Subversion Repositories ALCASAR

#!/bin/bash

#  $Id: alcasar.sh 786 2012-01-02 22:50:31Z richard $ 

# alcasar.sh

# by Franck BOUIJOUX, Pascal LEVANT and Richard REY

# This script is distributed under the Gnu General Public License (GPL)

# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)

# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :

# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)

# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :

#

# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, awstat, ntpd, openssl, dnsmasq, havp, libclamav  and firewalleyes

# Options :

#       -i or --install

#       -u or --uninstall

# Functions :

#	testing		: Tests de connectivité et de téléchargement avant installation

#	init		: Installation des RPM et des scripts

#	network		: Paramètrage du réseau

#	gestion		: Installation de l'interface de gestion

#	AC		: Initialisation de l'autorité de certification. Création des certificats

#	init_db		: Création de la base 'radius' sur le serveur MySql

#	param_radius	: Configuration du serveur d'authentification FreeRadius

#	param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)

#	param_chilli	: Configuration du daemon 'coova-chilli' et de la page d'authentification

#	param_squid	: Configuration du proxy squid en mode 'cache'

#	param_dansguardian : Configuration de l'analyseur de contenu DansGuardian

#	antivirus	: Installation havp + libclamav

#	param_awstats	: Configuration de l'interface des statistiques de consultation WEB

#	dnsmasq		: Configuration du serveur de noms et du serveur dhcp de secours

#	BL		: Configuration de la BlackList

#	cron		: Mise en place des exports de logs (+ chiffrement)

#	post_install	: Finalisation environnement ( sécurité, bannières, rotation logs, ...)

VERSION=`cat VERSION`

DATE=`date '+%d %B %Y - %Hh%M'`

DATE_SHORT=`date '+%d/%m/%Y'`

Lang=`echo $LANG|cut -c 1-2`

# ******* Files parameters - paramètres fichiers *********

DIR_INSTALL=`pwd`				# répertoire d'installation

DIR_CONF="$DIR_INSTALL/conf"			# répertoire d'installation contenant les fichiers de configuration

DIR_SCRIPTS="$DIR_INSTALL/scripts"		# répertoire d'installation contenant les scripts

DIR_SAVE="/var/Save"				# répertoire de sauvegarde (ISO, backup, etc.)

DIR_WEB="/var/www/html"				# répertoire racine APACHE

DIR_DG="/etc/dansguardian"			# répertoire de config de DansGuardian

DIR_ACC="$DIR_WEB/acc"				# répertoire du centre de gestion 'ALCASAR Control Center'

DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts

DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin

DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf

CONF_FILE="$DIR_DEST_ETC/alcasar.conf"		# fichier de conf d'alcasar

PASSWD_FILE="/root/ALCASAR-passwords.txt"	# fichier texte contenant les mots de passe et secrets partagés 

# ******* DBMS parameters - paramètres SGBD ********

DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius

DB_USER="radius"				# nom de l'utilisateur de la base de données

# ******* Network parameters - paramètres réseau *******

HOSTNAME="alcasar"				# 

DOMAIN="localdomain"				# domaine local

EXTIF="eth0"					# ETH0 est l'interface connectée à Internet (Box FAI)

INTIF="eth1"					# ETH1 est l'interface connectée au réseau local de consultation

DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24"	# adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation

# ****** Paths - chemin des commandes *******

SED="/bin/sed -i"

# ****************** End of global parameters *********************

header_install ()

{

	clear

	echo "-----------------------------------------------------------------------------"

	echo "                     ALCASAR V$VERSION Installation"

	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"

	echo "-----------------------------------------------------------------------------"

} # End of header_install ()

##################################################################

##			Fonction TESTING			##

## - Test de la connectivité Internet				##

##################################################################

testing ()

{

	if [ $Lang == "fr" ]

		then echo -n "Tests des paramètres réseau : "

		else echo -n "Network parameters tests : "

	fi

# We test eth0 config files

	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`

	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`

	if [ `echo $PUBLIC_IP|wc -c` -lt 7 ] || [ `echo $PUBLIC_GATEWAY|wc -c` -lt 7 ]

		then

		if [ $Lang == "fr" ]

		then 

			echo "Échec"

			echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."

			echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"

		else

			echo "Failed"

			echo "The Internet connected network card ($EXTIF) isn't well configured."

			echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"

		fi

		echo "IPADDR="

		echo "NETMASK="

		echo "GATEWAY="

		echo "DNS1="

		echo "DNS2="

		exit 0

	fi

	echo -n "."

# We test the Ethernet links state

	for i in $EXTIF $INTIF

	do

		/sbin/ip link set $i up

		sleep 3

		if [ "`/usr/sbin/ethtool $i|grep Link|cut -d' ' -f3`" != "yes" ]

			then

			if [ $Lang == "fr" ]

			then 

				echo "Échec"

				echo "Le lien réseau de la carte $i n'est pas actif."

				echo "Réglez ce problème puis relancez ce script."

			else

				echo "Failed"

				echo "The link state of $i interface id down."

				echo "Resolv this problem, then restart this script."

			fi

			exit 0

		fi

	echo -n "."

	done

# On teste la présence d'un routeur par défaut (Box FAI)

	if [ `ip route list|grep -c ^default` -ne "1" ] ; then

		if [ $Lang == "fr" ]

		then 

			echo "Échec"

			echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."

			echo "Réglez ce problème puis relancez ce script."

		else

			echo "Failed"

			echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"

			echo "Resolv this problem, then restart this script."

		fi

		exit 0

	fi

	echo -n "."

# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)

	if [ `ip route list|grep ^default|grep -c eth1` -eq "1" ] ; then

		if [ $Lang == "fr" ]

			then echo "La configuration des cartes réseau va être corrigée."

			else echo "The Ethernet card configuration will be corrected."

		fi

		/etc/init.d/network stop

		mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0

		$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0

		/etc/init.d/network start

		echo 0 > /proc/sys/net/ipv4/conf/all/log_martians

		sleep 2

		if [ $Lang == "fr" ]

			then echo "Configuration corrigée"

			else echo "Configuration updated"

		fi

		sleep 2

		if [ $Lang == "fr" ]

			then echo "Vous pouvez relancer ce script."

			else echo "You can restart this script."

		fi

		exit 0

	fi

	echo -n "."

# On test le lien vers le routeur par default

	IP_GW=`ip route list|grep ^default|cut -d" " -f3`

	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW|grep response|cut -d" " -f2`

	if [ $(expr $arp_reply) -eq 0 ]

	       	then

		if [ $Lang == "fr" ]

		then 

			echo "Échec"

			echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."

			echo "Réglez ce problème puis relancez ce script."

		else

			echo "Failed"

			echo "The Internet gateway doesn't answered"

			echo "Resolv this problem, then restart this script."

		fi

		exit 0

	fi

	echo -n "."

# On teste la connectivité Internet

	rm -rf /tmp/con_ok.html

	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html

	if [ ! -e /tmp/con_ok.html ]

	then

		if [ $Lang == "fr" ]

		then 

			echo "La tentative de connexion vers Internet a échoué (google.fr)."

			echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."

			echo "Vérifiez la validité des adresses IP des DNS."

		else

			echo "The Internet connection try failed (google.fr)."

			echo "Please, verify that the $EXTIF card is connected with the Internet gateway."

			echo "Verify the DNS IP addresses"

		fi

		exit 0

	fi

	rm -rf /tmp/con_ok.html

	echo ". : ok"

} # end of testing

##################################################################

##			Fonction INIT				##

## - Création du fichier "/root/ALCASAR_parametres.txt"		##

## - Installation et modification des scripts du portail	##

##################################################################

init ()

{

	if [ "$mode" != "update" ]

	then

# On affecte le nom d'organisme

		header_install

		ORGANISME=!

		PTN='^[a-zA-Z0-9-]*$'

		until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]

                do

			if [ $Lang == "fr" ]

			       	then echo -n "Entrez le nom de votre organisme : "

				else echo -n "Enter the name of your organism : "

			fi

			read ORGANISME

			if [ "$ORGANISME" == "" ]

				then

				ORGANISME=!

			fi

		done

	fi

# On crée aléatoirement les mots de passe et les secrets partagés

	rm -f $PASSWD_FILE

	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub

	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE

	echo "$grubpwd" >> $PASSWD_FILE

	md5_grubpwd=`/usr/bin/md5pass $grubpwd`

	$SED "/^password.*/d" /boot/grub/menu.lst

	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst

	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld

	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE

	echo "root / $mysqlpwd" >> $PASSWD_FILE

	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)

	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE

	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE

	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli

	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE

	echo "$secretuam" >> $PASSWD_FILE

	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius

	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE

	echo "$secretradius" >> $PASSWD_FILE

	chmod 640 $PASSWD_FILE

# On installe les scripts et fichiers de configuration d'ALCASAR 

#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}

	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*

#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}

	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*

#  - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}

	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*

	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh

	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh

	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh

	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh

# generate central conf file

	cat <<EOF > $CONF_FILE

##########################################

##                                      ##

##          ALCASAR Parameters          ##

##                                      ##

##########################################

INSTALL_DATE=$DATE

VERSION=$VERSION

ORGANISM=$ORGANISME

EOF

	chmod o-rwx $CONF_FILE

} # End of init ()

##################################################################

##			Fonction network			##

## - Définition du plan d'adressage du réseau de consultation	##

## - Nommage DNS du système 					##

## - Configuration de l'interface eth1 (réseau de consultation)	##

## - Modification du fichier /etc/hosts				##

## - Configuration du serveur de temps (NTP)			##

## - Renseignement des fichiers hosts.allow et hosts.deny	##

##################################################################

network ()

{

	header_install

	if [ "$mode" != "update" ]

		then

		if [ $Lang == "fr" ]

			then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"

			else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"

		fi

		response=0

		PTN='^[oOyYnN]$'

		until [[ $(expr $response : $PTN) -gt 0 ]]

		do

			if [ $Lang == "fr" ]

				then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "

				else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "

			fi

			read response

		done

		if [ "$response" = "n" ] || [ "$response" = "N" ]

		then

			PRIVATE_IP_MASK="0"

			PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'

			until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]

			do

				if [ $Lang == "fr" ]

					then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "

					else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "

				fi

				read PRIVATE_IP_MASK

			done

		else

       			PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK

		fi

	else

		PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf|cut -d"=" -f2` 

		rm -rf conf/etc/alcasar.conf

	fi

# Define Lan side Ethernet card

	hostname $HOSTNAME

	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK | cut -d"=" -f2`			# @ réseau de consultation (ex.: 192.168.182.0)

	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK | cut -d"=" -f2`			# masque réseau de consultation (ex.: 255.255.255.0)

	PRIVATE_IP=`echo $PRIVATE_IP_MASK | cut -d"/" -f1`					# @ip du portail (côté réseau de consultation)

	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK |cut -d"=" -f2`				# prefixe du réseau (ex. 24)

	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix					# @ + masque du réseau de consult (192.168.182.0/24)

	classe=$((private_prefix/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2`		# classes de réseau (ex.: 2=classe B, 3=classe C)

	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.			# @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)

	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ broadcast réseau de consultation (ex.: 192.168.182.255)

	tmp_mask=`echo $PRIVATE_NETWORK_MASK|cut -d"/" -f2`; half_mask=`expr $tmp_mask + 1`	# masque du 1/2 réseau de consultation (ex.: 25)

	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$half_mask						# plage des adresses statiques (ex.: 192.168.182.0/25)

	private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`		# dernier octet de l'@ de réseau

	private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`		# dernier octet de l'@ de broadcast

	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`

	private_half_plage=`expr $private_plage / 2`

	private_dyn=`expr $private_half_plage + $private_network_ending`

	private_dyn_ip_network=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup_sup-5`

	PRIVATE_DYN_IP=`echo $private_dyn_ip_network | cut -d"." -f1-4`/$half_mask					# @ réseau (CIDR) de la plage des adresses dynamiques (ex.: 192.168.182.128/25)

	private_dyn_ip_ending=`echo $private_dyn_ip_network | cut -d"." -f4`

	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network | cut -d"." -f1-3`"."`expr $private_dyn_ip_ending + 1`	# 1ère adresse de la plage dynamique (ex.: 192.168.182.129)

	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1`		# dernière adresse de la plage dynamique (ex.: 192.168.182.254)

# Define Internet side Ethernet card

	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF

	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 1er DNS

	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 2ème DNS

	DNS1=${DNS1:=208.67.220.220}

	DNS2=${DNS2:=208.67.222.222}

	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`

	DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 | cut -d"=" -f2`

	PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}

	PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK|cut -d"=" -f2`

	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE

	echo "PUBLIC_MTU=1500" >> $CONF_FILE

	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE 

	echo "DNS1=$DNS1" >> $CONF_FILE

	echo "DNS2=$DNS2" >> $CONF_FILE

	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE

	echo "DHCP=on" >> $CONF_FILE

	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default

	# Renseignement des fichiers de configuration réseau

	cat <<EOF > /etc/sysconfig/network

NETWORKING=yes

HOSTNAME="$HOSTNAME"

FORWARD_IPV4=true

EOF

# Modif /etc/hosts

	[ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default

	cat <<EOF > /etc/hosts

127.0.0.1	localhost

$PRIVATE_IP	$HOSTNAME 

EOF

# Configuration de l'interface eth0 (Internet)

	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF

DEVICE=$EXTIF

BOOTPROTO=static

IPADDR=$PUBLIC_IP

NETMASK=$PUBLIC_NETMASK

GATEWAY=$PUBLIC_GATEWAY

DNS1=127.0.0.1

ONBOOT=yes

METRIC=10

NOZEROCONF=yes

MII_NOT_SUPPORTED=yes

IPV6INIT=no

IPV6TO4INIT=no

ACCOUNTING=no

USERCTL=no

EOF

# Configuration de l'interface eth1 (réseau de consultation)

	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF

DEVICE=$INTIF

BOOTPROTO=static

IPADDR=$PRIVATE_IP

NETMASK=$PRIVATE_NETMASK

ONBOOT=yes

METRIC=10

NOZEROCONF=yes

MII_NOT_SUPPORTED=yes

IPV6INIT=no

IPV6TO4INIT=no

ACCOUNTING=no

USERCTL=no

EOF

# Mise à l'heure du serveur

	[ -e /etc/ntp/step-tickers.default ] || cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default

	cat <<EOF > /etc/ntp/step-tickers

0.fr.pool.ntp.org	# adapt to your country

1.fr.pool.ntp.org

2.fr.pool.ntp.org

EOF

# Configuration du serveur de temps (sur lui même)

	[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default

	cat <<EOF > /etc/ntp.conf

server 0.fr.pool.ntp.org	# adapt to your country

server 1.fr.pool.ntp.org

server 2.fr.pool.ntp.org

server 127.127.1.0   		# local clock si NTP internet indisponible ...

fudge 127.127.1.0 stratum 10

restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap

restrict 127.0.0.1

driftfile /var/lib/ntp/drift

logfile /var/log/ntp.log

EOF

	chown -R ntp:ntp /var/lib/ntp

# Renseignement des fichiers hosts.allow et hosts.deny

	[ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default

	cat <<EOF > /etc/hosts.allow

ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP

sshd: ALL

ntpd: $PRIVATE_NETWORK_SHORT

EOF

	[ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default

	cat <<EOF > /etc/hosts.deny

ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &

EOF

# Firewall config

$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh

$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh

chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)

# création du fichier d'exception au filtrage

touch $DIR_DEST_ETC/alcasar-filter-exceptions

# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)

} # End of network ()

##################################################################

##			Fonction gestion			##

## - installation du centre de gestion				##

## - configuration du serveur web (Apache)			##

## - définition du 1er comptes de gestion 			##

## - sécurisation des accès					##

##################################################################

gestion()

{

# Suppression des CGI et des pages WEB installés par défaut

	rm -rf /var/www/cgi-bin/*

	[ -d $DIR_WEB ] && rm -rf $DIR_WEB

	mkdir $DIR_WEB

# Copie et configuration des fichiers du centre de gestion

	cp -rf $DIR_INSTALL/web/* $DIR_WEB/

	echo "$VERSION du $DATE" > $DIR_WEB/VERSION

	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php

	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php

	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php

	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php

	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php

	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php

	chown -R apache:apache $DIR_WEB/*

	for i in ISO base logs/firewall logs/httpd logs/squid ;

	do

		[ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i

	done

	chown -R root:apache $DIR_SAVE

# Configuration et sécurisation php

	[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default

	timezone=`cat /etc/sysconfig/clock|grep ZONE|cut -d"=" -f2`

	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini

	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini

	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini

	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini

	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini

# Configuration et sécurisation Apache

	[ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default

	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf

	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf

	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf

	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf

	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf

	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`

	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF

	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html

	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default

	cat <<EOF > /var/www/error/include/bottom.html

</body>

</html>

EOF

# Définition du premier compte lié au profil 'admin'

	header_install

	if [ "$mode" = "install" ]

	then

		admin_portal=!

		PTN='^[a-zA-Z0-9-]*$'

		until [[ $(expr $admin_portal : $PTN) -gt 0 ]]

                	do

			header_install

			if [ $Lang == "fr" ]

			then 

				echo ""

				echo "Définissez un premier compte d'administration du portail :"

				echo

				echo -n "Nom : "

			else

				echo ""

				echo "Define the first account allow to administrate the portal :"

				echo

				echo -n "Account : "

			fi

			read admin_portal

			if [ "$admin_portal" == "" ]

				then

				admin_portal=!

			fi

			done

# Création du fichier de clés de ce compte dans le profil "admin"

		[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest

		mkdir -p $DIR_DEST_ETC/digest

		chmod 755 $DIR_DEST_ETC/digest

		until [ -s $DIR_DEST_ETC/digest/key_admin ]

			do

				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal

			done

		$DIR_DEST_SBIN/alcasar-profil.sh --list

	else   # mise à jour des versions < 2.1

		if ([ $MAJ_RUNNING_VERSION -lt 2 ] || ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))

			then

			if [ $Lang == "fr" ]

			then 

				echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"

				echo

				echo -n "Nom : "

			else

				echo "This update need to redefine the first admin account"

				echo

				echo -n "Account : "

			fi

			read admin_portal

			[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest

			mkdir -p $DIR_DEST_ETC/digest

			chmod 755 $DIR_DEST_ETC/digest

			until [ -s $DIR_DEST_ETC/digest/key_admin ]

			do

				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal

			done

			$DIR_DEST_SBIN/alcasar-profil.sh --list

		fi

	fi

# synchronisation horaire

	ntpd -q -g &

# Sécurisation du centre

	rm -f /etc/httpd/conf/webapps.d/*

	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf

<Directory $DIR_ACC>

	SSLRequireSSL

	AllowOverride None

	Order deny,allow

	Deny from all

	Allow from 127.0.0.1

	Allow from $PRIVATE_NETWORK_MASK

	require valid-user

	AuthType digest

	AuthName $HOSTNAME

	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

	AuthUserFile $DIR_DEST_ETC/digest/key_all

	ErrorDocument 404 https://$HOSTNAME/

</Directory>

<Directory $DIR_ACC/admin>

	SSLRequireSSL

	AllowOverride None

	Order deny,allow

	Deny from all

	Allow from 127.0.0.1

	Allow from $PRIVATE_NETWORK_MASK

	require valid-user

	AuthType digest

	AuthName $HOSTNAME

	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

	AuthUserFile $DIR_DEST_ETC/digest/key_admin

	ErrorDocument 404 https://$HOSTNAME/

</Directory>

<Directory $DIR_ACC/manager>

	SSLRequireSSL

	AllowOverride None

	Order deny,allow

	Deny from all

	Allow from 127.0.0.1

	Allow from $PRIVATE_NETWORK_MASK

	require valid-user

	AuthType digest

	AuthName $HOSTNAME

	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

	AuthUserFile $DIR_DEST_ETC/digest/key_manager

	ErrorDocument 404 https://$HOSTNAME/

</Directory>

<Directory $DIR_ACC/backup>

	SSLRequireSSL

	AllowOverride None

	Order deny,allow

	Deny from all

	Allow from 127.0.0.1

	Allow from $PRIVATE_NETWORK_MASK

	require valid-user

	AuthType digest

	AuthName $HOSTNAME

	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

	AuthUserFile $DIR_DEST_ETC/digest/key_backup

	ErrorDocument 404 https://$HOSTNAME/

</Directory>

Alias /save/ "$DIR_SAVE/"

<Directory $DIR_SAVE>

	SSLRequireSSL

	Options Indexes

	Order deny,allow

	Deny from all

	Allow from 127.0.0.1

	Allow from $PRIVATE_NETWORK_MASK

	require valid-user

	AuthType digest

	AuthName $HOSTNAME

	AuthUserFile $DIR_DEST_ETC/digest/key_backup

	ErrorDocument 404 https://$HOSTNAME/

	ReadmeName	/readmeSave.html

</Directory>

EOF

} # End of gestion ()

##########################################################################################

##				Fonction AC()						##

## - Création d'une Autorité de Certification et du certificat serveur pour apache 	##

##########################################################################################

AC ()

{

	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh

	$DIR_DEST_BIN/alcasar-CA.sh

	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl*`

	[ -e /etc/httpd/conf/vhosts-ssl.default ]  || cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default

	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL

	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL

	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL

	chown -R root:apache /etc/pki

	chmod -R 750 /etc/pki

} # End AC ()

##########################################################################################

##			Fonction init_db()						##

## - Initialisation de la base Mysql							##

## - Affectation du mot de passe de l'administrateur (root)				##

## - Suppression des bases et des utilisateurs superflus				##

## - Création de la base 'radius'							##

## - Installation du schéma de cette base						##

## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)	##

##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)		##

##########################################################################################

init_db ()

{

	mkdir -p /var/lib/mysql/.tmp

	chown mysql:mysql /var/lib/mysql/.tmp

	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf		# prend en compte les migrations de MySQL

	[ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default

	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf

	/etc/init.d/mysqld start

	sleep 4

	mysqladmin -u root password $mysqlpwd

	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"

# Delete exemple databases if exist

	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;" 

# Create 'radius' database

	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"

# Add an empty radius database structure

	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql

# modify the start script in order to close accounting connexion when the system is comming down or up

	[ -e /etc/init.d/mysqld.default ] || cp /etc/init.d/mysqld /etc/init.d/mysqld.default

	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld

	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld

} # End init_db ()

##########################################################################

##			Fonction param_radius				##

## - Paramètrage des fichiers de configuration FreeRadius		##

## - Affectation du secret partagé entre coova-chilli et freeradius	##

## - Modification de fichier de conf pour l'accès à Mysql		##

##########################################################################

param_radius ()

{

	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/

	chown -R radius:radius /etc/raddb

	[ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default

# paramètrage radius.conf

	$SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf

	$SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf

	$SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf

# suppression de la fonction proxy

	$SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf

	$SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf

# suppression du module EAP

	$SED "s?^[\t ]*\$INCLUDE eap.conf.*?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf

# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)

	$SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf

# prise en compte du module SQL et des compteurs SQL

	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf

	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf

	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf

# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar

	rm -f /etc/raddb/sites-enabled/*

       	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar

	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)

	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap

	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules

	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar

# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'

	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}

# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)

	[ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default

	cat << EOF > /etc/raddb/clients.conf

client 127.0.0.1 {

	secret = $secretradius

	shortname = localhost

}

EOF

# modif sql.conf

	[ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default

	$SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf

	$SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf

	$SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf

	$SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf

# modif dialup.conf

	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default

	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf

} # End param_radius ()

##########################################################################