WebSVN – ALCASAR – Blame – /alcasar.sh

Rev	Author	Line No.	Line
672	richard	1	#!/bin/bash
57	franck	2	# $Id: alcasar.sh 796 2012-01-20 13:38:57Z richard $
1	root	3
		4	# alcasar.sh
		5	# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
		6	# This script is distributed under the Gnu General Public License (GPL)
		7
672	richard	8	# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
		9	# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
1	root	10	# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
		11	# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
672	richard	12	#
604	richard	13	# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, awstat, ntpd, openssl, dnsmasq, havp, libclamav and firewalleyes
1	root	14
		15	# Options :
376	franck	16	# -i or --install
		17	# -u or --uninstall
1	root	18
376	franck	19	# Functions :
29	richard	20	# testing : Tests de connectivité et de téléchargement avant installation
1	root	21	# init : Installation des RPM et des scripts
		22	# network : Paramètrage du réseau
		23	# gestion : Installation de l'interface de gestion
		24	# AC : Initialisation de l'autorité de certification. Création des certificats
		25	# init_db : Création de la base 'radius' sur le serveur MySql
		26	# param_radius : Configuration du serveur d'authentification FreeRadius
		27	# param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
		28	# param_chilli : Configuration du daemon 'coova-chilli' et de la page d'authentification
		29	# param_squid : Configuration du proxy squid en mode 'cache'
		30	# param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
479	richard	31	# antivirus : Installation havp + libclamav
1	root	32	# param_awstats : Configuration de l'interface des statistiques de consultation WEB
297	richard	33	# dnsmasq : Configuration du serveur de noms et du serveur dhcp de secours
308	richard	34	# BL : Configuration de la BlackList
1	root	35	# cron : Mise en place des exports de logs (+ chiffrement)
532	richard	36	# post_install : Finalisation environnement ( sécurité, bannières, rotation logs, ...)
1	root	37
95	franck	38	VERSION=`cat VERSION`
1	root	39	DATE=`date '+%d %B %Y - %Hh%M'`
		40	DATE_SHORT=`date '+%d/%m/%Y'`
595	richard	41	Lang=`echo $LANG\|cut -c 1-2`
1	root	42	# ***** Files parameters - paramètres fichiers *******
		43	DIR_INSTALL=`pwd` # répertoire d'installation
		44	DIR_CONF="$DIR_INSTALL/conf" # répertoire d'installation contenant les fichiers de configuration
		45	DIR_SCRIPTS="$DIR_INSTALL/scripts" # répertoire d'installation contenant les scripts
		46	DIR_SAVE="/var/Save" # répertoire de sauvegarde (ISO, backup, etc.)
316	richard	47	DIR_WEB="/var/www/html" # répertoire racine APACHE
648	richard	48	DIR_DG="/etc/dansguardian" # répertoire de config de DansGuardian
316	richard	49	DIR_ACC="$DIR_WEB/acc" # répertoire du centre de gestion 'ALCASAR Control Center'
1	root	50	DIR_DEST_BIN="/usr/local/bin" # répertoire des scripts
		51	DIR_DEST_SBIN="/usr/local/sbin" # répertoire des scripts d'admin
		52	DIR_DEST_ETC="/usr/local/etc" # répertoire des fichiers de conf
628	richard	53	CONF_FILE="$DIR_DEST_ETC/alcasar.conf" # fichier de conf d'alcasar
		54	PASSWD_FILE="/root/ALCASAR-passwords.txt" # fichier texte contenant les mots de passe et secrets partagés
1	root	55	# ***** DBMS parameters - paramètres SGBD ******
		56	DB_RADIUS="radius" # nom de la base de données utilisée par le serveur FreeRadius
		57	DB_USER="radius" # nom de l'utilisateur de la base de données
		58	# ***** Network parameters - paramètres réseau *****
503	richard	59	HOSTNAME="alcasar" #
1	root	60	DOMAIN="localdomain" # domaine local
		61	EXTIF="eth0" # ETH0 est l'interface connectée à Internet (Box FAI)
		62	INTIF="eth1" # ETH1 est l'interface connectée au réseau local de consultation
597	richard	63	DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24" # adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
1	root	64	# **** Paths - chemin des commandes *****
		65	SED="/bin/sed -i"
		66	# **************** End of global parameters *******************
		67
		68	header_install ()
		69	{
		70	clear
		71	echo "-----------------------------------------------------------------------------"
460	richard	72	echo " ALCASAR V$VERSION Installation"
1	root	73	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
		74	echo "-----------------------------------------------------------------------------"
		75	} # End of header_install ()
		76
		77	##################################################################
29	richard	78	## Fonction TESTING ##
		79	## - Test de la connectivité Internet ##
		80	##################################################################
		81	testing ()
		82	{
595	richard	83	if [ $Lang == "fr" ]
784	richard	84	then echo -n "Tests des paramètres réseau : "
595	richard	85	else echo -n "Network parameters tests : "
		86	fi
784	richard	87	# We test eth0 config files
		88	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF\|cut -d"=" -f2`
		89	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF\|cut -d"=" -f2`
		90	if [ `echo $PUBLIC_IP\|wc -c` -lt 7 ] \|\| [ `echo $PUBLIC_GATEWAY\|wc -c` -lt 7 ]
		91	then
		92	if [ $Lang == "fr" ]
		93	then
		94	echo "Échec"
		95	echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."
		96	echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
		97	else
		98	echo "Failed"
		99	echo "The Internet connected network card ($EXTIF) isn't well configured."
		100	echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
		101	fi
		102	echo "IPADDR="
		103	echo "NETMASK="
		104	echo "GATEWAY="
		105	echo "DNS1="
		106	echo "DNS2="
		107	exit 0
		108	fi
		109	echo -n "."
460	richard	110	# We test the Ethernet links state
29	richard	111	for i in $EXTIF $INTIF
		112	do
294	richard	113	/sbin/ip link set $i up
306	richard	114	sleep 3
29	richard	115	if [ "`/usr/sbin/ethtool $i\|grep Link\|cut -d' ' -f3`" != "yes" ]
		116	then
595	richard	117	if [ $Lang == "fr" ]
		118	then
		119	echo "Échec"
		120	echo "Le lien réseau de la carte $i n'est pas actif."
		121	echo "Réglez ce problème puis relancez ce script."
		122	else
		123	echo "Failed"
		124	echo "The link state of $i interface id down."
		125	echo "Resolv this problem, then restart this script."
		126	fi
29	richard	127	exit 0
		128	fi
308	richard	129	echo -n "."
29	richard	130	done
		131	# On teste la présence d'un routeur par défaut (Box FAI)
784	richard	132	if [ `ip route list\|grep -c ^default` -ne "1" ] ; then
595	richard	133	if [ $Lang == "fr" ]
		134	then
		135	echo "Échec"
		136	echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
		137	echo "Réglez ce problème puis relancez ce script."
		138	else
		139	echo "Failed"
		140	echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
		141	echo "Resolv this problem, then restart this script."
		142	fi
29	richard	143	exit 0
		144	fi
308	richard	145	echo -n "."
		146	# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
784	richard	147	if [ `ip route list\|grep ^default\|grep -c eth1` -eq "1" ] ; then
595	richard	148	if [ $Lang == "fr" ]
		149	then echo "La configuration des cartes réseau va être corrigée."
		150	else echo "The Ethernet card configuration will be corrected."
		151	fi
29	richard	152	/etc/init.d/network stop
		153	mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
		154	$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
		155	/etc/init.d/network start
		156	echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
		157	sleep 2
595	richard	158	if [ $Lang == "fr" ]
		159	then echo "Configuration corrigée"
		160	else echo "Configuration updated"
		161	fi
29	richard	162	sleep 2
595	richard	163	if [ $Lang == "fr" ]
		164	then echo "Vous pouvez relancer ce script."
		165	else echo "You can restart this script."
		166	fi
29	richard	167	exit 0
		168	fi
308	richard	169	echo -n "."
		170	# On test le lien vers le routeur par default
		171	IP_GW=`ip route list\|grep ^default\|cut -d" " -f3`
		172	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW\|grep response\|cut -d" " -f2`
527	richard	173	if [ $(expr $arp_reply) -eq 0 ]
308	richard	174	then
595	richard	175	if [ $Lang == "fr" ]
		176	then
		177	echo "Échec"
		178	echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
		179	echo "Réglez ce problème puis relancez ce script."
		180	else
		181	echo "Failed"
		182	echo "The Internet gateway doesn't answered"
		183	echo "Resolv this problem, then restart this script."
		184	fi
308	richard	185	exit 0
		186	fi
		187	echo -n "."
421	franck	188	# On teste la connectivité Internet
29	richard	189	rm -rf /tmp/con_ok.html
308	richard	190	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
29	richard	191	if [ ! -e /tmp/con_ok.html ]
		192	then
595	richard	193	if [ $Lang == "fr" ]
		194	then
		195	echo "La tentative de connexion vers Internet a échoué (google.fr)."
		196	echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
		197	echo "Vérifiez la validité des adresses IP des DNS."
		198	else
		199	echo "The Internet connection try failed (google.fr)."
		200	echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
		201	echo "Verify the DNS IP addresses"
		202	fi
29	richard	203	exit 0
		204	fi
		205	rm -rf /tmp/con_ok.html
308	richard	206	echo ". : ok"
302	richard	207	} # end of testing
		208
		209	##################################################################
		210	## Fonction INIT ##
		211	## - Création du fichier "/root/ALCASAR_parametres.txt" ##
		212	## - Installation et modification des scripts du portail ##
		213	##################################################################
		214	init ()
		215	{
527	richard	216	if [ "$mode" != "update" ]
302	richard	217	then
		218	# On affecte le nom d'organisme
597	richard	219	header_install
302	richard	220	ORGANISME=!
		221	PTN='^[a-zA-Z0-9-]*$'
580	richard	222	until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
302	richard	223	do
595	richard	224	if [ $Lang == "fr" ]
597	richard	225	then echo -n "Entrez le nom de votre organisme : "
		226	else echo -n "Enter the name of your organism : "
595	richard	227	fi
330	franck	228	read ORGANISME
613	richard	229	if [ "$ORGANISME" == "" ]
330	franck	230	then
		231	ORGANISME=!
		232	fi
		233	done
302	richard	234	fi
1	root	235	# On crée aléatoirement les mots de passe et les secrets partagés
628	richard	236	rm -f $PASSWD_FILE
59	richard	237	grubpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de protection du menu Grub
628	richard	238	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
		239	echo "$grubpwd" >> $PASSWD_FILE
59	richard	240	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
384	richard	241	$SED "/^password.*/d" /boot/grub/menu.lst
		242	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1	root	243	mysqlpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'administrateur Mysqld
628	richard	244	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
		245	echo "root / $mysqlpwd" >> $PASSWD_FILE
1	root	246	radiuspwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
628	richard	247	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
		248	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
1	root	249	secretuam=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre intercept.php et coova-chilli
628	richard	250	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
		251	echo "$secretuam" >> $PASSWD_FILE
1	root	252	secretradius=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre coova-chilli et FreeRadius
628	richard	253	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
		254	echo "$secretradius" >> $PASSWD_FILE
		255	chmod 640 $PASSWD_FILE
453	franck	256	# On installe les scripts et fichiers de configuration d'ALCASAR
		257	# - dans /usr/local/bin : alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}
5	franck	258	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
453	franck	259	# - dans /usr/local/sbin : alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
5	franck	260	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
453	franck	261	# - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
648	richard	262	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1	root	263	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
		264	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5	franck	265	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
		266	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
628	richard	267	# generate central conf file
		268	cat <<EOF > $CONF_FILE
612	richard	269	##########################################
		270	## ##
		271	## ALCASAR Parameters ##
		272	## ##
		273	##########################################
1	root	274
612	richard	275	INSTALL_DATE=$DATE
		276	VERSION=$VERSION
		277	ORGANISM=$ORGANISME
		278	EOF
628	richard	279	chmod o-rwx $CONF_FILE
1	root	280	} # End of init ()
		281
		282	##################################################################
		283	## Fonction network ##
		284	## - Définition du plan d'adressage du réseau de consultation ##
595	richard	285	## - Nommage DNS du système ##
1	root	286	## - Configuration de l'interface eth1 (réseau de consultation) ##
		287	## - Modification du fichier /etc/hosts ##
		288	## - Configuration du serveur de temps (NTP) ##
		289	## - Renseignement des fichiers hosts.allow et hosts.deny ##
		290	##################################################################
		291	network ()
		292	{
		293	header_install
636	richard	294	if [ "$mode" != "update" ]
		295	then
		296	if [ $Lang == "fr" ]
		297	then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
		298	else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
		299	fi
		300	response=0
		301	PTN='^[oOyYnN]$'
		302	until [[ $(expr $response : $PTN) -gt 0 ]]
1	root	303	do
595	richard	304	if [ $Lang == "fr" ]
659	richard	305	then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
618	richard	306	else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
595	richard	307	fi
1	root	308	read response
		309	done
636	richard	310	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		311	then
		312	PRIVATE_IP_MASK="0"
		313	PTN='^$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$/[012]\?[[:digit:]]$'
		314	until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
1	root	315	do
595	richard	316	if [ $Lang == "fr" ]
597	richard	317	then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
		318	else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
595	richard	319	fi
597	richard	320	read PRIVATE_IP_MASK
1	root	321	done
636	richard	322	else
		323	PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
		324	fi
595	richard	325	else
637	richard	326	PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf\|cut -d"=" -f2`
		327	rm -rf conf/etc/alcasar.conf
1	root	328	fi
784	richard	329	# Define Lan side Ethernet card
1	root	330	hostname $HOSTNAME
607	richard	331	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK \| cut -d"=" -f2` # @ réseau de consultation (ex.: 192.168.182.0)
		332	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK \| cut -d"=" -f2` # masque réseau de consultation (ex.: 255.255.255.0)
		333	PRIVATE_IP=`echo $PRIVATE_IP_MASK \| cut -d"/" -f1` # @ip du portail (côté réseau de consultation)
		334	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK \|cut -d"=" -f2` # prefixe du réseau (ex. 24)
		335	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix # @ + masque du réseau de consult (192.168.182.0/24)
		336	classe=$((private_prefix/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2` # classes de réseau (ex.: 2=classe B, 3=classe C)
		337	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`. # @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
		338	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # @ broadcast réseau de consultation (ex.: 192.168.182.255)
		339	tmp_mask=`echo $PRIVATE_NETWORK_MASK\|cut -d"/" -f2`; half_mask=`expr $tmp_mask + 1` # masque du 1/2 réseau de consultation (ex.: 25)
		340	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$half_mask # plage des adresses statiques (ex.: 192.168.182.0/25)
		341	private_network_ending=`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup` # dernier octet de l'@ de réseau
		342	private_broadcast_ending=`echo $PRIVATE_BROADCAST \| cut -d"." -f$classe_sup` # dernier octet de l'@ de broadcast
		343	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
		344	private_half_plage=`expr $private_plage / 2`
		345	private_dyn=`expr $private_half_plage + $private_network_ending`
		346	private_dyn_ip_network=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup_sup-5`
		347	PRIVATE_DYN_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-4`/$half_mask # @ réseau (CIDR) de la plage des adresses dynamiques (ex.: 192.168.182.128/25)
		348	private_dyn_ip_ending=`echo $private_dyn_ip_network \| cut -d"." -f4`
		349	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-3`"."`expr $private_dyn_ip_ending + 1` # 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
		350	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST \| cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1` # dernière adresse de la plage dynamique (ex.: 192.168.182.254)
784	richard	351	# Define Internet side Ethernet card
14	richard	352	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] \|\| cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
		353	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 1er DNS
		354	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 2ème DNS
70	franck	355	DNS1=${DNS1:=208.67.220.220}
		356	DNS2=${DNS2:=208.67.222.222}
597	richard	357	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
784	richard	358	DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 \| cut -d"=" -f2`
		359	PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}
		360	PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK\|cut -d"=" -f2`
765	stephane	361	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
		362	echo "PUBLIC_MTU=1500" >> $CONF_FILE
628	richard	363	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE
		364	echo "DNS1=$DNS1" >> $CONF_FILE
		365	echo "DNS2=$DNS2" >> $CONF_FILE
		366	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
		367	echo "DHCP=on" >> $CONF_FILE
597	richard	368	[ -e /etc/sysconfig/network.default ] \|\| cp /etc/sysconfig/network /etc/sysconfig/network.default
784	richard	369	# Renseignement des fichiers de configuration réseau
1	root	370	cat <<EOF > /etc/sysconfig/network
		371	NETWORKING=yes
		372	HOSTNAME="$HOSTNAME"
		373	FORWARD_IPV4=true
		374	EOF
		375	# Modif /etc/hosts
		376	[ -e /etc/hosts.default ] \|\| cp /etc/hosts /etc/hosts.default
		377	cat <<EOF > /etc/hosts
503	richard	378	127.0.0.1 localhost
		379	$PRIVATE_IP $HOSTNAME
1	root	380	EOF
14	richard	381	# Configuration de l'interface eth0 (Internet)
		382	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
		383	DEVICE=$EXTIF
		384	BOOTPROTO=static
597	richard	385	IPADDR=$PUBLIC_IP
		386	NETMASK=$PUBLIC_NETMASK
		387	GATEWAY=$PUBLIC_GATEWAY
14	richard	388	DNS1=127.0.0.1
		389	ONBOOT=yes
		390	METRIC=10
		391	NOZEROCONF=yes
		392	MII_NOT_SUPPORTED=yes
		393	IPV6INIT=no
		394	IPV6TO4INIT=no
		395	ACCOUNTING=no
		396	USERCTL=no
		397	EOF
1	root	398	# Configuration de l'interface eth1 (réseau de consultation)
793	richard	399	# utile uniquement pour le mode bypass (cf. alcasar-bypass.sh)
		400	rm -f /etc/sysconfig/network-scripts/ifcfg-$INTIF
		401	cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF
1	root	402	DEVICE=$INTIF
		403	BOOTPROTO=static
		404	IPADDR=$PRIVATE_IP
604	richard	405	NETMASK=$PRIVATE_NETMASK
1	root	406	ONBOOT=yes
		407	METRIC=10
		408	NOZEROCONF=yes
		409	MII_NOT_SUPPORTED=yes
14	richard	410	IPV6INIT=no
		411	IPV6TO4INIT=no
		412	ACCOUNTING=no
		413	USERCTL=no
1	root	414	EOF
440	franck	415	# Mise à l'heure du serveur
		416	[ -e /etc/ntp/step-tickers.default ] \|\| cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
		417	cat <<EOF > /etc/ntp/step-tickers
455	franck	418	0.fr.pool.ntp.org # adapt to your country
		419	1.fr.pool.ntp.org
		420	2.fr.pool.ntp.org
440	franck	421	EOF
		422	# Configuration du serveur de temps (sur lui même)
1	root	423	[ -e /etc/ntp.conf.default ] \|\| cp /etc/ntp.conf /etc/ntp.conf.default
		424	cat <<EOF > /etc/ntp.conf
456	franck	425	server 0.fr.pool.ntp.org # adapt to your country
447	franck	426	server 1.fr.pool.ntp.org
		427	server 2.fr.pool.ntp.org
		428	server 127.127.1.0 # local clock si NTP internet indisponible ...
411	richard	429	fudge 127.127.1.0 stratum 10
604	richard	430	restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
1	root	431	restrict 127.0.0.1
310	richard	432	driftfile /var/lib/ntp/drift
1	root	433	logfile /var/log/ntp.log
		434	EOF
440	franck	435
310	richard	436	chown -R ntp:ntp /var/lib/ntp
1	root	437	# Renseignement des fichiers hosts.allow et hosts.deny
		438	[ -e /etc/hosts.allow.default ] \|\| cp /etc/hosts.allow /etc/hosts.allow.default
		439	cat <<EOF > /etc/hosts.allow
		440	ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
604	richard	441	sshd: ALL
1	root	442	ntpd: $PRIVATE_NETWORK_SHORT
		443	EOF
		444	[ -e /etc/host.deny.default ] \|\| cp /etc/hosts.deny /etc/hosts.deny.default
		445	cat <<EOF > /etc/hosts.deny
		446	ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" \| /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
		447	EOF
604	richard	448	# Firewall config
790	richard	449	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		450	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		451	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
		452	# create the filter exxeption file
		453	touch $DIR_DEST_ETC/alcasar-filter-exceptions
		454	# load conntrack ftp module
		455	[ -e /etc/modprobe.preload.default ] \|\| cp /etc/modprobe.preload /etc/modprobe.preload.default
		456	echo "ip_conntrack_ftp" >> /etc/modprobe.preload
604	richard	457	# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
1	root	458	} # End of network ()
		459
		460	##################################################################
		461	## Fonction gestion ##
		462	## - installation du centre de gestion ##
		463	## - configuration du serveur web (Apache) ##
		464	## - définition du 1er comptes de gestion ##
		465	## - sécurisation des accès ##
		466	##################################################################
		467	gestion()
		468	{
		469	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
		470	mkdir $DIR_WEB
		471	# Copie et configuration des fichiers du centre de gestion
316	richard	472	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
1	root	473	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
316	richard	474	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
		475	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		476	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		477	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
498	richard	478	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
316	richard	479	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
5	franck	480	chown -R apache:apache $DIR_WEB/*
1	root	481	for i in ISO base logs/firewall logs/httpd logs/squid ;
		482	do
		483	[ -d $DIR_SAVE/$i ] \|\| mkdir -p $DIR_SAVE/$i
		484	done
5	franck	485	chown -R root:apache $DIR_SAVE
71	richard	486	# Configuration et sécurisation php
		487	[ -e /etc/php.ini.default ] \|\| cp /etc/php.ini /etc/php.ini.default
534	richard	488	timezone=`cat /etc/sysconfig/clock\|grep ZONE\|cut -d"=" -f2`
		489	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
411	richard	490	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
		491	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
71	richard	492	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
		493	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
		494	# Configuration et sécurisation Apache
790	richard	495	rm -rf /var/www/cgi-bin/* /var/www/perl/* /var/www/icons/README* /var/www/error/README*
1	root	496	[ -e /etc/httpd/conf/httpd.conf.default ] \|\| cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
580	richard	497	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
303	richard	498	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
1	root	499	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
		500	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
		501	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
790	richard	502	$SED "s?^LoadModule authn_anon_module.*?#LoadModule authn_anon_module modules/mod_authn_anon.so?g" /etc/httpd/conf/httpd.conf
		503	$SED "s?^LoadModule status_module.*?#LoadModule status_module modules/mod_status.so?g" /etc/httpd/conf/httpd.conf
		504	$SED "s?^LoadModule autoindex_module.*?#LoadModule autoindex_module modules/mod_autoindex.so?g" /etc/httpd/conf/httpd.conf
		505	$SED "s?^LoadModule info_module.*?#LoadModule info_module modules/mod_info.so?g" /etc/httpd/conf/httpd.conf
		506	$SED "s?^LoadModule cgi_module.*?#LoadModule cgi_module modules/mod_cgi.so?g" /etc/httpd/conf/httpd.conf
		507	$SED "s?^LoadModule imagemap_module.*?#LoadModule imagemap_module modules/mod_imagemap.so?g" /etc/httpd/conf/httpd.conf
		508	$SED "s?^LoadModule rewrite_module.*?#LoadModule rewrite_module modules/mod_rewrite.so?g" /etc/httpd/conf/httpd.conf
1	root	509	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
		510	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
		511	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
		512	[ -e /var/www/error/include/bottom.html.default ] \|\| mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
		513	cat <<EOF > /var/www/error/include/bottom.html
		514	</body>
		515	</html>
		516	EOF
		517	# Définition du premier compte lié au profil 'admin'
509	richard	518	header_install
510	richard	519	if [ "$mode" = "install" ]
		520	then
613	richard	521	admin_portal=!
		522	PTN='^[a-zA-Z0-9-]*$'
		523	until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
		524	do
		525	header_install
		526	if [ $Lang == "fr" ]
		527	then
		528	echo ""
		529	echo "Définissez un premier compte d'administration du portail :"
		530	echo
		531	echo -n "Nom : "
		532	else
		533	echo ""
		534	echo "Define the first account allow to administrate the portal :"
		535	echo
		536	echo -n "Account : "
		537	fi
		538	read admin_portal
		539	if [ "$admin_portal" == "" ]
		540	then
		541	admin_portal=!
		542	fi
		543	done
1	root	544	# Création du fichier de clés de ce compte dans le profil "admin"
510	richard	545	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		546	mkdir -p $DIR_DEST_ETC/digest
		547	chmod 755 $DIR_DEST_ETC/digest
		548	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		549	do
613	richard	550	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	551	done
		552	$DIR_DEST_SBIN/alcasar-profil.sh --list
595	richard	553	else # mise à jour des versions < 2.1
510	richard	554	if ([ $MAJ_RUNNING_VERSION -lt 2 ] \|\| ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
		555	then
613	richard	556	if [ $Lang == "fr" ]
		557	then
		558	echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
		559	echo
		560	echo -n "Nom : "
		561	else
		562	echo "This update need to redefine the first admin account"
		563	echo
		564	echo -n "Account : "
		565	fi
		566	read admin_portal
510	richard	567	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		568	mkdir -p $DIR_DEST_ETC/digest
		569	chmod 755 $DIR_DEST_ETC/digest
		570	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		571	do
613	richard	572	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	573	done
		574	$DIR_DEST_SBIN/alcasar-profil.sh --list
		575	fi
		576	fi
434	richard	577	# synchronisation horaire
		578	ntpd -q -g &
1	root	579	# Sécurisation du centre
		580	rm -f /etc/httpd/conf/webapps.d/*
		581	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	582	<Directory $DIR_ACC>
1	root	583	SSLRequireSSL
		584	AllowOverride None
		585	Order deny,allow
		586	Deny from all
		587	Allow from 127.0.0.1
		588	Allow from $PRIVATE_NETWORK_MASK
		589	require valid-user
		590	AuthType digest
		591	AuthName $HOSTNAME
		592	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	593	AuthUserFile $DIR_DEST_ETC/digest/key_all
580	richard	594	ErrorDocument 404 https://$HOSTNAME/
1	root	595	</Directory>
316	richard	596	<Directory $DIR_ACC/admin>
1	root	597	SSLRequireSSL
		598	AllowOverride None
		599	Order deny,allow
		600	Deny from all
		601	Allow from 127.0.0.1
		602	Allow from $PRIVATE_NETWORK_MASK
		603	require valid-user
		604	AuthType digest
		605	AuthName $HOSTNAME
		606	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	607	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	608	ErrorDocument 404 https://$HOSTNAME/
1	root	609	</Directory>
344	richard	610	<Directory $DIR_ACC/manager>
1	root	611	SSLRequireSSL
		612	AllowOverride None
		613	Order deny,allow
		614	Deny from all
		615	Allow from 127.0.0.1
		616	Allow from $PRIVATE_NETWORK_MASK
		617	require valid-user
		618	AuthType digest
		619	AuthName $HOSTNAME
		620	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	621	AuthUserFile $DIR_DEST_ETC/digest/key_manager
580	richard	622	ErrorDocument 404 https://$HOSTNAME/
1	root	623	</Directory>
316	richard	624	<Directory $DIR_ACC/backup>
		625	SSLRequireSSL
		626	AllowOverride None
		627	Order deny,allow
		628	Deny from all
		629	Allow from 127.0.0.1
		630	Allow from $PRIVATE_NETWORK_MASK
		631	require valid-user
		632	AuthType digest
		633	AuthName $HOSTNAME
		634	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	635	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580	richard	636	ErrorDocument 404 https://$HOSTNAME/
316	richard	637	</Directory>
1	root	638	EOF
		639	} # End of gestion ()
		640
		641	##########################################################################################
		642	## Fonction AC() ##
		643	## - Création d'une Autorité de Certification et du certificat serveur pour apache ##
		644	##########################################################################################
		645	AC ()
		646	{
		647	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
510	richard	648	$DIR_DEST_BIN/alcasar-CA.sh
303	richard	649	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name default_ssl`
		650	[ -e /etc/httpd/conf/vhosts-ssl.default ] \|\| cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
		651	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
		652	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
679	richard	653	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
5	franck	654	chown -R root:apache /etc/pki
1	root	655	chmod -R 750 /etc/pki
		656	} # End AC ()
		657
		658	##########################################################################################
		659	## Fonction init_db() ##
		660	## - Initialisation de la base Mysql ##
		661	## - Affectation du mot de passe de l'administrateur (root) ##
		662	## - Suppression des bases et des utilisateurs superflus ##
		663	## - Création de la base 'radius' ##
		664	## - Installation du schéma de cette base ##
		665	## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo) ##
		666	## ces table proviennent de 'dialupadmin' (paquetage freeradius-web) ##
		667	##########################################################################################
		668	init_db ()
		669	{
		670	mkdir -p /var/lib/mysql/.tmp
		671	chown mysql:mysql /var/lib/mysql/.tmp
227	franck	672	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf # prend en compte les migrations de MySQL
1	root	673	[ -e /etc/my.cnf.default ] \|\| cp /etc/my.cnf /etc/my.cnf.default
		674	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
		675	/etc/init.d/mysqld start
		676	sleep 4
		677	mysqladmin -u root password $mysqlpwd
		678	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615	richard	679	# Delete exemple databases if exist
1	root	680	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;"
615	richard	681	# Create 'radius' database
1	root	682	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
615	richard	683	# Add an empty radius database structure
364	franck	684	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
615	richard	685	# modify the start script in order to close accounting connexion when the system is comming down or up
		686	[ -e /etc/init.d/mysqld.default ] \|\| cp /etc/init.d/mysqld /etc/init.d/mysqld.default
		687	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
		688	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
1	root	689	} # End init_db ()
		690
		691	##########################################################################
		692	## Fonction param_radius ##
		693	## - Paramètrage des fichiers de configuration FreeRadius ##
		694	## - Affectation du secret partagé entre coova-chilli et freeradius ##
		695	## - Modification de fichier de conf pour l'accès à Mysql ##
		696	##########################################################################
		697	param_radius ()
		698	{
		699	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
		700	chown -R radius:radius /etc/raddb
		701	[ -e /etc/raddb/radiusd.conf.default ] \|\| cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
		702	# paramètrage radius.conf
		703	$SED "s?^[\t ]#[\t ]user =.*?user = radius?g" /etc/raddb/radiusd.conf
		704	$SED "s?^[\t ]#[\t ]group =.*?group = radius?g" /etc/raddb/radiusd.conf
		705	$SED "s?^[\t ]status_server =.?status_server = no?g" /etc/raddb/radiusd.conf
		706	# suppression de la fonction proxy
		707	$SED "s?^[\t ]proxy_requests.?proxy_requests = no?g" /etc/raddb/radiusd.conf
		708	$SED "s?^[\t ]\$INCLUDE proxy.conf.?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
654	richard	709	# suppression du module EAP
		710	$SED "s?^[\t ]\$INCLUDE eap.conf.?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
1	root	711	# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
		712	$SED "s?^[\t ]ipaddr =.?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
		713	# prise en compte du module SQL et des compteurs SQL
		714	$SED "s?^[\t ]#[\t ]\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
		715	$SED "s?^[\t ]#[\t ]\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
		716	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
		717	# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
		718	rm -f /etc/raddb/sites-enabled/*
		719	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
		720	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
		721	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
		722	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
		723	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
384	richard	724	# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
1	root	725	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
		726	# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
		727	[ -e /etc/raddb/clients.conf.default ] \|\| cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
		728	cat << EOF > /etc/raddb/clients.conf
		729	client 127.0.0.1 {
		730	secret = $secretradius
		731	shortname = localhost
		732	}
		733	EOF
		734	# modif sql.conf
		735	[ -e /etc/raddb/sql.conf.default ] \|\| cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
		736	$SED "s?^[\t ]login =.?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
		737	$SED "s?^[\t ]password =.?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
		738	$SED "s?^[\t ]radius_db =.?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
		739	$SED "s?^[\t ]sqltrace =.?sqltrace = no?g" /etc/raddb/sql.conf
		740	# modif dialup.conf
		741	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] \|\| cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
		742	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
		743	} # End param_radius ()
		744
		745	##########################################################################
		746	## Fonction param_web_radius ##
		747	## - Import, modification et paramètrage de l'interface "dialupadmin" ##
		748	## - Création du lien vers la page de changement de mot de passe ##
		749	##########################################################################
		750	param_web_radius ()
		751	{
		752	# copie de l'interface d'origine dans la structure Alcasar
316	richard	753	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
		754	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme
		755	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
344	richard	756	# copie des fichiers modifiés
		757	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
316	richard	758	chown -R apache:apache $DIR_ACC/manager/
344	richard	759	# Modification des fichiers de configuration
1	root	760	[ -e /etc/freeradius-web/admin.conf.default ] \|\| cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
503	richard	761	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
1	root	762	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
		763	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
		764	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
		765	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
		766	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
		767	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
		768	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
582	richard	769	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
344	richard	770	[ -e /etc/freeradius-web/config.php.default ] \|\| cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
		771	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
131	richard	772	cat <<EOF > /etc/freeradius-web/naslist.conf
632	richard	773	nas1_name: alcasar-$ORGANISME
1	root	774	nas1_model: Portail captif
		775	nas1_ip: $PRIVATE_IP
		776	nas1_port_num: 0
		777	nas1_community: public
		778	EOF
		779	# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
		780	[ -e /etc/freeradius-web/user_edit.attrs.default ] \|\| mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
		781	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
114	richard	782	# Ajout du mappage des attributs chillispot
		783	[ -e /etc/freeradius-web/sql.attrmap.default ] \|\| mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
		784	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
1	root	785	# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
		786	[ -e /etc/freeradius-web/sql.attrs.default ] \|\| cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
		787	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
		788	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5	franck	789	chown -R apache:apache /etc/freeradius-web
1	root	790	# Ajout de l'alias vers la page de "changement de mot de passe usager"
		791	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
344	richard	792	<Directory $DIR_WEB/pass>
1	root	793	SSLRequireSSL
		794	AllowOverride None
		795	Order deny,allow
		796	Deny from all
		797	Allow from 127.0.0.1
		798	Allow from $PRIVATE_NETWORK_MASK
580	richard	799	ErrorDocument 404 https://$HOSTNAME
1	root	800	</Directory>
		801	EOF
		802	} # End of param_web_radius ()
		803
346	richard	804	##########################################################################################
		805	## Fonction param_chilli ##
		806	## - Paramètrage du fichier d'initialisation et de configuration de coova-chilli ##
		807	## - Paramètrage de la page d'authentification (intercept.php) ##
		808	##########################################################################################
1	root	809	param_chilli ()
		810	{
461	richard	811	# modification du fichier d'initialisation
		812	[ -e /etc/init.d/chilli.default ] \|\| cp /etc/init.d/chilli /etc/init.d/chilli.default
		813	# ajout de la fonction 'status' (utile pour la gestion du process)
		814	$SED "/^.*functions/i. /etc/init.d/functions" /etc/init.d/chilli
		815	$SED "/^[\t ]*stop)/i\ status)\n status chilli\n RETVAL=$?\n ;;\n" /etc/init.d/chilli
		816	# insertion d'une tempo sur le 'restart' pour permettre à tun0 d'être libérée
		817	$SED "/^[\t ]*\$0 start/i\ sleep 2" /etc/init.d/chilli
		818	# suppression des fonctions 'writeconfig' et 'radiusconfig'
		819	$SED "/writeconfig/d" /etc/init.d/chilli
		820	$SED "/radiusconfig/d" /etc/init.d/chilli
		821	# suppression de warning disgracieux
		822	$SED "s?which start-stop-daemon?which start-stop-daemon 2>/dev/null?g" /etc/init.d/chilli
1	root	823	# création du fichier de conf
346	richard	824	[ -e /etc/chilli.conf.default ] \|\| cp /etc/chilli.conf /etc/chilli.conf.default
		825	cat <<EOF > /etc/chilli.conf
		826	# coova config for ALCASAR
		827	cmdsocket /var/run/chilli.sock
		828	unixipc chilli.eth1.ipc
		829	pidfile /var/run/chilli.eth1.pid
		830	net $PRIVATE_NETWORK_MASK
595	richard	831	dhcpif $INTIF
		832	#nodynip
607	richard	833	dynip $PRIVATE_DYN_IP
		834	statip $PRIVATE_STAT_IP
595	richard	835	ethers $DIR_DEST_ETC/alcasar-ethers
346	richard	836	domain localdomain
355	richard	837	dns1 $PRIVATE_IP
		838	dns2 $PRIVATE_IP
346	richard	839	uamlisten $PRIVATE_IP
503	richard	840	uamport 3990
346	richard	841	macallowlocal
		842	locationname $HOSTNAME
		843	radiusserver1 127.0.0.1
		844	radiusserver2 127.0.0.1
		845	radiussecret $secretradius
		846	radiusauthport 1812
		847	radiusacctport 1813
467	richard	848	uamserver https://$HOSTNAME/intercept.php
346	richard	849	radiusnasid $HOSTNAME
		850	uamsecret $secretuam
793	richard	851	uamallowed alcasar
346	richard	852	coaport 3799
503	richard	853	include $DIR_DEST_ETC/alcasar-uamallowed
		854	include $DIR_DEST_ETC/alcasar-uamdomain
		855	include $DIR_DEST_ETC/alcasar-macallowed
346	richard	856	EOF
605	richard	857	# création du fichier d'allocation d'adresses IP statiques
		858	touch $DIR_DEST_ETC/alcasar-ethers
1	root	859	# création des fichiers de sites, d'urls et d'adresses MAC de confiance
613	richard	860	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
503	richard	861	chown root:apache $DIR_DEST_ETC/alcasar-*
		862	chmod 660 $DIR_DEST_ETC/alcasar-*
		863	# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
526	stephane	864	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
		865	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
		866	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
796	richard	867	# user 'chilli' creation (in order to run conup/off and up/down scripts
		868	chilli_exist=`grep chilli /etc/passwd\|wc -l`
		869	if [ "$chilli_exist" == "1" ]
		870	then
		871	userdel -r chilli 2>/dev/null
		872	fi
		873	groupadd -f chilli
		874	useradd -r -g chilli -s /bin/false -c "system user for coova-chilli" chilli
1	root	875	} # End of param_chilli ()
		876
		877	##########################################################
		878	## Fonction param_squid ##
		879	## - Paramètrage du proxy 'squid' en mode 'cache' ##
		880	## - Initialisation de la base de données ##
		881	##########################################################
		882	param_squid ()
		883	{
		884	# paramètrage de Squid (connecté en série derrière Dansguardian)
		885	[ -e /etc/squid/squid.conf.default ] \|\| cp /etc/squid/squid.conf /etc/squid/squid.conf.default
		886	# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
		887	$SED "/^acl localnet/d" /etc/squid/squid.conf
		888	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
		889	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
		890	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
		891	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
		892	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
		893	# mode 'proxy transparent local'
595	richard	894	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
726	franck	895	# Configuration du cache local
749	franck	896	$SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 256 16 256?g" /etc/squid/squid.conf
405	franck	897	# emplacement et formatage standard des logs
419	franck	898	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
749	franck	899	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh' >> /etc/squid/squid.conf
405	franck	900	echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
1	root	901	# compatibilité des logs avec awstats
315	richard	902	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
749	franck	903	echo "half_closed_clients off" >> /etc/squid/squid.conf
		904	echo "server_persistent_connections off" >> /etc/squid/squid.conf
		905	echo "client_persistent_connections on" >> /etc/squid/squid.conf
		906	echo "client_lifetime 1440 minutes" >> /etc/squid/squid.conf
		907	echo "request_timeout 5 minutes" >> /etc/squid/squid.conf
		908	echo "persistent_request_timeout 2 minutes" >> /etc/squid/squid.conf
726	franck	909	echo "cache_mem 256 MB" >> /etc/squid/squid.conf
749	franck	910	echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
		911	echo "maximum_object_size 4096 KB" >> /etc/squid/squid.conf
313	richard	912	# pour éviter les message d'erreur lors des changement d'état des interfaces réseaux
		913	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
1	root	914	# Initialisation du cache de Squid
		915	/usr/sbin/squid -z
		916	} # End of param_squid ()
		917
		918	##################################################################
		919	## Fonction param_dansguardian ##
		920	## - Paramètrage du gestionnaire de contenu Dansguardian ##
		921	##################################################################
		922	param_dansguardian ()
		923	{
		924	mkdir /var/dansguardian
		925	chown dansguardian /var/dansguardian
497	richard	926	[ -e $DIR_DG/dansguardian.conf.default ] \|\| cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
307	richard	927	# Le filtrage est désactivé par défaut
497	richard	928	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1	root	929	# la page d'interception est en français
497	richard	930	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1	root	931	# on limite l'écoute de Dansguardian côté LAN
497	richard	932	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
75	richard	933	# on chaîne Dansguardian au proxy antivirus HAVP
497	richard	934	$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
1	root	935	# on remplace la page d'interception (template)
		936	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
		937	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
		938	# on ne loggue que les deny (pour le reste, on a squid)
497	richard	939	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
659	richard	940	# lauch of 10 daemons (20 in largest server)
		941	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1	root	942	# on désactive par défaut le controle de contenu des pages html
497	richard	943	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
		944	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
		945	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1	root	946	# on désactive par défaut le contrôle d'URL par expressions régulières
497	richard	947	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
		948	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1	root	949	# on désactive par défaut le contrôle de téléchargement de fichiers
497	richard	950	[ -e $DIR_DG/dansguardianf1.conf.default ] \|\| cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
		951	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
		952	[ -e $DIR_DG/lists/bannedextensionlist.default ] \|\| mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
		953	[ -e $DIR_DG/lists/bannedmimetypelist.default ] \|\| mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
		954	touch $DIR_DG/lists/bannedextensionlist
		955	touch $DIR_DG/lists/bannedmimetypelist
		956	# 'Safesearch' regex actualisation
498	richard	957	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
497	richard	958	# empty LAN IP list that won't be WEB filtered
		959	[ -e $DIR_DG/lists/exceptioniplist.default ] \|\| mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
		960	touch $DIR_DG/lists/exceptioniplist
		961	# Keep a copy of URL & domain filter configuration files
		962	[ -e $DIR_DG/lists/bannedsitelist.default ] \|\| mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
		963	[ -e $DIR_DG/lists/bannedurllist.default ] \|\| mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1	root	964	} # End of param_dansguardian ()
		965
71	richard	966	##################################################################
		967	## Fonction antivirus ##
479	richard	968	## - configuration havp + libclamav ##
71	richard	969	##################################################################
		970	antivirus ()
		971	{
288	richard	972	# création de l'usager 'havp'
		973	havp_exist=`grep havp /etc/passwd\|wc -l`
307	richard	974	if [ "$havp_exist" == "1" ]
288	richard	975	then
478	richard	976	userdel -r havp 2>/dev/null
288	richard	977	fi
307	richard	978	groupadd -f havp
796	richard	979	useradd -r -g havp -s /bin/false -c "system user for havp" havp
476	richard	980	mkdir -p /var/tmp/havp /var/log/havp
		981	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
307	richard	982	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
109	richard	983	# configuration d'HAVP
		984	[ -e /etc/havp/havp.config.default ] \|\| cp /etc/havp/havp.config /etc/havp/havp.config.default
		985	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
631	richard	986	$SED "s?^# PARENTPROXY.*?PARENTPROXY 127.0.0.1?g" /etc/havp/havp.config # datas come from DG
		987	$SED "s?^# PARENTPORT.*?PARENTPORT 3128?g" /etc/havp/havp.config # datas are send to squid (3128)
		988	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config # datas come on 8090
		989	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config # we listen only on loopback
		990	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config # active libclamav AV
		991	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config # log only when malware matches
659	richard	992	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config # 10 daemons are started simultaneously
481	franck	993	# remplacement du fichier d'initialisation
335	richard	994	[ -e /etc/init.d/havp.default ] \|\| cp /etc/init.d/havp /etc/init.d/havp.default
481	franck	995	cp -f $DIR_CONF/havp-init /etc/init.d/havp
340	richard	996	# on remplace la page d'interception (template)
		997	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
		998	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
489	richard	999	# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
		1000	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
		1001	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
734	richard	1002	# Virus database update
		1003	rm -f /var/lib/clamav/*.cld # in case of old database scheme
		1004	[ -e /var/lib/clamav/main.cvd ] \|\| /usr/bin/freshclam
71	richard	1005	}
		1006
1	root	1007	##################################################################################
476	richard	1008	## param_ulogd function ##
		1009	## - Ulog config for multi-log files ##
		1010	##################################################################################
		1011	param_ulogd ()
		1012	{
		1013	# Three instances of ulogd (three different logfiles)
		1014	[ -d /var/log/firewall ] \|\| mkdir -p /var/log/firewall
478	richard	1015	nl=1
		1016	for log_type in tracability ssh ext-access
		1017	do
		1018	[ -e /var/log/firewall/$log_type.log ] \|\| touch /var/log/firewall/$log_type.log
		1019	cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
		1020	$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf
		1021	$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
		1022	cat << EOF >> /etc/ulogd-$log_type.conf
		1023	[LOGEMU]
		1024	file="/var/log/firewall/$log_type.log"
		1025	sync=1
		1026	EOF
		1027	nl=`expr $nl + 1`
		1028	done
476	richard	1029	chown -R root:apache /var/log/firewall
		1030	chmod 750 /var/log/firewall
		1031	chmod 640 /var/log/firewall/*
		1032	[ -e /etc/init.d/ulogd.default ] \|\| cp /etc/init.d/ulogd /etc/init.d/ulogd.default
		1033	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
		1034	} # End of param_ulogd ()
		1035
		1036	##################################################################################
1	root	1037	## Fonction param_awstats ##
		1038	## - configuration de l'interface des logs de consultation WEB (AWSTAT) ##
		1039	##################################################################################
		1040	param_awstats()
		1041	{
316	richard	1042	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
		1043	chown -R apache:apache $DIR_ACC/awstats
1	root	1044	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
		1045	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
		1046	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
		1047	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
		1048	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
		1049	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
344	richard	1050	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
		1051	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1	root	1052	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
		1053	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59	richard	1054	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
580	richard	1055	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
		1056	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1057	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1058	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
		1059	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
		1060	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
		1061	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
		1062	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
		1063	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
		1064	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
		1065	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
		1066	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
		1067	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
		1068	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
		1069	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
		1070
1	root	1071	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	1072	<Directory $DIR_ACC/awstats>
1	root	1073	SSLRequireSSL
		1074	Options ExecCGI
		1075	AddHandler cgi-script .pl
		1076	DirectoryIndex awstats.pl
		1077	Order deny,allow
		1078	Deny from all
		1079	Allow from 127.0.0.1
		1080	Allow from $PRIVATE_NETWORK_MASK
		1081	require valid-user
		1082	AuthType digest
		1083	AuthName $HOSTNAME
		1084	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	1085	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	1086	ErrorDocument 404 https://$HOSTNAME/
1	root	1087	</Directory>
		1088	SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
		1089	EOF
		1090	} # End of param_awstats ()
		1091
		1092	##########################################################
235	richard	1093	## Fonction param_dnsmasq ##
1	root	1094	##########################################################
219	jeremy	1095	param_dnsmasq ()
		1096	{
		1097	[ -d /var/log/dnsmasq ] \|\| mkdir /var/log/dnsmasq
259	richard	1098	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
503	richard	1099	[ -e /etc/dnsmasq.conf.default ] \|\| cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
520	richard	1100	# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
503	richard	1101	cat << EOF > /etc/dnsmasq.conf
520	richard	1102	# Configuration file for "dnsmasq in forward mode"
503	richard	1103	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
259	richard	1104	listen-address=$PRIVATE_IP
		1105	listen-address=127.0.0.1
286	richard	1106	no-dhcp-interface=$INTIF
259	richard	1107	bind-interfaces
		1108	cache-size=256
		1109	domain=$DOMAIN
		1110	domain-needed
		1111	expand-hosts
		1112	bogus-priv
		1113	filterwin2k
		1114	server=$DNS1
		1115	server=$DNS2
498	richard	1116	# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
604	richard	1117	dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_NETMASK,12h
632	richard	1118	dhcp-option=option:router,$PRIVATE_IP
259	richard	1119	#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
		1120
291	franck	1121	# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
420	franck	1122	#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
259	richard	1123	EOF
520	richard	1124	# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
		1125	cat << EOF > /etc/dnsmasq-blackhole.conf
		1126	# Configuration file for "dnsmasq with blackhole"
		1127	# Inclusion de la blacklist <domains> de Toulouse dans la configuration
		1128	conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
503	richard	1129	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
498	richard	1130	listen-address=$PRIVATE_IP
		1131	port=54
		1132	no-dhcp-interface=$INTIF
		1133	bind-interfaces
		1134	cache-size=256
		1135	domain=$DOMAIN
		1136	domain-needed
		1137	expand-hosts
		1138	bogus-priv
		1139	filterwin2k
		1140	server=$DNS1
		1141	server=$DNS2
		1142	EOF
718	franck	1143
		1144	# On modifie le fichier d'initialisation (lancement et arret de la deuxième instance)
503	richard	1145	[ -e /etc/init.d/dnsmasq.default ] \|\| cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
520	richard	1146	$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
503	richard	1147	$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
785	franck	1148	# Optionnellement on active les logs DNS des clients --> traiter les uninstall et update
786	richard	1149	[ -e /etc/sysconfig/dnsmasq.default ] \|\| cp /etc/sysconfig/dnsmasq /etc/sysconfig/dnsmasq.default
785	franck	1150	$SED "s?^OPTIONS=.*?OPTIONS=\"-q --log-facility=/var/log/dnsmasq/queries.log\"?g" /etc/sysconfig/dnsmasq
308	richard	1151	} # End dnsmasq
		1152
		1153	##########################################################
		1154	## Fonction BL (BlackList) ##
		1155	##########################################################
		1156	BL ()
		1157	{
		1158	# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
648	richard	1159	rm -rf $DIR_DG/lists/blacklists
		1160	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
316	richard	1161	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
		1162	chown apache:apache $DIR_ACC/VERSION-BL
648	richard	1163	# on crée le répertoire de la BL secondaire et le répertoire "pureip" (catégorie virtuelle)
		1164	mkdir $DIR_DG/lists/blacklists/ossi $DIR_DG/lists/blacklists/ip
		1165	touch $DIR_DG/lists/blacklists/ossi/domains $DIR_DG/lists/blacklists/ip/domains
		1166	touch $DIR_DG/lists/blacklists/ossi/urls $DIR_DG/lists/blacklists/ip/urls
309	richard	1167	# On crée les fichiers vides de sites ou d'URL réhabilités
648	richard	1168	[ -e $DIR_DG/lists/exceptionsitelist.default ] \|\| mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
673	richard	1169	[ -e $DIR_DG/lists/exceptionurllist.default ] \|\| mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
648	richard	1170	touch $DIR_DG/lists/exceptionsitelist
		1171	touch $DIR_DG/lists/exceptionurllist
311	richard	1172	# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
648	richard	1173	cat <<EOF > $DIR_DG/lists/bannedurllist
311	richard	1174	# Dansguardian filter config for ALCASAR
		1175	EOF
648	richard	1176	cat <<EOF > $DIR_DG/lists/bannedsitelist
311	richard	1177	# Dansguardian domain filter config for ALCASAR
		1178	# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
		1179	#**
		1180	# block all SSL and CONNECT tunnels
		1181	**s
		1182	# block all SSL and CONNECT tunnels specified only as an IP
		1183	*ips
		1184	# block all sites specified only by an IP
		1185	*ip
		1186	EOF
648	richard	1187	chown -R dansguardian:apache $DIR_DG
		1188	chmod -R g+rw $DIR_DG
304	richard	1189	# On crée la structure du DNS-blackhole :
503	richard	1190	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1191	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1192	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
308	richard	1193	# On fait pointer le black-hole sur une page interne
		1194	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
786	richard	1195	# On adapte la BL de Toulouse à notre structure
654	richard	1196	if [ "$mode" != "update" ]; then
		1197	$DIR_DEST_SBIN/alcasar-bl.sh --adapt
		1198	fi
308	richard	1199	}
219	jeremy	1200
1	root	1201	##########################################################
		1202	## Fonction cron ##
		1203	## - Mise en place des différents fichiers de cron ##
		1204	##########################################################
		1205	cron ()
		1206	{
		1207	# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
		1208	[ -e /etc/crontab.default ] \|\| cp /etc/crontab /etc/crontab.default
		1209	cat <<EOF > /etc/crontab
		1210	SHELL=/bin/bash
		1211	PATH=/sbin:/bin:/usr/sbin:/usr/bin
		1212	MAILTO=root
		1213	HOME=/
		1214
		1215	# run-parts
		1216	01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
		1217	02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
		1218	22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
		1219	42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
		1220	EOF
		1221	[ -e /etc/anacrontab.default ] \|\| cp /etc/anacrontab /etc/anacrontab.default
		1222	cat <<EOF >> /etc/anacrontab
667	franck	1223	7 8 cron.MysqlDump nice /etc/cron.d/alcasar-mysql
		1224	7 10 cron.logExport nice /etc/cron.d/alcasar-export_log
		1225	7 15 cron.logClean nice /etc/cron.d/alcasar-clean_log
		1226	7 20 cron.importClean nice /etc/cron.d/alcasar-clean_import
1	root	1227	EOF
		1228	# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
667	franck	1229	cat <<EOF > /etc/cron.d/alcasar-clean_log
713	franck	1230	# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1	root	1231	30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
		1232	EOF
		1233	# export de la base des usagers (tous les lundi à 4h45)
667	franck	1234	cat <<EOF > /etc/cron.d/alcasar-mysql
713	franck	1235	# export des log squid, firewall et apache (tous les lundi à 5h00)
671	franck	1236	45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
1	root	1237	EOF
		1238	# export des log squid, firewall et apache (tous les lundi à 5h00)
667	franck	1239	cat <<EOF > /etc/cron.d/alcasar-export_log
713	franck	1240	# export des log squid, firewall et apache (tous les lundi à 5h00)
1	root	1241	00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
		1242	EOF
		1243	# mise à jour des stats de consultation WEB toutes les 30' ## existe en double pour le daily sans l'@IP
		1244	# sans mèl ( > /dev/null 2>&1)
		1245	cat << EOF > /etc/cron.d/awstats
713	franck	1246	# mise à jour des stats de consultation WEB toutes les 30'
419	franck	1247	/30 * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1	root	1248	EOF
219	jeremy	1249	# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
667	franck	1250	cat << EOF > /etc/cron.d/alcasar-clean_import
713	franck	1251	# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
503	richard	1252	30 * * * * root $DIR_DEST_BIN/alcasar-import-clean.sh
168	franck	1253	EOF
722	franck	1254	# mise à jour automatique de la distribution
		1255	cat << EOF > /etc/cron.d/alcasar-distrib-updates
		1256	# mise à jour automatique de la distribution tous les jours 3h30
762	franck	1257	30 3 * * * root /usr/sbin/urpmi --auto-update --auto 2>&1
722	franck	1258	EOF
1	root	1259	# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
		1260	# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
		1261	# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct')
		1262	# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
		1263	# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
		1264	# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
		1265	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
		1266	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
		1267	rm -f /etc/cron.daily/freeradius-web
		1268	rm -f /etc/cron.monthly/freeradius-web
		1269	cat << EOF > /etc/cron.d/freeradius-web
		1270	1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
		1271	5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
		1272	10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
		1273	15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
		1274	EOF
310	richard	1275	# activation du "chien de garde" (watchdog) toutes les 3'
671	franck	1276	cat << EOF > /etc/cron.d/alcasar-watchdog
713	franck	1277	# activation du "chien de garde" (watchdog) toutes les 3'
1	root	1278	/3 * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
		1279	EOF
522	richard	1280	# suppression des crons usagers
		1281	rm -f /var/spool/cron/*
1	root	1282	} # End cron
		1283
		1284	##################################################################
		1285	## Fonction post_install ##
		1286	## - Modification des bannières (locales et ssh) et des prompts ##
		1287	## - Installation de la structure de chiffrement pour root ##
		1288	## - Mise en place du sudoers et de la sécurité sur les fichiers##
		1289	## - Mise en place du la rotation des logs ##
5	franck	1290	## - Configuration dans le cas d'une mise à jour ##
1	root	1291	##################################################################
		1292	post_install()
		1293	{
		1294	# adaptation du script "chien de garde" (watchdog)
376	franck	1295	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1296	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1	root	1297	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1298	# création de la bannière locale
		1299	[ -e /etc/mandriva-release.default ] \|\| cp /etc/mandriva-release /etc/mandriva-release.default
589	richard	1300	cp -f $DIR_CONF/banner /etc/mandriva-release
		1301	echo " V$VERSION" >> /etc/mandriva-release
1	root	1302	# création de la bannière SSH
		1303	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5	franck	1304	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1	root	1305	[ -e /etc/ssh/sshd_config.default ] \|\| cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
		1306	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
		1307	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
793	richard	1308	# postfix banner anonymisation
		1309	$SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf
604	richard	1310	# sshd écoute côté LAN et WAN
1	root	1311	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
604	richard	1312	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config
790	richard	1313	# Put the default value in conf file (sshd, QOS and protocols/dns/ext_LAN filtering are off)(web antivirus is on)
1	root	1314	/sbin/chkconfig --del sshd
628	richard	1315	echo "SSH=off" >> $CONF_FILE
694	franck	1316	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
628	richard	1317	echo "QOS=off" >> $CONF_FILE
		1318	echo "LDAP=off" >> $CONF_FILE
786	richard	1319	echo "LDAP_IP=0.0.0.0/0.0.0.0" >> $CONF_FILE
628	richard	1320	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
790	richard	1321	echo "EXT_LAN_FILTERING=off" >> $CONF_FILE
628	richard	1322	echo "DNS_FILTERING=off" >> $CONF_FILE
		1323	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
1	root	1324	# Coloration des prompts
		1325	[ -e /etc/bashrc.default ] \|\| cp /etc/bashrc /etc/bashrc.default
5	franck	1326	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
630	franck	1327	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1	root	1328	# Droits d'exécution pour utilisateur apache et sysadmin
		1329	[ -e /etc/sudoers.default ] \|\| cp /etc/sudoers /etc/sudoers.default
5	franck	1330	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
629	richard	1331	$SED "s?^Host_Alias.*?Host_Alias LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost #réseau de l'organisme?g" /etc/sudoers
132	franck	1332	# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1	root	1333	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
		1334	chmod 644 /etc/logrotate.d/*
714	franck	1335	# rectification sur versions précédentes de la compression des logs
706	franck	1336	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
		1337	# actualisation des fichiers logs compressés
714	franck	1338	for dir in firewall squid dansguardian httpd
706	franck	1339	do
714	franck	1340	find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
706	franck	1341	done
		1342	# export des logs en 'retard' dans /var/Save/logs
		1343	/usr/local/bin/alcasar-log-export.sh
1	root	1344	# processus lancés par défaut au démarrage
796	richard	1345	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd netfs mysqld dansguardian havp freshclam
1	root	1346	do
		1347	/sbin/chkconfig --add $i
		1348	done
595	richard	1349	# pour éviter les alertes de dépendance entre service.
384	richard	1350	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
497	richard	1351	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
595	richard	1352	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
		1353	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
306	richard	1354	# On affecte le niveau de sécurité du système : type "fileserver"
235	richard	1355	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
306	richard	1356	# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
235	richard	1357	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
568	richard	1358	# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
		1359	# Apply French Security Agency rules (sysctl + msec when possible)
		1360	# ignorer les broadcast ICMP. (attaque smurf)
		1361	$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
		1362	sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
		1363	# ignorer les erreurs ICMP bogus
		1364	$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
		1365	sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
595	richard	1366	# désactiver l'envoi et la réponse aux ICMP redirects
679	richard	1367	sysctl -w net.ipv4.conf.all.accept_redirects=0
568	richard	1368	accept_redirect=`grep accept_redirect /etc/sysctl.conf\|wc -l`
		1369	if [ "$accept_redirect" == "0" ]
		1370	then
679	richard	1371	echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
		1372	else
		1373	$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
568	richard	1374	fi
679	richard	1375	sysctl -w net.ipv4.conf.all.send_redirects=0
568	richard	1376	send_redirect=`grep send_redirect /etc/sysctl.conf\|wc -l`
		1377	if [ "$send_redirect" == "0" ]
		1378	then
679	richard	1379	echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
		1380	else
		1381	$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
568	richard	1382	fi
		1383	# activer les SYN Cookies (attaque syn flood)
679	richard	1384	sysctl -w net.ipv4.tcp_syncookies=1
568	richard	1385	tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf\|wc -l`
		1386	if [ "$tcp_syncookies" == "0" ]
		1387	then
679	richard	1388	echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
		1389	else
		1390	$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
568	richard	1391	fi
595	richard	1392	# activer l'antispoofing niveau Noyau
568	richard	1393	$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
		1394	sysctl -w net.ipv4.conf.all.rp_filter=1
		1395	# ignorer le source routing
679	richard	1396	sysctl -w net.ipv4.conf.all.accept_source_route=0
568	richard	1397	accept_source_route=`grep accept_source_route /etc/sysctl.conf\|wc -l`
		1398	if [ "$accept_source_route" == "0" ]
		1399	then
679	richard	1400	echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
		1401	else
		1402	$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
568	richard	1403	fi
679	richard	1404	# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
		1405	sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
		1406	timeout_established=`grep timeout_established /etc/sysctl.conf\|wc -l`
		1407	if [ "$timeout_established" == "0" ]
		1408	then
		1409	echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
		1410	else
793	richard	1411	$SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf
679	richard	1412	fi
		1413	# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée)
568	richard	1414	sysctl -w net.ipv4.conf.all.log_martians=0
		1415	$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
		1416
793	richard	1417
306	richard	1418	# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
		1419	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1	root	1420	# On mets en place la sécurité sur les fichiers
		1421	# des modif par rapport à radius update
		1422	cat <<EOF > /etc/security/msec/perm.local
		1423	/var/log/firewall/ root.apache 750
		1424	/var/log/firewall/* root.apache 640
		1425	/etc/security/msec/perm.local root.root 640
		1426	/etc/security/msec/level.local root.root 640
		1427	/etc/freeradius-web root.apache 750
		1428	/etc/freeradius-web/admin.conf root.apache 640
		1429	/etc/freeradius-web/config.php root.apache 640
		1430	/etc/raddb/dictionnary root.radius 640
		1431	/etc/raddb/ldap.attrmap root.radius 640
		1432	/etc/raddb/hints root.radius 640
		1433	/etc/raddb/huntgroups root.radius 640
		1434	/etc/raddb/attrs.access_reject root.radius 640
		1435	/etc/raddb/attrs.accounting_response root.radius 640
		1436	/etc/raddb/acct_users root.radius 640
		1437	/etc/raddb/preproxy_users root.radius 640
		1438	/etc/raddb/modules/ldap radius.apache 660
		1439	/etc/raddb/sites-available/alcasar radius.apache 660
		1440	/etc/pki/* root.apache 750
		1441	EOF
		1442	/usr/sbin/msec
59	richard	1443	# modification /etc/inittab
		1444	[ -e /etc/inittab.default ] \|\| cp /etc/inittab /etc/inittab.default
60	richard	1445	# On ne garde que 3 terminaux
59	richard	1446	$SED "s?^4.*?#&?g" /etc/inittab
		1447	$SED "s?^5.*?#&?g" /etc/inittab
		1448	$SED "s?^6.*?#&?g" /etc/inittab
470	richard	1449	# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
		1450	$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
		1451	$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
532	richard	1452	# On supprime les services et les utilisateurs inutiles
793	richard	1453	for svc in alsa sound dm atd bootlogd stop-bootlogd
532	richard	1454	do
		1455	/sbin/chkconfig --del $svc
		1456	done
		1457	for rm_users in avahi-autoipd avahi icapd
		1458	do
		1459	user=`cat /etc/passwd\|grep $rm_users\|cut -d":" -f1`
		1460	if [ "$user" == "$rm_users" ]
		1461	then
		1462	/usr/sbin/userdel -f $rm_users
		1463	fi
		1464	done
628	richard	1465	# Load and update the previous conf file
5	franck	1466	if [ "$mode" = "update" ]
		1467	then
389	franck	1468	$DIR_DEST_BIN/alcasar-conf.sh --load
628	richard	1469	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
		1470	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
5	franck	1471	fi
595	richard	1472	rm -f /tmp/alcasar-conf*
434	richard	1473	chown -R root:apache $DIR_DEST_ETC/*
512	richard	1474	chmod -R 660 $DIR_DEST_ETC/*
434	richard	1475	chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1	root	1476	cd $DIR_INSTALL
5	franck	1477	echo ""
1	root	1478	echo "#############################################################################"
638	richard	1479	if [ $Lang == "fr" ]
		1480	then
		1481	echo "# Fin d'installation d'ALCASAR #"
		1482	echo "# #"
		1483	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1484	echo "# des Accès au Réseau ( ALCASAR ) #"
		1485	echo "# #"
		1486	echo "#############################################################################"
		1487	echo
		1488	echo "- ALCASAR sera fonctionnel après redémarrage du système"
		1489	echo
		1490	echo "- Lisez attentivement la documentation d'exploitation"
		1491	echo
		1492	echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
		1493	echo
		1494	echo " Appuyez sur 'Entrée' pour continuer"
		1495	else
		1496	echo "# Enf of ALCASAR install process #"
		1497	echo "# #"
		1498	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1499	echo "# des Accès au Réseau ( ALCASAR ) #"
		1500	echo "# #"
		1501	echo "#############################################################################"
		1502	echo
		1503	echo "- The system will be rebooted in order to operate ALCASAR"
		1504	echo
		1505	echo "- Read the exploitation documentation"
		1506	echo
		1507	echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
		1508	echo
		1509	echo " Hit 'Enter' to continue"
		1510	fi
774	richard	1511	read a
		1512	clear
		1513	# Apply and save the firewall rules
490	richard	1514	sh $DIR_DEST_BIN/alcasar-iptables.sh
		1515	sleep 2
1	root	1516	reboot
		1517	} # End post_install ()
		1518
		1519	#################################
		1520	# Boucle principale du script #
		1521	#################################
291	franck	1522	usage="Usage: alcasar.sh {-i or --install} \| {-u or --uninstall}"
1	root	1523	nb_args=$#
		1524	args=$1
		1525	if [ $nb_args -eq 0 ]
		1526	then
		1527	nb_args=1
		1528	args="-h"
		1529	fi
		1530	case $args in
		1531	-\? \| -h* \| --h*)
		1532	echo "$usage"
		1533	exit 0
		1534	;;
291	franck	1535	-i \| --install)
5	franck	1536	header_install
29	richard	1537	testing
597	richard	1538	# Test if ALCASAR is already installed
5	franck	1539	if [ -e $DIR_WEB/VERSION ]
1	root	1540	then
460	richard	1541	actual_version=`cat $DIR_WEB/VERSION`
595	richard	1542	if [ $Lang == "fr" ]
		1543	then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
		1544	else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
		1545	fi
5	franck	1546	response=0
460	richard	1547	PTN='^[oOnNyY]$'
580	richard	1548	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1549	do
595	richard	1550	if [ $Lang == "fr" ]
		1551	then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
		1552	else echo -n "Do you want to update (Y/n)?";
		1553	fi
5	franck	1554	read response
		1555	done
597	richard	1556	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
5	franck	1557	then
597	richard	1558	rm -f /tmp/alcasar-conf*
		1559	else
510	richard	1560	RUNNING_VERSION=`cat $DIR_WEB/VERSION\|cut -d" " -f1`
		1561	MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f1`
		1562	MIN_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f2\|cut -c1`
		1563	UPD_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f3`
636	richard	1564	# Create a backup of running version importants files
5	franck	1565	chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
389	franck	1566	$DIR_SCRIPTS/alcasar-conf.sh --create
532	richard	1567	mode="update"
5	franck	1568	fi
1	root	1569	fi
595	richard	1570	# RPMs install
		1571	$DIR_SCRIPTS/alcasar-urpmi.sh
		1572	if [ "$?" != "0" ]
1	root	1573	then
595	richard	1574	exit 0
		1575	fi
		1576	if [ -e $DIR_WEB/VERSION ]
		1577	then
597	richard	1578	# Uninstall the running version
532	richard	1579	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
595	richard	1580	fi
636	richard	1581	# Test if manual update
597	richard	1582	if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
595	richard	1583	then
636	richard	1584	header_install
595	richard	1585	if [ $Lang == "fr" ]
636	richard	1586	then echo "Le fichier de configuration d'une ancienne version a été trouvé";
		1587	else echo "The configuration file of an old version has been found";
595	richard	1588	fi
597	richard	1589	response=0
		1590	PTN='^[oOnNyY]$'
		1591	until [[ $(expr $response : $PTN) -gt 0 ]]
		1592	do
		1593	if [ $Lang == "fr" ]
		1594	then echo -n "Voulez-vous l'utiliser (O/n)? ";
		1595	else echo -n "Do you want to use it (Y/n)?";
		1596	fi
		1597	read response
		1598	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		1599	then rm -f /tmp/alcasar-conf*
		1600	fi
		1601	done
		1602	fi
636	richard	1603	# Test if update
597	richard	1604	if [ -e /tmp/alcasar-conf.tar.gz ]
		1605	then
		1606	if [ $Lang == "fr" ]
		1607	then echo "#### Installation avec mise à jour ####";
		1608	else echo "#### Installation with update ####";
		1609	fi
636	richard	1610	# Extract the central configuration file
637	richard	1611	tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf
		1612	ORGANISME=`grep ORGANISM conf/etc/alcasar.conf\|cut -d"=" -f2`
5	franck	1613	mode="update"
		1614	else
		1615	mode="install"
1	root	1616	fi
604	richard	1617	for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
5	franck	1618	do
		1619	$func
735	richard	1620	# echo "* 'debug' : end of function $func *"; read a
14	richard	1621	done
5	franck	1622	;;
291	franck	1623	-u \| --uninstall)
5	franck	1624	if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1	root	1625	then
597	richard	1626	if [ $Lang == "fr" ]
		1627	then echo "ALCASAR n'est pas installé!";
		1628	else echo "ALCASAR isn't installed!";
		1629	fi
1	root	1630	exit 0
		1631	fi
5	franck	1632	response=0
		1633	PTN='^[oOnN]$'
580	richard	1634	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1635	do
597	richard	1636	if [ $Lang == "fr" ]
		1637	then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
		1638	else echo -n "Do you want to crate the running version configuration file (Y/n)? ";
		1639	fi
5	franck	1640	read response
		1641	done
597	richard	1642	if [ "$reponse" = "o" ] \|\| [ "$reponse" = "O" ] \|\| [ "$response" = "Y" ] \|\| [ "$response" = "y" ]
1	root	1643	then
389	franck	1644	$DIR_SCRIPT/alcasar-conf.sh --create
498	richard	1645	else
		1646	rm -f /tmp/alcasar-conf*
1	root	1647	fi
597	richard	1648	# Uninstall the running version
65	richard	1649	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1	root	1650	;;
		1651	*)
		1652	echo "Argument inconnu :$1";
460	richard	1653	echo "Unknown argument :$1";
1	root	1654	echo "$usage"
		1655	exit 1
		1656	;;
		1657	esac
10	franck	1658	# end of script
366	franck	1659

Subversion Repositories ALCASAR

(root)/alcasar.sh @ 2681 – Rev 796