WebSVN – ALCASAR – Blame – /alcasar.sh

Rev	Author	Line No.	Line
672	richard	1	#!/bin/bash
57	franck	2	# $Id: alcasar.sh 786 2012-01-02 22:50:31Z richard $
1	root	3
		4	# alcasar.sh
		5	# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
		6	# This script is distributed under the Gnu General Public License (GPL)
		7
672	richard	8	# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
		9	# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
1	root	10	# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
		11	# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
672	richard	12	#
604	richard	13	# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, awstat, ntpd, openssl, dnsmasq, havp, libclamav and firewalleyes
1	root	14
		15	# Options :
376	franck	16	# -i or --install
		17	# -u or --uninstall
1	root	18
376	franck	19	# Functions :
29	richard	20	# testing : Tests de connectivité et de téléchargement avant installation
1	root	21	# init : Installation des RPM et des scripts
		22	# network : Paramètrage du réseau
		23	# gestion : Installation de l'interface de gestion
		24	# AC : Initialisation de l'autorité de certification. Création des certificats
		25	# init_db : Création de la base 'radius' sur le serveur MySql
		26	# param_radius : Configuration du serveur d'authentification FreeRadius
		27	# param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
		28	# param_chilli : Configuration du daemon 'coova-chilli' et de la page d'authentification
		29	# param_squid : Configuration du proxy squid en mode 'cache'
		30	# param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
479	richard	31	# antivirus : Installation havp + libclamav
1	root	32	# param_awstats : Configuration de l'interface des statistiques de consultation WEB
297	richard	33	# dnsmasq : Configuration du serveur de noms et du serveur dhcp de secours
308	richard	34	# BL : Configuration de la BlackList
1	root	35	# cron : Mise en place des exports de logs (+ chiffrement)
532	richard	36	# post_install : Finalisation environnement ( sécurité, bannières, rotation logs, ...)
1	root	37
95	franck	38	VERSION=`cat VERSION`
1	root	39	DATE=`date '+%d %B %Y - %Hh%M'`
		40	DATE_SHORT=`date '+%d/%m/%Y'`
595	richard	41	Lang=`echo $LANG\|cut -c 1-2`
1	root	42	# ***** Files parameters - paramètres fichiers *******
		43	DIR_INSTALL=`pwd` # répertoire d'installation
		44	DIR_CONF="$DIR_INSTALL/conf" # répertoire d'installation contenant les fichiers de configuration
		45	DIR_SCRIPTS="$DIR_INSTALL/scripts" # répertoire d'installation contenant les scripts
		46	DIR_SAVE="/var/Save" # répertoire de sauvegarde (ISO, backup, etc.)
316	richard	47	DIR_WEB="/var/www/html" # répertoire racine APACHE
648	richard	48	DIR_DG="/etc/dansguardian" # répertoire de config de DansGuardian
316	richard	49	DIR_ACC="$DIR_WEB/acc" # répertoire du centre de gestion 'ALCASAR Control Center'
1	root	50	DIR_DEST_BIN="/usr/local/bin" # répertoire des scripts
		51	DIR_DEST_SBIN="/usr/local/sbin" # répertoire des scripts d'admin
		52	DIR_DEST_ETC="/usr/local/etc" # répertoire des fichiers de conf
628	richard	53	CONF_FILE="$DIR_DEST_ETC/alcasar.conf" # fichier de conf d'alcasar
		54	PASSWD_FILE="/root/ALCASAR-passwords.txt" # fichier texte contenant les mots de passe et secrets partagés
1	root	55	# ***** DBMS parameters - paramètres SGBD ******
		56	DB_RADIUS="radius" # nom de la base de données utilisée par le serveur FreeRadius
		57	DB_USER="radius" # nom de l'utilisateur de la base de données
		58	# ***** Network parameters - paramètres réseau *****
503	richard	59	HOSTNAME="alcasar" #
1	root	60	DOMAIN="localdomain" # domaine local
		61	EXTIF="eth0" # ETH0 est l'interface connectée à Internet (Box FAI)
		62	INTIF="eth1" # ETH1 est l'interface connectée au réseau local de consultation
597	richard	63	DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24" # adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
1	root	64	# **** Paths - chemin des commandes *****
		65	SED="/bin/sed -i"
		66	# **************** End of global parameters *******************
		67
		68	header_install ()
		69	{
		70	clear
		71	echo "-----------------------------------------------------------------------------"
460	richard	72	echo " ALCASAR V$VERSION Installation"
1	root	73	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
		74	echo "-----------------------------------------------------------------------------"
		75	} # End of header_install ()
		76
		77	##################################################################
29	richard	78	## Fonction TESTING ##
		79	## - Test de la connectivité Internet ##
		80	##################################################################
		81	testing ()
		82	{
595	richard	83	if [ $Lang == "fr" ]
784	richard	84	then echo -n "Tests des paramètres réseau : "
595	richard	85	else echo -n "Network parameters tests : "
		86	fi
784	richard	87	# We test eth0 config files
		88	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF\|cut -d"=" -f2`
		89	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF\|cut -d"=" -f2`
		90	if [ `echo $PUBLIC_IP\|wc -c` -lt 7 ] \|\| [ `echo $PUBLIC_GATEWAY\|wc -c` -lt 7 ]
		91	then
		92	if [ $Lang == "fr" ]
		93	then
		94	echo "Échec"
		95	echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."
		96	echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
		97	else
		98	echo "Failed"
		99	echo "The Internet connected network card ($EXTIF) isn't well configured."
		100	echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
		101	fi
		102	echo "IPADDR="
		103	echo "NETMASK="
		104	echo "GATEWAY="
		105	echo "DNS1="
		106	echo "DNS2="
		107	exit 0
		108	fi
		109	echo -n "."
460	richard	110	# We test the Ethernet links state
29	richard	111	for i in $EXTIF $INTIF
		112	do
294	richard	113	/sbin/ip link set $i up
306	richard	114	sleep 3
29	richard	115	if [ "`/usr/sbin/ethtool $i\|grep Link\|cut -d' ' -f3`" != "yes" ]
		116	then
595	richard	117	if [ $Lang == "fr" ]
		118	then
		119	echo "Échec"
		120	echo "Le lien réseau de la carte $i n'est pas actif."
		121	echo "Réglez ce problème puis relancez ce script."
		122	else
		123	echo "Failed"
		124	echo "The link state of $i interface id down."
		125	echo "Resolv this problem, then restart this script."
		126	fi
29	richard	127	exit 0
		128	fi
308	richard	129	echo -n "."
29	richard	130	done
		131	# On teste la présence d'un routeur par défaut (Box FAI)
784	richard	132	if [ `ip route list\|grep -c ^default` -ne "1" ] ; then
595	richard	133	if [ $Lang == "fr" ]
		134	then
		135	echo "Échec"
		136	echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
		137	echo "Réglez ce problème puis relancez ce script."
		138	else
		139	echo "Failed"
		140	echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
		141	echo "Resolv this problem, then restart this script."
		142	fi
29	richard	143	exit 0
		144	fi
308	richard	145	echo -n "."
		146	# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
784	richard	147	if [ `ip route list\|grep ^default\|grep -c eth1` -eq "1" ] ; then
595	richard	148	if [ $Lang == "fr" ]
		149	then echo "La configuration des cartes réseau va être corrigée."
		150	else echo "The Ethernet card configuration will be corrected."
		151	fi
29	richard	152	/etc/init.d/network stop
		153	mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
		154	$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
		155	/etc/init.d/network start
		156	echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
		157	sleep 2
595	richard	158	if [ $Lang == "fr" ]
		159	then echo "Configuration corrigée"
		160	else echo "Configuration updated"
		161	fi
29	richard	162	sleep 2
595	richard	163	if [ $Lang == "fr" ]
		164	then echo "Vous pouvez relancer ce script."
		165	else echo "You can restart this script."
		166	fi
29	richard	167	exit 0
		168	fi
308	richard	169	echo -n "."
		170	# On test le lien vers le routeur par default
		171	IP_GW=`ip route list\|grep ^default\|cut -d" " -f3`
		172	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW\|grep response\|cut -d" " -f2`
527	richard	173	if [ $(expr $arp_reply) -eq 0 ]
308	richard	174	then
595	richard	175	if [ $Lang == "fr" ]
		176	then
		177	echo "Échec"
		178	echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
		179	echo "Réglez ce problème puis relancez ce script."
		180	else
		181	echo "Failed"
		182	echo "The Internet gateway doesn't answered"
		183	echo "Resolv this problem, then restart this script."
		184	fi
308	richard	185	exit 0
		186	fi
		187	echo -n "."
421	franck	188	# On teste la connectivité Internet
29	richard	189	rm -rf /tmp/con_ok.html
308	richard	190	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
29	richard	191	if [ ! -e /tmp/con_ok.html ]
		192	then
595	richard	193	if [ $Lang == "fr" ]
		194	then
		195	echo "La tentative de connexion vers Internet a échoué (google.fr)."
		196	echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
		197	echo "Vérifiez la validité des adresses IP des DNS."
		198	else
		199	echo "The Internet connection try failed (google.fr)."
		200	echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
		201	echo "Verify the DNS IP addresses"
		202	fi
29	richard	203	exit 0
		204	fi
		205	rm -rf /tmp/con_ok.html
308	richard	206	echo ". : ok"
302	richard	207	} # end of testing
		208
		209	##################################################################
		210	## Fonction INIT ##
		211	## - Création du fichier "/root/ALCASAR_parametres.txt" ##
		212	## - Installation et modification des scripts du portail ##
		213	##################################################################
		214	init ()
		215	{
527	richard	216	if [ "$mode" != "update" ]
302	richard	217	then
		218	# On affecte le nom d'organisme
597	richard	219	header_install
302	richard	220	ORGANISME=!
		221	PTN='^[a-zA-Z0-9-]*$'
580	richard	222	until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
302	richard	223	do
595	richard	224	if [ $Lang == "fr" ]
597	richard	225	then echo -n "Entrez le nom de votre organisme : "
		226	else echo -n "Enter the name of your organism : "
595	richard	227	fi
330	franck	228	read ORGANISME
613	richard	229	if [ "$ORGANISME" == "" ]
330	franck	230	then
		231	ORGANISME=!
		232	fi
		233	done
302	richard	234	fi
1	root	235	# On crée aléatoirement les mots de passe et les secrets partagés
628	richard	236	rm -f $PASSWD_FILE
59	richard	237	grubpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de protection du menu Grub
628	richard	238	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
		239	echo "$grubpwd" >> $PASSWD_FILE
59	richard	240	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
384	richard	241	$SED "/^password.*/d" /boot/grub/menu.lst
		242	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1	root	243	mysqlpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'administrateur Mysqld
628	richard	244	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
		245	echo "root / $mysqlpwd" >> $PASSWD_FILE
1	root	246	radiuspwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
628	richard	247	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
		248	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
1	root	249	secretuam=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre intercept.php et coova-chilli
628	richard	250	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
		251	echo "$secretuam" >> $PASSWD_FILE
1	root	252	secretradius=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre coova-chilli et FreeRadius
628	richard	253	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
		254	echo "$secretradius" >> $PASSWD_FILE
		255	chmod 640 $PASSWD_FILE
453	franck	256	# On installe les scripts et fichiers de configuration d'ALCASAR
		257	# - dans /usr/local/bin : alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}
5	franck	258	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
453	franck	259	# - dans /usr/local/sbin : alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
5	franck	260	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
453	franck	261	# - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
648	richard	262	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1	root	263	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
		264	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5	franck	265	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
		266	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
628	richard	267	# generate central conf file
		268	cat <<EOF > $CONF_FILE
612	richard	269	##########################################
		270	## ##
		271	## ALCASAR Parameters ##
		272	## ##
		273	##########################################
1	root	274
612	richard	275	INSTALL_DATE=$DATE
		276	VERSION=$VERSION
		277	ORGANISM=$ORGANISME
		278	EOF
628	richard	279	chmod o-rwx $CONF_FILE
1	root	280	} # End of init ()
		281
		282	##################################################################
		283	## Fonction network ##
		284	## - Définition du plan d'adressage du réseau de consultation ##
595	richard	285	## - Nommage DNS du système ##
1	root	286	## - Configuration de l'interface eth1 (réseau de consultation) ##
		287	## - Modification du fichier /etc/hosts ##
		288	## - Configuration du serveur de temps (NTP) ##
		289	## - Renseignement des fichiers hosts.allow et hosts.deny ##
		290	##################################################################
		291	network ()
		292	{
		293	header_install
636	richard	294	if [ "$mode" != "update" ]
		295	then
		296	if [ $Lang == "fr" ]
		297	then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
		298	else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
		299	fi
		300	response=0
		301	PTN='^[oOyYnN]$'
		302	until [[ $(expr $response : $PTN) -gt 0 ]]
1	root	303	do
595	richard	304	if [ $Lang == "fr" ]
659	richard	305	then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
618	richard	306	else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
595	richard	307	fi
1	root	308	read response
		309	done
636	richard	310	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		311	then
		312	PRIVATE_IP_MASK="0"
		313	PTN='^$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$/[012]\?[[:digit:]]$'
		314	until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
1	root	315	do
595	richard	316	if [ $Lang == "fr" ]
597	richard	317	then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
		318	else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
595	richard	319	fi
597	richard	320	read PRIVATE_IP_MASK
1	root	321	done
636	richard	322	else
		323	PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
		324	fi
595	richard	325	else
637	richard	326	PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf\|cut -d"=" -f2`
		327	rm -rf conf/etc/alcasar.conf
1	root	328	fi
784	richard	329	# Define Lan side Ethernet card
1	root	330	hostname $HOSTNAME
607	richard	331	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK \| cut -d"=" -f2` # @ réseau de consultation (ex.: 192.168.182.0)
		332	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK \| cut -d"=" -f2` # masque réseau de consultation (ex.: 255.255.255.0)
		333	PRIVATE_IP=`echo $PRIVATE_IP_MASK \| cut -d"/" -f1` # @ip du portail (côté réseau de consultation)
		334	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK \|cut -d"=" -f2` # prefixe du réseau (ex. 24)
		335	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix # @ + masque du réseau de consult (192.168.182.0/24)
		336	classe=$((private_prefix/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2` # classes de réseau (ex.: 2=classe B, 3=classe C)
		337	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`. # @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
		338	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # @ broadcast réseau de consultation (ex.: 192.168.182.255)
		339	tmp_mask=`echo $PRIVATE_NETWORK_MASK\|cut -d"/" -f2`; half_mask=`expr $tmp_mask + 1` # masque du 1/2 réseau de consultation (ex.: 25)
		340	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$half_mask # plage des adresses statiques (ex.: 192.168.182.0/25)
		341	private_network_ending=`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup` # dernier octet de l'@ de réseau
		342	private_broadcast_ending=`echo $PRIVATE_BROADCAST \| cut -d"." -f$classe_sup` # dernier octet de l'@ de broadcast
		343	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
		344	private_half_plage=`expr $private_plage / 2`
		345	private_dyn=`expr $private_half_plage + $private_network_ending`
		346	private_dyn_ip_network=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup_sup-5`
		347	PRIVATE_DYN_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-4`/$half_mask # @ réseau (CIDR) de la plage des adresses dynamiques (ex.: 192.168.182.128/25)
		348	private_dyn_ip_ending=`echo $private_dyn_ip_network \| cut -d"." -f4`
		349	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-3`"."`expr $private_dyn_ip_ending + 1` # 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
		350	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST \| cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1` # dernière adresse de la plage dynamique (ex.: 192.168.182.254)
784	richard	351	# Define Internet side Ethernet card
14	richard	352	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] \|\| cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
		353	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 1er DNS
		354	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 2ème DNS
70	franck	355	DNS1=${DNS1:=208.67.220.220}
		356	DNS2=${DNS2:=208.67.222.222}
597	richard	357	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
784	richard	358	DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 \| cut -d"=" -f2`
		359	PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}
		360	PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK\|cut -d"=" -f2`
765	stephane	361	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
		362	echo "PUBLIC_MTU=1500" >> $CONF_FILE
628	richard	363	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE
		364	echo "DNS1=$DNS1" >> $CONF_FILE
		365	echo "DNS2=$DNS2" >> $CONF_FILE
		366	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
		367	echo "DHCP=on" >> $CONF_FILE
597	richard	368	[ -e /etc/sysconfig/network.default ] \|\| cp /etc/sysconfig/network /etc/sysconfig/network.default
784	richard	369	# Renseignement des fichiers de configuration réseau
1	root	370	cat <<EOF > /etc/sysconfig/network
		371	NETWORKING=yes
		372	HOSTNAME="$HOSTNAME"
		373	FORWARD_IPV4=true
		374	EOF
		375	# Modif /etc/hosts
		376	[ -e /etc/hosts.default ] \|\| cp /etc/hosts /etc/hosts.default
		377	cat <<EOF > /etc/hosts
503	richard	378	127.0.0.1 localhost
		379	$PRIVATE_IP $HOSTNAME
1	root	380	EOF
14	richard	381	# Configuration de l'interface eth0 (Internet)
		382	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
		383	DEVICE=$EXTIF
		384	BOOTPROTO=static
597	richard	385	IPADDR=$PUBLIC_IP
		386	NETMASK=$PUBLIC_NETMASK
		387	GATEWAY=$PUBLIC_GATEWAY
14	richard	388	DNS1=127.0.0.1
		389	ONBOOT=yes
		390	METRIC=10
		391	NOZEROCONF=yes
		392	MII_NOT_SUPPORTED=yes
		393	IPV6INIT=no
		394	IPV6TO4INIT=no
		395	ACCOUNTING=no
		396	USERCTL=no
		397	EOF
1	root	398	# Configuration de l'interface eth1 (réseau de consultation)
		399	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
		400	DEVICE=$INTIF
		401	BOOTPROTO=static
		402	IPADDR=$PRIVATE_IP
604	richard	403	NETMASK=$PRIVATE_NETMASK
1	root	404	ONBOOT=yes
		405	METRIC=10
		406	NOZEROCONF=yes
		407	MII_NOT_SUPPORTED=yes
14	richard	408	IPV6INIT=no
		409	IPV6TO4INIT=no
		410	ACCOUNTING=no
		411	USERCTL=no
1	root	412	EOF
440	franck	413	# Mise à l'heure du serveur
		414	[ -e /etc/ntp/step-tickers.default ] \|\| cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
		415	cat <<EOF > /etc/ntp/step-tickers
455	franck	416	0.fr.pool.ntp.org # adapt to your country
		417	1.fr.pool.ntp.org
		418	2.fr.pool.ntp.org
440	franck	419	EOF
		420	# Configuration du serveur de temps (sur lui même)
1	root	421	[ -e /etc/ntp.conf.default ] \|\| cp /etc/ntp.conf /etc/ntp.conf.default
		422	cat <<EOF > /etc/ntp.conf
456	franck	423	server 0.fr.pool.ntp.org # adapt to your country
447	franck	424	server 1.fr.pool.ntp.org
		425	server 2.fr.pool.ntp.org
		426	server 127.127.1.0 # local clock si NTP internet indisponible ...
411	richard	427	fudge 127.127.1.0 stratum 10
604	richard	428	restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
1	root	429	restrict 127.0.0.1
310	richard	430	driftfile /var/lib/ntp/drift
1	root	431	logfile /var/log/ntp.log
		432	EOF
440	franck	433
310	richard	434	chown -R ntp:ntp /var/lib/ntp
1	root	435	# Renseignement des fichiers hosts.allow et hosts.deny
		436	[ -e /etc/hosts.allow.default ] \|\| cp /etc/hosts.allow /etc/hosts.allow.default
		437	cat <<EOF > /etc/hosts.allow
		438	ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
604	richard	439	sshd: ALL
1	root	440	ntpd: $PRIVATE_NETWORK_SHORT
		441	EOF
		442	[ -e /etc/host.deny.default ] \|\| cp /etc/hosts.deny /etc/hosts.deny.default
		443	cat <<EOF > /etc/hosts.deny
		444	ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" \| /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
		445	EOF
604	richard	446	# Firewall config
		447	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		448	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		449	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
		450	# création du fichier d'exception au filtrage
		451	touch $DIR_DEST_ETC/alcasar-filter-exceptions
		452	# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
1	root	453	} # End of network ()
		454
		455	##################################################################
		456	## Fonction gestion ##
		457	## - installation du centre de gestion ##
		458	## - configuration du serveur web (Apache) ##
		459	## - définition du 1er comptes de gestion ##
		460	## - sécurisation des accès ##
		461	##################################################################
		462	gestion()
		463	{
		464	# Suppression des CGI et des pages WEB installés par défaut
		465	rm -rf /var/www/cgi-bin/*
		466	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
		467	mkdir $DIR_WEB
		468	# Copie et configuration des fichiers du centre de gestion
316	richard	469	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
1	root	470	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
316	richard	471	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
		472	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		473	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		474	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
498	richard	475	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
316	richard	476	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
5	franck	477	chown -R apache:apache $DIR_WEB/*
1	root	478	for i in ISO base logs/firewall logs/httpd logs/squid ;
		479	do
		480	[ -d $DIR_SAVE/$i ] \|\| mkdir -p $DIR_SAVE/$i
		481	done
5	franck	482	chown -R root:apache $DIR_SAVE
71	richard	483	# Configuration et sécurisation php
		484	[ -e /etc/php.ini.default ] \|\| cp /etc/php.ini /etc/php.ini.default
534	richard	485	timezone=`cat /etc/sysconfig/clock\|grep ZONE\|cut -d"=" -f2`
		486	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
411	richard	487	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
		488	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
71	richard	489	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
		490	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
		491	# Configuration et sécurisation Apache
1	root	492	[ -e /etc/httpd/conf/httpd.conf.default ] \|\| cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
580	richard	493	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
303	richard	494	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
1	root	495	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
		496	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
		497	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
		498	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
		499	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
		500	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
		501	[ -e /var/www/error/include/bottom.html.default ] \|\| mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
		502	cat <<EOF > /var/www/error/include/bottom.html
		503	</body>
		504	</html>
		505	EOF
		506	# Définition du premier compte lié au profil 'admin'
509	richard	507	header_install
510	richard	508	if [ "$mode" = "install" ]
		509	then
613	richard	510	admin_portal=!
		511	PTN='^[a-zA-Z0-9-]*$'
		512	until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
		513	do
		514	header_install
		515	if [ $Lang == "fr" ]
		516	then
		517	echo ""
		518	echo "Définissez un premier compte d'administration du portail :"
		519	echo
		520	echo -n "Nom : "
		521	else
		522	echo ""
		523	echo "Define the first account allow to administrate the portal :"
		524	echo
		525	echo -n "Account : "
		526	fi
		527	read admin_portal
		528	if [ "$admin_portal" == "" ]
		529	then
		530	admin_portal=!
		531	fi
		532	done
1	root	533	# Création du fichier de clés de ce compte dans le profil "admin"
510	richard	534	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		535	mkdir -p $DIR_DEST_ETC/digest
		536	chmod 755 $DIR_DEST_ETC/digest
		537	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		538	do
613	richard	539	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	540	done
		541	$DIR_DEST_SBIN/alcasar-profil.sh --list
595	richard	542	else # mise à jour des versions < 2.1
510	richard	543	if ([ $MAJ_RUNNING_VERSION -lt 2 ] \|\| ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
		544	then
613	richard	545	if [ $Lang == "fr" ]
		546	then
		547	echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
		548	echo
		549	echo -n "Nom : "
		550	else
		551	echo "This update need to redefine the first admin account"
		552	echo
		553	echo -n "Account : "
		554	fi
		555	read admin_portal
510	richard	556	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		557	mkdir -p $DIR_DEST_ETC/digest
		558	chmod 755 $DIR_DEST_ETC/digest
		559	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		560	do
613	richard	561	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	562	done
		563	$DIR_DEST_SBIN/alcasar-profil.sh --list
		564	fi
		565	fi
434	richard	566	# synchronisation horaire
		567	ntpd -q -g &
1	root	568	# Sécurisation du centre
		569	rm -f /etc/httpd/conf/webapps.d/*
		570	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	571	<Directory $DIR_ACC>
1	root	572	SSLRequireSSL
		573	AllowOverride None
		574	Order deny,allow
		575	Deny from all
		576	Allow from 127.0.0.1
		577	Allow from $PRIVATE_NETWORK_MASK
		578	require valid-user
		579	AuthType digest
		580	AuthName $HOSTNAME
		581	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	582	AuthUserFile $DIR_DEST_ETC/digest/key_all
580	richard	583	ErrorDocument 404 https://$HOSTNAME/
1	root	584	</Directory>
316	richard	585	<Directory $DIR_ACC/admin>
1	root	586	SSLRequireSSL
		587	AllowOverride None
		588	Order deny,allow
		589	Deny from all
		590	Allow from 127.0.0.1
		591	Allow from $PRIVATE_NETWORK_MASK
		592	require valid-user
		593	AuthType digest
		594	AuthName $HOSTNAME
		595	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	596	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	597	ErrorDocument 404 https://$HOSTNAME/
1	root	598	</Directory>
344	richard	599	<Directory $DIR_ACC/manager>
1	root	600	SSLRequireSSL
		601	AllowOverride None
		602	Order deny,allow
		603	Deny from all
		604	Allow from 127.0.0.1
		605	Allow from $PRIVATE_NETWORK_MASK
		606	require valid-user
		607	AuthType digest
		608	AuthName $HOSTNAME
		609	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	610	AuthUserFile $DIR_DEST_ETC/digest/key_manager
580	richard	611	ErrorDocument 404 https://$HOSTNAME/
1	root	612	</Directory>
316	richard	613	<Directory $DIR_ACC/backup>
		614	SSLRequireSSL
		615	AllowOverride None
		616	Order deny,allow
		617	Deny from all
		618	Allow from 127.0.0.1
		619	Allow from $PRIVATE_NETWORK_MASK
		620	require valid-user
		621	AuthType digest
		622	AuthName $HOSTNAME
		623	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	624	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580	richard	625	ErrorDocument 404 https://$HOSTNAME/
316	richard	626	</Directory>
1	root	627	Alias /save/ "$DIR_SAVE/"
		628	<Directory $DIR_SAVE>
		629	SSLRequireSSL
		630	Options Indexes
		631	Order deny,allow
		632	Deny from all
		633	Allow from 127.0.0.1
		634	Allow from $PRIVATE_NETWORK_MASK
		635	require valid-user
		636	AuthType digest
		637	AuthName $HOSTNAME
434	richard	638	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580	richard	639	ErrorDocument 404 https://$HOSTNAME/
1	root	640	ReadmeName /readmeSave.html
		641	</Directory>
		642	EOF
		643	} # End of gestion ()
		644
		645	##########################################################################################
		646	## Fonction AC() ##
		647	## - Création d'une Autorité de Certification et du certificat serveur pour apache ##
		648	##########################################################################################
		649	AC ()
		650	{
		651	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
510	richard	652	$DIR_DEST_BIN/alcasar-CA.sh
303	richard	653	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name default_ssl`
		654	[ -e /etc/httpd/conf/vhosts-ssl.default ] \|\| cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
		655	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
		656	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
679	richard	657	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
5	franck	658	chown -R root:apache /etc/pki
1	root	659	chmod -R 750 /etc/pki
		660	} # End AC ()
		661
		662	##########################################################################################
		663	## Fonction init_db() ##
		664	## - Initialisation de la base Mysql ##
		665	## - Affectation du mot de passe de l'administrateur (root) ##
		666	## - Suppression des bases et des utilisateurs superflus ##
		667	## - Création de la base 'radius' ##
		668	## - Installation du schéma de cette base ##
		669	## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo) ##
		670	## ces table proviennent de 'dialupadmin' (paquetage freeradius-web) ##
		671	##########################################################################################
		672	init_db ()
		673	{
		674	mkdir -p /var/lib/mysql/.tmp
		675	chown mysql:mysql /var/lib/mysql/.tmp
227	franck	676	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf # prend en compte les migrations de MySQL
1	root	677	[ -e /etc/my.cnf.default ] \|\| cp /etc/my.cnf /etc/my.cnf.default
		678	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
		679	/etc/init.d/mysqld start
		680	sleep 4
		681	mysqladmin -u root password $mysqlpwd
		682	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615	richard	683	# Delete exemple databases if exist
1	root	684	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;"
615	richard	685	# Create 'radius' database
1	root	686	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
615	richard	687	# Add an empty radius database structure
364	franck	688	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
615	richard	689	# modify the start script in order to close accounting connexion when the system is comming down or up
		690	[ -e /etc/init.d/mysqld.default ] \|\| cp /etc/init.d/mysqld /etc/init.d/mysqld.default
		691	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
		692	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
1	root	693	} # End init_db ()
		694
		695	##########################################################################
		696	## Fonction param_radius ##
		697	## - Paramètrage des fichiers de configuration FreeRadius ##
		698	## - Affectation du secret partagé entre coova-chilli et freeradius ##
		699	## - Modification de fichier de conf pour l'accès à Mysql ##
		700	##########################################################################
		701	param_radius ()
		702	{
		703	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
		704	chown -R radius:radius /etc/raddb
		705	[ -e /etc/raddb/radiusd.conf.default ] \|\| cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
		706	# paramètrage radius.conf
		707	$SED "s?^[\t ]#[\t ]user =.*?user = radius?g" /etc/raddb/radiusd.conf
		708	$SED "s?^[\t ]#[\t ]group =.*?group = radius?g" /etc/raddb/radiusd.conf
		709	$SED "s?^[\t ]status_server =.?status_server = no?g" /etc/raddb/radiusd.conf
		710	# suppression de la fonction proxy
		711	$SED "s?^[\t ]proxy_requests.?proxy_requests = no?g" /etc/raddb/radiusd.conf
		712	$SED "s?^[\t ]\$INCLUDE proxy.conf.?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
654	richard	713	# suppression du module EAP
		714	$SED "s?^[\t ]\$INCLUDE eap.conf.?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
1	root	715	# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
		716	$SED "s?^[\t ]ipaddr =.?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
		717	# prise en compte du module SQL et des compteurs SQL
		718	$SED "s?^[\t ]#[\t ]\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
		719	$SED "s?^[\t ]#[\t ]\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
		720	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
		721	# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
		722	rm -f /etc/raddb/sites-enabled/*
		723	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
		724	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
		725	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
		726	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
		727	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
384	richard	728	# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
1	root	729	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
		730	# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
		731	[ -e /etc/raddb/clients.conf.default ] \|\| cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
		732	cat << EOF > /etc/raddb/clients.conf
		733	client 127.0.0.1 {
		734	secret = $secretradius
		735	shortname = localhost
		736	}
		737	EOF
		738	# modif sql.conf
		739	[ -e /etc/raddb/sql.conf.default ] \|\| cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
		740	$SED "s?^[\t ]login =.?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
		741	$SED "s?^[\t ]password =.?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
		742	$SED "s?^[\t ]radius_db =.?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
		743	$SED "s?^[\t ]sqltrace =.?sqltrace = no?g" /etc/raddb/sql.conf
		744	# modif dialup.conf
		745	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] \|\| cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
		746	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
		747	} # End param_radius ()
		748
		749	##########################################################################
		750	## Fonction param_web_radius ##
		751	## - Import, modification et paramètrage de l'interface "dialupadmin" ##
		752	## - Création du lien vers la page de changement de mot de passe ##
		753	##########################################################################
		754	param_web_radius ()
		755	{
		756	# copie de l'interface d'origine dans la structure Alcasar
316	richard	757	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
		758	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme
		759	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
344	richard	760	# copie des fichiers modifiés
		761	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
316	richard	762	chown -R apache:apache $DIR_ACC/manager/
344	richard	763	# Modification des fichiers de configuration
1	root	764	[ -e /etc/freeradius-web/admin.conf.default ] \|\| cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
503	richard	765	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
1	root	766	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
		767	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
		768	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
		769	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
		770	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
		771	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
		772	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
582	richard	773	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
344	richard	774	[ -e /etc/freeradius-web/config.php.default ] \|\| cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
		775	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
131	richard	776	cat <<EOF > /etc/freeradius-web/naslist.conf
632	richard	777	nas1_name: alcasar-$ORGANISME
1	root	778	nas1_model: Portail captif
		779	nas1_ip: $PRIVATE_IP
		780	nas1_port_num: 0
		781	nas1_community: public
		782	EOF
		783	# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
		784	[ -e /etc/freeradius-web/user_edit.attrs.default ] \|\| mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
		785	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
114	richard	786	# Ajout du mappage des attributs chillispot
		787	[ -e /etc/freeradius-web/sql.attrmap.default ] \|\| mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
		788	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
1	root	789	# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
		790	[ -e /etc/freeradius-web/sql.attrs.default ] \|\| cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
		791	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
		792	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5	franck	793	chown -R apache:apache /etc/freeradius-web
1	root	794	# Ajout de l'alias vers la page de "changement de mot de passe usager"
		795	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
344	richard	796	<Directory $DIR_WEB/pass>
1	root	797	SSLRequireSSL
		798	AllowOverride None
		799	Order deny,allow
		800	Deny from all
		801	Allow from 127.0.0.1
		802	Allow from $PRIVATE_NETWORK_MASK
580	richard	803	ErrorDocument 404 https://$HOSTNAME
1	root	804	</Directory>
		805	EOF
		806	} # End of param_web_radius ()
		807
346	richard	808	##########################################################################################
		809	## Fonction param_chilli ##
		810	## - Paramètrage du fichier d'initialisation et de configuration de coova-chilli ##
		811	## - Paramètrage de la page d'authentification (intercept.php) ##
		812	##########################################################################################
1	root	813	param_chilli ()
		814	{
461	richard	815	# modification du fichier d'initialisation
		816	[ -e /etc/init.d/chilli.default ] \|\| cp /etc/init.d/chilli /etc/init.d/chilli.default
		817	# configuration d'eth1 (utile pour dnsmasq))
		818	$SED "s?ifconfig.*?ifconfig \$HS_LANIF $PRIVATE_IP?g" /etc/init.d/chilli
		819	# ajout de la fonction 'status' (utile pour la gestion du process)
		820	$SED "/^.*functions/i. /etc/init.d/functions" /etc/init.d/chilli
		821	$SED "/^[\t ]*stop)/i\ status)\n status chilli\n RETVAL=$?\n ;;\n" /etc/init.d/chilli
		822	# insertion d'une tempo sur le 'restart' pour permettre à tun0 d'être libérée
		823	$SED "/^[\t ]*\$0 start/i\ sleep 2" /etc/init.d/chilli
		824	# suppression des fonctions 'writeconfig' et 'radiusconfig'
		825	$SED "/writeconfig/d" /etc/init.d/chilli
		826	$SED "/radiusconfig/d" /etc/init.d/chilli
		827	# suppression de warning disgracieux
		828	$SED "s?which start-stop-daemon?which start-stop-daemon 2>/dev/null?g" /etc/init.d/chilli
1	root	829	# création du fichier de conf
346	richard	830	[ -e /etc/chilli.conf.default ] \|\| cp /etc/chilli.conf /etc/chilli.conf.default
		831	cat <<EOF > /etc/chilli.conf
		832	# coova config for ALCASAR
		833	cmdsocket /var/run/chilli.sock
		834	unixipc chilli.eth1.ipc
		835	pidfile /var/run/chilli.eth1.pid
		836	net $PRIVATE_NETWORK_MASK
595	richard	837	dhcpif $INTIF
		838	#nodynip
607	richard	839	dynip $PRIVATE_DYN_IP
		840	statip $PRIVATE_STAT_IP
595	richard	841	ethers $DIR_DEST_ETC/alcasar-ethers
346	richard	842	domain localdomain
355	richard	843	dns1 $PRIVATE_IP
		844	dns2 $PRIVATE_IP
346	richard	845	uamlisten $PRIVATE_IP
503	richard	846	uamport 3990
346	richard	847	macallowlocal
		848	locationname $HOSTNAME
		849	radiusserver1 127.0.0.1
		850	radiusserver2 127.0.0.1
		851	radiussecret $secretradius
		852	radiusauthport 1812
		853	radiusacctport 1813
467	richard	854	uamserver https://$HOSTNAME/intercept.php
346	richard	855	radiusnasid $HOSTNAME
		856	uamsecret $secretuam
		857	coaport 3799
503	richard	858	include $DIR_DEST_ETC/alcasar-uamallowed
		859	include $DIR_DEST_ETC/alcasar-uamdomain
		860	include $DIR_DEST_ETC/alcasar-macallowed
346	richard	861	EOF
605	richard	862	# création du fichier d'allocation d'adresses IP statiques
		863	touch $DIR_DEST_ETC/alcasar-ethers
1	root	864	# création des fichiers de sites, d'urls et d'adresses MAC de confiance
613	richard	865	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
503	richard	866	chown root:apache $DIR_DEST_ETC/alcasar-*
		867	chmod 660 $DIR_DEST_ETC/alcasar-*
		868	# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
526	stephane	869	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
		870	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
		871	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
1	root	872	} # End of param_chilli ()
		873
		874	##########################################################
		875	## Fonction param_squid ##
		876	## - Paramètrage du proxy 'squid' en mode 'cache' ##
		877	## - Initialisation de la base de données ##
		878	##########################################################
		879	param_squid ()
		880	{
		881	# paramètrage de Squid (connecté en série derrière Dansguardian)
		882	[ -e /etc/squid/squid.conf.default ] \|\| cp /etc/squid/squid.conf /etc/squid/squid.conf.default
		883	# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
		884	$SED "/^acl localnet/d" /etc/squid/squid.conf
		885	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
		886	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
		887	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
		888	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
		889	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
		890	# mode 'proxy transparent local'
595	richard	891	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
726	franck	892	# Configuration du cache local
749	franck	893	$SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 256 16 256?g" /etc/squid/squid.conf
405	franck	894	# emplacement et formatage standard des logs
419	franck	895	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
749	franck	896	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh' >> /etc/squid/squid.conf
405	franck	897	echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
1	root	898	# compatibilité des logs avec awstats
315	richard	899	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
749	franck	900	echo "half_closed_clients off" >> /etc/squid/squid.conf
		901	echo "server_persistent_connections off" >> /etc/squid/squid.conf
		902	echo "client_persistent_connections on" >> /etc/squid/squid.conf
		903	echo "client_lifetime 1440 minutes" >> /etc/squid/squid.conf
		904	echo "request_timeout 5 minutes" >> /etc/squid/squid.conf
		905	echo "persistent_request_timeout 2 minutes" >> /etc/squid/squid.conf
726	franck	906	echo "cache_mem 256 MB" >> /etc/squid/squid.conf
749	franck	907	echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
		908	echo "maximum_object_size 4096 KB" >> /etc/squid/squid.conf
313	richard	909	# pour éviter les message d'erreur lors des changement d'état des interfaces réseaux
		910	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
1	root	911	# Initialisation du cache de Squid
		912	/usr/sbin/squid -z
		913	} # End of param_squid ()
		914
		915	##################################################################
		916	## Fonction param_dansguardian ##
		917	## - Paramètrage du gestionnaire de contenu Dansguardian ##
		918	##################################################################
		919	param_dansguardian ()
		920	{
		921	mkdir /var/dansguardian
		922	chown dansguardian /var/dansguardian
497	richard	923	[ -e $DIR_DG/dansguardian.conf.default ] \|\| cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
307	richard	924	# Le filtrage est désactivé par défaut
497	richard	925	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1	root	926	# la page d'interception est en français
497	richard	927	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1	root	928	# on limite l'écoute de Dansguardian côté LAN
497	richard	929	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
75	richard	930	# on chaîne Dansguardian au proxy antivirus HAVP
497	richard	931	$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
1	root	932	# on remplace la page d'interception (template)
		933	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
		934	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
		935	# on ne loggue que les deny (pour le reste, on a squid)
497	richard	936	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
659	richard	937	# lauch of 10 daemons (20 in largest server)
		938	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1	root	939	# on désactive par défaut le controle de contenu des pages html
497	richard	940	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
		941	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
		942	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1	root	943	# on désactive par défaut le contrôle d'URL par expressions régulières
497	richard	944	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
		945	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1	root	946	# on désactive par défaut le contrôle de téléchargement de fichiers
497	richard	947	[ -e $DIR_DG/dansguardianf1.conf.default ] \|\| cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
		948	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
		949	[ -e $DIR_DG/lists/bannedextensionlist.default ] \|\| mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
		950	[ -e $DIR_DG/lists/bannedmimetypelist.default ] \|\| mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
		951	touch $DIR_DG/lists/bannedextensionlist
		952	touch $DIR_DG/lists/bannedmimetypelist
		953	# 'Safesearch' regex actualisation
498	richard	954	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
497	richard	955	# empty LAN IP list that won't be WEB filtered
		956	[ -e $DIR_DG/lists/exceptioniplist.default ] \|\| mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
		957	touch $DIR_DG/lists/exceptioniplist
		958	# Keep a copy of URL & domain filter configuration files
		959	[ -e $DIR_DG/lists/bannedsitelist.default ] \|\| mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
		960	[ -e $DIR_DG/lists/bannedurllist.default ] \|\| mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1	root	961	} # End of param_dansguardian ()
		962
71	richard	963	##################################################################
		964	## Fonction antivirus ##
479	richard	965	## - configuration havp + libclamav ##
71	richard	966	##################################################################
		967	antivirus ()
		968	{
288	richard	969	# création de l'usager 'havp'
		970	havp_exist=`grep havp /etc/passwd\|wc -l`
307	richard	971	if [ "$havp_exist" == "1" ]
288	richard	972	then
478	richard	973	userdel -r havp 2>/dev/null
288	richard	974	fi
307	richard	975	groupadd -f havp
478	richard	976	useradd -M -g havp havp
476	richard	977	mkdir -p /var/tmp/havp /var/log/havp
		978	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
307	richard	979	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
109	richard	980	# configuration d'HAVP
		981	[ -e /etc/havp/havp.config.default ] \|\| cp /etc/havp/havp.config /etc/havp/havp.config.default
		982	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
631	richard	983	$SED "s?^# PARENTPROXY.*?PARENTPROXY 127.0.0.1?g" /etc/havp/havp.config # datas come from DG
		984	$SED "s?^# PARENTPORT.*?PARENTPORT 3128?g" /etc/havp/havp.config # datas are send to squid (3128)
		985	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config # datas come on 8090
		986	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config # we listen only on loopback
		987	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config # active libclamav AV
		988	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config # log only when malware matches
659	richard	989	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config # 10 daemons are started simultaneously
481	franck	990	# remplacement du fichier d'initialisation
335	richard	991	[ -e /etc/init.d/havp.default ] \|\| cp /etc/init.d/havp /etc/init.d/havp.default
481	franck	992	cp -f $DIR_CONF/havp-init /etc/init.d/havp
340	richard	993	# on remplace la page d'interception (template)
		994	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
		995	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
489	richard	996	# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
		997	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
		998	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
734	richard	999	# Virus database update
		1000	rm -f /var/lib/clamav/*.cld # in case of old database scheme
		1001	[ -e /var/lib/clamav/main.cvd ] \|\| /usr/bin/freshclam
71	richard	1002	}
		1003
1	root	1004	##################################################################################
476	richard	1005	## param_ulogd function ##
		1006	## - Ulog config for multi-log files ##
		1007	##################################################################################
		1008	param_ulogd ()
		1009	{
		1010	# Three instances of ulogd (three different logfiles)
		1011	[ -d /var/log/firewall ] \|\| mkdir -p /var/log/firewall
478	richard	1012	nl=1
		1013	for log_type in tracability ssh ext-access
		1014	do
		1015	[ -e /var/log/firewall/$log_type.log ] \|\| touch /var/log/firewall/$log_type.log
		1016	cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
		1017	$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf
		1018	$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
		1019	cat << EOF >> /etc/ulogd-$log_type.conf
		1020	[LOGEMU]
		1021	file="/var/log/firewall/$log_type.log"
		1022	sync=1
		1023	EOF
		1024	nl=`expr $nl + 1`
		1025	done
476	richard	1026	chown -R root:apache /var/log/firewall
		1027	chmod 750 /var/log/firewall
		1028	chmod 640 /var/log/firewall/*
		1029	[ -e /etc/init.d/ulogd.default ] \|\| cp /etc/init.d/ulogd /etc/init.d/ulogd.default
		1030	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
		1031	} # End of param_ulogd ()
		1032
		1033	##################################################################################
1	root	1034	## Fonction param_awstats ##
		1035	## - configuration de l'interface des logs de consultation WEB (AWSTAT) ##
		1036	##################################################################################
		1037	param_awstats()
		1038	{
316	richard	1039	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
		1040	chown -R apache:apache $DIR_ACC/awstats
1	root	1041	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
		1042	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
		1043	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
		1044	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
		1045	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
		1046	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
344	richard	1047	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
		1048	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1	root	1049	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
		1050	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59	richard	1051	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
580	richard	1052	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
		1053	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1054	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1055	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
		1056	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
		1057	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
		1058	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
		1059	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
		1060	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
		1061	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
		1062	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
		1063	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
		1064	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
		1065	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
		1066	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
		1067
1	root	1068	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	1069	<Directory $DIR_ACC/awstats>
1	root	1070	SSLRequireSSL
		1071	Options ExecCGI
		1072	AddHandler cgi-script .pl
		1073	DirectoryIndex awstats.pl
		1074	Order deny,allow
		1075	Deny from all
		1076	Allow from 127.0.0.1
		1077	Allow from $PRIVATE_NETWORK_MASK
		1078	require valid-user
		1079	AuthType digest
		1080	AuthName $HOSTNAME
		1081	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	1082	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	1083	ErrorDocument 404 https://$HOSTNAME/
1	root	1084	</Directory>
		1085	SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
		1086	EOF
		1087	} # End of param_awstats ()
		1088
		1089	##########################################################
235	richard	1090	## Fonction param_dnsmasq ##
1	root	1091	##########################################################
219	jeremy	1092	param_dnsmasq ()
		1093	{
		1094	[ -d /var/log/dnsmasq ] \|\| mkdir /var/log/dnsmasq
259	richard	1095	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
503	richard	1096	[ -e /etc/dnsmasq.conf.default ] \|\| cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
520	richard	1097	# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
503	richard	1098	cat << EOF > /etc/dnsmasq.conf
520	richard	1099	# Configuration file for "dnsmasq in forward mode"
503	richard	1100	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
259	richard	1101	listen-address=$PRIVATE_IP
		1102	listen-address=127.0.0.1
286	richard	1103	no-dhcp-interface=$INTIF
259	richard	1104	bind-interfaces
		1105	cache-size=256
		1106	domain=$DOMAIN
		1107	domain-needed
		1108	expand-hosts
		1109	bogus-priv
		1110	filterwin2k
		1111	server=$DNS1
		1112	server=$DNS2
498	richard	1113	# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
604	richard	1114	dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_NETMASK,12h
632	richard	1115	dhcp-option=option:router,$PRIVATE_IP
259	richard	1116	#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
		1117
291	franck	1118	# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
420	franck	1119	#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
259	richard	1120	EOF
520	richard	1121	# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
		1122	cat << EOF > /etc/dnsmasq-blackhole.conf
		1123	# Configuration file for "dnsmasq with blackhole"
		1124	# Inclusion de la blacklist <domains> de Toulouse dans la configuration
		1125	conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
503	richard	1126	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
498	richard	1127	listen-address=$PRIVATE_IP
		1128	port=54
		1129	no-dhcp-interface=$INTIF
		1130	bind-interfaces
		1131	cache-size=256
		1132	domain=$DOMAIN
		1133	domain-needed
		1134	expand-hosts
		1135	bogus-priv
		1136	filterwin2k
		1137	server=$DNS1
		1138	server=$DNS2
		1139	EOF
718	franck	1140
		1141	# On modifie le fichier d'initialisation (lancement et arret de la deuxième instance)
503	richard	1142	[ -e /etc/init.d/dnsmasq.default ] \|\| cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
520	richard	1143	$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
503	richard	1144	$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
785	franck	1145	# Optionnellement on active les logs DNS des clients --> traiter les uninstall et update
786	richard	1146	[ -e /etc/sysconfig/dnsmasq.default ] \|\| cp /etc/sysconfig/dnsmasq /etc/sysconfig/dnsmasq.default
785	franck	1147	$SED "s?^OPTIONS=.*?OPTIONS=\"-q --log-facility=/var/log/dnsmasq/queries.log\"?g" /etc/sysconfig/dnsmasq
308	richard	1148	} # End dnsmasq
		1149
		1150	##########################################################
		1151	## Fonction BL (BlackList) ##
		1152	##########################################################
		1153	BL ()
		1154	{
		1155	# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
648	richard	1156	rm -rf $DIR_DG/lists/blacklists
		1157	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
316	richard	1158	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
		1159	chown apache:apache $DIR_ACC/VERSION-BL
648	richard	1160	# on crée le répertoire de la BL secondaire et le répertoire "pureip" (catégorie virtuelle)
		1161	mkdir $DIR_DG/lists/blacklists/ossi $DIR_DG/lists/blacklists/ip
		1162	touch $DIR_DG/lists/blacklists/ossi/domains $DIR_DG/lists/blacklists/ip/domains
		1163	touch $DIR_DG/lists/blacklists/ossi/urls $DIR_DG/lists/blacklists/ip/urls
309	richard	1164	# On crée les fichiers vides de sites ou d'URL réhabilités
648	richard	1165	[ -e $DIR_DG/lists/exceptionsitelist.default ] \|\| mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
673	richard	1166	[ -e $DIR_DG/lists/exceptionurllist.default ] \|\| mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
648	richard	1167	touch $DIR_DG/lists/exceptionsitelist
		1168	touch $DIR_DG/lists/exceptionurllist
311	richard	1169	# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
648	richard	1170	cat <<EOF > $DIR_DG/lists/bannedurllist
311	richard	1171	# Dansguardian filter config for ALCASAR
		1172	EOF
648	richard	1173	cat <<EOF > $DIR_DG/lists/bannedsitelist
311	richard	1174	# Dansguardian domain filter config for ALCASAR
		1175	# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
		1176	#**
		1177	# block all SSL and CONNECT tunnels
		1178	**s
		1179	# block all SSL and CONNECT tunnels specified only as an IP
		1180	*ips
		1181	# block all sites specified only by an IP
		1182	*ip
		1183	EOF
648	richard	1184	chown -R dansguardian:apache $DIR_DG
		1185	chmod -R g+rw $DIR_DG
304	richard	1186	# On crée la structure du DNS-blackhole :
503	richard	1187	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1188	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1189	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
308	richard	1190	# On fait pointer le black-hole sur une page interne
		1191	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
786	richard	1192	# On adapte la BL de Toulouse à notre structure
654	richard	1193	if [ "$mode" != "update" ]; then
		1194	$DIR_DEST_SBIN/alcasar-bl.sh --adapt
		1195	fi
308	richard	1196	}
219	jeremy	1197
1	root	1198	##########################################################
		1199	## Fonction cron ##
		1200	## - Mise en place des différents fichiers de cron ##
		1201	##########################################################
		1202	cron ()
		1203	{
		1204	# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
		1205	[ -e /etc/crontab.default ] \|\| cp /etc/crontab /etc/crontab.default
		1206	cat <<EOF > /etc/crontab
		1207	SHELL=/bin/bash
		1208	PATH=/sbin:/bin:/usr/sbin:/usr/bin
		1209	MAILTO=root
		1210	HOME=/
		1211
		1212	# run-parts
		1213	01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
		1214	02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
		1215	22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
		1216	42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
		1217	EOF
		1218	[ -e /etc/anacrontab.default ] \|\| cp /etc/anacrontab /etc/anacrontab.default
		1219	cat <<EOF >> /etc/anacrontab
667	franck	1220	7 8 cron.MysqlDump nice /etc/cron.d/alcasar-mysql
		1221	7 10 cron.logExport nice /etc/cron.d/alcasar-export_log
		1222	7 15 cron.logClean nice /etc/cron.d/alcasar-clean_log
		1223	7 20 cron.importClean nice /etc/cron.d/alcasar-clean_import
1	root	1224	EOF
		1225	# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
667	franck	1226	cat <<EOF > /etc/cron.d/alcasar-clean_log
713	franck	1227	# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1	root	1228	30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
		1229	EOF
		1230	# export de la base des usagers (tous les lundi à 4h45)
667	franck	1231	cat <<EOF > /etc/cron.d/alcasar-mysql
713	franck	1232	# export des log squid, firewall et apache (tous les lundi à 5h00)
671	franck	1233	45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
1	root	1234	EOF
		1235	# export des log squid, firewall et apache (tous les lundi à 5h00)
667	franck	1236	cat <<EOF > /etc/cron.d/alcasar-export_log
713	franck	1237	# export des log squid, firewall et apache (tous les lundi à 5h00)
1	root	1238	00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
		1239	EOF
		1240	# mise à jour des stats de consultation WEB toutes les 30' ## existe en double pour le daily sans l'@IP
		1241	# sans mèl ( > /dev/null 2>&1)
		1242	cat << EOF > /etc/cron.d/awstats
713	franck	1243	# mise à jour des stats de consultation WEB toutes les 30'
419	franck	1244	/30 * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1	root	1245	EOF
219	jeremy	1246	# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
667	franck	1247	cat << EOF > /etc/cron.d/alcasar-clean_import
713	franck	1248	# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
503	richard	1249	30 * * * * root $DIR_DEST_BIN/alcasar-import-clean.sh
168	franck	1250	EOF
722	franck	1251	# mise à jour automatique de la distribution
		1252	cat << EOF > /etc/cron.d/alcasar-distrib-updates
		1253	# mise à jour automatique de la distribution tous les jours 3h30
762	franck	1254	30 3 * * * root /usr/sbin/urpmi --auto-update --auto 2>&1
722	franck	1255	EOF
1	root	1256	# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
		1257	# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
		1258	# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct')
		1259	# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
		1260	# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
		1261	# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
		1262	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
		1263	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
		1264	rm -f /etc/cron.daily/freeradius-web
		1265	rm -f /etc/cron.monthly/freeradius-web
		1266	cat << EOF > /etc/cron.d/freeradius-web
		1267	1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
		1268	5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
		1269	10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
		1270	15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
		1271	EOF
310	richard	1272	# activation du "chien de garde" (watchdog) toutes les 3'
671	franck	1273	cat << EOF > /etc/cron.d/alcasar-watchdog
713	franck	1274	# activation du "chien de garde" (watchdog) toutes les 3'
1	root	1275	/3 * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
		1276	EOF
522	richard	1277	# suppression des crons usagers
		1278	rm -f /var/spool/cron/*
1	root	1279	} # End cron
		1280
		1281	##################################################################
		1282	## Fonction post_install ##
		1283	## - Modification des bannières (locales et ssh) et des prompts ##
		1284	## - Installation de la structure de chiffrement pour root ##
		1285	## - Mise en place du sudoers et de la sécurité sur les fichiers##
		1286	## - Mise en place du la rotation des logs ##
5	franck	1287	## - Configuration dans le cas d'une mise à jour ##
1	root	1288	##################################################################
		1289	post_install()
		1290	{
		1291	# adaptation du script "chien de garde" (watchdog)
376	franck	1292	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1293	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1	root	1294	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1295	# création de la bannière locale
		1296	[ -e /etc/mandriva-release.default ] \|\| cp /etc/mandriva-release /etc/mandriva-release.default
589	richard	1297	cp -f $DIR_CONF/banner /etc/mandriva-release
		1298	echo " V$VERSION" >> /etc/mandriva-release
1	root	1299	# création de la bannière SSH
		1300	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5	franck	1301	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1	root	1302	[ -e /etc/ssh/sshd_config.default ] \|\| cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
		1303	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
		1304	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
604	richard	1305	# sshd écoute côté LAN et WAN
1	root	1306	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
604	richard	1307	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config
612	richard	1308	# Put the default value in conf file (sshd, QOS, protocols filter and dns filter are off)(web antivirus is on)
1	root	1309	/sbin/chkconfig --del sshd
628	richard	1310	echo "SSH=off" >> $CONF_FILE
694	franck	1311	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
628	richard	1312	echo "QOS=off" >> $CONF_FILE
		1313	echo "LDAP=off" >> $CONF_FILE
786	richard	1314	echo "LDAP_IP=0.0.0.0/0.0.0.0" >> $CONF_FILE
628	richard	1315	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
		1316	echo "DNS_FILTERING=off" >> $CONF_FILE
		1317	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
1	root	1318	# Coloration des prompts
		1319	[ -e /etc/bashrc.default ] \|\| cp /etc/bashrc /etc/bashrc.default
5	franck	1320	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
630	franck	1321	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1	root	1322	# Droits d'exécution pour utilisateur apache et sysadmin
		1323	[ -e /etc/sudoers.default ] \|\| cp /etc/sudoers /etc/sudoers.default
5	franck	1324	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
629	richard	1325	$SED "s?^Host_Alias.*?Host_Alias LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost #réseau de l'organisme?g" /etc/sudoers
132	franck	1326	# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1	root	1327	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
		1328	chmod 644 /etc/logrotate.d/*
714	franck	1329	# rectification sur versions précédentes de la compression des logs
706	franck	1330	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
		1331	# actualisation des fichiers logs compressés
714	franck	1332	for dir in firewall squid dansguardian httpd
706	franck	1333	do
714	franck	1334	find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
706	franck	1335	done
		1336	# export des logs en 'retard' dans /var/Save/logs
		1337	/usr/local/bin/alcasar-log-export.sh
1	root	1338	# processus lancés par défaut au démarrage
384	richard	1339	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd mysqld dansguardian havp freshclam
1	root	1340	do
		1341	/sbin/chkconfig --add $i
		1342	done
595	richard	1343	# pour éviter les alertes de dépendance entre service.
384	richard	1344	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
497	richard	1345	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
595	richard	1346	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
		1347	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
306	richard	1348	# On affecte le niveau de sécurité du système : type "fileserver"
235	richard	1349	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
306	richard	1350	# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
235	richard	1351	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
568	richard	1352
		1353	# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
		1354	# Apply French Security Agency rules (sysctl + msec when possible)
		1355	# ignorer les broadcast ICMP. (attaque smurf)
		1356	$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
		1357	sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
		1358	# ignorer les erreurs ICMP bogus
		1359	$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
		1360	sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
595	richard	1361	# désactiver l'envoi et la réponse aux ICMP redirects
679	richard	1362	sysctl -w net.ipv4.conf.all.accept_redirects=0
568	richard	1363	accept_redirect=`grep accept_redirect /etc/sysctl.conf\|wc -l`
		1364	if [ "$accept_redirect" == "0" ]
		1365	then
679	richard	1366	echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
		1367	else
		1368	$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
568	richard	1369	fi
679	richard	1370	sysctl -w net.ipv4.conf.all.send_redirects=0
568	richard	1371	send_redirect=`grep send_redirect /etc/sysctl.conf\|wc -l`
		1372	if [ "$send_redirect" == "0" ]
		1373	then
679	richard	1374	echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
		1375	else
		1376	$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
568	richard	1377	fi
		1378	# activer les SYN Cookies (attaque syn flood)
679	richard	1379	sysctl -w net.ipv4.tcp_syncookies=1
568	richard	1380	tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf\|wc -l`
		1381	if [ "$tcp_syncookies" == "0" ]
		1382	then
679	richard	1383	echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
		1384	else
		1385	$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
568	richard	1386	fi
595	richard	1387	# activer l'antispoofing niveau Noyau
568	richard	1388	$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
		1389	sysctl -w net.ipv4.conf.all.rp_filter=1
		1390	# ignorer le source routing
679	richard	1391	sysctl -w net.ipv4.conf.all.accept_source_route=0
568	richard	1392	accept_source_route=`grep accept_source_route /etc/sysctl.conf\|wc -l`
		1393	if [ "$accept_source_route" == "0" ]
		1394	then
679	richard	1395	echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
		1396	else
		1397	$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
568	richard	1398	fi
679	richard	1399	# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
		1400	sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
		1401	timeout_established=`grep timeout_established /etc/sysctl.conf\|wc -l`
		1402	if [ "$timeout_established" == "0" ]
		1403	then
		1404	echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
		1405	else
		1406	$SED "s?timeout_established.*?itimeout_established = 3600?g" /etc/sysctl.conf
		1407	fi
		1408	# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée)
568	richard	1409	sysctl -w net.ipv4.conf.all.log_martians=0
		1410	$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
		1411
306	richard	1412	# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
		1413	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1	root	1414	# On mets en place la sécurité sur les fichiers
		1415	# des modif par rapport à radius update
		1416	cat <<EOF > /etc/security/msec/perm.local
		1417	/var/log/firewall/ root.apache 750
		1418	/var/log/firewall/* root.apache 640
		1419	/etc/security/msec/perm.local root.root 640
		1420	/etc/security/msec/level.local root.root 640
		1421	/etc/freeradius-web root.apache 750
		1422	/etc/freeradius-web/admin.conf root.apache 640
		1423	/etc/freeradius-web/config.php root.apache 640
		1424	/etc/raddb/dictionnary root.radius 640
		1425	/etc/raddb/ldap.attrmap root.radius 640
		1426	/etc/raddb/hints root.radius 640
		1427	/etc/raddb/huntgroups root.radius 640
		1428	/etc/raddb/attrs.access_reject root.radius 640
		1429	/etc/raddb/attrs.accounting_response root.radius 640
		1430	/etc/raddb/acct_users root.radius 640
		1431	/etc/raddb/preproxy_users root.radius 640
		1432	/etc/raddb/modules/ldap radius.apache 660
		1433	/etc/raddb/sites-available/alcasar radius.apache 660
		1434	/etc/pki/* root.apache 750
		1435	EOF
		1436	/usr/sbin/msec
59	richard	1437	# modification /etc/inittab
		1438	[ -e /etc/inittab.default ] \|\| cp /etc/inittab /etc/inittab.default
60	richard	1439	# On ne garde que 3 terminaux
59	richard	1440	$SED "s?^4.*?#&?g" /etc/inittab
		1441	$SED "s?^5.*?#&?g" /etc/inittab
		1442	$SED "s?^6.*?#&?g" /etc/inittab
470	richard	1443	# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
		1444	$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
		1445	$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
532	richard	1446	# On supprime les services et les utilisateurs inutiles
		1447	for svc in alsa sound dm atd netfs bootlogd stop-bootlogd
		1448	do
		1449	/sbin/chkconfig --del $svc
		1450	done
		1451	for rm_users in avahi-autoipd avahi icapd
		1452	do
		1453	user=`cat /etc/passwd\|grep $rm_users\|cut -d":" -f1`
		1454	if [ "$user" == "$rm_users" ]
		1455	then
		1456	/usr/sbin/userdel -f $rm_users
		1457	fi
		1458	done
628	richard	1459	# Load and update the previous conf file
5	franck	1460	if [ "$mode" = "update" ]
		1461	then
389	franck	1462	$DIR_DEST_BIN/alcasar-conf.sh --load
628	richard	1463	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
		1464	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
5	franck	1465	fi
595	richard	1466	rm -f /tmp/alcasar-conf*
434	richard	1467	chown -R root:apache $DIR_DEST_ETC/*
512	richard	1468	chmod -R 660 $DIR_DEST_ETC/*
434	richard	1469	chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1	root	1470	cd $DIR_INSTALL
5	franck	1471	echo ""
1	root	1472	echo "#############################################################################"
638	richard	1473	if [ $Lang == "fr" ]
		1474	then
		1475	echo "# Fin d'installation d'ALCASAR #"
		1476	echo "# #"
		1477	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1478	echo "# des Accès au Réseau ( ALCASAR ) #"
		1479	echo "# #"
		1480	echo "#############################################################################"
		1481	echo
		1482	echo "- ALCASAR sera fonctionnel après redémarrage du système"
		1483	echo
		1484	echo "- Lisez attentivement la documentation d'exploitation"
		1485	echo
		1486	echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
		1487	echo
		1488	echo " Appuyez sur 'Entrée' pour continuer"
		1489	else
		1490	echo "# Enf of ALCASAR install process #"
		1491	echo "# #"
		1492	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1493	echo "# des Accès au Réseau ( ALCASAR ) #"
		1494	echo "# #"
		1495	echo "#############################################################################"
		1496	echo
		1497	echo "- The system will be rebooted in order to operate ALCASAR"
		1498	echo
		1499	echo "- Read the exploitation documentation"
		1500	echo
		1501	echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
		1502	echo
		1503	echo " Hit 'Enter' to continue"
		1504	fi
774	richard	1505	read a
		1506	clear
		1507	# Apply and save the firewall rules
490	richard	1508	sh $DIR_DEST_BIN/alcasar-iptables.sh
		1509	sleep 2
1	root	1510	reboot
		1511	} # End post_install ()
		1512
		1513	#################################
		1514	# Boucle principale du script #
		1515	#################################
291	franck	1516	usage="Usage: alcasar.sh {-i or --install} \| {-u or --uninstall}"
1	root	1517	nb_args=$#
		1518	args=$1
		1519	if [ $nb_args -eq 0 ]
		1520	then
		1521	nb_args=1
		1522	args="-h"
		1523	fi
		1524	case $args in
		1525	-\? \| -h* \| --h*)
		1526	echo "$usage"
		1527	exit 0
		1528	;;
291	franck	1529	-i \| --install)
5	franck	1530	header_install
29	richard	1531	testing
597	richard	1532	# Test if ALCASAR is already installed
5	franck	1533	if [ -e $DIR_WEB/VERSION ]
1	root	1534	then
460	richard	1535	actual_version=`cat $DIR_WEB/VERSION`
595	richard	1536	if [ $Lang == "fr" ]
		1537	then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
		1538	else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
		1539	fi
5	franck	1540	response=0
460	richard	1541	PTN='^[oOnNyY]$'
580	richard	1542	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1543	do
595	richard	1544	if [ $Lang == "fr" ]
		1545	then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
		1546	else echo -n "Do you want to update (Y/n)?";
		1547	fi
5	franck	1548	read response
		1549	done
597	richard	1550	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
5	franck	1551	then
597	richard	1552	rm -f /tmp/alcasar-conf*
		1553	else
510	richard	1554	RUNNING_VERSION=`cat $DIR_WEB/VERSION\|cut -d" " -f1`
		1555	MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f1`
		1556	MIN_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f2\|cut -c1`
		1557	UPD_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f3`
636	richard	1558	# Create a backup of running version importants files
5	franck	1559	chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
389	franck	1560	$DIR_SCRIPTS/alcasar-conf.sh --create
532	richard	1561	mode="update"
5	franck	1562	fi
1	root	1563	fi
595	richard	1564	# RPMs install
		1565	$DIR_SCRIPTS/alcasar-urpmi.sh
		1566	if [ "$?" != "0" ]
1	root	1567	then
595	richard	1568	exit 0
		1569	fi
		1570	if [ -e $DIR_WEB/VERSION ]
		1571	then
597	richard	1572	# Uninstall the running version
532	richard	1573	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
595	richard	1574	fi
636	richard	1575	# Test if manual update
597	richard	1576	if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
595	richard	1577	then
636	richard	1578	header_install
595	richard	1579	if [ $Lang == "fr" ]
636	richard	1580	then echo "Le fichier de configuration d'une ancienne version a été trouvé";
		1581	else echo "The configuration file of an old version has been found";
595	richard	1582	fi
597	richard	1583	response=0
		1584	PTN='^[oOnNyY]$'
		1585	until [[ $(expr $response : $PTN) -gt 0 ]]
		1586	do
		1587	if [ $Lang == "fr" ]
		1588	then echo -n "Voulez-vous l'utiliser (O/n)? ";
		1589	else echo -n "Do you want to use it (Y/n)?";
		1590	fi
		1591	read response
		1592	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		1593	then rm -f /tmp/alcasar-conf*
		1594	fi
		1595	done
		1596	fi
636	richard	1597	# Test if update
597	richard	1598	if [ -e /tmp/alcasar-conf.tar.gz ]
		1599	then
		1600	if [ $Lang == "fr" ]
		1601	then echo "#### Installation avec mise à jour ####";
		1602	else echo "#### Installation with update ####";
		1603	fi
636	richard	1604	# Extract the central configuration file
637	richard	1605	tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf
		1606	ORGANISME=`grep ORGANISM conf/etc/alcasar.conf\|cut -d"=" -f2`
5	franck	1607	mode="update"
		1608	else
		1609	mode="install"
1	root	1610	fi
604	richard	1611	for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
5	franck	1612	do
		1613	$func
735	richard	1614	# echo "* 'debug' : end of function $func *"; read a
14	richard	1615	done
5	franck	1616	;;
291	franck	1617	-u \| --uninstall)
5	franck	1618	if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1	root	1619	then
597	richard	1620	if [ $Lang == "fr" ]
		1621	then echo "ALCASAR n'est pas installé!";
		1622	else echo "ALCASAR isn't installed!";
		1623	fi
1	root	1624	exit 0
		1625	fi
5	franck	1626	response=0
		1627	PTN='^[oOnN]$'
580	richard	1628	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1629	do
597	richard	1630	if [ $Lang == "fr" ]
		1631	then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
		1632	else echo -n "Do you want to crate the running version configuration file (Y/n)? ";
		1633	fi
5	franck	1634	read response
		1635	done
597	richard	1636	if [ "$reponse" = "o" ] \|\| [ "$reponse" = "O" ] \|\| [ "$response" = "Y" ] \|\| [ "$response" = "y" ]
1	root	1637	then
389	franck	1638	$DIR_SCRIPT/alcasar-conf.sh --create
498	richard	1639	else
		1640	rm -f /tmp/alcasar-conf*
1	root	1641	fi
597	richard	1642	# Uninstall the running version
65	richard	1643	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1	root	1644	;;
		1645	*)
		1646	echo "Argument inconnu :$1";
460	richard	1647	echo "Unknown argument :$1";
1	root	1648	echo "$usage"
		1649	exit 1
		1650	;;
		1651	esac
10	franck	1652	# end of script
366	franck	1653

Subversion Repositories ALCASAR

(root)/alcasar.sh @ 2681 – Rev 786