WebSVN – ALCASAR – Blame – /alcasar.sh

Rev	Author	Line No.	Line
672	richard	1	#!/bin/bash
57	franck	2	# $Id: alcasar.sh 830 2012-03-03 17:26:04Z richard $
1	root	3
		4	# alcasar.sh
		5	# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
		6	# This script is distributed under the Gnu General Public License (GPL)
		7
672	richard	8	# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
		9	# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
1	root	10	# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
		11	# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
672	richard	12	#
806	richard	13	# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, awstat, ntpd, openssl, dnsmasq, havp, libclamav and firewalleyes
1	root	14
		15	# Options :
376	franck	16	# -i or --install
		17	# -u or --uninstall
1	root	18
376	franck	19	# Functions :
29	richard	20	# testing : Tests de connectivité et de téléchargement avant installation
1	root	21	# init : Installation des RPM et des scripts
		22	# network : Paramètrage du réseau
		23	# gestion : Installation de l'interface de gestion
		24	# AC : Initialisation de l'autorité de certification. Création des certificats
		25	# init_db : Création de la base 'radius' sur le serveur MySql
		26	# param_radius : Configuration du serveur d'authentification FreeRadius
		27	# param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
		28	# param_chilli : Configuration du daemon 'coova-chilli' et de la page d'authentification
		29	# param_squid : Configuration du proxy squid en mode 'cache'
		30	# param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
479	richard	31	# antivirus : Installation havp + libclamav
1	root	32	# param_awstats : Configuration de l'interface des statistiques de consultation WEB
297	richard	33	# dnsmasq : Configuration du serveur de noms et du serveur dhcp de secours
308	richard	34	# BL : Configuration de la BlackList
1	root	35	# cron : Mise en place des exports de logs (+ chiffrement)
532	richard	36	# post_install : Finalisation environnement ( sécurité, bannières, rotation logs, ...)
1	root	37
95	franck	38	VERSION=`cat VERSION`
1	root	39	DATE=`date '+%d %B %Y - %Hh%M'`
		40	DATE_SHORT=`date '+%d/%m/%Y'`
595	richard	41	Lang=`echo $LANG\|cut -c 1-2`
1	root	42	# ***** Files parameters - paramètres fichiers *******
		43	DIR_INSTALL=`pwd` # répertoire d'installation
		44	DIR_CONF="$DIR_INSTALL/conf" # répertoire d'installation contenant les fichiers de configuration
		45	DIR_SCRIPTS="$DIR_INSTALL/scripts" # répertoire d'installation contenant les scripts
806	richard	46	DIR_SAVE="/var/Save" # répertoire de sauvegarde (system_backup, user_db_backup, logs)
316	richard	47	DIR_WEB="/var/www/html" # répertoire racine APACHE
648	richard	48	DIR_DG="/etc/dansguardian" # répertoire de config de DansGuardian
316	richard	49	DIR_ACC="$DIR_WEB/acc" # répertoire du centre de gestion 'ALCASAR Control Center'
1	root	50	DIR_DEST_BIN="/usr/local/bin" # répertoire des scripts
		51	DIR_DEST_SBIN="/usr/local/sbin" # répertoire des scripts d'admin
		52	DIR_DEST_ETC="/usr/local/etc" # répertoire des fichiers de conf
628	richard	53	CONF_FILE="$DIR_DEST_ETC/alcasar.conf" # fichier de conf d'alcasar
		54	PASSWD_FILE="/root/ALCASAR-passwords.txt" # fichier texte contenant les mots de passe et secrets partagés
1	root	55	# ***** DBMS parameters - paramètres SGBD ******
		56	DB_RADIUS="radius" # nom de la base de données utilisée par le serveur FreeRadius
		57	DB_USER="radius" # nom de l'utilisateur de la base de données
		58	# ***** Network parameters - paramètres réseau *****
503	richard	59	HOSTNAME="alcasar" #
1	root	60	DOMAIN="localdomain" # domaine local
		61	EXTIF="eth0" # ETH0 est l'interface connectée à Internet (Box FAI)
		62	INTIF="eth1" # ETH1 est l'interface connectée au réseau local de consultation
597	richard	63	DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24" # adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
1	root	64	# **** Paths - chemin des commandes *****
		65	SED="/bin/sed -i"
		66	# **************** End of global parameters *******************
		67
		68	header_install ()
		69	{
		70	clear
		71	echo "-----------------------------------------------------------------------------"
460	richard	72	echo " ALCASAR V$VERSION Installation"
1	root	73	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
		74	echo "-----------------------------------------------------------------------------"
		75	} # End of header_install ()
		76
		77	##################################################################
29	richard	78	## Fonction TESTING ##
		79	## - Test de la connectivité Internet ##
		80	##################################################################
		81	testing ()
		82	{
595	richard	83	if [ $Lang == "fr" ]
784	richard	84	then echo -n "Tests des paramètres réseau : "
595	richard	85	else echo -n "Network parameters tests : "
		86	fi
784	richard	87	# We test eth0 config files
		88	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF\|cut -d"=" -f2`
		89	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF\|cut -d"=" -f2`
		90	if [ `echo $PUBLIC_IP\|wc -c` -lt 7 ] \|\| [ `echo $PUBLIC_GATEWAY\|wc -c` -lt 7 ]
		91	then
		92	if [ $Lang == "fr" ]
		93	then
		94	echo "Échec"
		95	echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."
		96	echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
830	richard	97	echo "Appliquez les changements : 'service network restart'"
784	richard	98	else
		99	echo "Failed"
		100	echo "The Internet connected network card ($EXTIF) isn't well configured."
		101	echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
830	richard	102	echo "Apply the new configuration 'service network restart'"
784	richard	103	fi
830	richard	104	echo "DEVICE=$EXTIF"
784	richard	105	echo "IPADDR="
		106	echo "NETMASK="
		107	echo "GATEWAY="
		108	echo "DNS1="
		109	echo "DNS2="
830	richard	110	echo "ONBOOT=yes"
784	richard	111	exit 0
		112	fi
		113	echo -n "."
460	richard	114	# We test the Ethernet links state
29	richard	115	for i in $EXTIF $INTIF
		116	do
294	richard	117	/sbin/ip link set $i up
306	richard	118	sleep 3
808	franck	119	CMD=`/usr/sbin/ethtool $i \|grep Link \| awk '{print $NF}'`
		120	CMD2=`/sbin/mii-tool $i \| grep -i link \| awk '{print $NF}'`
		121	if [ $CMD != "yes" ] && [ $CMD2 != "ok" ]
29	richard	122	then
595	richard	123	if [ $Lang == "fr" ]
		124	then
		125	echo "Échec"
		126	echo "Le lien réseau de la carte $i n'est pas actif."
		127	echo "Réglez ce problème puis relancez ce script."
		128	else
		129	echo "Failed"
		130	echo "The link state of $i interface id down."
		131	echo "Resolv this problem, then restart this script."
		132	fi
29	richard	133	exit 0
		134	fi
308	richard	135	echo -n "."
29	richard	136	done
		137	# On teste la présence d'un routeur par défaut (Box FAI)
784	richard	138	if [ `ip route list\|grep -c ^default` -ne "1" ] ; then
595	richard	139	if [ $Lang == "fr" ]
		140	then
		141	echo "Échec"
		142	echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
		143	echo "Réglez ce problème puis relancez ce script."
		144	else
		145	echo "Failed"
		146	echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
		147	echo "Resolv this problem, then restart this script."
		148	fi
29	richard	149	exit 0
		150	fi
308	richard	151	echo -n "."
		152	# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
784	richard	153	if [ `ip route list\|grep ^default\|grep -c eth1` -eq "1" ] ; then
595	richard	154	if [ $Lang == "fr" ]
		155	then echo "La configuration des cartes réseau va être corrigée."
		156	else echo "The Ethernet card configuration will be corrected."
		157	fi
29	richard	158	/etc/init.d/network stop
		159	mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
		160	$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
		161	/etc/init.d/network start
		162	echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
		163	sleep 2
595	richard	164	if [ $Lang == "fr" ]
		165	then echo "Configuration corrigée"
		166	else echo "Configuration updated"
		167	fi
29	richard	168	sleep 2
595	richard	169	if [ $Lang == "fr" ]
		170	then echo "Vous pouvez relancer ce script."
		171	else echo "You can restart this script."
		172	fi
29	richard	173	exit 0
		174	fi
308	richard	175	echo -n "."
		176	# On test le lien vers le routeur par default
		177	IP_GW=`ip route list\|grep ^default\|cut -d" " -f3`
		178	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW\|grep response\|cut -d" " -f2`
527	richard	179	if [ $(expr $arp_reply) -eq 0 ]
308	richard	180	then
595	richard	181	if [ $Lang == "fr" ]
		182	then
		183	echo "Échec"
		184	echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
		185	echo "Réglez ce problème puis relancez ce script."
		186	else
		187	echo "Failed"
		188	echo "The Internet gateway doesn't answered"
		189	echo "Resolv this problem, then restart this script."
		190	fi
308	richard	191	exit 0
		192	fi
		193	echo -n "."
421	franck	194	# On teste la connectivité Internet
29	richard	195	rm -rf /tmp/con_ok.html
308	richard	196	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
29	richard	197	if [ ! -e /tmp/con_ok.html ]
		198	then
595	richard	199	if [ $Lang == "fr" ]
		200	then
		201	echo "La tentative de connexion vers Internet a échoué (google.fr)."
		202	echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
		203	echo "Vérifiez la validité des adresses IP des DNS."
		204	else
		205	echo "The Internet connection try failed (google.fr)."
		206	echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
		207	echo "Verify the DNS IP addresses"
		208	fi
29	richard	209	exit 0
		210	fi
		211	rm -rf /tmp/con_ok.html
308	richard	212	echo ". : ok"
302	richard	213	} # end of testing
		214
		215	##################################################################
		216	## Fonction INIT ##
		217	## - Création du fichier "/root/ALCASAR_parametres.txt" ##
		218	## - Installation et modification des scripts du portail ##
		219	##################################################################
		220	init ()
		221	{
527	richard	222	if [ "$mode" != "update" ]
302	richard	223	then
		224	# On affecte le nom d'organisme
597	richard	225	header_install
302	richard	226	ORGANISME=!
		227	PTN='^[a-zA-Z0-9-]*$'
580	richard	228	until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
302	richard	229	do
595	richard	230	if [ $Lang == "fr" ]
597	richard	231	then echo -n "Entrez le nom de votre organisme : "
		232	else echo -n "Enter the name of your organism : "
595	richard	233	fi
330	franck	234	read ORGANISME
613	richard	235	if [ "$ORGANISME" == "" ]
330	franck	236	then
		237	ORGANISME=!
		238	fi
		239	done
302	richard	240	fi
1	root	241	# On crée aléatoirement les mots de passe et les secrets partagés
628	richard	242	rm -f $PASSWD_FILE
59	richard	243	grubpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de protection du menu Grub
628	richard	244	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
		245	echo "$grubpwd" >> $PASSWD_FILE
59	richard	246	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
384	richard	247	$SED "/^password.*/d" /boot/grub/menu.lst
		248	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1	root	249	mysqlpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'administrateur Mysqld
628	richard	250	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
		251	echo "root / $mysqlpwd" >> $PASSWD_FILE
1	root	252	radiuspwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
628	richard	253	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
		254	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
1	root	255	secretuam=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre intercept.php et coova-chilli
628	richard	256	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
		257	echo "$secretuam" >> $PASSWD_FILE
1	root	258	secretradius=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre coova-chilli et FreeRadius
628	richard	259	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
		260	echo "$secretradius" >> $PASSWD_FILE
		261	chmod 640 $PASSWD_FILE
453	franck	262	# On installe les scripts et fichiers de configuration d'ALCASAR
806	richard	263	# - dans /usr/local/bin : alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,watchdog.sh}
5	franck	264	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
453	franck	265	# - dans /usr/local/sbin : alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
5	franck	266	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
453	franck	267	# - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
648	richard	268	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1	root	269	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
		270	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5	franck	271	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
		272	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
628	richard	273	# generate central conf file
		274	cat <<EOF > $CONF_FILE
612	richard	275	##########################################
		276	## ##
		277	## ALCASAR Parameters ##
		278	## ##
		279	##########################################
1	root	280
612	richard	281	INSTALL_DATE=$DATE
		282	VERSION=$VERSION
		283	ORGANISM=$ORGANISME
		284	EOF
628	richard	285	chmod o-rwx $CONF_FILE
1	root	286	} # End of init ()
		287
		288	##################################################################
		289	## Fonction network ##
		290	## - Définition du plan d'adressage du réseau de consultation ##
595	richard	291	## - Nommage DNS du système ##
1	root	292	## - Configuration de l'interface eth1 (réseau de consultation) ##
		293	## - Modification du fichier /etc/hosts ##
		294	## - Configuration du serveur de temps (NTP) ##
		295	## - Renseignement des fichiers hosts.allow et hosts.deny ##
		296	##################################################################
		297	network ()
		298	{
		299	header_install
636	richard	300	if [ "$mode" != "update" ]
		301	then
		302	if [ $Lang == "fr" ]
		303	then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
		304	else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
		305	fi
		306	response=0
		307	PTN='^[oOyYnN]$'
		308	until [[ $(expr $response : $PTN) -gt 0 ]]
1	root	309	do
595	richard	310	if [ $Lang == "fr" ]
659	richard	311	then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
618	richard	312	else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
595	richard	313	fi
1	root	314	read response
		315	done
636	richard	316	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		317	then
		318	PRIVATE_IP_MASK="0"
		319	PTN='^$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$/[012]\?[[:digit:]]$'
		320	until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
1	root	321	do
595	richard	322	if [ $Lang == "fr" ]
597	richard	323	then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
		324	else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
595	richard	325	fi
597	richard	326	read PRIVATE_IP_MASK
1	root	327	done
636	richard	328	else
		329	PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
		330	fi
595	richard	331	else
637	richard	332	PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf\|cut -d"=" -f2`
		333	rm -rf conf/etc/alcasar.conf
1	root	334	fi
784	richard	335	# Define Lan side Ethernet card
1	root	336	hostname $HOSTNAME
607	richard	337	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK \| cut -d"=" -f2` # @ réseau de consultation (ex.: 192.168.182.0)
		338	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK \| cut -d"=" -f2` # masque réseau de consultation (ex.: 255.255.255.0)
		339	PRIVATE_IP=`echo $PRIVATE_IP_MASK \| cut -d"/" -f1` # @ip du portail (côté réseau de consultation)
		340	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK \|cut -d"=" -f2` # prefixe du réseau (ex. 24)
		341	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix # @ + masque du réseau de consult (192.168.182.0/24)
		342	classe=$((private_prefix/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2` # classes de réseau (ex.: 2=classe B, 3=classe C)
		343	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`. # @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
		344	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # @ broadcast réseau de consultation (ex.: 192.168.182.255)
		345	tmp_mask=`echo $PRIVATE_NETWORK_MASK\|cut -d"/" -f2`; half_mask=`expr $tmp_mask + 1` # masque du 1/2 réseau de consultation (ex.: 25)
		346	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$half_mask # plage des adresses statiques (ex.: 192.168.182.0/25)
		347	private_network_ending=`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup` # dernier octet de l'@ de réseau
		348	private_broadcast_ending=`echo $PRIVATE_BROADCAST \| cut -d"." -f$classe_sup` # dernier octet de l'@ de broadcast
		349	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
		350	private_half_plage=`expr $private_plage / 2`
		351	private_dyn=`expr $private_half_plage + $private_network_ending`
		352	private_dyn_ip_network=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup_sup-5`
		353	PRIVATE_DYN_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-4`/$half_mask # @ réseau (CIDR) de la plage des adresses dynamiques (ex.: 192.168.182.128/25)
		354	private_dyn_ip_ending=`echo $private_dyn_ip_network \| cut -d"." -f4`
		355	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-3`"."`expr $private_dyn_ip_ending + 1` # 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
		356	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST \| cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1` # dernière adresse de la plage dynamique (ex.: 192.168.182.254)
784	richard	357	# Define Internet side Ethernet card
14	richard	358	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] \|\| cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
		359	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 1er DNS
		360	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 2ème DNS
70	franck	361	DNS1=${DNS1:=208.67.220.220}
		362	DNS2=${DNS2:=208.67.222.222}
597	richard	363	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
784	richard	364	DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 \| cut -d"=" -f2`
		365	PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}
		366	PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK\|cut -d"=" -f2`
765	stephane	367	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
		368	echo "PUBLIC_MTU=1500" >> $CONF_FILE
628	richard	369	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE
		370	echo "DNS1=$DNS1" >> $CONF_FILE
		371	echo "DNS2=$DNS2" >> $CONF_FILE
		372	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
		373	echo "DHCP=on" >> $CONF_FILE
597	richard	374	[ -e /etc/sysconfig/network.default ] \|\| cp /etc/sysconfig/network /etc/sysconfig/network.default
784	richard	375	# Renseignement des fichiers de configuration réseau
1	root	376	cat <<EOF > /etc/sysconfig/network
		377	NETWORKING=yes
		378	HOSTNAME="$HOSTNAME"
		379	FORWARD_IPV4=true
		380	EOF
		381	# Modif /etc/hosts
		382	[ -e /etc/hosts.default ] \|\| cp /etc/hosts /etc/hosts.default
		383	cat <<EOF > /etc/hosts
503	richard	384	127.0.0.1 localhost
		385	$PRIVATE_IP $HOSTNAME
1	root	386	EOF
14	richard	387	# Configuration de l'interface eth0 (Internet)
		388	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
		389	DEVICE=$EXTIF
		390	BOOTPROTO=static
597	richard	391	IPADDR=$PUBLIC_IP
		392	NETMASK=$PUBLIC_NETMASK
		393	GATEWAY=$PUBLIC_GATEWAY
14	richard	394	DNS1=127.0.0.1
		395	ONBOOT=yes
		396	METRIC=10
		397	NOZEROCONF=yes
		398	MII_NOT_SUPPORTED=yes
		399	IPV6INIT=no
		400	IPV6TO4INIT=no
		401	ACCOUNTING=no
		402	USERCTL=no
		403	EOF
1	root	404	# Configuration de l'interface eth1 (réseau de consultation)
793	richard	405	# utile uniquement pour le mode bypass (cf. alcasar-bypass.sh)
		406	rm -f /etc/sysconfig/network-scripts/ifcfg-$INTIF
		407	cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF
1	root	408	DEVICE=$INTIF
		409	BOOTPROTO=static
		410	IPADDR=$PRIVATE_IP
604	richard	411	NETMASK=$PRIVATE_NETMASK
1	root	412	ONBOOT=yes
		413	METRIC=10
		414	NOZEROCONF=yes
		415	MII_NOT_SUPPORTED=yes
14	richard	416	IPV6INIT=no
		417	IPV6TO4INIT=no
		418	ACCOUNTING=no
		419	USERCTL=no
1	root	420	EOF
440	franck	421	# Mise à l'heure du serveur
		422	[ -e /etc/ntp/step-tickers.default ] \|\| cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
		423	cat <<EOF > /etc/ntp/step-tickers
455	franck	424	0.fr.pool.ntp.org # adapt to your country
		425	1.fr.pool.ntp.org
		426	2.fr.pool.ntp.org
440	franck	427	EOF
		428	# Configuration du serveur de temps (sur lui même)
1	root	429	[ -e /etc/ntp.conf.default ] \|\| cp /etc/ntp.conf /etc/ntp.conf.default
		430	cat <<EOF > /etc/ntp.conf
456	franck	431	server 0.fr.pool.ntp.org # adapt to your country
447	franck	432	server 1.fr.pool.ntp.org
		433	server 2.fr.pool.ntp.org
		434	server 127.127.1.0 # local clock si NTP internet indisponible ...
411	richard	435	fudge 127.127.1.0 stratum 10
604	richard	436	restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
1	root	437	restrict 127.0.0.1
310	richard	438	driftfile /var/lib/ntp/drift
1	root	439	logfile /var/log/ntp.log
		440	EOF
440	franck	441
310	richard	442	chown -R ntp:ntp /var/lib/ntp
1	root	443	# Renseignement des fichiers hosts.allow et hosts.deny
		444	[ -e /etc/hosts.allow.default ] \|\| cp /etc/hosts.allow /etc/hosts.allow.default
		445	cat <<EOF > /etc/hosts.allow
		446	ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
604	richard	447	sshd: ALL
1	root	448	ntpd: $PRIVATE_NETWORK_SHORT
		449	EOF
		450	[ -e /etc/host.deny.default ] \|\| cp /etc/hosts.deny /etc/hosts.deny.default
		451	cat <<EOF > /etc/hosts.deny
		452	ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" \| /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
		453	EOF
604	richard	454	# Firewall config
790	richard	455	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		456	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		457	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
		458	# create the filter exxeption file
		459	touch $DIR_DEST_ETC/alcasar-filter-exceptions
		460	# load conntrack ftp module
		461	[ -e /etc/modprobe.preload.default ] \|\| cp /etc/modprobe.preload /etc/modprobe.preload.default
		462	echo "ip_conntrack_ftp" >> /etc/modprobe.preload
604	richard	463	# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
1	root	464	} # End of network ()
		465
		466	##################################################################
		467	## Fonction gestion ##
		468	## - installation du centre de gestion ##
		469	## - configuration du serveur web (Apache) ##
		470	## - définition du 1er comptes de gestion ##
		471	## - sécurisation des accès ##
		472	##################################################################
		473	gestion()
		474	{
		475	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
		476	mkdir $DIR_WEB
		477	# Copie et configuration des fichiers du centre de gestion
316	richard	478	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
1	root	479	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
316	richard	480	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
		481	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		482	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		483	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
498	richard	484	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
316	richard	485	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
5	franck	486	chown -R apache:apache $DIR_WEB/*
806	richard	487	for i in system_backup base logs/firewall logs/httpd logs/squid ;
1	root	488	do
		489	[ -d $DIR_SAVE/$i ] \|\| mkdir -p $DIR_SAVE/$i
		490	done
5	franck	491	chown -R root:apache $DIR_SAVE
71	richard	492	# Configuration et sécurisation php
		493	[ -e /etc/php.ini.default ] \|\| cp /etc/php.ini /etc/php.ini.default
534	richard	494	timezone=`cat /etc/sysconfig/clock\|grep ZONE\|cut -d"=" -f2`
		495	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
411	richard	496	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
		497	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
71	richard	498	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
		499	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
		500	# Configuration et sécurisation Apache
790	richard	501	rm -rf /var/www/cgi-bin/* /var/www/perl/* /var/www/icons/README* /var/www/error/README*
1	root	502	[ -e /etc/httpd/conf/httpd.conf.default ] \|\| cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
580	richard	503	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
303	richard	504	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
1	root	505	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
		506	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
		507	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
790	richard	508	$SED "s?^LoadModule authn_anon_module.*?#LoadModule authn_anon_module modules/mod_authn_anon.so?g" /etc/httpd/conf/httpd.conf
		509	$SED "s?^LoadModule status_module.*?#LoadModule status_module modules/mod_status.so?g" /etc/httpd/conf/httpd.conf
		510	$SED "s?^LoadModule autoindex_module.*?#LoadModule autoindex_module modules/mod_autoindex.so?g" /etc/httpd/conf/httpd.conf
		511	$SED "s?^LoadModule info_module.*?#LoadModule info_module modules/mod_info.so?g" /etc/httpd/conf/httpd.conf
		512	$SED "s?^LoadModule imagemap_module.*?#LoadModule imagemap_module modules/mod_imagemap.so?g" /etc/httpd/conf/httpd.conf
		513	$SED "s?^LoadModule rewrite_module.*?#LoadModule rewrite_module modules/mod_rewrite.so?g" /etc/httpd/conf/httpd.conf
1	root	514	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
		515	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
		516	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
		517	[ -e /var/www/error/include/bottom.html.default ] \|\| mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
		518	cat <<EOF > /var/www/error/include/bottom.html
		519	</body>
		520	</html>
		521	EOF
		522	# Définition du premier compte lié au profil 'admin'
509	richard	523	header_install
510	richard	524	if [ "$mode" = "install" ]
		525	then
613	richard	526	admin_portal=!
		527	PTN='^[a-zA-Z0-9-]*$'
		528	until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
		529	do
		530	header_install
		531	if [ $Lang == "fr" ]
		532	then
		533	echo ""
		534	echo "Définissez un premier compte d'administration du portail :"
		535	echo
		536	echo -n "Nom : "
		537	else
		538	echo ""
		539	echo "Define the first account allow to administrate the portal :"
		540	echo
		541	echo -n "Account : "
		542	fi
		543	read admin_portal
		544	if [ "$admin_portal" == "" ]
		545	then
		546	admin_portal=!
		547	fi
		548	done
1	root	549	# Création du fichier de clés de ce compte dans le profil "admin"
510	richard	550	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		551	mkdir -p $DIR_DEST_ETC/digest
		552	chmod 755 $DIR_DEST_ETC/digest
		553	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		554	do
613	richard	555	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	556	done
		557	$DIR_DEST_SBIN/alcasar-profil.sh --list
595	richard	558	else # mise à jour des versions < 2.1
510	richard	559	if ([ $MAJ_RUNNING_VERSION -lt 2 ] \|\| ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
		560	then
613	richard	561	if [ $Lang == "fr" ]
		562	then
		563	echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
		564	echo
		565	echo -n "Nom : "
		566	else
		567	echo "This update need to redefine the first admin account"
		568	echo
		569	echo -n "Account : "
		570	fi
		571	read admin_portal
510	richard	572	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		573	mkdir -p $DIR_DEST_ETC/digest
		574	chmod 755 $DIR_DEST_ETC/digest
		575	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		576	do
613	richard	577	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	578	done
		579	$DIR_DEST_SBIN/alcasar-profil.sh --list
		580	fi
		581	fi
434	richard	582	# synchronisation horaire
		583	ntpd -q -g &
1	root	584	# Sécurisation du centre
		585	rm -f /etc/httpd/conf/webapps.d/*
		586	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	587	<Directory $DIR_ACC>
1	root	588	SSLRequireSSL
		589	AllowOverride None
		590	Order deny,allow
		591	Deny from all
		592	Allow from 127.0.0.1
		593	Allow from $PRIVATE_NETWORK_MASK
		594	require valid-user
		595	AuthType digest
		596	AuthName $HOSTNAME
		597	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	598	AuthUserFile $DIR_DEST_ETC/digest/key_all
580	richard	599	ErrorDocument 404 https://$HOSTNAME/
1	root	600	</Directory>
316	richard	601	<Directory $DIR_ACC/admin>
1	root	602	SSLRequireSSL
		603	AllowOverride None
		604	Order deny,allow
		605	Deny from all
		606	Allow from 127.0.0.1
		607	Allow from $PRIVATE_NETWORK_MASK
		608	require valid-user
		609	AuthType digest
		610	AuthName $HOSTNAME
		611	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	612	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	613	ErrorDocument 404 https://$HOSTNAME/
1	root	614	</Directory>
344	richard	615	<Directory $DIR_ACC/manager>
1	root	616	SSLRequireSSL
		617	AllowOverride None
		618	Order deny,allow
		619	Deny from all
		620	Allow from 127.0.0.1
		621	Allow from $PRIVATE_NETWORK_MASK
		622	require valid-user
		623	AuthType digest
		624	AuthName $HOSTNAME
		625	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	626	AuthUserFile $DIR_DEST_ETC/digest/key_manager
580	richard	627	ErrorDocument 404 https://$HOSTNAME/
1	root	628	</Directory>
316	richard	629	<Directory $DIR_ACC/backup>
		630	SSLRequireSSL
		631	AllowOverride None
		632	Order deny,allow
		633	Deny from all
		634	Allow from 127.0.0.1
		635	Allow from $PRIVATE_NETWORK_MASK
		636	require valid-user
		637	AuthType digest
		638	AuthName $HOSTNAME
		639	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	640	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580	richard	641	ErrorDocument 404 https://$HOSTNAME/
316	richard	642	</Directory>
811	richard	643	Alias /save/ "$DIR_SAVE/"
		644	<Directory $DIR_SAVE>
		645	SSLRequireSSL
		646	Options Indexes
		647	Order deny,allow
		648	Deny from all
		649	Allow from 127.0.0.1
		650	Allow from $PRIVATE_NETWORK_MASK
		651	require valid-user
		652	AuthType digest
		653	AuthName $HOSTNAME
		654	AuthUserFile $DIR_DEST_ETC/digest/key_backup
		655	ErrorDocument 404 https://$HOSTNAME/
		656	</Directory>
1	root	657	EOF
		658	} # End of gestion ()
		659
		660	##########################################################################################
		661	## Fonction AC() ##
		662	## - Création d'une Autorité de Certification et du certificat serveur pour apache ##
		663	##########################################################################################
		664	AC ()
		665	{
		666	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
510	richard	667	$DIR_DEST_BIN/alcasar-CA.sh
800	richard	668	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl_vhost.conf`
303	richard	669	[ -e /etc/httpd/conf/vhosts-ssl.default ] \|\| cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
		670	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
		671	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
679	richard	672	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
5	franck	673	chown -R root:apache /etc/pki
1	root	674	chmod -R 750 /etc/pki
		675	} # End AC ()
		676
		677	##########################################################################################
		678	## Fonction init_db() ##
		679	## - Initialisation de la base Mysql ##
		680	## - Affectation du mot de passe de l'administrateur (root) ##
		681	## - Suppression des bases et des utilisateurs superflus ##
		682	## - Création de la base 'radius' ##
		683	## - Installation du schéma de cette base ##
		684	## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo) ##
		685	## ces table proviennent de 'dialupadmin' (paquetage freeradius-web) ##
		686	##########################################################################################
		687	init_db ()
		688	{
		689	mkdir -p /var/lib/mysql/.tmp
		690	chown mysql:mysql /var/lib/mysql/.tmp
227	franck	691	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf # prend en compte les migrations de MySQL
1	root	692	[ -e /etc/my.cnf.default ] \|\| cp /etc/my.cnf /etc/my.cnf.default
		693	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
		694	/etc/init.d/mysqld start
		695	sleep 4
		696	mysqladmin -u root password $mysqlpwd
		697	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615	richard	698	# Delete exemple databases if exist
1	root	699	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;"
615	richard	700	# Create 'radius' database
1	root	701	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
615	richard	702	# Add an empty radius database structure
364	franck	703	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
615	richard	704	# modify the start script in order to close accounting connexion when the system is comming down or up
		705	[ -e /etc/init.d/mysqld.default ] \|\| cp /etc/init.d/mysqld /etc/init.d/mysqld.default
		706	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
		707	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
1	root	708	} # End init_db ()
		709
		710	##########################################################################
		711	## Fonction param_radius ##
		712	## - Paramètrage des fichiers de configuration FreeRadius ##
		713	## - Affectation du secret partagé entre coova-chilli et freeradius ##
		714	## - Modification de fichier de conf pour l'accès à Mysql ##
		715	##########################################################################
		716	param_radius ()
		717	{
		718	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
		719	chown -R radius:radius /etc/raddb
		720	[ -e /etc/raddb/radiusd.conf.default ] \|\| cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
		721	# paramètrage radius.conf
		722	$SED "s?^[\t ]#[\t ]user =.*?user = radius?g" /etc/raddb/radiusd.conf
		723	$SED "s?^[\t ]#[\t ]group =.*?group = radius?g" /etc/raddb/radiusd.conf
		724	$SED "s?^[\t ]status_server =.?status_server = no?g" /etc/raddb/radiusd.conf
		725	# suppression de la fonction proxy
		726	$SED "s?^[\t ]proxy_requests.?proxy_requests = no?g" /etc/raddb/radiusd.conf
		727	$SED "s?^[\t ]\$INCLUDE proxy.conf.?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
654	richard	728	# suppression du module EAP
		729	$SED "s?^[\t ]\$INCLUDE eap.conf.?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
1	root	730	# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
		731	$SED "s?^[\t ]ipaddr =.?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
		732	# prise en compte du module SQL et des compteurs SQL
		733	$SED "s?^[\t ]#[\t ]\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
		734	$SED "s?^[\t ]#[\t ]\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
		735	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
		736	# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
		737	rm -f /etc/raddb/sites-enabled/*
		738	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
		739	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
		740	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
		741	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
		742	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
384	richard	743	# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
1	root	744	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
		745	# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
		746	[ -e /etc/raddb/clients.conf.default ] \|\| cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
		747	cat << EOF > /etc/raddb/clients.conf
		748	client 127.0.0.1 {
		749	secret = $secretradius
		750	shortname = localhost
		751	}
		752	EOF
		753	# modif sql.conf
		754	[ -e /etc/raddb/sql.conf.default ] \|\| cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
		755	$SED "s?^[\t ]login =.?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
		756	$SED "s?^[\t ]password =.?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
		757	$SED "s?^[\t ]radius_db =.?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
		758	$SED "s?^[\t ]sqltrace =.?sqltrace = no?g" /etc/raddb/sql.conf
		759	# modif dialup.conf
		760	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] \|\| cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
		761	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
		762	} # End param_radius ()
		763
		764	##########################################################################
		765	## Fonction param_web_radius ##
		766	## - Import, modification et paramètrage de l'interface "dialupadmin" ##
		767	## - Création du lien vers la page de changement de mot de passe ##
		768	##########################################################################
		769	param_web_radius ()
		770	{
		771	# copie de l'interface d'origine dans la structure Alcasar
316	richard	772	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
		773	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme
		774	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
344	richard	775	# copie des fichiers modifiés
		776	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
316	richard	777	chown -R apache:apache $DIR_ACC/manager/
344	richard	778	# Modification des fichiers de configuration
1	root	779	[ -e /etc/freeradius-web/admin.conf.default ] \|\| cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
503	richard	780	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
1	root	781	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
		782	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
		783	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
		784	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
		785	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
		786	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
		787	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
582	richard	788	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
344	richard	789	[ -e /etc/freeradius-web/config.php.default ] \|\| cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
		790	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
131	richard	791	cat <<EOF > /etc/freeradius-web/naslist.conf
632	richard	792	nas1_name: alcasar-$ORGANISME
1	root	793	nas1_model: Portail captif
		794	nas1_ip: $PRIVATE_IP
		795	nas1_port_num: 0
		796	nas1_community: public
		797	EOF
		798	# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
		799	[ -e /etc/freeradius-web/user_edit.attrs.default ] \|\| mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
		800	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
114	richard	801	# Ajout du mappage des attributs chillispot
		802	[ -e /etc/freeradius-web/sql.attrmap.default ] \|\| mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
		803	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
1	root	804	# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
		805	[ -e /etc/freeradius-web/sql.attrs.default ] \|\| cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
		806	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
		807	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5	franck	808	chown -R apache:apache /etc/freeradius-web
1	root	809	# Ajout de l'alias vers la page de "changement de mot de passe usager"
		810	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
344	richard	811	<Directory $DIR_WEB/pass>
1	root	812	SSLRequireSSL
		813	AllowOverride None
		814	Order deny,allow
		815	Deny from all
		816	Allow from 127.0.0.1
		817	Allow from $PRIVATE_NETWORK_MASK
580	richard	818	ErrorDocument 404 https://$HOSTNAME
1	root	819	</Directory>
		820	EOF
		821	} # End of param_web_radius ()
		822
799	richard	823	##################################################################################
		824	## Fonction param_chilli ##
		825	## - Création du fichier d'initialisation et de configuration de coova-chilli ##
		826	## - Paramètrage de la page d'authentification (intercept.php) ##
		827	##################################################################################
1	root	828	param_chilli ()
		829	{
799	richard	830	# init file creation
461	richard	831	[ -e /etc/init.d/chilli.default ] \|\| cp /etc/init.d/chilli /etc/init.d/chilli.default
799	richard	832	cat <<EOF > /etc/init.d/chilli
		833	#!/bin/sh
		834	#
		835	# chilli CoovaChilli init
		836	#
		837	# chkconfig: 2345 65 35
		838	# description: CoovaChilli
		839	### BEGIN INIT INFO
		840	# Provides: chilli
		841	# Required-Start: network
		842	# Should-Start:
		843	# Required-Stop: network
		844	# Should-Stop:
		845	# Default-Start: 2 3 5
		846	# Default-Stop:
		847	# Description: CoovaChilli access controller
		848	### END INIT INFO
		849
		850	[ -f /usr/sbin/chilli ] \|\| exit 0
		851	. /etc/init.d/functions
		852	CONFIG=/etc/chilli.conf
		853	pidfile=/var/run/chilli.pid
		854	[ -f \$CONFIG ] \|\| {
		855	echo "\$CONFIG Not found"
		856	exit 0
		857	}
		858	RETVAL=0
		859	prog="chilli"
		860	case \$1 in
		861	start)
		862	if [ -f \$pidfile ] ; then
		863	gprintf "chilli is already running"
		864	else
		865	gprintf "Starting \$prog: "
		866	rm -f /var/run/chilli* # cleaning
		867	/sbin/modprobe tun >/dev/null 2>&1
		868	echo 1 > /proc/sys/net/ipv4/ip_forward
		869	[ -e /dev/net/tun ] \|\| {
		870	(cd /dev;
		871	mkdir net;
		872	cd net;
		873	mknod tun c 10 200)
		874	}
		875	ifconfig eth1 0.0.0.0
		876	daemon /usr/sbin/chilli -c \$CONFIG --pidfile=\$pidfile &
		877	RETVAL=$?
		878	fi
		879	;;
		880
		881	reload)
		882	killall -HUP chilli
		883	;;
		884
		885	restart)
		886	\$0 stop
		887	sleep 2
		888	\$0 start
		889	;;
		890
		891	status)
		892	status chilli
		893	RETVAL=0
		894	;;
		895
		896	stop)
		897	if [ -f \$pidfile ] ; then
		898	gprintf "Shutting down \$prog: "
		899	killproc /usr/sbin/chilli
		900	RETVAL=\$?
		901	[ \$RETVAL = 0 ] && rm -f $pidfile
		902	else
		903	gprintf "chilli is not running"
		904	fi
		905	;;
		906
		907	*)
		908	echo "Usage: \$0 {start\|stop\|restart\|reload\|status}"
		909	exit 1
		910	esac
		911	echo
		912	EOF
		913
		914	# conf file creation
346	richard	915	[ -e /etc/chilli.conf.default ] \|\| cp /etc/chilli.conf /etc/chilli.conf.default
		916	cat <<EOF > /etc/chilli.conf
		917	# coova config for ALCASAR
		918	cmdsocket /var/run/chilli.sock
		919	unixipc chilli.eth1.ipc
		920	pidfile /var/run/chilli.eth1.pid
		921	net $PRIVATE_NETWORK_MASK
595	richard	922	dhcpif $INTIF
		923	#nodynip
607	richard	924	dynip $PRIVATE_DYN_IP
		925	statip $PRIVATE_STAT_IP
595	richard	926	ethers $DIR_DEST_ETC/alcasar-ethers
346	richard	927	domain localdomain
355	richard	928	dns1 $PRIVATE_IP
		929	dns2 $PRIVATE_IP
346	richard	930	uamlisten $PRIVATE_IP
503	richard	931	uamport 3990
346	richard	932	macallowlocal
		933	locationname $HOSTNAME
		934	radiusserver1 127.0.0.1
		935	radiusserver2 127.0.0.1
		936	radiussecret $secretradius
		937	radiusauthport 1812
		938	radiusacctport 1813
467	richard	939	uamserver https://$HOSTNAME/intercept.php
346	richard	940	radiusnasid $HOSTNAME
		941	uamsecret $secretuam
793	richard	942	uamallowed alcasar
346	richard	943	coaport 3799
503	richard	944	include $DIR_DEST_ETC/alcasar-uamallowed
		945	include $DIR_DEST_ETC/alcasar-uamdomain
		946	include $DIR_DEST_ETC/alcasar-macallowed
346	richard	947	EOF
605	richard	948	# création du fichier d'allocation d'adresses IP statiques
		949	touch $DIR_DEST_ETC/alcasar-ethers
1	root	950	# création des fichiers de sites, d'urls et d'adresses MAC de confiance
613	richard	951	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
503	richard	952	chown root:apache $DIR_DEST_ETC/alcasar-*
		953	chmod 660 $DIR_DEST_ETC/alcasar-*
		954	# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
526	stephane	955	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
		956	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
		957	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
796	richard	958	# user 'chilli' creation (in order to run conup/off and up/down scripts
		959	chilli_exist=`grep chilli /etc/passwd\|wc -l`
		960	if [ "$chilli_exist" == "1" ]
		961	then
		962	userdel -r chilli 2>/dev/null
		963	fi
		964	groupadd -f chilli
		965	useradd -r -g chilli -s /bin/false -c "system user for coova-chilli" chilli
1	root	966	} # End of param_chilli ()
		967
		968	##########################################################
		969	## Fonction param_squid ##
		970	## - Paramètrage du proxy 'squid' en mode 'cache' ##
		971	## - Initialisation de la base de données ##
		972	##########################################################
		973	param_squid ()
		974	{
		975	# paramètrage de Squid (connecté en série derrière Dansguardian)
		976	[ -e /etc/squid/squid.conf.default ] \|\| cp /etc/squid/squid.conf /etc/squid/squid.conf.default
		977	# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
		978	$SED "/^acl localnet/d" /etc/squid/squid.conf
		979	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
		980	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
		981	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
		982	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
		983	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
		984	# mode 'proxy transparent local'
595	richard	985	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
726	franck	986	# Configuration du cache local
749	franck	987	$SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 256 16 256?g" /etc/squid/squid.conf
405	franck	988	# emplacement et formatage standard des logs
419	franck	989	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
749	franck	990	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh' >> /etc/squid/squid.conf
405	franck	991	echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
1	root	992	# compatibilité des logs avec awstats
315	richard	993	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
749	franck	994	echo "half_closed_clients off" >> /etc/squid/squid.conf
		995	echo "server_persistent_connections off" >> /etc/squid/squid.conf
		996	echo "client_persistent_connections on" >> /etc/squid/squid.conf
		997	echo "client_lifetime 1440 minutes" >> /etc/squid/squid.conf
		998	echo "request_timeout 5 minutes" >> /etc/squid/squid.conf
		999	echo "persistent_request_timeout 2 minutes" >> /etc/squid/squid.conf
726	franck	1000	echo "cache_mem 256 MB" >> /etc/squid/squid.conf
749	franck	1001	echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
		1002	echo "maximum_object_size 4096 KB" >> /etc/squid/squid.conf
812	richard	1003	# anonymisation de la version de squid
813	richard	1004	echo "via off" >> /etc/squid/squid.conf
812	richard	1005	# suppression de la primitive http 'X_forwarded'
		1006	echo "forwarded_for delete" >> /etc/squid/squid.conf
313	richard	1007	# pour éviter les message d'erreur lors des changement d'état des interfaces réseaux
		1008	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
1	root	1009	# Initialisation du cache de Squid
		1010	/usr/sbin/squid -z
		1011	} # End of param_squid ()
		1012
		1013	##################################################################
		1014	## Fonction param_dansguardian ##
		1015	## - Paramètrage du gestionnaire de contenu Dansguardian ##
		1016	##################################################################
		1017	param_dansguardian ()
		1018	{
		1019	mkdir /var/dansguardian
		1020	chown dansguardian /var/dansguardian
497	richard	1021	[ -e $DIR_DG/dansguardian.conf.default ] \|\| cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
307	richard	1022	# Le filtrage est désactivé par défaut
497	richard	1023	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1	root	1024	# la page d'interception est en français
497	richard	1025	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1	root	1026	# on limite l'écoute de Dansguardian côté LAN
497	richard	1027	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
75	richard	1028	# on chaîne Dansguardian au proxy antivirus HAVP
497	richard	1029	$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
1	root	1030	# on remplace la page d'interception (template)
		1031	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
		1032	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
		1033	# on ne loggue que les deny (pour le reste, on a squid)
497	richard	1034	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
659	richard	1035	# lauch of 10 daemons (20 in largest server)
		1036	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1	root	1037	# on désactive par défaut le controle de contenu des pages html
497	richard	1038	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
		1039	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
		1040	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1	root	1041	# on désactive par défaut le contrôle d'URL par expressions régulières
497	richard	1042	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
		1043	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1	root	1044	# on désactive par défaut le contrôle de téléchargement de fichiers
497	richard	1045	[ -e $DIR_DG/dansguardianf1.conf.default ] \|\| cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
		1046	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
		1047	[ -e $DIR_DG/lists/bannedextensionlist.default ] \|\| mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
		1048	[ -e $DIR_DG/lists/bannedmimetypelist.default ] \|\| mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
		1049	touch $DIR_DG/lists/bannedextensionlist
		1050	touch $DIR_DG/lists/bannedmimetypelist
		1051	# 'Safesearch' regex actualisation
498	richard	1052	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
497	richard	1053	# empty LAN IP list that won't be WEB filtered
		1054	[ -e $DIR_DG/lists/exceptioniplist.default ] \|\| mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
		1055	touch $DIR_DG/lists/exceptioniplist
		1056	# Keep a copy of URL & domain filter configuration files
		1057	[ -e $DIR_DG/lists/bannedsitelist.default ] \|\| mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
		1058	[ -e $DIR_DG/lists/bannedurllist.default ] \|\| mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1	root	1059	} # End of param_dansguardian ()
		1060
71	richard	1061	##################################################################
		1062	## Fonction antivirus ##
479	richard	1063	## - configuration havp + libclamav ##
71	richard	1064	##################################################################
		1065	antivirus ()
		1066	{
288	richard	1067	# création de l'usager 'havp'
		1068	havp_exist=`grep havp /etc/passwd\|wc -l`
307	richard	1069	if [ "$havp_exist" == "1" ]
288	richard	1070	then
478	richard	1071	userdel -r havp 2>/dev/null
288	richard	1072	fi
307	richard	1073	groupadd -f havp
796	richard	1074	useradd -r -g havp -s /bin/false -c "system user for havp" havp
476	richard	1075	mkdir -p /var/tmp/havp /var/log/havp
		1076	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
307	richard	1077	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
109	richard	1078	# configuration d'HAVP
		1079	[ -e /etc/havp/havp.config.default ] \|\| cp /etc/havp/havp.config /etc/havp/havp.config.default
		1080	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
631	richard	1081	$SED "s?^# PARENTPROXY.*?PARENTPROXY 127.0.0.1?g" /etc/havp/havp.config # datas come from DG
		1082	$SED "s?^# PARENTPORT.*?PARENTPORT 3128?g" /etc/havp/havp.config # datas are send to squid (3128)
		1083	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config # datas come on 8090
		1084	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config # we listen only on loopback
		1085	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config # active libclamav AV
		1086	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config # log only when malware matches
659	richard	1087	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config # 10 daemons are started simultaneously
481	franck	1088	# remplacement du fichier d'initialisation
335	richard	1089	[ -e /etc/init.d/havp.default ] \|\| cp /etc/init.d/havp /etc/init.d/havp.default
481	franck	1090	cp -f $DIR_CONF/havp-init /etc/init.d/havp
340	richard	1091	# on remplace la page d'interception (template)
		1092	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
		1093	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
489	richard	1094	# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
		1095	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
		1096	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
734	richard	1097	# Virus database update
		1098	rm -f /var/lib/clamav/*.cld # in case of old database scheme
		1099	[ -e /var/lib/clamav/main.cvd ] \|\| /usr/bin/freshclam
71	richard	1100	}
		1101
1	root	1102	##################################################################################
476	richard	1103	## param_ulogd function ##
		1104	## - Ulog config for multi-log files ##
		1105	##################################################################################
		1106	param_ulogd ()
		1107	{
		1108	# Three instances of ulogd (three different logfiles)
		1109	[ -d /var/log/firewall ] \|\| mkdir -p /var/log/firewall
478	richard	1110	nl=1
		1111	for log_type in tracability ssh ext-access
		1112	do
		1113	[ -e /var/log/firewall/$log_type.log ] \|\| touch /var/log/firewall/$log_type.log
		1114	cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
		1115	$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf
		1116	$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
		1117	cat << EOF >> /etc/ulogd-$log_type.conf
		1118	[LOGEMU]
		1119	file="/var/log/firewall/$log_type.log"
		1120	sync=1
		1121	EOF
		1122	nl=`expr $nl + 1`
		1123	done
476	richard	1124	chown -R root:apache /var/log/firewall
		1125	chmod 750 /var/log/firewall
		1126	chmod 640 /var/log/firewall/*
		1127	[ -e /etc/init.d/ulogd.default ] \|\| cp /etc/init.d/ulogd /etc/init.d/ulogd.default
		1128	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
		1129	} # End of param_ulogd ()
		1130
		1131	##################################################################################
1	root	1132	## Fonction param_awstats ##
		1133	## - configuration de l'interface des logs de consultation WEB (AWSTAT) ##
		1134	##################################################################################
		1135	param_awstats()
		1136	{
316	richard	1137	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
		1138	chown -R apache:apache $DIR_ACC/awstats
1	root	1139	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
		1140	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
		1141	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
		1142	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
		1143	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
		1144	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
344	richard	1145	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
		1146	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1	root	1147	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
		1148	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59	richard	1149	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
580	richard	1150	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
		1151	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1152	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1153	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
		1154	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
		1155	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
		1156	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
		1157	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
		1158	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
		1159	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
		1160	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
		1161	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
		1162	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
		1163	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
		1164	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
		1165
1	root	1166	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	1167	<Directory $DIR_ACC/awstats>
1	root	1168	SSLRequireSSL
		1169	Options ExecCGI
		1170	AddHandler cgi-script .pl
		1171	DirectoryIndex awstats.pl
		1172	Order deny,allow
		1173	Deny from all
		1174	Allow from 127.0.0.1
		1175	Allow from $PRIVATE_NETWORK_MASK
		1176	require valid-user
		1177	AuthType digest
		1178	AuthName $HOSTNAME
		1179	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	1180	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	1181	ErrorDocument 404 https://$HOSTNAME/
1	root	1182	</Directory>
		1183	SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
		1184	EOF
		1185	} # End of param_awstats ()
		1186
		1187	##########################################################
235	richard	1188	## Fonction param_dnsmasq ##
1	root	1189	##########################################################
219	jeremy	1190	param_dnsmasq ()
		1191	{
		1192	[ -d /var/log/dnsmasq ] \|\| mkdir /var/log/dnsmasq
259	richard	1193	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
503	richard	1194	[ -e /etc/dnsmasq.conf.default ] \|\| cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
520	richard	1195	# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
503	richard	1196	cat << EOF > /etc/dnsmasq.conf
520	richard	1197	# Configuration file for "dnsmasq in forward mode"
503	richard	1198	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
259	richard	1199	listen-address=$PRIVATE_IP
		1200	listen-address=127.0.0.1
286	richard	1201	no-dhcp-interface=$INTIF
259	richard	1202	bind-interfaces
		1203	cache-size=256
		1204	domain=$DOMAIN
		1205	domain-needed
		1206	expand-hosts
		1207	bogus-priv
		1208	filterwin2k
		1209	server=$DNS1
		1210	server=$DNS2
498	richard	1211	# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
604	richard	1212	dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_NETMASK,12h
632	richard	1213	dhcp-option=option:router,$PRIVATE_IP
259	richard	1214	#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
		1215
291	franck	1216	# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
420	franck	1217	#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
259	richard	1218	EOF
520	richard	1219	# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
		1220	cat << EOF > /etc/dnsmasq-blackhole.conf
		1221	# Configuration file for "dnsmasq with blackhole"
		1222	# Inclusion de la blacklist <domains> de Toulouse dans la configuration
		1223	conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
503	richard	1224	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
498	richard	1225	listen-address=$PRIVATE_IP
		1226	port=54
		1227	no-dhcp-interface=$INTIF
		1228	bind-interfaces
		1229	cache-size=256
		1230	domain=$DOMAIN
		1231	domain-needed
		1232	expand-hosts
		1233	bogus-priv
		1234	filterwin2k
		1235	server=$DNS1
		1236	server=$DNS2
		1237	EOF
718	franck	1238
800	richard	1239	# Init file modification
503	richard	1240	[ -e /etc/init.d/dnsmasq.default ] \|\| cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
800	richard	1241	# Start and stop a 2nd process for the "DNS blackhole"
520	richard	1242	$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
503	richard	1243	$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
800	richard	1244	# Start after chilli (65) which create tun0
		1245	$SED "s?^# chkconfig:.*?# chkconfig: 2345 99 40?g" /etc/init.d/dnsmasq
		1246	# Optionnellement on active les logs DNS des clients
786	richard	1247	[ -e /etc/sysconfig/dnsmasq.default ] \|\| cp /etc/sysconfig/dnsmasq /etc/sysconfig/dnsmasq.default
800	richard	1248	$SED "s?^OPTIONS=.*?#OPTIONS=\"-q --log-facility=/var/log/dnsmasq/queries.log\"?g" /etc/sysconfig/dnsmasq
308	richard	1249	} # End dnsmasq
		1250
		1251	##########################################################
		1252	## Fonction BL (BlackList) ##
		1253	##########################################################
		1254	BL ()
		1255	{
		1256	# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
648	richard	1257	rm -rf $DIR_DG/lists/blacklists
		1258	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
316	richard	1259	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
		1260	chown apache:apache $DIR_ACC/VERSION-BL
648	richard	1261	# on crée le répertoire de la BL secondaire et le répertoire "pureip" (catégorie virtuelle)
		1262	mkdir $DIR_DG/lists/blacklists/ossi $DIR_DG/lists/blacklists/ip
		1263	touch $DIR_DG/lists/blacklists/ossi/domains $DIR_DG/lists/blacklists/ip/domains
		1264	touch $DIR_DG/lists/blacklists/ossi/urls $DIR_DG/lists/blacklists/ip/urls
309	richard	1265	# On crée les fichiers vides de sites ou d'URL réhabilités
648	richard	1266	[ -e $DIR_DG/lists/exceptionsitelist.default ] \|\| mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
673	richard	1267	[ -e $DIR_DG/lists/exceptionurllist.default ] \|\| mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
648	richard	1268	touch $DIR_DG/lists/exceptionsitelist
		1269	touch $DIR_DG/lists/exceptionurllist
311	richard	1270	# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
648	richard	1271	cat <<EOF > $DIR_DG/lists/bannedurllist
311	richard	1272	# Dansguardian filter config for ALCASAR
		1273	EOF
648	richard	1274	cat <<EOF > $DIR_DG/lists/bannedsitelist
311	richard	1275	# Dansguardian domain filter config for ALCASAR
		1276	# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
		1277	#**
		1278	# block all SSL and CONNECT tunnels
		1279	**s
		1280	# block all SSL and CONNECT tunnels specified only as an IP
		1281	*ips
		1282	# block all sites specified only by an IP
		1283	*ip
		1284	EOF
648	richard	1285	chown -R dansguardian:apache $DIR_DG
		1286	chmod -R g+rw $DIR_DG
304	richard	1287	# On crée la structure du DNS-blackhole :
503	richard	1288	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1289	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1290	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
308	richard	1291	# On fait pointer le black-hole sur une page interne
		1292	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
786	richard	1293	# On adapte la BL de Toulouse à notre structure
654	richard	1294	if [ "$mode" != "update" ]; then
		1295	$DIR_DEST_SBIN/alcasar-bl.sh --adapt
		1296	fi
308	richard	1297	}
219	jeremy	1298
1	root	1299	##########################################################
		1300	## Fonction cron ##
		1301	## - Mise en place des différents fichiers de cron ##
		1302	##########################################################
		1303	cron ()
		1304	{
		1305	# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
		1306	[ -e /etc/crontab.default ] \|\| cp /etc/crontab /etc/crontab.default
		1307	cat <<EOF > /etc/crontab
		1308	SHELL=/bin/bash
		1309	PATH=/sbin:/bin:/usr/sbin:/usr/bin
		1310	MAILTO=root
		1311	HOME=/
		1312
		1313	# run-parts
		1314	01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
		1315	02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
		1316	22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
		1317	42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
		1318	EOF
		1319	[ -e /etc/anacrontab.default ] \|\| cp /etc/anacrontab /etc/anacrontab.default
		1320	cat <<EOF >> /etc/anacrontab
667	franck	1321	7 8 cron.MysqlDump nice /etc/cron.d/alcasar-mysql
		1322	7 10 cron.logExport nice /etc/cron.d/alcasar-export_log
		1323	7 15 cron.logClean nice /etc/cron.d/alcasar-clean_log
		1324	7 20 cron.importClean nice /etc/cron.d/alcasar-clean_import
1	root	1325	EOF
667	franck	1326	cat <<EOF > /etc/cron.d/alcasar-clean_log
713	franck	1327	# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1	root	1328	30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
		1329	EOF
811	richard	1330	cat <<EOF > /etc/cron.d/alcasar-mysql
1	root	1331	# export de la base des usagers (tous les lundi à 4h45)
671	franck	1332	45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
1	root	1333	EOF
667	franck	1334	cat <<EOF > /etc/cron.d/alcasar-export_log
713	franck	1335	# export des log squid, firewall et apache (tous les lundi à 5h00)
1	root	1336	00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
		1337	EOF
		1338	cat << EOF > /etc/cron.d/awstats
713	franck	1339	# mise à jour des stats de consultation WEB toutes les 30'
419	franck	1340	/30 * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1	root	1341	EOF
667	franck	1342	cat << EOF > /etc/cron.d/alcasar-clean_import
713	franck	1343	# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
503	richard	1344	30 * * * * root $DIR_DEST_BIN/alcasar-import-clean.sh
168	franck	1345	EOF
722	franck	1346	cat << EOF > /etc/cron.d/alcasar-distrib-updates
		1347	# mise à jour automatique de la distribution tous les jours 3h30
762	franck	1348	30 3 * * * root /usr/sbin/urpmi --auto-update --auto 2>&1
722	franck	1349	EOF
1	root	1350	# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
		1351	# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
		1352	# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct')
		1353	# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
		1354	# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
		1355	# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
		1356	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
		1357	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
		1358	rm -f /etc/cron.daily/freeradius-web
		1359	rm -f /etc/cron.monthly/freeradius-web
		1360	cat << EOF > /etc/cron.d/freeradius-web
		1361	1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
		1362	5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
		1363	10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
		1364	15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
		1365	EOF
671	franck	1366	cat << EOF > /etc/cron.d/alcasar-watchdog
713	franck	1367	# activation du "chien de garde" (watchdog) toutes les 3'
1	root	1368	/3 * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
		1369	EOF
808	franck	1370	# activation du "chien de garde des services" (watchdog) toutes les 18'
		1371	cat << EOF > /etc/cron.d/alcasar-daemon-watchdog
		1372	# activation du "chien de garde" (daemon-watchdog) toutes les 18'
		1373	/18 * * * root $DIR_DEST_BIN/alcasar-daemon.sh > /dev/null 2>&1
		1374	EOF
522	richard	1375	# suppression des crons usagers
		1376	rm -f /var/spool/cron/*
1	root	1377	} # End cron
		1378
		1379	##################################################################
		1380	## Fonction post_install ##
		1381	## - Modification des bannières (locales et ssh) et des prompts ##
		1382	## - Installation de la structure de chiffrement pour root ##
		1383	## - Mise en place du sudoers et de la sécurité sur les fichiers##
		1384	## - Mise en place du la rotation des logs ##
5	franck	1385	## - Configuration dans le cas d'une mise à jour ##
1	root	1386	##################################################################
		1387	post_install()
		1388	{
		1389	# adaptation du script "chien de garde" (watchdog)
376	franck	1390	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1391	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1	root	1392	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1393	# création de la bannière locale
		1394	[ -e /etc/mandriva-release.default ] \|\| cp /etc/mandriva-release /etc/mandriva-release.default
589	richard	1395	cp -f $DIR_CONF/banner /etc/mandriva-release
		1396	echo " V$VERSION" >> /etc/mandriva-release
1	root	1397	# création de la bannière SSH
		1398	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5	franck	1399	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1	root	1400	[ -e /etc/ssh/sshd_config.default ] \|\| cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
		1401	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
		1402	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
793	richard	1403	# postfix banner anonymisation
		1404	$SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf
604	richard	1405	# sshd écoute côté LAN et WAN
1	root	1406	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
604	richard	1407	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config
790	richard	1408	# Put the default value in conf file (sshd, QOS and protocols/dns/ext_LAN filtering are off)(web antivirus is on)
1	root	1409	/sbin/chkconfig --del sshd
628	richard	1410	echo "SSH=off" >> $CONF_FILE
694	franck	1411	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
628	richard	1412	echo "QOS=off" >> $CONF_FILE
		1413	echo "LDAP=off" >> $CONF_FILE
786	richard	1414	echo "LDAP_IP=0.0.0.0/0.0.0.0" >> $CONF_FILE
628	richard	1415	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
790	richard	1416	echo "EXT_LAN_FILTERING=off" >> $CONF_FILE
628	richard	1417	echo "DNS_FILTERING=off" >> $CONF_FILE
		1418	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
1	root	1419	# Coloration des prompts
		1420	[ -e /etc/bashrc.default ] \|\| cp /etc/bashrc /etc/bashrc.default
5	franck	1421	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
630	franck	1422	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1	root	1423	# Droits d'exécution pour utilisateur apache et sysadmin
		1424	[ -e /etc/sudoers.default ] \|\| cp /etc/sudoers /etc/sudoers.default
5	franck	1425	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
629	richard	1426	$SED "s?^Host_Alias.*?Host_Alias LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost #réseau de l'organisme?g" /etc/sudoers
132	franck	1427	# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1	root	1428	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
		1429	chmod 644 /etc/logrotate.d/*
714	franck	1430	# rectification sur versions précédentes de la compression des logs
706	franck	1431	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
		1432	# actualisation des fichiers logs compressés
714	franck	1433	for dir in firewall squid dansguardian httpd
706	franck	1434	do
714	franck	1435	find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
706	franck	1436	done
		1437	# export des logs en 'retard' dans /var/Save/logs
		1438	/usr/local/bin/alcasar-log-export.sh
1	root	1439	# processus lancés par défaut au démarrage
796	richard	1440	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd netfs mysqld dansguardian havp freshclam
1	root	1441	do
		1442	/sbin/chkconfig --add $i
		1443	done
595	richard	1444	# pour éviter les alertes de dépendance entre service.
384	richard	1445	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
497	richard	1446	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
595	richard	1447	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
		1448	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
306	richard	1449	# On affecte le niveau de sécurité du système : type "fileserver"
235	richard	1450	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
306	richard	1451	# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
235	richard	1452	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
568	richard	1453	# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
		1454	# Apply French Security Agency rules (sysctl + msec when possible)
		1455	# ignorer les broadcast ICMP. (attaque smurf)
		1456	$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
		1457	sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
		1458	# ignorer les erreurs ICMP bogus
		1459	$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
		1460	sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
595	richard	1461	# désactiver l'envoi et la réponse aux ICMP redirects
679	richard	1462	sysctl -w net.ipv4.conf.all.accept_redirects=0
568	richard	1463	accept_redirect=`grep accept_redirect /etc/sysctl.conf\|wc -l`
		1464	if [ "$accept_redirect" == "0" ]
		1465	then
679	richard	1466	echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
		1467	else
		1468	$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
568	richard	1469	fi
679	richard	1470	sysctl -w net.ipv4.conf.all.send_redirects=0
568	richard	1471	send_redirect=`grep send_redirect /etc/sysctl.conf\|wc -l`
		1472	if [ "$send_redirect" == "0" ]
		1473	then
679	richard	1474	echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
		1475	else
		1476	$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
568	richard	1477	fi
		1478	# activer les SYN Cookies (attaque syn flood)
679	richard	1479	sysctl -w net.ipv4.tcp_syncookies=1
568	richard	1480	tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf\|wc -l`
		1481	if [ "$tcp_syncookies" == "0" ]
		1482	then
679	richard	1483	echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
		1484	else
		1485	$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
568	richard	1486	fi
595	richard	1487	# activer l'antispoofing niveau Noyau
568	richard	1488	$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
		1489	sysctl -w net.ipv4.conf.all.rp_filter=1
		1490	# ignorer le source routing
679	richard	1491	sysctl -w net.ipv4.conf.all.accept_source_route=0
568	richard	1492	accept_source_route=`grep accept_source_route /etc/sysctl.conf\|wc -l`
		1493	if [ "$accept_source_route" == "0" ]
		1494	then
679	richard	1495	echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
		1496	else
		1497	$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
568	richard	1498	fi
679	richard	1499	# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
		1500	sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
		1501	timeout_established=`grep timeout_established /etc/sysctl.conf\|wc -l`
		1502	if [ "$timeout_established" == "0" ]
		1503	then
		1504	echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
		1505	else
793	richard	1506	$SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf
679	richard	1507	fi
		1508	# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée)
568	richard	1509	sysctl -w net.ipv4.conf.all.log_martians=0
		1510	$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
		1511
793	richard	1512
306	richard	1513	# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
		1514	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1	root	1515	# On mets en place la sécurité sur les fichiers
		1516	# des modif par rapport à radius update
		1517	cat <<EOF > /etc/security/msec/perm.local
		1518	/var/log/firewall/ root.apache 750
		1519	/var/log/firewall/* root.apache 640
		1520	/etc/security/msec/perm.local root.root 640
		1521	/etc/security/msec/level.local root.root 640
		1522	/etc/freeradius-web root.apache 750
		1523	/etc/freeradius-web/admin.conf root.apache 640
		1524	/etc/freeradius-web/config.php root.apache 640
		1525	/etc/raddb/dictionnary root.radius 640
		1526	/etc/raddb/ldap.attrmap root.radius 640
		1527	/etc/raddb/hints root.radius 640
		1528	/etc/raddb/huntgroups root.radius 640
		1529	/etc/raddb/attrs.access_reject root.radius 640
		1530	/etc/raddb/attrs.accounting_response root.radius 640
		1531	/etc/raddb/acct_users root.radius 640
		1532	/etc/raddb/preproxy_users root.radius 640
		1533	/etc/raddb/modules/ldap radius.apache 660
		1534	/etc/raddb/sites-available/alcasar radius.apache 660
		1535	/etc/pki/* root.apache 750
		1536	EOF
		1537	/usr/sbin/msec
59	richard	1538	# modification /etc/inittab
		1539	[ -e /etc/inittab.default ] \|\| cp /etc/inittab /etc/inittab.default
60	richard	1540	# On ne garde que 3 terminaux
59	richard	1541	$SED "s?^4.*?#&?g" /etc/inittab
		1542	$SED "s?^5.*?#&?g" /etc/inittab
		1543	$SED "s?^6.*?#&?g" /etc/inittab
470	richard	1544	# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
		1545	$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
		1546	$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
532	richard	1547	# On supprime les services et les utilisateurs inutiles
793	richard	1548	for svc in alsa sound dm atd bootlogd stop-bootlogd
532	richard	1549	do
		1550	/sbin/chkconfig --del $svc
		1551	done
		1552	for rm_users in avahi-autoipd avahi icapd
		1553	do
		1554	user=`cat /etc/passwd\|grep $rm_users\|cut -d":" -f1`
		1555	if [ "$user" == "$rm_users" ]
		1556	then
		1557	/usr/sbin/userdel -f $rm_users
		1558	fi
		1559	done
628	richard	1560	# Load and update the previous conf file
5	franck	1561	if [ "$mode" = "update" ]
		1562	then
389	franck	1563	$DIR_DEST_BIN/alcasar-conf.sh --load
628	richard	1564	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
		1565	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
5	franck	1566	fi
595	richard	1567	rm -f /tmp/alcasar-conf*
434	richard	1568	chown -R root:apache $DIR_DEST_ETC/*
512	richard	1569	chmod -R 660 $DIR_DEST_ETC/*
434	richard	1570	chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1	root	1571	cd $DIR_INSTALL
5	franck	1572	echo ""
1	root	1573	echo "#############################################################################"
638	richard	1574	if [ $Lang == "fr" ]
		1575	then
		1576	echo "# Fin d'installation d'ALCASAR #"
		1577	echo "# #"
		1578	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1579	echo "# des Accès au Réseau ( ALCASAR ) #"
		1580	echo "# #"
		1581	echo "#############################################################################"
		1582	echo
		1583	echo "- ALCASAR sera fonctionnel après redémarrage du système"
		1584	echo
		1585	echo "- Lisez attentivement la documentation d'exploitation"
		1586	echo
		1587	echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
		1588	echo
		1589	echo " Appuyez sur 'Entrée' pour continuer"
		1590	else
		1591	echo "# Enf of ALCASAR install process #"
		1592	echo "# #"
		1593	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1594	echo "# des Accès au Réseau ( ALCASAR ) #"
		1595	echo "# #"
		1596	echo "#############################################################################"
		1597	echo
		1598	echo "- The system will be rebooted in order to operate ALCASAR"
		1599	echo
		1600	echo "- Read the exploitation documentation"
		1601	echo
		1602	echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
		1603	echo
		1604	echo " Hit 'Enter' to continue"
		1605	fi
815	richard	1606	sleep 2
		1607	if [ "$mode" != "update" ]
820	richard	1608	then
815	richard	1609	read a
		1610	fi
774	richard	1611	clear
		1612	# Apply and save the firewall rules
490	richard	1613	sh $DIR_DEST_BIN/alcasar-iptables.sh
		1614	sleep 2
1	root	1615	reboot
		1616	} # End post_install ()
		1617
		1618	#################################
		1619	# Boucle principale du script #
		1620	#################################
291	franck	1621	usage="Usage: alcasar.sh {-i or --install} \| {-u or --uninstall}"
1	root	1622	nb_args=$#
		1623	args=$1
		1624	if [ $nb_args -eq 0 ]
		1625	then
		1626	nb_args=1
		1627	args="-h"
		1628	fi
		1629	case $args in
		1630	-\? \| -h* \| --h*)
		1631	echo "$usage"
		1632	exit 0
		1633	;;
291	franck	1634	-i \| --install)
5	franck	1635	header_install
29	richard	1636	testing
597	richard	1637	# Test if ALCASAR is already installed
5	franck	1638	if [ -e $DIR_WEB/VERSION ]
1	root	1639	then
460	richard	1640	actual_version=`cat $DIR_WEB/VERSION`
595	richard	1641	if [ $Lang == "fr" ]
		1642	then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
		1643	else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
		1644	fi
5	franck	1645	response=0
460	richard	1646	PTN='^[oOnNyY]$'
580	richard	1647	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1648	do
595	richard	1649	if [ $Lang == "fr" ]
		1650	then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
		1651	else echo -n "Do you want to update (Y/n)?";
		1652	fi
5	franck	1653	read response
		1654	done
597	richard	1655	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
5	franck	1656	then
597	richard	1657	rm -f /tmp/alcasar-conf*
		1658	else
510	richard	1659	RUNNING_VERSION=`cat $DIR_WEB/VERSION\|cut -d" " -f1`
		1660	MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f1`
		1661	MIN_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f2\|cut -c1`
		1662	UPD_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f3`
636	richard	1663	# Create a backup of running version importants files
5	franck	1664	chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
389	franck	1665	$DIR_SCRIPTS/alcasar-conf.sh --create
532	richard	1666	mode="update"
5	franck	1667	fi
1	root	1668	fi
595	richard	1669	# RPMs install
		1670	$DIR_SCRIPTS/alcasar-urpmi.sh
		1671	if [ "$?" != "0" ]
1	root	1672	then
595	richard	1673	exit 0
		1674	fi
		1675	if [ -e $DIR_WEB/VERSION ]
		1676	then
597	richard	1677	# Uninstall the running version
532	richard	1678	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
595	richard	1679	fi
636	richard	1680	# Test if manual update
597	richard	1681	if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
595	richard	1682	then
636	richard	1683	header_install
595	richard	1684	if [ $Lang == "fr" ]
636	richard	1685	then echo "Le fichier de configuration d'une ancienne version a été trouvé";
		1686	else echo "The configuration file of an old version has been found";
595	richard	1687	fi
597	richard	1688	response=0
		1689	PTN='^[oOnNyY]$'
		1690	until [[ $(expr $response : $PTN) -gt 0 ]]
		1691	do
		1692	if [ $Lang == "fr" ]
		1693	then echo -n "Voulez-vous l'utiliser (O/n)? ";
		1694	else echo -n "Do you want to use it (Y/n)?";
		1695	fi
		1696	read response
		1697	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		1698	then rm -f /tmp/alcasar-conf*
		1699	fi
		1700	done
		1701	fi
636	richard	1702	# Test if update
597	richard	1703	if [ -e /tmp/alcasar-conf.tar.gz ]
		1704	then
		1705	if [ $Lang == "fr" ]
		1706	then echo "#### Installation avec mise à jour ####";
		1707	else echo "#### Installation with update ####";
		1708	fi
636	richard	1709	# Extract the central configuration file
637	richard	1710	tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf
		1711	ORGANISME=`grep ORGANISM conf/etc/alcasar.conf\|cut -d"=" -f2`
5	franck	1712	mode="update"
		1713	else
		1714	mode="install"
1	root	1715	fi
604	richard	1716	for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
5	franck	1717	do
		1718	$func
735	richard	1719	# echo "* 'debug' : end of function $func *"; read a
14	richard	1720	done
5	franck	1721	;;
291	franck	1722	-u \| --uninstall)
5	franck	1723	if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1	root	1724	then
597	richard	1725	if [ $Lang == "fr" ]
		1726	then echo "ALCASAR n'est pas installé!";
		1727	else echo "ALCASAR isn't installed!";
		1728	fi
1	root	1729	exit 0
		1730	fi
5	franck	1731	response=0
		1732	PTN='^[oOnN]$'
580	richard	1733	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1734	do
597	richard	1735	if [ $Lang == "fr" ]
		1736	then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
		1737	else echo -n "Do you want to crate the running version configuration file (Y/n)? ";
		1738	fi
5	franck	1739	read response
		1740	done
597	richard	1741	if [ "$reponse" = "o" ] \|\| [ "$reponse" = "O" ] \|\| [ "$response" = "Y" ] \|\| [ "$response" = "y" ]
1	root	1742	then
389	franck	1743	$DIR_SCRIPT/alcasar-conf.sh --create
498	richard	1744	else
		1745	rm -f /tmp/alcasar-conf*
1	root	1746	fi
597	richard	1747	# Uninstall the running version
65	richard	1748	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1	root	1749	;;
		1750	*)
		1751	echo "Argument inconnu :$1";
460	richard	1752	echo "Unknown argument :$1";
1	root	1753	echo "$usage"
		1754	exit 1
		1755	;;
		1756	esac
10	franck	1757	# end of script
366	franck	1758

Subversion Repositories ALCASAR

(root)/alcasar.sh @ 2681 – Rev 830