WebSVN – ALCASAR – Blame – /alcasar.sh

Rev	Author	Line No.	Line
672	richard	1	#!/bin/bash
57	franck	2	# $Id: alcasar.sh 837 2012-03-12 22:21:54Z richard $
1	root	3
		4	# alcasar.sh
		5	# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
		6	# This script is distributed under the Gnu General Public License (GPL)
		7
672	richard	8	# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
		9	# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
1	root	10	# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
		11	# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
672	richard	12	#
806	richard	13	# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, awstat, ntpd, openssl, dnsmasq, havp, libclamav and firewalleyes
1	root	14
		15	# Options :
376	franck	16	# -i or --install
		17	# -u or --uninstall
1	root	18
376	franck	19	# Functions :
29	richard	20	# testing : Tests de connectivité et de téléchargement avant installation
1	root	21	# init : Installation des RPM et des scripts
		22	# network : Paramètrage du réseau
		23	# gestion : Installation de l'interface de gestion
		24	# AC : Initialisation de l'autorité de certification. Création des certificats
		25	# init_db : Création de la base 'radius' sur le serveur MySql
		26	# param_radius : Configuration du serveur d'authentification FreeRadius
		27	# param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
		28	# param_chilli : Configuration du daemon 'coova-chilli' et de la page d'authentification
		29	# param_squid : Configuration du proxy squid en mode 'cache'
		30	# param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
479	richard	31	# antivirus : Installation havp + libclamav
1	root	32	# param_awstats : Configuration de l'interface des statistiques de consultation WEB
297	richard	33	# dnsmasq : Configuration du serveur de noms et du serveur dhcp de secours
308	richard	34	# BL : Configuration de la BlackList
1	root	35	# cron : Mise en place des exports de logs (+ chiffrement)
532	richard	36	# post_install : Finalisation environnement ( sécurité, bannières, rotation logs, ...)
1	root	37
		38	DATE=`date '+%d %B %Y - %Hh%M'`
		39	DATE_SHORT=`date '+%d/%m/%Y'`
595	richard	40	Lang=`echo $LANG\|cut -c 1-2`
1	root	41	# ***** Files parameters - paramètres fichiers *******
832	richard	42	DIR_INSTALL=`pwd` # install directory
1	root	43	DIR_CONF="$DIR_INSTALL/conf" # répertoire d'installation contenant les fichiers de configuration
		44	DIR_SCRIPTS="$DIR_INSTALL/scripts" # répertoire d'installation contenant les scripts
806	richard	45	DIR_SAVE="/var/Save" # répertoire de sauvegarde (system_backup, user_db_backup, logs)
316	richard	46	DIR_WEB="/var/www/html" # répertoire racine APACHE
648	richard	47	DIR_DG="/etc/dansguardian" # répertoire de config de DansGuardian
316	richard	48	DIR_ACC="$DIR_WEB/acc" # répertoire du centre de gestion 'ALCASAR Control Center'
1	root	49	DIR_DEST_BIN="/usr/local/bin" # répertoire des scripts
		50	DIR_DEST_SBIN="/usr/local/sbin" # répertoire des scripts d'admin
		51	DIR_DEST_ETC="/usr/local/etc" # répertoire des fichiers de conf
628	richard	52	CONF_FILE="$DIR_DEST_ETC/alcasar.conf" # fichier de conf d'alcasar
		53	PASSWD_FILE="/root/ALCASAR-passwords.txt" # fichier texte contenant les mots de passe et secrets partagés
1	root	54	# ***** DBMS parameters - paramètres SGBD ******
		55	DB_RADIUS="radius" # nom de la base de données utilisée par le serveur FreeRadius
		56	DB_USER="radius" # nom de l'utilisateur de la base de données
		57	# ***** Network parameters - paramètres réseau *****
503	richard	58	HOSTNAME="alcasar" #
1	root	59	DOMAIN="localdomain" # domaine local
		60	EXTIF="eth0" # ETH0 est l'interface connectée à Internet (Box FAI)
		61	INTIF="eth1" # ETH1 est l'interface connectée au réseau local de consultation
597	richard	62	DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24" # adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
1	root	63	# **** Paths - chemin des commandes *****
		64	SED="/bin/sed -i"
		65	# **************** End of global parameters *******************
		66
		67	header_install ()
		68	{
		69	clear
		70	echo "-----------------------------------------------------------------------------"
460	richard	71	echo " ALCASAR V$VERSION Installation"
1	root	72	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
		73	echo "-----------------------------------------------------------------------------"
		74	} # End of header_install ()
		75
		76	##################################################################
29	richard	77	## Fonction TESTING ##
		78	## - Test de la connectivité Internet ##
		79	##################################################################
		80	testing ()
		81	{
595	richard	82	if [ $Lang == "fr" ]
784	richard	83	then echo -n "Tests des paramètres réseau : "
595	richard	84	else echo -n "Network parameters tests : "
		85	fi
784	richard	86	# We test eth0 config files
		87	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF\|cut -d"=" -f2`
		88	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF\|cut -d"=" -f2`
		89	if [ `echo $PUBLIC_IP\|wc -c` -lt 7 ] \|\| [ `echo $PUBLIC_GATEWAY\|wc -c` -lt 7 ]
		90	then
		91	if [ $Lang == "fr" ]
		92	then
		93	echo "Échec"
		94	echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."
		95	echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
830	richard	96	echo "Appliquez les changements : 'service network restart'"
784	richard	97	else
		98	echo "Failed"
		99	echo "The Internet connected network card ($EXTIF) isn't well configured."
		100	echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
830	richard	101	echo "Apply the new configuration 'service network restart'"
784	richard	102	fi
830	richard	103	echo "DEVICE=$EXTIF"
784	richard	104	echo "IPADDR="
		105	echo "NETMASK="
		106	echo "GATEWAY="
		107	echo "DNS1="
		108	echo "DNS2="
830	richard	109	echo "ONBOOT=yes"
784	richard	110	exit 0
		111	fi
		112	echo -n "."
460	richard	113	# We test the Ethernet links state
29	richard	114	for i in $EXTIF $INTIF
		115	do
294	richard	116	/sbin/ip link set $i up
306	richard	117	sleep 3
808	franck	118	CMD=`/usr/sbin/ethtool $i \|grep Link \| awk '{print $NF}'`
		119	CMD2=`/sbin/mii-tool $i \| grep -i link \| awk '{print $NF}'`
		120	if [ $CMD != "yes" ] && [ $CMD2 != "ok" ]
29	richard	121	then
595	richard	122	if [ $Lang == "fr" ]
		123	then
		124	echo "Échec"
		125	echo "Le lien réseau de la carte $i n'est pas actif."
		126	echo "Réglez ce problème puis relancez ce script."
		127	else
		128	echo "Failed"
		129	echo "The link state of $i interface id down."
		130	echo "Resolv this problem, then restart this script."
		131	fi
29	richard	132	exit 0
		133	fi
308	richard	134	echo -n "."
29	richard	135	done
		136	# On teste la présence d'un routeur par défaut (Box FAI)
784	richard	137	if [ `ip route list\|grep -c ^default` -ne "1" ] ; then
595	richard	138	if [ $Lang == "fr" ]
		139	then
		140	echo "Échec"
		141	echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
		142	echo "Réglez ce problème puis relancez ce script."
		143	else
		144	echo "Failed"
		145	echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
		146	echo "Resolv this problem, then restart this script."
		147	fi
29	richard	148	exit 0
		149	fi
308	richard	150	echo -n "."
		151	# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
784	richard	152	if [ `ip route list\|grep ^default\|grep -c eth1` -eq "1" ] ; then
595	richard	153	if [ $Lang == "fr" ]
		154	then echo "La configuration des cartes réseau va être corrigée."
		155	else echo "The Ethernet card configuration will be corrected."
		156	fi
29	richard	157	/etc/init.d/network stop
		158	mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
		159	$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
		160	/etc/init.d/network start
		161	echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
		162	sleep 2
595	richard	163	if [ $Lang == "fr" ]
		164	then echo "Configuration corrigée"
		165	else echo "Configuration updated"
		166	fi
29	richard	167	sleep 2
595	richard	168	if [ $Lang == "fr" ]
		169	then echo "Vous pouvez relancer ce script."
		170	else echo "You can restart this script."
		171	fi
29	richard	172	exit 0
		173	fi
308	richard	174	echo -n "."
		175	# On test le lien vers le routeur par default
		176	IP_GW=`ip route list\|grep ^default\|cut -d" " -f3`
		177	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW\|grep response\|cut -d" " -f2`
527	richard	178	if [ $(expr $arp_reply) -eq 0 ]
308	richard	179	then
595	richard	180	if [ $Lang == "fr" ]
		181	then
		182	echo "Échec"
		183	echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
		184	echo "Réglez ce problème puis relancez ce script."
		185	else
		186	echo "Failed"
		187	echo "The Internet gateway doesn't answered"
		188	echo "Resolv this problem, then restart this script."
		189	fi
308	richard	190	exit 0
		191	fi
		192	echo -n "."
421	franck	193	# On teste la connectivité Internet
29	richard	194	rm -rf /tmp/con_ok.html
308	richard	195	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
29	richard	196	if [ ! -e /tmp/con_ok.html ]
		197	then
595	richard	198	if [ $Lang == "fr" ]
		199	then
		200	echo "La tentative de connexion vers Internet a échoué (google.fr)."
		201	echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
		202	echo "Vérifiez la validité des adresses IP des DNS."
		203	else
		204	echo "The Internet connection try failed (google.fr)."
		205	echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
		206	echo "Verify the DNS IP addresses"
		207	fi
29	richard	208	exit 0
		209	fi
		210	rm -rf /tmp/con_ok.html
308	richard	211	echo ". : ok"
302	richard	212	} # end of testing
		213
		214	##################################################################
		215	## Fonction INIT ##
		216	## - Création du fichier "/root/ALCASAR_parametres.txt" ##
		217	## - Installation et modification des scripts du portail ##
		218	##################################################################
		219	init ()
		220	{
527	richard	221	if [ "$mode" != "update" ]
302	richard	222	then
		223	# On affecte le nom d'organisme
597	richard	224	header_install
302	richard	225	ORGANISME=!
		226	PTN='^[a-zA-Z0-9-]*$'
580	richard	227	until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
302	richard	228	do
595	richard	229	if [ $Lang == "fr" ]
597	richard	230	then echo -n "Entrez le nom de votre organisme : "
		231	else echo -n "Enter the name of your organism : "
595	richard	232	fi
330	franck	233	read ORGANISME
613	richard	234	if [ "$ORGANISME" == "" ]
330	franck	235	then
		236	ORGANISME=!
		237	fi
		238	done
302	richard	239	fi
1	root	240	# On crée aléatoirement les mots de passe et les secrets partagés
628	richard	241	rm -f $PASSWD_FILE
59	richard	242	grubpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de protection du menu Grub
628	richard	243	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
		244	echo "$grubpwd" >> $PASSWD_FILE
59	richard	245	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
384	richard	246	$SED "/^password.*/d" /boot/grub/menu.lst
		247	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1	root	248	mysqlpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'administrateur Mysqld
628	richard	249	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
		250	echo "root / $mysqlpwd" >> $PASSWD_FILE
1	root	251	radiuspwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
628	richard	252	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
		253	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
1	root	254	secretuam=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre intercept.php et coova-chilli
628	richard	255	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
		256	echo "$secretuam" >> $PASSWD_FILE
1	root	257	secretradius=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre coova-chilli et FreeRadius
628	richard	258	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
		259	echo "$secretradius" >> $PASSWD_FILE
		260	chmod 640 $PASSWD_FILE
453	franck	261	# On installe les scripts et fichiers de configuration d'ALCASAR
806	richard	262	# - dans /usr/local/bin : alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,watchdog.sh}
5	franck	263	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
453	franck	264	# - dans /usr/local/sbin : alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
5	franck	265	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
453	franck	266	# - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
648	richard	267	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1	root	268	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
		269	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5	franck	270	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
		271	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
628	richard	272	# generate central conf file
		273	cat <<EOF > $CONF_FILE
612	richard	274	##########################################
		275	## ##
		276	## ALCASAR Parameters ##
		277	## ##
		278	##########################################
1	root	279
612	richard	280	INSTALL_DATE=$DATE
		281	VERSION=$VERSION
		282	ORGANISM=$ORGANISME
		283	EOF
628	richard	284	chmod o-rwx $CONF_FILE
1	root	285	} # End of init ()
		286
		287	##################################################################
		288	## Fonction network ##
		289	## - Définition du plan d'adressage du réseau de consultation ##
595	richard	290	## - Nommage DNS du système ##
1	root	291	## - Configuration de l'interface eth1 (réseau de consultation) ##
		292	## - Modification du fichier /etc/hosts ##
		293	## - Configuration du serveur de temps (NTP) ##
		294	## - Renseignement des fichiers hosts.allow et hosts.deny ##
		295	##################################################################
		296	network ()
		297	{
		298	header_install
636	richard	299	if [ "$mode" != "update" ]
		300	then
		301	if [ $Lang == "fr" ]
		302	then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
		303	else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
		304	fi
		305	response=0
		306	PTN='^[oOyYnN]$'
		307	until [[ $(expr $response : $PTN) -gt 0 ]]
1	root	308	do
595	richard	309	if [ $Lang == "fr" ]
659	richard	310	then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
618	richard	311	else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
595	richard	312	fi
1	root	313	read response
		314	done
636	richard	315	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		316	then
		317	PRIVATE_IP_MASK="0"
		318	PTN='^$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$/[012]\?[[:digit:]]$'
		319	until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
1	root	320	do
595	richard	321	if [ $Lang == "fr" ]
597	richard	322	then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
		323	else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
595	richard	324	fi
597	richard	325	read PRIVATE_IP_MASK
1	root	326	done
636	richard	327	else
		328	PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
		329	fi
595	richard	330	else
637	richard	331	PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf\|cut -d"=" -f2`
		332	rm -rf conf/etc/alcasar.conf
1	root	333	fi
784	richard	334	# Define Lan side Ethernet card
1	root	335	hostname $HOSTNAME
837	richard	336	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK \| cut -d"=" -f2` # private network address (ie.: 192.168.182.0)
		337	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK \| cut -d"=" -f2` # private network mask (ie.: 255.255.255.0)
		338	PRIVATE_IP=`echo $PRIVATE_IP_MASK \| cut -d"/" -f1` # ALCASAR private ip address (consultation LAN side)
		339	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK \|cut -d"=" -f2` # network prefix (ie. 24)
		340	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix # ie.: 192.168.182.0/24
		341	classe=$((private_prefix/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2` # ie.: 2=classe B, 3=classe C
		342	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`. # compatibility with hosts.allow et hosts.deny (ie.: 192.168.182.)
		343	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # private network broadcast (ie.: 192.168.182.255)
		344	private_network_ending=`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup` # last octet of LAN address
		345	private_broadcast_ending=`echo $PRIVATE_BROADCAST \| cut -d"." -f$classe_sup` # last octet of LAN broadcast
		346	PRIVATE_FIRST_IP=`echo $PRIVATE_NETWORK \| cut -d"." -f1-3`"."`expr $private_network_ending + 1` # First network address (ex.: 192.168.182.1)
		347	PRIVATE_LAST_IP=`echo $PRIVATE_BROADCAST \| cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1` # last network address (ex.: 192.168.182.254)
784	richard	348	# Define Internet side Ethernet card
14	richard	349	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] \|\| cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
		350	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 1er DNS
		351	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 2ème DNS
70	franck	352	DNS1=${DNS1:=208.67.220.220}
		353	DNS2=${DNS2:=208.67.222.222}
597	richard	354	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
784	richard	355	DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 \| cut -d"=" -f2`
		356	PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}
		357	PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK\|cut -d"=" -f2`
765	stephane	358	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
		359	echo "PUBLIC_MTU=1500" >> $CONF_FILE
628	richard	360	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE
		361	echo "DNS1=$DNS1" >> $CONF_FILE
		362	echo "DNS2=$DNS2" >> $CONF_FILE
		363	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
		364	echo "DHCP=on" >> $CONF_FILE
597	richard	365	[ -e /etc/sysconfig/network.default ] \|\| cp /etc/sysconfig/network /etc/sysconfig/network.default
784	richard	366	# Renseignement des fichiers de configuration réseau
1	root	367	cat <<EOF > /etc/sysconfig/network
		368	NETWORKING=yes
		369	HOSTNAME="$HOSTNAME"
		370	FORWARD_IPV4=true
		371	EOF
		372	# Modif /etc/hosts
		373	[ -e /etc/hosts.default ] \|\| cp /etc/hosts /etc/hosts.default
		374	cat <<EOF > /etc/hosts
503	richard	375	127.0.0.1 localhost
		376	$PRIVATE_IP $HOSTNAME
1	root	377	EOF
14	richard	378	# Configuration de l'interface eth0 (Internet)
		379	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
		380	DEVICE=$EXTIF
		381	BOOTPROTO=static
597	richard	382	IPADDR=$PUBLIC_IP
		383	NETMASK=$PUBLIC_NETMASK
		384	GATEWAY=$PUBLIC_GATEWAY
14	richard	385	DNS1=127.0.0.1
		386	ONBOOT=yes
		387	METRIC=10
		388	NOZEROCONF=yes
		389	MII_NOT_SUPPORTED=yes
		390	IPV6INIT=no
		391	IPV6TO4INIT=no
		392	ACCOUNTING=no
		393	USERCTL=no
		394	EOF
1	root	395	# Configuration de l'interface eth1 (réseau de consultation)
793	richard	396	# utile uniquement pour le mode bypass (cf. alcasar-bypass.sh)
		397	rm -f /etc/sysconfig/network-scripts/ifcfg-$INTIF
		398	cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF
1	root	399	DEVICE=$INTIF
		400	BOOTPROTO=static
		401	IPADDR=$PRIVATE_IP
604	richard	402	NETMASK=$PRIVATE_NETMASK
1	root	403	ONBOOT=yes
		404	METRIC=10
		405	NOZEROCONF=yes
		406	MII_NOT_SUPPORTED=yes
14	richard	407	IPV6INIT=no
		408	IPV6TO4INIT=no
		409	ACCOUNTING=no
		410	USERCTL=no
1	root	411	EOF
440	franck	412	# Mise à l'heure du serveur
		413	[ -e /etc/ntp/step-tickers.default ] \|\| cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
		414	cat <<EOF > /etc/ntp/step-tickers
455	franck	415	0.fr.pool.ntp.org # adapt to your country
		416	1.fr.pool.ntp.org
		417	2.fr.pool.ntp.org
440	franck	418	EOF
		419	# Configuration du serveur de temps (sur lui même)
1	root	420	[ -e /etc/ntp.conf.default ] \|\| cp /etc/ntp.conf /etc/ntp.conf.default
		421	cat <<EOF > /etc/ntp.conf
456	franck	422	server 0.fr.pool.ntp.org # adapt to your country
447	franck	423	server 1.fr.pool.ntp.org
		424	server 2.fr.pool.ntp.org
		425	server 127.127.1.0 # local clock si NTP internet indisponible ...
411	richard	426	fudge 127.127.1.0 stratum 10
604	richard	427	restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
1	root	428	restrict 127.0.0.1
310	richard	429	driftfile /var/lib/ntp/drift
1	root	430	logfile /var/log/ntp.log
		431	EOF
440	franck	432
310	richard	433	chown -R ntp:ntp /var/lib/ntp
1	root	434	# Renseignement des fichiers hosts.allow et hosts.deny
		435	[ -e /etc/hosts.allow.default ] \|\| cp /etc/hosts.allow /etc/hosts.allow.default
		436	cat <<EOF > /etc/hosts.allow
		437	ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
604	richard	438	sshd: ALL
1	root	439	ntpd: $PRIVATE_NETWORK_SHORT
		440	EOF
		441	[ -e /etc/host.deny.default ] \|\| cp /etc/hosts.deny /etc/hosts.deny.default
		442	cat <<EOF > /etc/hosts.deny
		443	ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" \| /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
		444	EOF
604	richard	445	# Firewall config
790	richard	446	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		447	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		448	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
		449	# create the filter exxeption file
		450	touch $DIR_DEST_ETC/alcasar-filter-exceptions
		451	# load conntrack ftp module
		452	[ -e /etc/modprobe.preload.default ] \|\| cp /etc/modprobe.preload /etc/modprobe.preload.default
		453	echo "ip_conntrack_ftp" >> /etc/modprobe.preload
604	richard	454	# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
1	root	455	} # End of network ()
		456
		457	##################################################################
		458	## Fonction gestion ##
		459	## - installation du centre de gestion ##
		460	## - configuration du serveur web (Apache) ##
		461	## - définition du 1er comptes de gestion ##
		462	## - sécurisation des accès ##
		463	##################################################################
		464	gestion()
		465	{
		466	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
		467	mkdir $DIR_WEB
		468	# Copie et configuration des fichiers du centre de gestion
316	richard	469	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
1	root	470	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
316	richard	471	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
		472	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		473	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		474	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
498	richard	475	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
316	richard	476	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
5	franck	477	chown -R apache:apache $DIR_WEB/*
806	richard	478	for i in system_backup base logs/firewall logs/httpd logs/squid ;
1	root	479	do
		480	[ -d $DIR_SAVE/$i ] \|\| mkdir -p $DIR_SAVE/$i
		481	done
5	franck	482	chown -R root:apache $DIR_SAVE
71	richard	483	# Configuration et sécurisation php
		484	[ -e /etc/php.ini.default ] \|\| cp /etc/php.ini /etc/php.ini.default
534	richard	485	timezone=`cat /etc/sysconfig/clock\|grep ZONE\|cut -d"=" -f2`
		486	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
411	richard	487	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
		488	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
71	richard	489	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
		490	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
		491	# Configuration et sécurisation Apache
790	richard	492	rm -rf /var/www/cgi-bin/* /var/www/perl/* /var/www/icons/README* /var/www/error/README*
1	root	493	[ -e /etc/httpd/conf/httpd.conf.default ] \|\| cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
580	richard	494	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
303	richard	495	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
1	root	496	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
		497	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
		498	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
790	richard	499	$SED "s?^LoadModule authn_anon_module.*?#LoadModule authn_anon_module modules/mod_authn_anon.so?g" /etc/httpd/conf/httpd.conf
		500	$SED "s?^LoadModule status_module.*?#LoadModule status_module modules/mod_status.so?g" /etc/httpd/conf/httpd.conf
		501	$SED "s?^LoadModule autoindex_module.*?#LoadModule autoindex_module modules/mod_autoindex.so?g" /etc/httpd/conf/httpd.conf
		502	$SED "s?^LoadModule info_module.*?#LoadModule info_module modules/mod_info.so?g" /etc/httpd/conf/httpd.conf
		503	$SED "s?^LoadModule imagemap_module.*?#LoadModule imagemap_module modules/mod_imagemap.so?g" /etc/httpd/conf/httpd.conf
		504	$SED "s?^LoadModule rewrite_module.*?#LoadModule rewrite_module modules/mod_rewrite.so?g" /etc/httpd/conf/httpd.conf
1	root	505	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
		506	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
		507	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
		508	[ -e /var/www/error/include/bottom.html.default ] \|\| mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
		509	cat <<EOF > /var/www/error/include/bottom.html
		510	</body>
		511	</html>
		512	EOF
		513	# Définition du premier compte lié au profil 'admin'
509	richard	514	header_install
510	richard	515	if [ "$mode" = "install" ]
		516	then
613	richard	517	admin_portal=!
		518	PTN='^[a-zA-Z0-9-]*$'
		519	until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
		520	do
		521	header_install
		522	if [ $Lang == "fr" ]
		523	then
		524	echo ""
		525	echo "Définissez un premier compte d'administration du portail :"
		526	echo
		527	echo -n "Nom : "
		528	else
		529	echo ""
		530	echo "Define the first account allow to administrate the portal :"
		531	echo
		532	echo -n "Account : "
		533	fi
		534	read admin_portal
		535	if [ "$admin_portal" == "" ]
		536	then
		537	admin_portal=!
		538	fi
		539	done
1	root	540	# Création du fichier de clés de ce compte dans le profil "admin"
510	richard	541	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		542	mkdir -p $DIR_DEST_ETC/digest
		543	chmod 755 $DIR_DEST_ETC/digest
		544	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		545	do
613	richard	546	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	547	done
		548	$DIR_DEST_SBIN/alcasar-profil.sh --list
595	richard	549	else # mise à jour des versions < 2.1
510	richard	550	if ([ $MAJ_RUNNING_VERSION -lt 2 ] \|\| ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
		551	then
613	richard	552	if [ $Lang == "fr" ]
		553	then
		554	echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
		555	echo
		556	echo -n "Nom : "
		557	else
		558	echo "This update need to redefine the first admin account"
		559	echo
		560	echo -n "Account : "
		561	fi
		562	read admin_portal
510	richard	563	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		564	mkdir -p $DIR_DEST_ETC/digest
		565	chmod 755 $DIR_DEST_ETC/digest
		566	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		567	do
613	richard	568	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	569	done
		570	$DIR_DEST_SBIN/alcasar-profil.sh --list
		571	fi
		572	fi
434	richard	573	# synchronisation horaire
		574	ntpd -q -g &
1	root	575	# Sécurisation du centre
		576	rm -f /etc/httpd/conf/webapps.d/*
		577	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	578	<Directory $DIR_ACC>
1	root	579	SSLRequireSSL
		580	AllowOverride None
		581	Order deny,allow
		582	Deny from all
		583	Allow from 127.0.0.1
		584	Allow from $PRIVATE_NETWORK_MASK
		585	require valid-user
		586	AuthType digest
		587	AuthName $HOSTNAME
		588	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	589	AuthUserFile $DIR_DEST_ETC/digest/key_all
580	richard	590	ErrorDocument 404 https://$HOSTNAME/
1	root	591	</Directory>
316	richard	592	<Directory $DIR_ACC/admin>
1	root	593	SSLRequireSSL
		594	AllowOverride None
		595	Order deny,allow
		596	Deny from all
		597	Allow from 127.0.0.1
		598	Allow from $PRIVATE_NETWORK_MASK
		599	require valid-user
		600	AuthType digest
		601	AuthName $HOSTNAME
		602	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	603	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	604	ErrorDocument 404 https://$HOSTNAME/
1	root	605	</Directory>
344	richard	606	<Directory $DIR_ACC/manager>
1	root	607	SSLRequireSSL
		608	AllowOverride None
		609	Order deny,allow
		610	Deny from all
		611	Allow from 127.0.0.1
		612	Allow from $PRIVATE_NETWORK_MASK
		613	require valid-user
		614	AuthType digest
		615	AuthName $HOSTNAME
		616	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	617	AuthUserFile $DIR_DEST_ETC/digest/key_manager
580	richard	618	ErrorDocument 404 https://$HOSTNAME/
1	root	619	</Directory>
316	richard	620	<Directory $DIR_ACC/backup>
		621	SSLRequireSSL
		622	AllowOverride None
		623	Order deny,allow
		624	Deny from all
		625	Allow from 127.0.0.1
		626	Allow from $PRIVATE_NETWORK_MASK
		627	require valid-user
		628	AuthType digest
		629	AuthName $HOSTNAME
		630	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	631	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580	richard	632	ErrorDocument 404 https://$HOSTNAME/
316	richard	633	</Directory>
811	richard	634	Alias /save/ "$DIR_SAVE/"
		635	<Directory $DIR_SAVE>
		636	SSLRequireSSL
		637	Options Indexes
		638	Order deny,allow
		639	Deny from all
		640	Allow from 127.0.0.1
		641	Allow from $PRIVATE_NETWORK_MASK
		642	require valid-user
		643	AuthType digest
		644	AuthName $HOSTNAME
		645	AuthUserFile $DIR_DEST_ETC/digest/key_backup
		646	ErrorDocument 404 https://$HOSTNAME/
		647	</Directory>
1	root	648	EOF
		649	} # End of gestion ()
		650
		651	##########################################################################################
		652	## Fonction AC() ##
		653	## - Création d'une Autorité de Certification et du certificat serveur pour apache ##
		654	##########################################################################################
		655	AC ()
		656	{
		657	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
510	richard	658	$DIR_DEST_BIN/alcasar-CA.sh
800	richard	659	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl_vhost.conf`
303	richard	660	[ -e /etc/httpd/conf/vhosts-ssl.default ] \|\| cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
		661	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
		662	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
679	richard	663	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
5	franck	664	chown -R root:apache /etc/pki
1	root	665	chmod -R 750 /etc/pki
		666	} # End AC ()
		667
		668	##########################################################################################
		669	## Fonction init_db() ##
		670	## - Initialisation de la base Mysql ##
		671	## - Affectation du mot de passe de l'administrateur (root) ##
		672	## - Suppression des bases et des utilisateurs superflus ##
		673	## - Création de la base 'radius' ##
		674	## - Installation du schéma de cette base ##
		675	## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo) ##
		676	## ces table proviennent de 'dialupadmin' (paquetage freeradius-web) ##
		677	##########################################################################################
		678	init_db ()
		679	{
		680	mkdir -p /var/lib/mysql/.tmp
		681	chown mysql:mysql /var/lib/mysql/.tmp
227	franck	682	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf # prend en compte les migrations de MySQL
1	root	683	[ -e /etc/my.cnf.default ] \|\| cp /etc/my.cnf /etc/my.cnf.default
		684	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
		685	/etc/init.d/mysqld start
		686	sleep 4
		687	mysqladmin -u root password $mysqlpwd
		688	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615	richard	689	# Delete exemple databases if exist
1	root	690	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;"
615	richard	691	# Create 'radius' database
1	root	692	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
615	richard	693	# Add an empty radius database structure
364	franck	694	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
615	richard	695	# modify the start script in order to close accounting connexion when the system is comming down or up
		696	[ -e /etc/init.d/mysqld.default ] \|\| cp /etc/init.d/mysqld /etc/init.d/mysqld.default
		697	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
		698	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
1	root	699	} # End init_db ()
		700
		701	##########################################################################
		702	## Fonction param_radius ##
		703	## - Paramètrage des fichiers de configuration FreeRadius ##
		704	## - Affectation du secret partagé entre coova-chilli et freeradius ##
		705	## - Modification de fichier de conf pour l'accès à Mysql ##
		706	##########################################################################
		707	param_radius ()
		708	{
		709	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
		710	chown -R radius:radius /etc/raddb
		711	[ -e /etc/raddb/radiusd.conf.default ] \|\| cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
		712	# paramètrage radius.conf
		713	$SED "s?^[\t ]#[\t ]user =.*?user = radius?g" /etc/raddb/radiusd.conf
		714	$SED "s?^[\t ]#[\t ]group =.*?group = radius?g" /etc/raddb/radiusd.conf
		715	$SED "s?^[\t ]status_server =.?status_server = no?g" /etc/raddb/radiusd.conf
		716	# suppression de la fonction proxy
		717	$SED "s?^[\t ]proxy_requests.?proxy_requests = no?g" /etc/raddb/radiusd.conf
		718	$SED "s?^[\t ]\$INCLUDE proxy.conf.?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
654	richard	719	# suppression du module EAP
		720	$SED "s?^[\t ]\$INCLUDE eap.conf.?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
1	root	721	# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
		722	$SED "s?^[\t ]ipaddr =.?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
		723	# prise en compte du module SQL et des compteurs SQL
		724	$SED "s?^[\t ]#[\t ]\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
		725	$SED "s?^[\t ]#[\t ]\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
		726	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
		727	# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
		728	rm -f /etc/raddb/sites-enabled/*
		729	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
		730	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
		731	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
		732	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
		733	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
384	richard	734	# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
1	root	735	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
		736	# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
		737	[ -e /etc/raddb/clients.conf.default ] \|\| cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
		738	cat << EOF > /etc/raddb/clients.conf
		739	client 127.0.0.1 {
		740	secret = $secretradius
		741	shortname = localhost
		742	}
		743	EOF
		744	# modif sql.conf
		745	[ -e /etc/raddb/sql.conf.default ] \|\| cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
		746	$SED "s?^[\t ]login =.?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
		747	$SED "s?^[\t ]password =.?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
		748	$SED "s?^[\t ]radius_db =.?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
		749	$SED "s?^[\t ]sqltrace =.?sqltrace = no?g" /etc/raddb/sql.conf
		750	# modif dialup.conf
		751	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] \|\| cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
		752	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
		753	} # End param_radius ()
		754
		755	##########################################################################
		756	## Fonction param_web_radius ##
		757	## - Import, modification et paramètrage de l'interface "dialupadmin" ##
		758	## - Création du lien vers la page de changement de mot de passe ##
		759	##########################################################################
		760	param_web_radius ()
		761	{
		762	# copie de l'interface d'origine dans la structure Alcasar
316	richard	763	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
		764	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme
		765	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
344	richard	766	# copie des fichiers modifiés
		767	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
316	richard	768	chown -R apache:apache $DIR_ACC/manager/
344	richard	769	# Modification des fichiers de configuration
1	root	770	[ -e /etc/freeradius-web/admin.conf.default ] \|\| cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
503	richard	771	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
1	root	772	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
		773	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
		774	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
		775	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
		776	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
		777	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
		778	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
582	richard	779	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
344	richard	780	[ -e /etc/freeradius-web/config.php.default ] \|\| cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
		781	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
131	richard	782	cat <<EOF > /etc/freeradius-web/naslist.conf
632	richard	783	nas1_name: alcasar-$ORGANISME
1	root	784	nas1_model: Portail captif
		785	nas1_ip: $PRIVATE_IP
		786	nas1_port_num: 0
		787	nas1_community: public
		788	EOF
		789	# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
		790	[ -e /etc/freeradius-web/user_edit.attrs.default ] \|\| mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
		791	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
114	richard	792	# Ajout du mappage des attributs chillispot
		793	[ -e /etc/freeradius-web/sql.attrmap.default ] \|\| mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
		794	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
1	root	795	# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
		796	[ -e /etc/freeradius-web/sql.attrs.default ] \|\| cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
		797	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
		798	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5	franck	799	chown -R apache:apache /etc/freeradius-web
1	root	800	# Ajout de l'alias vers la page de "changement de mot de passe usager"
		801	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
344	richard	802	<Directory $DIR_WEB/pass>
1	root	803	SSLRequireSSL
		804	AllowOverride None
		805	Order deny,allow
		806	Deny from all
		807	Allow from 127.0.0.1
		808	Allow from $PRIVATE_NETWORK_MASK
580	richard	809	ErrorDocument 404 https://$HOSTNAME
1	root	810	</Directory>
		811	EOF
		812	} # End of param_web_radius ()
		813
799	richard	814	##################################################################################
		815	## Fonction param_chilli ##
		816	## - Création du fichier d'initialisation et de configuration de coova-chilli ##
		817	## - Paramètrage de la page d'authentification (intercept.php) ##
		818	##################################################################################
1	root	819	param_chilli ()
		820	{
799	richard	821	# init file creation
461	richard	822	[ -e /etc/init.d/chilli.default ] \|\| cp /etc/init.d/chilli /etc/init.d/chilli.default
799	richard	823	cat <<EOF > /etc/init.d/chilli
		824	#!/bin/sh
		825	#
		826	# chilli CoovaChilli init
		827	#
		828	# chkconfig: 2345 65 35
		829	# description: CoovaChilli
		830	### BEGIN INIT INFO
		831	# Provides: chilli
		832	# Required-Start: network
		833	# Should-Start:
		834	# Required-Stop: network
		835	# Should-Stop:
		836	# Default-Start: 2 3 5
		837	# Default-Stop:
		838	# Description: CoovaChilli access controller
		839	### END INIT INFO
		840
		841	[ -f /usr/sbin/chilli ] \|\| exit 0
		842	. /etc/init.d/functions
		843	CONFIG=/etc/chilli.conf
		844	pidfile=/var/run/chilli.pid
		845	[ -f \$CONFIG ] \|\| {
		846	echo "\$CONFIG Not found"
		847	exit 0
		848	}
		849	RETVAL=0
		850	prog="chilli"
		851	case \$1 in
		852	start)
		853	if [ -f \$pidfile ] ; then
		854	gprintf "chilli is already running"
		855	else
		856	gprintf "Starting \$prog: "
		857	rm -f /var/run/chilli* # cleaning
		858	/sbin/modprobe tun >/dev/null 2>&1
		859	echo 1 > /proc/sys/net/ipv4/ip_forward
		860	[ -e /dev/net/tun ] \|\| {
		861	(cd /dev;
		862	mkdir net;
		863	cd net;
		864	mknod tun c 10 200)
		865	}
		866	ifconfig eth1 0.0.0.0
		867	daemon /usr/sbin/chilli -c \$CONFIG --pidfile=\$pidfile &
		868	RETVAL=$?
		869	fi
		870	;;
		871
		872	reload)
		873	killall -HUP chilli
		874	;;
		875
		876	restart)
		877	\$0 stop
		878	sleep 2
		879	\$0 start
		880	;;
		881
		882	status)
		883	status chilli
		884	RETVAL=0
		885	;;
		886
		887	stop)
		888	if [ -f \$pidfile ] ; then
		889	gprintf "Shutting down \$prog: "
		890	killproc /usr/sbin/chilli
		891	RETVAL=\$?
		892	[ \$RETVAL = 0 ] && rm -f $pidfile
		893	else
		894	gprintf "chilli is not running"
		895	fi
		896	;;
		897
		898	*)
		899	echo "Usage: \$0 {start\|stop\|restart\|reload\|status}"
		900	exit 1
		901	esac
		902	echo
		903	EOF
		904
		905	# conf file creation
346	richard	906	[ -e /etc/chilli.conf.default ] \|\| cp /etc/chilli.conf /etc/chilli.conf.default
		907	cat <<EOF > /etc/chilli.conf
		908	# coova config for ALCASAR
		909	cmdsocket /var/run/chilli.sock
		910	unixipc chilli.eth1.ipc
		911	pidfile /var/run/chilli.eth1.pid
		912	net $PRIVATE_NETWORK_MASK
595	richard	913	dhcpif $INTIF
837	richard	914	dynip $PRIVATE_NETWORK_MASK
595	richard	915	ethers $DIR_DEST_ETC/alcasar-ethers
346	richard	916	domain localdomain
355	richard	917	dns1 $PRIVATE_IP
		918	dns2 $PRIVATE_IP
346	richard	919	uamlisten $PRIVATE_IP
503	richard	920	uamport 3990
837	richard	921	macauth
		922	macpasswd password
346	richard	923	locationname $HOSTNAME
		924	radiusserver1 127.0.0.1
		925	radiusserver2 127.0.0.1
		926	radiussecret $secretradius
		927	radiusauthport 1812
		928	radiusacctport 1813
467	richard	929	uamserver https://$HOSTNAME/intercept.php
346	richard	930	radiusnasid $HOSTNAME
		931	uamsecret $secretuam
793	richard	932	uamallowed alcasar
346	richard	933	coaport 3799
503	richard	934	include $DIR_DEST_ETC/alcasar-uamallowed
		935	include $DIR_DEST_ETC/alcasar-uamdomain
346	richard	936	EOF
605	richard	937	# création du fichier d'allocation d'adresses IP statiques
		938	touch $DIR_DEST_ETC/alcasar-ethers
1	root	939	# création des fichiers de sites, d'urls et d'adresses MAC de confiance
613	richard	940	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
503	richard	941	chown root:apache $DIR_DEST_ETC/alcasar-*
		942	chmod 660 $DIR_DEST_ETC/alcasar-*
		943	# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
526	stephane	944	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
		945	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
		946	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
796	richard	947	# user 'chilli' creation (in order to run conup/off and up/down scripts
		948	chilli_exist=`grep chilli /etc/passwd\|wc -l`
		949	if [ "$chilli_exist" == "1" ]
		950	then
		951	userdel -r chilli 2>/dev/null
		952	fi
		953	groupadd -f chilli
		954	useradd -r -g chilli -s /bin/false -c "system user for coova-chilli" chilli
1	root	955	} # End of param_chilli ()
		956
		957	##########################################################
		958	## Fonction param_squid ##
		959	## - Paramètrage du proxy 'squid' en mode 'cache' ##
		960	## - Initialisation de la base de données ##
		961	##########################################################
		962	param_squid ()
		963	{
		964	# paramètrage de Squid (connecté en série derrière Dansguardian)
		965	[ -e /etc/squid/squid.conf.default ] \|\| cp /etc/squid/squid.conf /etc/squid/squid.conf.default
		966	# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
		967	$SED "/^acl localnet/d" /etc/squid/squid.conf
		968	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
		969	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
		970	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
		971	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
		972	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
		973	# mode 'proxy transparent local'
595	richard	974	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
726	franck	975	# Configuration du cache local
749	franck	976	$SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 256 16 256?g" /etc/squid/squid.conf
405	franck	977	# emplacement et formatage standard des logs
419	franck	978	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
749	franck	979	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh' >> /etc/squid/squid.conf
405	franck	980	echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
1	root	981	# compatibilité des logs avec awstats
315	richard	982	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
749	franck	983	echo "half_closed_clients off" >> /etc/squid/squid.conf
		984	echo "server_persistent_connections off" >> /etc/squid/squid.conf
		985	echo "client_persistent_connections on" >> /etc/squid/squid.conf
		986	echo "client_lifetime 1440 minutes" >> /etc/squid/squid.conf
		987	echo "request_timeout 5 minutes" >> /etc/squid/squid.conf
		988	echo "persistent_request_timeout 2 minutes" >> /etc/squid/squid.conf
726	franck	989	echo "cache_mem 256 MB" >> /etc/squid/squid.conf
749	franck	990	echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
		991	echo "maximum_object_size 4096 KB" >> /etc/squid/squid.conf
835	richard	992	# anonymisation of squid version
813	richard	993	echo "via off" >> /etc/squid/squid.conf
835	richard	994	# remove the 'X_forwarded' http option
812	richard	995	echo "forwarded_for delete" >> /etc/squid/squid.conf
835	richard	996	# linked squid output in HAVP input
		997	echo "cache_peer 127.0.0.1 parent 8090 0 no-query default" >> /etc/squid/squid.conf
		998	echo "never_direct allow all" >> /etc/squid/squid.conf
		999	# avoid error messages on network interfaces state changes
313	richard	1000	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
835	richard	1001	# Squid cache init
1	root	1002	/usr/sbin/squid -z
		1003	} # End of param_squid ()
		1004
		1005	##################################################################
		1006	## Fonction param_dansguardian ##
		1007	## - Paramètrage du gestionnaire de contenu Dansguardian ##
		1008	##################################################################
		1009	param_dansguardian ()
		1010	{
		1011	mkdir /var/dansguardian
		1012	chown dansguardian /var/dansguardian
497	richard	1013	[ -e $DIR_DG/dansguardian.conf.default ] \|\| cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
307	richard	1014	# Le filtrage est désactivé par défaut
497	richard	1015	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1	root	1016	# la page d'interception est en français
497	richard	1017	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1	root	1018	# on limite l'écoute de Dansguardian côté LAN
497	richard	1019	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
835	richard	1020	# on chaîne Dansguardian au proxy cache SQUID
		1021	$SED "s?^proxyport.*?proxyport = 3128?g" $DIR_DG/dansguardian.conf
1	root	1022	# on remplace la page d'interception (template)
		1023	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
		1024	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
		1025	# on ne loggue que les deny (pour le reste, on a squid)
497	richard	1026	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
659	richard	1027	# lauch of 10 daemons (20 in largest server)
		1028	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1	root	1029	# on désactive par défaut le controle de contenu des pages html
497	richard	1030	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
		1031	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
		1032	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1	root	1033	# on désactive par défaut le contrôle d'URL par expressions régulières
497	richard	1034	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
		1035	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1	root	1036	# on désactive par défaut le contrôle de téléchargement de fichiers
497	richard	1037	[ -e $DIR_DG/dansguardianf1.conf.default ] \|\| cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
		1038	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
		1039	[ -e $DIR_DG/lists/bannedextensionlist.default ] \|\| mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
		1040	[ -e $DIR_DG/lists/bannedmimetypelist.default ] \|\| mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
		1041	touch $DIR_DG/lists/bannedextensionlist
		1042	touch $DIR_DG/lists/bannedmimetypelist
		1043	# 'Safesearch' regex actualisation
498	richard	1044	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
497	richard	1045	# empty LAN IP list that won't be WEB filtered
		1046	[ -e $DIR_DG/lists/exceptioniplist.default ] \|\| mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
		1047	touch $DIR_DG/lists/exceptioniplist
		1048	# Keep a copy of URL & domain filter configuration files
		1049	[ -e $DIR_DG/lists/bannedsitelist.default ] \|\| mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
		1050	[ -e $DIR_DG/lists/bannedurllist.default ] \|\| mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1	root	1051	} # End of param_dansguardian ()
		1052
71	richard	1053	##################################################################
		1054	## Fonction antivirus ##
479	richard	1055	## - configuration havp + libclamav ##
71	richard	1056	##################################################################
		1057	antivirus ()
		1058	{
288	richard	1059	# création de l'usager 'havp'
		1060	havp_exist=`grep havp /etc/passwd\|wc -l`
307	richard	1061	if [ "$havp_exist" == "1" ]
288	richard	1062	then
478	richard	1063	userdel -r havp 2>/dev/null
288	richard	1064	fi
307	richard	1065	groupadd -f havp
796	richard	1066	useradd -r -g havp -s /bin/false -c "system user for havp" havp
476	richard	1067	mkdir -p /var/tmp/havp /var/log/havp
		1068	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
307	richard	1069	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
109	richard	1070	# configuration d'HAVP
		1071	[ -e /etc/havp/havp.config.default ] \|\| cp /etc/havp/havp.config /etc/havp/havp.config.default
		1072	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
631	richard	1073	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config # datas come on 8090
		1074	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config # we listen only on loopback
		1075	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config # active libclamav AV
		1076	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config # log only when malware matches
659	richard	1077	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config # 10 daemons are started simultaneously
835	richard	1078	$SED "s?^# SCANIMAGES.*?SCANIMAGES false?g" /etc/havp/havp.config # doesn't scan image files
		1079	$SED "s?^# SKIPMIME.?SKIPMIME image\/\ video\/\* audio\/\*?g" /etc/havp/havp.config # doesn't scan some multimedia files
481	franck	1080	# remplacement du fichier d'initialisation
335	richard	1081	[ -e /etc/init.d/havp.default ] \|\| cp /etc/init.d/havp /etc/init.d/havp.default
481	franck	1082	cp -f $DIR_CONF/havp-init /etc/init.d/havp
340	richard	1083	# on remplace la page d'interception (template)
		1084	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
		1085	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
489	richard	1086	# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
		1087	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
		1088	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
734	richard	1089	# Virus database update
		1090	rm -f /var/lib/clamav/*.cld # in case of old database scheme
		1091	[ -e /var/lib/clamav/main.cvd ] \|\| /usr/bin/freshclam
71	richard	1092	}
		1093
1	root	1094	##################################################################################
476	richard	1095	## param_ulogd function ##
		1096	## - Ulog config for multi-log files ##
		1097	##################################################################################
		1098	param_ulogd ()
		1099	{
		1100	# Three instances of ulogd (three different logfiles)
		1101	[ -d /var/log/firewall ] \|\| mkdir -p /var/log/firewall
478	richard	1102	nl=1
		1103	for log_type in tracability ssh ext-access
		1104	do
		1105	[ -e /var/log/firewall/$log_type.log ] \|\| touch /var/log/firewall/$log_type.log
		1106	cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
		1107	$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf
		1108	$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
		1109	cat << EOF >> /etc/ulogd-$log_type.conf
		1110	[LOGEMU]
		1111	file="/var/log/firewall/$log_type.log"
		1112	sync=1
		1113	EOF
		1114	nl=`expr $nl + 1`
		1115	done
476	richard	1116	chown -R root:apache /var/log/firewall
		1117	chmod 750 /var/log/firewall
		1118	chmod 640 /var/log/firewall/*
		1119	[ -e /etc/init.d/ulogd.default ] \|\| cp /etc/init.d/ulogd /etc/init.d/ulogd.default
		1120	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
		1121	} # End of param_ulogd ()
		1122
		1123	##################################################################################
1	root	1124	## Fonction param_awstats ##
		1125	## - configuration de l'interface des logs de consultation WEB (AWSTAT) ##
		1126	##################################################################################
		1127	param_awstats()
		1128	{
316	richard	1129	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
		1130	chown -R apache:apache $DIR_ACC/awstats
1	root	1131	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
		1132	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
		1133	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
		1134	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
		1135	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
		1136	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
344	richard	1137	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
		1138	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1	root	1139	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
		1140	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59	richard	1141	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
580	richard	1142	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
		1143	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1144	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1145	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
		1146	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
		1147	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
		1148	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
		1149	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
		1150	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
		1151	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
		1152	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
		1153	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
		1154	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
		1155	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
		1156	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
		1157
1	root	1158	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	1159	<Directory $DIR_ACC/awstats>
1	root	1160	SSLRequireSSL
		1161	Options ExecCGI
		1162	AddHandler cgi-script .pl
		1163	DirectoryIndex awstats.pl
		1164	Order deny,allow
		1165	Deny from all
		1166	Allow from 127.0.0.1
		1167	Allow from $PRIVATE_NETWORK_MASK
		1168	require valid-user
		1169	AuthType digest
		1170	AuthName $HOSTNAME
		1171	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	1172	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	1173	ErrorDocument 404 https://$HOSTNAME/
1	root	1174	</Directory>
		1175	SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
		1176	EOF
		1177	} # End of param_awstats ()
		1178
		1179	##########################################################
235	richard	1180	## Fonction param_dnsmasq ##
1	root	1181	##########################################################
219	jeremy	1182	param_dnsmasq ()
		1183	{
		1184	[ -d /var/log/dnsmasq ] \|\| mkdir /var/log/dnsmasq
259	richard	1185	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
503	richard	1186	[ -e /etc/dnsmasq.conf.default ] \|\| cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
520	richard	1187	# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
503	richard	1188	cat << EOF > /etc/dnsmasq.conf
520	richard	1189	# Configuration file for "dnsmasq in forward mode"
503	richard	1190	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
259	richard	1191	listen-address=$PRIVATE_IP
		1192	listen-address=127.0.0.1
286	richard	1193	no-dhcp-interface=$INTIF
259	richard	1194	bind-interfaces
		1195	cache-size=256
		1196	domain=$DOMAIN
		1197	domain-needed
		1198	expand-hosts
		1199	bogus-priv
		1200	filterwin2k
		1201	server=$DNS1
		1202	server=$DNS2
498	richard	1203	# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
837	richard	1204	dhcp-range=$PRIVATE_FIRST_IP,$PRIVATE_LAST_IP,$PRIVATE_NETMASK,12h
632	richard	1205	dhcp-option=option:router,$PRIVATE_IP
259	richard	1206	#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
		1207
291	franck	1208	# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
420	franck	1209	#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
259	richard	1210	EOF
520	richard	1211	# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
		1212	cat << EOF > /etc/dnsmasq-blackhole.conf
		1213	# Configuration file for "dnsmasq with blackhole"
		1214	# Inclusion de la blacklist <domains> de Toulouse dans la configuration
		1215	conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
503	richard	1216	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
498	richard	1217	listen-address=$PRIVATE_IP
		1218	port=54
		1219	no-dhcp-interface=$INTIF
		1220	bind-interfaces
		1221	cache-size=256
		1222	domain=$DOMAIN
		1223	domain-needed
		1224	expand-hosts
		1225	bogus-priv
		1226	filterwin2k
		1227	server=$DNS1
		1228	server=$DNS2
		1229	EOF
718	franck	1230
800	richard	1231	# Init file modification
503	richard	1232	[ -e /etc/init.d/dnsmasq.default ] \|\| cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
800	richard	1233	# Start and stop a 2nd process for the "DNS blackhole"
520	richard	1234	$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
503	richard	1235	$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
800	richard	1236	# Start after chilli (65) which create tun0
		1237	$SED "s?^# chkconfig:.*?# chkconfig: 2345 99 40?g" /etc/init.d/dnsmasq
		1238	# Optionnellement on active les logs DNS des clients
786	richard	1239	[ -e /etc/sysconfig/dnsmasq.default ] \|\| cp /etc/sysconfig/dnsmasq /etc/sysconfig/dnsmasq.default
800	richard	1240	$SED "s?^OPTIONS=.*?#OPTIONS=\"-q --log-facility=/var/log/dnsmasq/queries.log\"?g" /etc/sysconfig/dnsmasq
308	richard	1241	} # End dnsmasq
		1242
		1243	##########################################################
		1244	## Fonction BL (BlackList) ##
		1245	##########################################################
		1246	BL ()
		1247	{
		1248	# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
648	richard	1249	rm -rf $DIR_DG/lists/blacklists
		1250	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
316	richard	1251	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
		1252	chown apache:apache $DIR_ACC/VERSION-BL
648	richard	1253	# on crée le répertoire de la BL secondaire et le répertoire "pureip" (catégorie virtuelle)
		1254	mkdir $DIR_DG/lists/blacklists/ossi $DIR_DG/lists/blacklists/ip
		1255	touch $DIR_DG/lists/blacklists/ossi/domains $DIR_DG/lists/blacklists/ip/domains
		1256	touch $DIR_DG/lists/blacklists/ossi/urls $DIR_DG/lists/blacklists/ip/urls
309	richard	1257	# On crée les fichiers vides de sites ou d'URL réhabilités
648	richard	1258	[ -e $DIR_DG/lists/exceptionsitelist.default ] \|\| mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
673	richard	1259	[ -e $DIR_DG/lists/exceptionurllist.default ] \|\| mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
648	richard	1260	touch $DIR_DG/lists/exceptionsitelist
		1261	touch $DIR_DG/lists/exceptionurllist
311	richard	1262	# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
648	richard	1263	cat <<EOF > $DIR_DG/lists/bannedurllist
311	richard	1264	# Dansguardian filter config for ALCASAR
		1265	EOF
648	richard	1266	cat <<EOF > $DIR_DG/lists/bannedsitelist
311	richard	1267	# Dansguardian domain filter config for ALCASAR
		1268	# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
		1269	#**
		1270	# block all SSL and CONNECT tunnels
		1271	**s
		1272	# block all SSL and CONNECT tunnels specified only as an IP
		1273	*ips
		1274	# block all sites specified only by an IP
		1275	*ip
		1276	EOF
648	richard	1277	chown -R dansguardian:apache $DIR_DG
		1278	chmod -R g+rw $DIR_DG
304	richard	1279	# On crée la structure du DNS-blackhole :
503	richard	1280	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1281	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1282	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
308	richard	1283	# On fait pointer le black-hole sur une page interne
		1284	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
786	richard	1285	# On adapte la BL de Toulouse à notre structure
654	richard	1286	if [ "$mode" != "update" ]; then
		1287	$DIR_DEST_SBIN/alcasar-bl.sh --adapt
		1288	fi
308	richard	1289	}
219	jeremy	1290
1	root	1291	##########################################################
		1292	## Fonction cron ##
		1293	## - Mise en place des différents fichiers de cron ##
		1294	##########################################################
		1295	cron ()
		1296	{
		1297	# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
		1298	[ -e /etc/crontab.default ] \|\| cp /etc/crontab /etc/crontab.default
		1299	cat <<EOF > /etc/crontab
		1300	SHELL=/bin/bash
		1301	PATH=/sbin:/bin:/usr/sbin:/usr/bin
		1302	MAILTO=root
		1303	HOME=/
		1304
		1305	# run-parts
		1306	01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
		1307	02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
		1308	22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
		1309	42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
		1310	EOF
		1311	[ -e /etc/anacrontab.default ] \|\| cp /etc/anacrontab /etc/anacrontab.default
		1312	cat <<EOF >> /etc/anacrontab
667	franck	1313	7 8 cron.MysqlDump nice /etc/cron.d/alcasar-mysql
		1314	7 10 cron.logExport nice /etc/cron.d/alcasar-export_log
		1315	7 15 cron.logClean nice /etc/cron.d/alcasar-clean_log
		1316	7 20 cron.importClean nice /etc/cron.d/alcasar-clean_import
1	root	1317	EOF
667	franck	1318	cat <<EOF > /etc/cron.d/alcasar-clean_log
713	franck	1319	# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1	root	1320	30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
		1321	EOF
811	richard	1322	cat <<EOF > /etc/cron.d/alcasar-mysql
1	root	1323	# export de la base des usagers (tous les lundi à 4h45)
671	franck	1324	45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
1	root	1325	EOF
667	franck	1326	cat <<EOF > /etc/cron.d/alcasar-export_log
713	franck	1327	# export des log squid, firewall et apache (tous les lundi à 5h00)
1	root	1328	00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
		1329	EOF
		1330	cat << EOF > /etc/cron.d/awstats
713	franck	1331	# mise à jour des stats de consultation WEB toutes les 30'
419	franck	1332	/30 * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1	root	1333	EOF
667	franck	1334	cat << EOF > /etc/cron.d/alcasar-clean_import
713	franck	1335	# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
503	richard	1336	30 * * * * root $DIR_DEST_BIN/alcasar-import-clean.sh
168	franck	1337	EOF
722	franck	1338	cat << EOF > /etc/cron.d/alcasar-distrib-updates
		1339	# mise à jour automatique de la distribution tous les jours 3h30
762	franck	1340	30 3 * * * root /usr/sbin/urpmi --auto-update --auto 2>&1
722	franck	1341	EOF
1	root	1342	# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
		1343	# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
		1344	# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct')
		1345	# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
		1346	# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
		1347	# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
		1348	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
		1349	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
		1350	rm -f /etc/cron.daily/freeradius-web
		1351	rm -f /etc/cron.monthly/freeradius-web
		1352	cat << EOF > /etc/cron.d/freeradius-web
		1353	1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
		1354	5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
		1355	10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
		1356	15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
		1357	EOF
671	franck	1358	cat << EOF > /etc/cron.d/alcasar-watchdog
713	franck	1359	# activation du "chien de garde" (watchdog) toutes les 3'
1	root	1360	/3 * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
		1361	EOF
808	franck	1362	# activation du "chien de garde des services" (watchdog) toutes les 18'
		1363	cat << EOF > /etc/cron.d/alcasar-daemon-watchdog
		1364	# activation du "chien de garde" (daemon-watchdog) toutes les 18'
		1365	/18 * * * root $DIR_DEST_BIN/alcasar-daemon.sh > /dev/null 2>&1
		1366	EOF
522	richard	1367	# suppression des crons usagers
		1368	rm -f /var/spool/cron/*
1	root	1369	} # End cron
		1370
		1371	##################################################################
		1372	## Fonction post_install ##
		1373	## - Modification des bannières (locales et ssh) et des prompts ##
		1374	## - Installation de la structure de chiffrement pour root ##
		1375	## - Mise en place du sudoers et de la sécurité sur les fichiers##
		1376	## - Mise en place du la rotation des logs ##
5	franck	1377	## - Configuration dans le cas d'une mise à jour ##
1	root	1378	##################################################################
		1379	post_install()
		1380	{
		1381	# adaptation du script "chien de garde" (watchdog)
376	franck	1382	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1383	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1	root	1384	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1385	# création de la bannière locale
		1386	[ -e /etc/mandriva-release.default ] \|\| cp /etc/mandriva-release /etc/mandriva-release.default
589	richard	1387	cp -f $DIR_CONF/banner /etc/mandriva-release
		1388	echo " V$VERSION" >> /etc/mandriva-release
1	root	1389	# création de la bannière SSH
		1390	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5	franck	1391	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1	root	1392	[ -e /etc/ssh/sshd_config.default ] \|\| cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
		1393	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
		1394	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
793	richard	1395	# postfix banner anonymisation
		1396	$SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf
604	richard	1397	# sshd écoute côté LAN et WAN
1	root	1398	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
604	richard	1399	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config
790	richard	1400	# Put the default value in conf file (sshd, QOS and protocols/dns/ext_LAN filtering are off)(web antivirus is on)
1	root	1401	/sbin/chkconfig --del sshd
628	richard	1402	echo "SSH=off" >> $CONF_FILE
694	franck	1403	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
628	richard	1404	echo "QOS=off" >> $CONF_FILE
		1405	echo "LDAP=off" >> $CONF_FILE
786	richard	1406	echo "LDAP_IP=0.0.0.0/0.0.0.0" >> $CONF_FILE
628	richard	1407	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
790	richard	1408	echo "EXT_LAN_FILTERING=off" >> $CONF_FILE
628	richard	1409	echo "DNS_FILTERING=off" >> $CONF_FILE
		1410	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
1	root	1411	# Coloration des prompts
		1412	[ -e /etc/bashrc.default ] \|\| cp /etc/bashrc /etc/bashrc.default
5	franck	1413	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
630	franck	1414	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1	root	1415	# Droits d'exécution pour utilisateur apache et sysadmin
		1416	[ -e /etc/sudoers.default ] \|\| cp /etc/sudoers /etc/sudoers.default
5	franck	1417	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
629	richard	1418	$SED "s?^Host_Alias.*?Host_Alias LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost #réseau de l'organisme?g" /etc/sudoers
132	franck	1419	# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1	root	1420	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
		1421	chmod 644 /etc/logrotate.d/*
714	franck	1422	# rectification sur versions précédentes de la compression des logs
706	franck	1423	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
		1424	# actualisation des fichiers logs compressés
714	franck	1425	for dir in firewall squid dansguardian httpd
706	franck	1426	do
714	franck	1427	find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
706	franck	1428	done
		1429	# export des logs en 'retard' dans /var/Save/logs
		1430	/usr/local/bin/alcasar-log-export.sh
1	root	1431	# processus lancés par défaut au démarrage
796	richard	1432	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd netfs mysqld dansguardian havp freshclam
1	root	1433	do
		1434	/sbin/chkconfig --add $i
		1435	done
595	richard	1436	# pour éviter les alertes de dépendance entre service.
384	richard	1437	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
497	richard	1438	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
595	richard	1439	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
		1440	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
306	richard	1441	# On affecte le niveau de sécurité du système : type "fileserver"
235	richard	1442	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
306	richard	1443	# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
235	richard	1444	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
568	richard	1445	# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
		1446	# Apply French Security Agency rules (sysctl + msec when possible)
		1447	# ignorer les broadcast ICMP. (attaque smurf)
		1448	$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
		1449	sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
		1450	# ignorer les erreurs ICMP bogus
		1451	$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
		1452	sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
595	richard	1453	# désactiver l'envoi et la réponse aux ICMP redirects
679	richard	1454	sysctl -w net.ipv4.conf.all.accept_redirects=0
568	richard	1455	accept_redirect=`grep accept_redirect /etc/sysctl.conf\|wc -l`
		1456	if [ "$accept_redirect" == "0" ]
		1457	then
679	richard	1458	echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
		1459	else
		1460	$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
568	richard	1461	fi
679	richard	1462	sysctl -w net.ipv4.conf.all.send_redirects=0
568	richard	1463	send_redirect=`grep send_redirect /etc/sysctl.conf\|wc -l`
		1464	if [ "$send_redirect" == "0" ]
		1465	then
679	richard	1466	echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
		1467	else
		1468	$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
568	richard	1469	fi
		1470	# activer les SYN Cookies (attaque syn flood)
679	richard	1471	sysctl -w net.ipv4.tcp_syncookies=1
568	richard	1472	tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf\|wc -l`
		1473	if [ "$tcp_syncookies" == "0" ]
		1474	then
679	richard	1475	echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
		1476	else
		1477	$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
568	richard	1478	fi
595	richard	1479	# activer l'antispoofing niveau Noyau
568	richard	1480	$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
		1481	sysctl -w net.ipv4.conf.all.rp_filter=1
		1482	# ignorer le source routing
679	richard	1483	sysctl -w net.ipv4.conf.all.accept_source_route=0
568	richard	1484	accept_source_route=`grep accept_source_route /etc/sysctl.conf\|wc -l`
		1485	if [ "$accept_source_route" == "0" ]
		1486	then
679	richard	1487	echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
		1488	else
		1489	$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
568	richard	1490	fi
679	richard	1491	# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
		1492	sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
		1493	timeout_established=`grep timeout_established /etc/sysctl.conf\|wc -l`
		1494	if [ "$timeout_established" == "0" ]
		1495	then
		1496	echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
		1497	else
793	richard	1498	$SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf
679	richard	1499	fi
		1500	# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée)
568	richard	1501	sysctl -w net.ipv4.conf.all.log_martians=0
		1502	$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
		1503
793	richard	1504
306	richard	1505	# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
		1506	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1	root	1507	# On mets en place la sécurité sur les fichiers
		1508	# des modif par rapport à radius update
		1509	cat <<EOF > /etc/security/msec/perm.local
		1510	/var/log/firewall/ root.apache 750
		1511	/var/log/firewall/* root.apache 640
		1512	/etc/security/msec/perm.local root.root 640
		1513	/etc/security/msec/level.local root.root 640
		1514	/etc/freeradius-web root.apache 750
		1515	/etc/freeradius-web/admin.conf root.apache 640
		1516	/etc/freeradius-web/config.php root.apache 640
		1517	/etc/raddb/dictionnary root.radius 640
		1518	/etc/raddb/ldap.attrmap root.radius 640
		1519	/etc/raddb/hints root.radius 640
		1520	/etc/raddb/huntgroups root.radius 640
		1521	/etc/raddb/attrs.access_reject root.radius 640
		1522	/etc/raddb/attrs.accounting_response root.radius 640
		1523	/etc/raddb/acct_users root.radius 640
		1524	/etc/raddb/preproxy_users root.radius 640
		1525	/etc/raddb/modules/ldap radius.apache 660
		1526	/etc/raddb/sites-available/alcasar radius.apache 660
		1527	/etc/pki/* root.apache 750
		1528	EOF
		1529	/usr/sbin/msec
59	richard	1530	# modification /etc/inittab
		1531	[ -e /etc/inittab.default ] \|\| cp /etc/inittab /etc/inittab.default
60	richard	1532	# On ne garde que 3 terminaux
59	richard	1533	$SED "s?^4.*?#&?g" /etc/inittab
		1534	$SED "s?^5.*?#&?g" /etc/inittab
		1535	$SED "s?^6.*?#&?g" /etc/inittab
470	richard	1536	# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
		1537	$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
		1538	$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
532	richard	1539	# On supprime les services et les utilisateurs inutiles
793	richard	1540	for svc in alsa sound dm atd bootlogd stop-bootlogd
532	richard	1541	do
		1542	/sbin/chkconfig --del $svc
		1543	done
		1544	for rm_users in avahi-autoipd avahi icapd
		1545	do
		1546	user=`cat /etc/passwd\|grep $rm_users\|cut -d":" -f1`
		1547	if [ "$user" == "$rm_users" ]
		1548	then
		1549	/usr/sbin/userdel -f $rm_users
		1550	fi
		1551	done
628	richard	1552	# Load and update the previous conf file
5	franck	1553	if [ "$mode" = "update" ]
		1554	then
389	franck	1555	$DIR_DEST_BIN/alcasar-conf.sh --load
628	richard	1556	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
		1557	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
5	franck	1558	fi
595	richard	1559	rm -f /tmp/alcasar-conf*
434	richard	1560	chown -R root:apache $DIR_DEST_ETC/*
512	richard	1561	chmod -R 660 $DIR_DEST_ETC/*
434	richard	1562	chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1	root	1563	cd $DIR_INSTALL
5	franck	1564	echo ""
1	root	1565	echo "#############################################################################"
638	richard	1566	if [ $Lang == "fr" ]
		1567	then
		1568	echo "# Fin d'installation d'ALCASAR #"
		1569	echo "# #"
		1570	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1571	echo "# des Accès au Réseau ( ALCASAR ) #"
		1572	echo "# #"
		1573	echo "#############################################################################"
		1574	echo
		1575	echo "- ALCASAR sera fonctionnel après redémarrage du système"
		1576	echo
		1577	echo "- Lisez attentivement la documentation d'exploitation"
		1578	echo
		1579	echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
		1580	echo
		1581	echo " Appuyez sur 'Entrée' pour continuer"
		1582	else
		1583	echo "# Enf of ALCASAR install process #"
		1584	echo "# #"
		1585	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1586	echo "# des Accès au Réseau ( ALCASAR ) #"
		1587	echo "# #"
		1588	echo "#############################################################################"
		1589	echo
		1590	echo "- The system will be rebooted in order to operate ALCASAR"
		1591	echo
		1592	echo "- Read the exploitation documentation"
		1593	echo
		1594	echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
		1595	echo
		1596	echo " Hit 'Enter' to continue"
		1597	fi
815	richard	1598	sleep 2
		1599	if [ "$mode" != "update" ]
820	richard	1600	then
815	richard	1601	read a
		1602	fi
774	richard	1603	clear
		1604	# Apply and save the firewall rules
490	richard	1605	sh $DIR_DEST_BIN/alcasar-iptables.sh
		1606	sleep 2
1	root	1607	reboot
		1608	} # End post_install ()
		1609
		1610	#################################
		1611	# Boucle principale du script #
		1612	#################################
832	richard	1613	dir_exec=`dirname "$0"`
		1614	if [ $dir_exec != "." ]
		1615	then
		1616	echo "Lancez ce programme depuis le répertoire de l'archive d'ALCASAR"
		1617	echo "Launch this program from the ALCASAR archive directory"
		1618	exit 0
		1619	fi
		1620	VERSION=`cat $DIR_INSTALL/VERSION`
291	franck	1621	usage="Usage: alcasar.sh {-i or --install} \| {-u or --uninstall}"
1	root	1622	nb_args=$#
		1623	args=$1
		1624	if [ $nb_args -eq 0 ]
		1625	then
		1626	nb_args=1
		1627	args="-h"
		1628	fi
		1629	case $args in
		1630	-\? \| -h* \| --h*)
		1631	echo "$usage"
		1632	exit 0
		1633	;;
291	franck	1634	-i \| --install)
5	franck	1635	header_install
29	richard	1636	testing
597	richard	1637	# Test if ALCASAR is already installed
5	franck	1638	if [ -e $DIR_WEB/VERSION ]
1	root	1639	then
460	richard	1640	actual_version=`cat $DIR_WEB/VERSION`
595	richard	1641	if [ $Lang == "fr" ]
		1642	then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
		1643	else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
		1644	fi
5	franck	1645	response=0
460	richard	1646	PTN='^[oOnNyY]$'
580	richard	1647	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1648	do
595	richard	1649	if [ $Lang == "fr" ]
		1650	then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
		1651	else echo -n "Do you want to update (Y/n)?";
		1652	fi
5	franck	1653	read response
		1654	done
597	richard	1655	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
5	franck	1656	then
597	richard	1657	rm -f /tmp/alcasar-conf*
		1658	else
510	richard	1659	RUNNING_VERSION=`cat $DIR_WEB/VERSION\|cut -d" " -f1`
		1660	MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f1`
		1661	MIN_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f2\|cut -c1`
		1662	UPD_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f3`
636	richard	1663	# Create a backup of running version importants files
5	franck	1664	chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
389	franck	1665	$DIR_SCRIPTS/alcasar-conf.sh --create
532	richard	1666	mode="update"
5	franck	1667	fi
1	root	1668	fi
595	richard	1669	# RPMs install
		1670	$DIR_SCRIPTS/alcasar-urpmi.sh
		1671	if [ "$?" != "0" ]
1	root	1672	then
595	richard	1673	exit 0
		1674	fi
		1675	if [ -e $DIR_WEB/VERSION ]
		1676	then
597	richard	1677	# Uninstall the running version
532	richard	1678	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
595	richard	1679	fi
636	richard	1680	# Test if manual update
597	richard	1681	if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
595	richard	1682	then
636	richard	1683	header_install
595	richard	1684	if [ $Lang == "fr" ]
636	richard	1685	then echo "Le fichier de configuration d'une ancienne version a été trouvé";
		1686	else echo "The configuration file of an old version has been found";
595	richard	1687	fi
597	richard	1688	response=0
		1689	PTN='^[oOnNyY]$'
		1690	until [[ $(expr $response : $PTN) -gt 0 ]]
		1691	do
		1692	if [ $Lang == "fr" ]
		1693	then echo -n "Voulez-vous l'utiliser (O/n)? ";
		1694	else echo -n "Do you want to use it (Y/n)?";
		1695	fi
		1696	read response
		1697	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		1698	then rm -f /tmp/alcasar-conf*
		1699	fi
		1700	done
		1701	fi
636	richard	1702	# Test if update
597	richard	1703	if [ -e /tmp/alcasar-conf.tar.gz ]
		1704	then
		1705	if [ $Lang == "fr" ]
		1706	then echo "#### Installation avec mise à jour ####";
		1707	else echo "#### Installation with update ####";
		1708	fi
636	richard	1709	# Extract the central configuration file
637	richard	1710	tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf
		1711	ORGANISME=`grep ORGANISM conf/etc/alcasar.conf\|cut -d"=" -f2`
5	franck	1712	mode="update"
		1713	else
		1714	mode="install"
1	root	1715	fi
604	richard	1716	for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
5	franck	1717	do
		1718	$func
735	richard	1719	# echo "* 'debug' : end of function $func *"; read a
14	richard	1720	done
5	franck	1721	;;
291	franck	1722	-u \| --uninstall)
5	franck	1723	if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1	root	1724	then
597	richard	1725	if [ $Lang == "fr" ]
		1726	then echo "ALCASAR n'est pas installé!";
		1727	else echo "ALCASAR isn't installed!";
		1728	fi
1	root	1729	exit 0
		1730	fi
5	franck	1731	response=0
		1732	PTN='^[oOnN]$'
580	richard	1733	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1734	do
597	richard	1735	if [ $Lang == "fr" ]
		1736	then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
		1737	else echo -n "Do you want to crate the running version configuration file (Y/n)? ";
		1738	fi
5	franck	1739	read response
		1740	done
597	richard	1741	if [ "$reponse" = "o" ] \|\| [ "$reponse" = "O" ] \|\| [ "$response" = "Y" ] \|\| [ "$response" = "y" ]
1	root	1742	then
389	franck	1743	$DIR_SCRIPT/alcasar-conf.sh --create
498	richard	1744	else
		1745	rm -f /tmp/alcasar-conf*
1	root	1746	fi
597	richard	1747	# Uninstall the running version
65	richard	1748	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1	root	1749	;;
		1750	*)
		1751	echo "Argument inconnu :$1";
460	richard	1752	echo "Unknown argument :$1";
1	root	1753	echo "$usage"
		1754	exit 1
		1755	;;
		1756	esac
10	franck	1757	# end of script
366	franck	1758

Subversion Repositories ALCASAR

(root)/alcasar.sh @ 2681 – Rev 837