
503	richard	842	chown root:apache $DIR_DEST_ETC/alcasar-*
		843	chmod 660 $DIR_DEST_ETC/alcasar-*
		844	# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
526	stephane	845	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
		846	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
		847	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
1	root	848	} # End of param_chilli ()
		849
		850	##########################################################
		851	## Fonction param_squid ##
		852	## - Paramètrage du proxy 'squid' en mode 'cache' ##
		853	## - Initialisation de la base de données ##
		854	##########################################################
		855	param_squid ()
		856	{
		857	# paramètrage de Squid (connecté en série derrière Dansguardian)
		858	[ -e /etc/squid/squid.conf.default ] \|\| cp /etc/squid/squid.conf /etc/squid/squid.conf.default
		859	# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
		860	$SED "/^acl localnet/d" /etc/squid/squid.conf
		861	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
		862	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
		863	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
		864	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
		865	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
		866	# mode 'proxy transparent local'
595	richard	867	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
726	franck	868	# Configuration du cache local
		869	$SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 100 16 256?g" /etc/squid/squid.conf
405	franck	870	# emplacement et formatage standard des logs
419	franck	871	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
		872	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Ag' >> /etc/squid/squid.conf
405	franck	873	echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
1	root	874	# compatibilité des logs avec awstats
315	richard	875	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
729	franck	876	# echo "half_closed_clients off" >> /etc/squid/squid.conf
		877	# echo "server_persistent_connections off" >> /etc/squid/squid.conf
726	franck	878	echo "client_persistent_connections on" >> /etc/squid/squid.conf
		879	echo "client_lifetime 1 minutes" >> /etc/squid/squid.conf
		880	echo "request_timeout 1 minutes" >> /etc/squid/squid.conf
		881	echo "persistent_request_timeout 1 minutes" >> /etc/squid/squid.conf
		882	echo "cache_mem 256 MB" >> /etc/squid/squid.conf
		883	echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
		884	echo "maximum_object_size 4096 KB" >> /etc/squid/squid.conf
		885
313	richard	886	# pour éviter les message d'erreur lors des changement d'état des interfaces réseaux
		887	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
1	root	888	# Initialisation du cache de Squid
		889	/usr/sbin/squid -z
		890	} # End of param_squid ()
		891
		892	##################################################################
		893	## Fonction param_dansguardian ##
		894	## - Paramètrage du gestionnaire de contenu Dansguardian ##
		895	##################################################################
		896	param_dansguardian ()
		897	{
		898	mkdir /var/dansguardian
		899	chown dansguardian /var/dansguardian
497	richard	900	[ -e $DIR_DG/dansguardian.conf.default ] \|\| cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
307	richard	901	# Le filtrage est désactivé par défaut
497	richard	902	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1	root	903	# la page d'interception est en français
497	richard	904	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1	root	905	# on limite l'écoute de Dansguardian côté LAN
497	richard	906	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
75	richard	907	# on chaîne Dansguardian au proxy antivirus HAVP
497	richard	908	$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
1	root	909	# on remplace la page d'interception (template)
		910	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
		911	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
		912	# on ne loggue que les deny (pour le reste, on a squid)
497	richard	913	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
659	richard	914	# lauch of 10 daemons (20 in largest server)
		915	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1	root	916	# on désactive par défaut le controle de contenu des pages html
497	richard	917	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
		918	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
		919	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1	root	920	# on désactive par défaut le contrôle d'URL par expressions régulières
497	richard	921	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
		922	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1	root	923	# on désactive par défaut le contrôle de téléchargement de fichiers
497	richard	924	[ -e $DIR_DG/dansguardianf1.conf.default ] \|\| cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
		925	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
		926	[ -e $DIR_DG/lists/bannedextensionlist.default ] \|\| mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
		927	[ -e $DIR_DG/lists/bannedmimetypelist.default ] \|\| mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
		928	touch $DIR_DG/lists/bannedextensionlist
		929	touch $DIR_DG/lists/bannedmimetypelist
		930	# 'Safesearch' regex actualisation
498	richard	931	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
497	richard	932	# empty LAN IP list that won't be WEB filtered
		933	[ -e $DIR_DG/lists/exceptioniplist.default ] \|\| mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
		934	touch $DIR_DG/lists/exceptioniplist
		935	# Keep a copy of URL & domain filter configuration files
		936	[ -e $DIR_DG/lists/bannedsitelist.default ] \|\| mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
		937	[ -e $DIR_DG/lists/bannedurllist.default ] \|\| mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1	root	938	} # End of param_dansguardian ()
		939
71	richard	940	##################################################################
		941	## Fonction antivirus ##
479	richard	942	## - configuration havp + libclamav ##
71	richard	943	##################################################################
		944	antivirus ()
		945	{
288	richard	946	# création de l'usager 'havp'
		947	havp_exist=`grep havp /etc/passwd\|wc -l`
307	richard	948	if [ "$havp_exist" == "1" ]
288	richard	949	then
478	richard	950	userdel -r havp 2>/dev/null
288	richard	951	fi
307	richard	952	groupadd -f havp
478	richard	953	useradd -M -g havp havp
476	richard	954	mkdir -p /var/tmp/havp /var/log/havp
		955	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
307	richard	956	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
109	richard	957	# configuration d'HAVP
		958	[ -e /etc/havp/havp.config.default ] \|\| cp /etc/havp/havp.config /etc/havp/havp.config.default
		959	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
631	richard	960	$SED "s?^# PARENTPROXY.*?PARENTPROXY 127.0.0.1?g" /etc/havp/havp.config # datas come from DG
		961	$SED "s?^# PARENTPORT.*?PARENTPORT 3128?g" /etc/havp/havp.config # datas are send to squid (3128)
		962	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config # datas come on 8090
		963	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config # we listen only on loopback
		964	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config # active libclamav AV
		965	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config # log only when malware matches
659	richard	966	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config # 10 daemons are started simultaneously
481	franck	967	# remplacement du fichier d'initialisation
335	richard	968	[ -e /etc/init.d/havp.default ] \|\| cp /etc/init.d/havp /etc/init.d/havp.default
481	franck	969	cp -f $DIR_CONF/havp-init /etc/init.d/havp
340	richard	970	# on remplace la page d'interception (template)
		971	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
		972	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
489	richard	973	# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
		974	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
		975	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
734	richard	976	# Virus database update
		977	rm -f /var/lib/clamav/*.cld # in case of old database scheme
		978	[ -e /var/lib/clamav/main.cvd ] \|\| /usr/bin/freshclam
71	richard	979	}
		980
1	root	981	##################################################################################
476	richard	982	## param_ulogd function ##
		983	## - Ulog config for multi-log files ##
		984	##################################################################################
		985	param_ulogd ()
		986	{
		987	# Three instances of ulogd (three different logfiles)
		988	[ -d /var/log/firewall ] \|\| mkdir -p /var/log/firewall
478	richard	989	nl=1
		990	for log_type in tracability ssh ext-access
		991	do
		992	[ -e /var/log/firewall/$log_type.log ] \|\| touch /var/log/firewall/$log_type.log
		993	cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
		994	$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf
		995	$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
		996	cat << EOF >> /etc/ulogd-$log_type.conf
		997	[LOGEMU]
		998	file="/var/log/firewall/$log_type.log"
		999	sync=1
		1000	EOF
		1001	nl=`expr $nl + 1`
		1002	done
476	richard	1003	chown -R root:apache /var/log/firewall
		1004	chmod 750 /var/log/firewall
		1005	chmod 640 /var/log/firewall/*
		1006	[ -e /etc/init.d/ulogd.default ] \|\| cp /etc/init.d/ulogd /etc/init.d/ulogd.default
		1007	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
		1008	} # End of param_ulogd ()
		1009
		1010	##################################################################################
1	root	1011	## Fonction param_awstats ##
		1012	## - configuration de l'interface des logs de consultation WEB (AWSTAT) ##
		1013	##################################################################################
		1014	param_awstats()
		1015	{
316	richard	1016	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
		1017	chown -R apache:apache $DIR_ACC/awstats
1	root	1018	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
		1019	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
		1020	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
		1021	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
		1022	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
		1023	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
344	richard	1024	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
		1025	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1	root	1026	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
		1027	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59	richard	1028	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
580	richard	1029	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
		1030	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1031	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1032	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
		1033	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
		1034	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
		1035	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
		1036	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
		1037	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
		1038	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
		1039	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
		1040	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
		1041	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
		1042	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
		1043	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
		1044
1	root	1045	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	1046	<Directory $DIR_ACC/awstats>
1	root	1047	SSLRequireSSL
		1048	Options ExecCGI
		1049	AddHandler cgi-script .pl
		1050	DirectoryIndex awstats.pl
		1051	Order deny,allow
		1052	Deny from all
		1053	Allow from 127.0.0.1
		1054	Allow from $PRIVATE_NETWORK_MASK
		1055	require valid-user
		1056	AuthType digest
		1057	AuthName $HOSTNAME
		1058	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	1059	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	1060	ErrorDocument 404 https://$HOSTNAME/
1	root	1061	</Directory>
		1062	SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
		1063	EOF
		1064	} # End of param_awstats ()
		1065
		1066	##########################################################
235	richard	1067	## Fonction param_dnsmasq ##
1	root	1068	##########################################################
219	jeremy	1069	param_dnsmasq ()
		1070	{
		1071	[ -d /var/log/dnsmasq ] \|\| mkdir /var/log/dnsmasq
259	richard	1072	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
503	richard	1073	[ -e /etc/dnsmasq.conf.default ] \|\| cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
520	richard	1074	# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
503	richard	1075	cat << EOF > /etc/dnsmasq.conf
520	richard	1076	# Configuration file for "dnsmasq in forward mode"
503	richard	1077	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
259	richard	1078	listen-address=$PRIVATE_IP
		1079	listen-address=127.0.0.1
286	richard	1080	no-dhcp-interface=$INTIF
259	richard	1081	bind-interfaces
		1082	cache-size=256
		1083	domain=$DOMAIN
		1084	domain-needed
		1085	expand-hosts
		1086	bogus-priv
		1087	filterwin2k
		1088	server=$DNS1
		1089	server=$DNS2
498	richard	1090	# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
604	richard	1091	dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_NETMASK,12h
632	richard	1092	dhcp-option=option:router,$PRIVATE_IP
259	richard	1093	#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
		1094
291	franck	1095	# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
420	franck	1096	#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
259	richard	1097	EOF
520	richard	1098	# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
		1099	cat << EOF > /etc/dnsmasq-blackhole.conf
		1100	# Configuration file for "dnsmasq with blackhole"
		1101	# Inclusion de la blacklist <domains> de Toulouse dans la configuration
		1102	conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
503	richard	1103	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
498	richard	1104	listen-address=$PRIVATE_IP
		1105	port=54
		1106	no-dhcp-interface=$INTIF
		1107	bind-interfaces
		1108	cache-size=256
		1109	domain=$DOMAIN
		1110	domain-needed
		1111	expand-hosts
		1112	bogus-priv
		1113	filterwin2k
		1114	server=$DNS1
		1115	server=$DNS2
		1116	EOF
718	franck	1117
		1118	# On modifie le fichier d'initialisation (lancement et arret de la deuxième instance)
503	richard	1119	[ -e /etc/init.d/dnsmasq.default ] \|\| cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
520	richard	1120	$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
503	richard	1121	$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
308	richard	1122	} # End dnsmasq
		1123
		1124	##########################################################
		1125	## Fonction BL (BlackList) ##
		1126	##########################################################
		1127	BL ()
		1128	{
		1129	# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
648	richard	1130	rm -rf $DIR_DG/lists/blacklists
		1131	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
316	richard	1132	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
		1133	chown apache:apache $DIR_ACC/VERSION-BL
648	richard	1134	# on crée le répertoire de la BL secondaire et le répertoire "pureip" (catégorie virtuelle)
		1135	mkdir $DIR_DG/lists/blacklists/ossi $DIR_DG/lists/blacklists/ip
		1136	touch $DIR_DG/lists/blacklists/ossi/domains $DIR_DG/lists/blacklists/ip/domains
		1137	touch $DIR_DG/lists/blacklists/ossi/urls $DIR_DG/lists/blacklists/ip/urls
309	richard	1138	# On crée les fichiers vides de sites ou d'URL réhabilités
648	richard	1139	[ -e $DIR_DG/lists/exceptionsitelist.default ] \|\| mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
673	richard	1140	[ -e $DIR_DG/lists/exceptionurllist.default ] \|\| mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
648	richard	1141	touch $DIR_DG/lists/exceptionsitelist
		1142	touch $DIR_DG/lists/exceptionurllist
311	richard	1143	# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
648	richard	1144	cat <<EOF > $DIR_DG/lists/bannedurllist
311	richard	1145	# Dansguardian filter config for ALCASAR
		1146	EOF
648	richard	1147	cat <<EOF > $DIR_DG/lists/bannedsitelist
311	richard	1148	# Dansguardian domain filter config for ALCASAR
		1149	# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
		1150	#**
		1151	# block all SSL and CONNECT tunnels
		1152	**s
		1153	# block all SSL and CONNECT tunnels specified only as an IP
		1154	*ips
		1155	# block all sites specified only by an IP
		1156	*ip
		1157	EOF
648	richard	1158	chown -R dansguardian:apache $DIR_DG
		1159	chmod -R g+rw $DIR_DG
304	richard	1160	# On crée la structure du DNS-blackhole :
503	richard	1161	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1162	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1163	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
308	richard	1164	# On fait pointer le black-hole sur une page interne
		1165	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
648	richard	1166	# On récupère la dernière version de la BL Toulouse et on l'adapte à notre structure
420	franck	1167	$DIR_DEST_SBIN/alcasar-bl.sh --download
654	richard	1168	if [ "$mode" != "update" ]; then
		1169	$DIR_DEST_SBIN/alcasar-bl.sh --adapt
		1170	fi
308	richard	1171	}
219	jeremy	1172
1	root	1173	##########################################################
		1174	## Fonction cron ##
		1175	## - Mise en place des différents fichiers de cron ##
		1176	##########################################################
		1177	cron ()
		1178	{
		1179	# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
		1180	[ -e /etc/crontab.default ] \|\| cp /etc/crontab /etc/crontab.default
		1181	cat <<EOF > /etc/crontab
		1182	SHELL=/bin/bash
		1183	PATH=/sbin:/bin:/usr/sbin:/usr/bin
		1184	MAILTO=root
		1185	HOME=/
		1186
		1187	# run-parts
		1188	01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
		1189	02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
		1190	22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
		1191	42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
		1192	EOF
		1193	[ -e /etc/anacrontab.default ] \|\| cp /etc/anacrontab /etc/anacrontab.default
		1194	cat <<EOF >> /etc/anacrontab
667	franck	1195	7 8 cron.MysqlDump nice /etc/cron.d/alcasar-mysql
		1196	7 10 cron.logExport nice /etc/cron.d/alcasar-export_log
		1197	7 15 cron.logClean nice /etc/cron.d/alcasar-clean_log
		1198	7 20 cron.importClean nice /etc/cron.d/alcasar-clean_import
1	root	1199	EOF
		1200	# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
667	franck	1201	cat <<EOF > /etc/cron.d/alcasar-clean_log
713	franck	1202	# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1	root	1203	30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
		1204	EOF
		1205	# export de la base des usagers (tous les lundi à 4h45)
667	franck	1206	cat <<EOF > /etc/cron.d/alcasar-mysql
713	franck	1207	# export des log squid, firewall et apache (tous les lundi à 5h00)
671	franck	1208	45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
1	root	1209	EOF
		1210	# export des log squid, firewall et apache (tous les lundi à 5h00)
667	franck	1211	cat <<EOF > /etc/cron.d/alcasar-export_log
713	franck	1212	# export des log squid, firewall et apache (tous les lundi à 5h00)
1	root	1213	00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
		1214	EOF
		1215	# mise à jour des stats de consultation WEB toutes les 30' ## existe en double pour le daily sans l'@IP
		1216	# sans mèl ( > /dev/null 2>&1)
		1217	cat << EOF > /etc/cron.d/awstats
713	franck	1218	# mise à jour des stats de consultation WEB toutes les 30'
419	franck	1219	/30 * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1	root	1220	EOF
219	jeremy	1221	# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
667	franck	1222	cat << EOF > /etc/cron.d/alcasar-clean_import
713	franck	1223	# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
503	richard	1224	30 * * * * root $DIR_DEST_BIN/alcasar-import-clean.sh
168	franck	1225	EOF
713	franck	1226	# mise à jour automatique de la blacklist de Toulouse
		1227	cat << EOF > /etc/cron.d/alcasar-bl_download
		1228	# mise à jour automatique de la blacklist de Toulouse tous les premier du mois à 2h30
		1229	30 2 1 * * root $DIR_DEST_BIN/alcasar-bl.sh --download && $DIR_DEST_BIN/alcasar-bl.sh --reload 2>&1
		1230	EOF
722	franck	1231	# mise à jour automatique de la distribution
		1232	cat << EOF > /etc/cron.d/alcasar-distrib-updates
		1233	# mise à jour automatique de la distribution tous les jours 3h30
		1234	30 3 * * * root urpmi --auto-update --auto 2>&1
		1235	EOF
1	root	1236	# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
		1237	# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
		1238	# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct')
		1239	# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
		1240	# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
		1241	# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
		1242	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
		1243	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
		1244	rm -f /etc/cron.daily/freeradius-web
		1245	rm -f /etc/cron.monthly/freeradius-web
		1246	cat << EOF > /etc/cron.d/freeradius-web
		1247	1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
		1248	5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
		1249	10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
		1250	15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
		1251	EOF
310	richard	1252	# activation du "chien de garde" (watchdog) toutes les 3'
671	franck	1253	cat << EOF > /etc/cron.d/alcasar-watchdog
713	franck	1254	# activation du "chien de garde" (watchdog) toutes les 3'
1	root	1255	/3 * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
		1256	EOF
522	richard	1257	# suppression des crons usagers
		1258	rm -f /var/spool/cron/*
1	root	1259	} # End cron
		1260
		1261	##################################################################
		1262	## Fonction post_install ##
		1263	## - Modification des bannières (locales et ssh) et des prompts ##
		1264	## - Installation de la structure de chiffrement pour root ##
		1265	## - Mise en place du sudoers et de la sécurité sur les fichiers##
		1266	## - Mise en place du la rotation des logs ##
5	franck	1267	## - Configuration dans le cas d'une mise à jour ##
1	root	1268	##################################################################
		1269	post_install()
		1270	{
		1271	# adaptation du script "chien de garde" (watchdog)
376	franck	1272	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1273	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1	root	1274	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1275	# création de la bannière locale
		1276	[ -e /etc/mandriva-release.default ] \|\| cp /etc/mandriva-release /etc/mandriva-release.default
589	richard	1277	cp -f $DIR_CONF/banner /etc/mandriva-release
		1278	echo " V$VERSION" >> /etc/mandriva-release
1	root	1279	# création de la bannière SSH
		1280	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5	franck	1281	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1	root	1282	[ -e /etc/ssh/sshd_config.default ] \|\| cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
		1283	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
		1284	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
604	richard	1285	# sshd écoute côté LAN et WAN
1	root	1286	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
604	richard	1287	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config
612	richard	1288	# Put the default value in conf file (sshd, QOS, protocols filter and dns filter are off)(web antivirus is on)
1	root	1289	/sbin/chkconfig --del sshd
628	richard	1290	echo "SSH=off" >> $CONF_FILE
694	franck	1291	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
628	richard	1292	echo "QOS=off" >> $CONF_FILE
		1293	echo "LDAP=off" >> $CONF_FILE
694	franck	1294	echo "LDAP_IP=0.0.0.0" >> $CONF_FILE
628	richard	1295	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
		1296	echo "DNS_FILTERING=off" >> $CONF_FILE
		1297	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
1	root	1298	# Coloration des prompts
		1299	[ -e /etc/bashrc.default ] \|\| cp /etc/bashrc /etc/bashrc.default
5	franck	1300	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
630	franck	1301	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1	root	1302	# Droits d'exécution pour utilisateur apache et sysadmin
		1303	[ -e /etc/sudoers.default ] \|\| cp /etc/sudoers /etc/sudoers.default
5	franck	1304	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
629	richard	1305	$SED "s?^Host_Alias.*?Host_Alias LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost #réseau de l'organisme?g" /etc/sudoers
132	franck	1306	# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1	root	1307	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
		1308	chmod 644 /etc/logrotate.d/*
714	franck	1309	# rectification sur versions précédentes de la compression des logs
706	franck	1310	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
		1311	# actualisation des fichiers logs compressés
714	franck	1312	for dir in firewall squid dansguardian httpd
706	franck	1313	do
714	franck	1314	find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
706	franck	1315	done
		1316	# export des logs en 'retard' dans /var/Save/logs
		1317	/usr/local/bin/alcasar-log-export.sh
1	root	1318	# processus lancés par défaut au démarrage
384	richard	1319	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd mysqld dansguardian havp freshclam
1	root	1320	do
		1321	/sbin/chkconfig --add $i
		1322	done
595	richard	1323	# pour éviter les alertes de dépendance entre service.
384	richard	1324	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
497	richard	1325	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
595	richard	1326	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
		1327	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
306	richard	1328	# On affecte le niveau de sécurité du système : type "fileserver"
235	richard	1329	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
306	richard	1330	# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
235	richard	1331	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
568	richard	1332
		1333	# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
		1334	# Apply French Security Agency rules (sysctl + msec when possible)
		1335	# ignorer les broadcast ICMP. (attaque smurf)
		1336	$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
		1337	sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
		1338	# ignorer les erreurs ICMP bogus
		1339	$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
		1340	sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
595	richard	1341	# désactiver l'envoi et la réponse aux ICMP redirects
679	richard	1342	sysctl -w net.ipv4.conf.all.accept_redirects=0
568	richard	1343	accept_redirect=`grep accept_redirect /etc/sysctl.conf\|wc -l`
		1344	if [ "$accept_redirect" == "0" ]
		1345	then
679	richard	1346	echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
		1347	else
		1348	$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
568	richard	1349	fi
679	richard	1350	sysctl -w net.ipv4.conf.all.send_redirects=0
568	richard	1351	send_redirect=`grep send_redirect /etc/sysctl.conf\|wc -l`
		1352	if [ "$send_redirect" == "0" ]
		1353	then
679	richard	1354	echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
		1355	else
		1356	$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
568	richard	1357	fi
		1358	# activer les SYN Cookies (attaque syn flood)
679	richard	1359	sysctl -w net.ipv4.tcp_syncookies=1
568	richard	1360	tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf\|wc -l`
		1361	if [ "$tcp_syncookies" == "0" ]
		1362	then
679	richard	1363	echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
		1364	else
		1365	$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
568	richard	1366	fi
595	richard	1367	# activer l'antispoofing niveau Noyau
568	richard	1368	$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
		1369	sysctl -w net.ipv4.conf.all.rp_filter=1
		1370	# ignorer le source routing
679	richard	1371	sysctl -w net.ipv4.conf.all.accept_source_route=0
568	richard	1372	accept_source_route=`grep accept_source_route /etc/sysctl.conf\|wc -l`
		1373	if [ "$accept_source_route" == "0" ]
		1374	then
679	richard	1375	echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
		1376	else
		1377	$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
568	richard	1378	fi
679	richard	1379	# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
		1380	sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
		1381	timeout_established=`grep timeout_established /etc/sysctl.conf\|wc -l`
		1382	if [ "$timeout_established" == "0" ]
		1383	then
		1384	echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
		1385	else
		1386	$SED "s?timeout_established.*?itimeout_established = 3600?g" /etc/sysctl.conf
		1387	fi
		1388	# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée)
568	richard	1389	sysctl -w net.ipv4.conf.all.log_martians=0
		1390	$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
		1391
306	richard	1392	# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
		1393	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1	root	1394	# On mets en place la sécurité sur les fichiers
		1395	# des modif par rapport à radius update
		1396	cat <<EOF > /etc/security/msec/perm.local
		1397	/var/log/firewall/ root.apache 750
		1398	/var/log/firewall/* root.apache 640
		1399	/etc/security/msec/perm.local root.root 640
		1400	/etc/security/msec/level.local root.root 640
		1401	/etc/freeradius-web root.apache 750
		1402	/etc/freeradius-web/admin.conf root.apache 640
		1403	/etc/freeradius-web/config.php root.apache 640
		1404	/etc/raddb/dictionnary root.radius 640
		1405	/etc/raddb/ldap.attrmap root.radius 640
		1406	/etc/raddb/hints root.radius 640
		1407	/etc/raddb/huntgroups root.radius 640
		1408	/etc/raddb/attrs.access_reject root.radius 640
		1409	/etc/raddb/attrs.accounting_response root.radius 640
		1410	/etc/raddb/acct_users root.radius 640
		1411	/etc/raddb/preproxy_users root.radius 640
		1412	/etc/raddb/modules/ldap radius.apache 660
		1413	/etc/raddb/sites-available/alcasar radius.apache 660
		1414	/etc/pki/* root.apache 750
		1415	EOF
		1416	/usr/sbin/msec
59	richard	1417	# modification /etc/inittab
		1418	[ -e /etc/inittab.default ] \|\| cp /etc/inittab /etc/inittab.default
60	richard	1419	# On ne garde que 3 terminaux
59	richard	1420	$SED "s?^4.*?#&?g" /etc/inittab
		1421	$SED "s?^5.*?#&?g" /etc/inittab
		1422	$SED "s?^6.*?#&?g" /etc/inittab
470	richard	1423	# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
		1424	$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
		1425	$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
532	richard	1426	# On supprime les services et les utilisateurs inutiles
		1427	for svc in alsa sound dm atd netfs bootlogd stop-bootlogd
		1428	do
		1429	/sbin/chkconfig --del $svc
		1430	done
		1431	for rm_users in avahi-autoipd avahi icapd
		1432	do
		1433	user=`cat /etc/passwd\|grep $rm_users\|cut -d":" -f1`
		1434	if [ "$user" == "$rm_users" ]
		1435	then
		1436	/usr/sbin/userdel -f $rm_users
		1437	fi
		1438	done
628	richard	1439	# Load and update the previous conf file
5	franck	1440	if [ "$mode" = "update" ]
		1441	then
389	franck	1442	$DIR_DEST_BIN/alcasar-conf.sh --load
628	richard	1443	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
		1444	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
5	franck	1445	fi
595	richard	1446	rm -f /tmp/alcasar-conf*
434	richard	1447	chown -R root:apache $DIR_DEST_ETC/*
512	richard	1448	chmod -R 660 $DIR_DEST_ETC/*
434	richard	1449	chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1	root	1450	cd $DIR_INSTALL
5	franck	1451	echo ""
1	root	1452	echo "#############################################################################"
638	richard	1453	if [ $Lang == "fr" ]
		1454	then
		1455	echo "# Fin d'installation d'ALCASAR #"
		1456	echo "# #"
		1457	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1458	echo "# des Accès au Réseau ( ALCASAR ) #"
		1459	echo "# #"
		1460	echo "#############################################################################"
		1461	echo
		1462	echo "- ALCASAR sera fonctionnel après redémarrage du système"
		1463	echo
		1464	echo "- Lisez attentivement la documentation d'exploitation"
		1465	echo
		1466	echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
		1467	echo
		1468	echo " Appuyez sur 'Entrée' pour continuer"
		1469	else
		1470	echo "# Enf of ALCASAR install process #"
		1471	echo "# #"
		1472	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1473	echo "# des Accès au Réseau ( ALCASAR ) #"
		1474	echo "# #"
		1475	echo "#############################################################################"
		1476	echo
		1477	echo "- The system will be rebooted in order to operate ALCASAR"
		1478	echo
		1479	echo "- Read the exploitation documentation"
		1480	echo
		1481	echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
		1482	echo
		1483	echo " Hit 'Enter' to continue"
		1484	fi
		1485	read a
490	richard	1486	# On applique les règles de filtrage (et on les sauvegarde)
		1487	sh $DIR_DEST_BIN/alcasar-iptables.sh
		1488	sleep 2
1	root	1489	clear
		1490	reboot
		1491	} # End post_install ()
		1492
		1493	#################################
		1494	# Boucle principale du script #
		1495	#################################
291	franck	1496	usage="Usage: alcasar.sh {-i or --install} \| {-u or --uninstall}"
1	root	1497	nb_args=$#
		1498	args=$1
		1499	if [ $nb_args -eq 0 ]
		1500	then
		1501	nb_args=1
		1502	args="-h"
		1503	fi
		1504	case $args in
		1505	-\? \| -h* \| --h*)
		1506	echo "$usage"
		1507	exit 0
		1508	;;
291	franck	1509	-i \| --install)
5	franck	1510	header_install
29	richard	1511	testing
597	richard	1512	# Test if ALCASAR is already installed
5	franck	1513	if [ -e $DIR_WEB/VERSION ]
1	root	1514	then
460	richard	1515	actual_version=`cat $DIR_WEB/VERSION`
595	richard	1516	if [ $Lang == "fr" ]
		1517	then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
		1518	else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
		1519	fi
5	franck	1520	response=0
460	richard	1521	PTN='^[oOnNyY]$'
580	richard	1522	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1523	do
595	richard	1524	if [ $Lang == "fr" ]
		1525	then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
		1526	else echo -n "Do you want to update (Y/n)?";
		1527	fi
5	franck	1528	read response
		1529	done
597	richard	1530	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
5	franck	1531	then
597	richard	1532	rm -f /tmp/alcasar-conf*
		1533	else
510	richard	1534	RUNNING_VERSION=`cat $DIR_WEB/VERSION\|cut -d" " -f1`
		1535	MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f1`
		1536	MIN_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f2\|cut -c1`
		1537	UPD_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f3`
636	richard	1538	# Create a backup of running version importants files
5	franck	1539	chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
389	franck	1540	$DIR_SCRIPTS/alcasar-conf.sh --create
532	richard	1541	mode="update"
5	franck	1542	fi
1	root	1543	fi
595	richard	1544	# RPMs install
		1545	$DIR_SCRIPTS/alcasar-urpmi.sh
		1546	if [ "$?" != "0" ]
1	root	1547	then
595	richard	1548	exit 0
		1549	fi
		1550	if [ -e $DIR_WEB/VERSION ]
		1551	then
597	richard	1552	# Uninstall the running version
532	richard	1553	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
595	richard	1554	fi
636	richard	1555	# Test if manual update
597	richard	1556	if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
595	richard	1557	then
636	richard	1558	header_install
595	richard	1559	if [ $Lang == "fr" ]
636	richard	1560	then echo "Le fichier de configuration d'une ancienne version a été trouvé";
		1561	else echo "The configuration file of an old version has been found";
595	richard	1562	fi
597	richard	1563	response=0
		1564	PTN='^[oOnNyY]$'
		1565	until [[ $(expr $response : $PTN) -gt 0 ]]
		1566	do
		1567	if [ $Lang == "fr" ]
		1568	then echo -n "Voulez-vous l'utiliser (O/n)? ";
		1569	else echo -n "Do you want to use it (Y/n)?";
		1570	fi
		1571	read response
		1572	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		1573	then rm -f /tmp/alcasar-conf*
		1574	fi
		1575	done
		1576	fi
636	richard	1577	# Test if update
597	richard	1578	if [ -e /tmp/alcasar-conf.tar.gz ]
		1579	then
		1580	if [ $Lang == "fr" ]
		1581	then echo "#### Installation avec mise à jour ####";
		1582	else echo "#### Installation with update ####";
		1583	fi
636	richard	1584	# Extract the central configuration file
637	richard	1585	tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf
		1586	ORGANISME=`grep ORGANISM conf/etc/alcasar.conf\|cut -d"=" -f2`
5	franck	1587	mode="update"
		1588	else
		1589	mode="install"
1	root	1590	fi
604	richard	1591	for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
5	franck	1592	do
		1593	$func
735	richard	1594	# echo "* 'debug' : end of function $func *"; read a
14	richard	1595	done
5	franck	1596	;;
291	franck	1597	-u \| --uninstall)
5	franck	1598	if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1	root	1599	then
597	richard	1600	if [ $Lang == "fr" ]
		1601	then echo "ALCASAR n'est pas installé!";
		1602	else echo "ALCASAR isn't installed!";
		1603	fi
1	root	1604	exit 0
		1605	fi
5	franck	1606	response=0
		1607	PTN='^[oOnN]$'
580	richard	1608	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1609	do
597	richard	1610	if [ $Lang == "fr" ]
		1611	then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
		1612	else echo -n "Do you want to crate the running version configuration file (Y/n)? ";
		1613	fi
5	franck	1614	read response
		1615	done
597	richard	1616	if [ "$reponse" = "o" ] \|\| [ "$reponse" = "O" ] \|\| [ "$response" = "Y" ] \|\| [ "$response" = "y" ]
1	root	1617	then
389	franck	1618	$DIR_SCRIPT/alcasar-conf.sh --create
498	richard	1619	else
		1620	rm -f /tmp/alcasar-conf*
1	root	1621	fi
597	richard	1622	# Uninstall the running version
65	richard	1623	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1	root	1624	;;
		1625	*)
		1626	echo "Argument inconnu :$1";
460	richard	1627	echo "Unknown argument :$1";
1	root	1628	echo "$usage"
		1629	exit 1
		1630	;;
		1631	esac
10	franck	1632	# end of script
366	franck	1633

Subversion Repositories ALCASAR

(root)/alcasar.sh @ 2681 – Rev 735