WebSVN – ALCASAR – Blame – /alcasar.sh

Rev	Author	Line No.	Line
672	richard	1	#!/bin/bash
57	franck	2	# $Id: alcasar.sh 865 2012-05-01 17:48:31Z richard $
1	root	3
		4	# alcasar.sh
		5	# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
		6	# This script is distributed under the Gnu General Public License (GPL)
		7
672	richard	8	# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
		9	# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
1	root	10	# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
		11	# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
672	richard	12	#
806	richard	13	# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, awstat, ntpd, openssl, dnsmasq, havp, libclamav and firewalleyes
1	root	14
		15	# Options :
376	franck	16	# -i or --install
		17	# -u or --uninstall
1	root	18
376	franck	19	# Functions :
29	richard	20	# testing : Tests de connectivité et de téléchargement avant installation
1	root	21	# init : Installation des RPM et des scripts
		22	# network : Paramètrage du réseau
		23	# gestion : Installation de l'interface de gestion
		24	# AC : Initialisation de l'autorité de certification. Création des certificats
		25	# init_db : Création de la base 'radius' sur le serveur MySql
		26	# param_radius : Configuration du serveur d'authentification FreeRadius
		27	# param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
		28	# param_chilli : Configuration du daemon 'coova-chilli' et de la page d'authentification
		29	# param_squid : Configuration du proxy squid en mode 'cache'
		30	# param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
479	richard	31	# antivirus : Installation havp + libclamav
1	root	32	# param_awstats : Configuration de l'interface des statistiques de consultation WEB
297	richard	33	# dnsmasq : Configuration du serveur de noms et du serveur dhcp de secours
308	richard	34	# BL : Configuration de la BlackList
1	root	35	# cron : Mise en place des exports de logs (+ chiffrement)
532	richard	36	# post_install : Finalisation environnement ( sécurité, bannières, rotation logs, ...)
1	root	37
		38	DATE=`date '+%d %B %Y - %Hh%M'`
		39	DATE_SHORT=`date '+%d/%m/%Y'`
595	richard	40	Lang=`echo $LANG\|cut -c 1-2`
1	root	41	# ***** Files parameters - paramètres fichiers *******
832	richard	42	DIR_INSTALL=`pwd` # install directory
1	root	43	DIR_CONF="$DIR_INSTALL/conf" # répertoire d'installation contenant les fichiers de configuration
		44	DIR_SCRIPTS="$DIR_INSTALL/scripts" # répertoire d'installation contenant les scripts
806	richard	45	DIR_SAVE="/var/Save" # répertoire de sauvegarde (system_backup, user_db_backup, logs)
316	richard	46	DIR_WEB="/var/www/html" # répertoire racine APACHE
648	richard	47	DIR_DG="/etc/dansguardian" # répertoire de config de DansGuardian
316	richard	48	DIR_ACC="$DIR_WEB/acc" # répertoire du centre de gestion 'ALCASAR Control Center'
1	root	49	DIR_DEST_BIN="/usr/local/bin" # répertoire des scripts
		50	DIR_DEST_SBIN="/usr/local/sbin" # répertoire des scripts d'admin
		51	DIR_DEST_ETC="/usr/local/etc" # répertoire des fichiers de conf
628	richard	52	CONF_FILE="$DIR_DEST_ETC/alcasar.conf" # fichier de conf d'alcasar
		53	PASSWD_FILE="/root/ALCASAR-passwords.txt" # fichier texte contenant les mots de passe et secrets partagés
1	root	54	# ***** DBMS parameters - paramètres SGBD ******
		55	DB_RADIUS="radius" # nom de la base de données utilisée par le serveur FreeRadius
		56	DB_USER="radius" # nom de l'utilisateur de la base de données
		57	# ***** Network parameters - paramètres réseau *****
503	richard	58	HOSTNAME="alcasar" #
1	root	59	DOMAIN="localdomain" # domaine local
		60	EXTIF="eth0" # ETH0 est l'interface connectée à Internet (Box FAI)
		61	INTIF="eth1" # ETH1 est l'interface connectée au réseau local de consultation
597	richard	62	DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24" # adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
1	root	63	# **** Paths - chemin des commandes *****
		64	SED="/bin/sed -i"
		65	# **************** End of global parameters *******************
		66
		67	header_install ()
		68	{
		69	clear
		70	echo "-----------------------------------------------------------------------------"
460	richard	71	echo " ALCASAR V$VERSION Installation"
1	root	72	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
		73	echo "-----------------------------------------------------------------------------"
		74	} # End of header_install ()
		75
		76	##################################################################
29	richard	77	## Fonction TESTING ##
		78	## - Test de la connectivité Internet ##
		79	##################################################################
		80	testing ()
		81	{
595	richard	82	if [ $Lang == "fr" ]
784	richard	83	then echo -n "Tests des paramètres réseau : "
595	richard	84	else echo -n "Network parameters tests : "
		85	fi
784	richard	86	# We test eth0 config files
		87	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF\|cut -d"=" -f2`
		88	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF\|cut -d"=" -f2`
		89	if [ `echo $PUBLIC_IP\|wc -c` -lt 7 ] \|\| [ `echo $PUBLIC_GATEWAY\|wc -c` -lt 7 ]
		90	then
		91	if [ $Lang == "fr" ]
		92	then
		93	echo "Échec"
		94	echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."
		95	echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
830	richard	96	echo "Appliquez les changements : 'service network restart'"
784	richard	97	else
		98	echo "Failed"
		99	echo "The Internet connected network card ($EXTIF) isn't well configured."
		100	echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
830	richard	101	echo "Apply the new configuration 'service network restart'"
784	richard	102	fi
830	richard	103	echo "DEVICE=$EXTIF"
784	richard	104	echo "IPADDR="
		105	echo "NETMASK="
		106	echo "GATEWAY="
		107	echo "DNS1="
		108	echo "DNS2="
830	richard	109	echo "ONBOOT=yes"
784	richard	110	exit 0
		111	fi
		112	echo -n "."
460	richard	113	# We test the Ethernet links state
29	richard	114	for i in $EXTIF $INTIF
		115	do
294	richard	116	/sbin/ip link set $i up
306	richard	117	sleep 3
808	franck	118	CMD=`/usr/sbin/ethtool $i \|grep Link \| awk '{print $NF}'`
		119	CMD2=`/sbin/mii-tool $i \| grep -i link \| awk '{print $NF}'`
		120	if [ $CMD != "yes" ] && [ $CMD2 != "ok" ]
29	richard	121	then
595	richard	122	if [ $Lang == "fr" ]
		123	then
		124	echo "Échec"
		125	echo "Le lien réseau de la carte $i n'est pas actif."
		126	echo "Réglez ce problème puis relancez ce script."
		127	else
		128	echo "Failed"
		129	echo "The link state of $i interface id down."
		130	echo "Resolv this problem, then restart this script."
		131	fi
29	richard	132	exit 0
		133	fi
308	richard	134	echo -n "."
29	richard	135	done
		136	# On teste la présence d'un routeur par défaut (Box FAI)
784	richard	137	if [ `ip route list\|grep -c ^default` -ne "1" ] ; then
595	richard	138	if [ $Lang == "fr" ]
		139	then
		140	echo "Échec"
		141	echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
		142	echo "Réglez ce problème puis relancez ce script."
		143	else
		144	echo "Failed"
		145	echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
		146	echo "Resolv this problem, then restart this script."
		147	fi
29	richard	148	exit 0
		149	fi
308	richard	150	echo -n "."
		151	# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
784	richard	152	if [ `ip route list\|grep ^default\|grep -c eth1` -eq "1" ] ; then
595	richard	153	if [ $Lang == "fr" ]
		154	then echo "La configuration des cartes réseau va être corrigée."
		155	else echo "The Ethernet card configuration will be corrected."
		156	fi
29	richard	157	/etc/init.d/network stop
		158	mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
		159	$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
		160	/etc/init.d/network start
		161	echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
		162	sleep 2
595	richard	163	if [ $Lang == "fr" ]
		164	then echo "Configuration corrigée"
		165	else echo "Configuration updated"
		166	fi
29	richard	167	sleep 2
595	richard	168	if [ $Lang == "fr" ]
		169	then echo "Vous pouvez relancer ce script."
		170	else echo "You can restart this script."
		171	fi
29	richard	172	exit 0
		173	fi
308	richard	174	echo -n "."
		175	# On test le lien vers le routeur par default
		176	IP_GW=`ip route list\|grep ^default\|cut -d" " -f3`
		177	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW\|grep response\|cut -d" " -f2`
527	richard	178	if [ $(expr $arp_reply) -eq 0 ]
308	richard	179	then
595	richard	180	if [ $Lang == "fr" ]
		181	then
		182	echo "Échec"
		183	echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
		184	echo "Réglez ce problème puis relancez ce script."
		185	else
		186	echo "Failed"
		187	echo "The Internet gateway doesn't answered"
		188	echo "Resolv this problem, then restart this script."
		189	fi
308	richard	190	exit 0
		191	fi
		192	echo -n "."
421	franck	193	# On teste la connectivité Internet
29	richard	194	rm -rf /tmp/con_ok.html
308	richard	195	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
29	richard	196	if [ ! -e /tmp/con_ok.html ]
		197	then
595	richard	198	if [ $Lang == "fr" ]
		199	then
		200	echo "La tentative de connexion vers Internet a échoué (google.fr)."
		201	echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
		202	echo "Vérifiez la validité des adresses IP des DNS."
		203	else
		204	echo "The Internet connection try failed (google.fr)."
		205	echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
		206	echo "Verify the DNS IP addresses"
		207	fi
29	richard	208	exit 0
		209	fi
		210	rm -rf /tmp/con_ok.html
308	richard	211	echo ". : ok"
302	richard	212	} # end of testing
		213
		214	##################################################################
		215	## Fonction INIT ##
		216	## - Création du fichier "/root/ALCASAR_parametres.txt" ##
		217	## - Installation et modification des scripts du portail ##
		218	##################################################################
		219	init ()
		220	{
527	richard	221	if [ "$mode" != "update" ]
302	richard	222	then
		223	# On affecte le nom d'organisme
597	richard	224	header_install
302	richard	225	ORGANISME=!
		226	PTN='^[a-zA-Z0-9-]*$'
580	richard	227	until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
302	richard	228	do
595	richard	229	if [ $Lang == "fr" ]
597	richard	230	then echo -n "Entrez le nom de votre organisme : "
		231	else echo -n "Enter the name of your organism : "
595	richard	232	fi
330	franck	233	read ORGANISME
613	richard	234	if [ "$ORGANISME" == "" ]
330	franck	235	then
		236	ORGANISME=!
		237	fi
		238	done
302	richard	239	fi
1	root	240	# On crée aléatoirement les mots de passe et les secrets partagés
628	richard	241	rm -f $PASSWD_FILE
59	richard	242	grubpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de protection du menu Grub
628	richard	243	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
		244	echo "$grubpwd" >> $PASSWD_FILE
59	richard	245	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
384	richard	246	$SED "/^password.*/d" /boot/grub/menu.lst
		247	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1	root	248	mysqlpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'administrateur Mysqld
628	richard	249	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
		250	echo "root / $mysqlpwd" >> $PASSWD_FILE
1	root	251	radiuspwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
628	richard	252	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
		253	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
1	root	254	secretuam=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre intercept.php et coova-chilli
628	richard	255	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
		256	echo "$secretuam" >> $PASSWD_FILE
1	root	257	secretradius=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre coova-chilli et FreeRadius
628	richard	258	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
		259	echo "$secretradius" >> $PASSWD_FILE
		260	chmod 640 $PASSWD_FILE
453	franck	261	# On installe les scripts et fichiers de configuration d'ALCASAR
865	richard	262	# - dans /usr/local/bin : alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log.sh,watchdog.sh}
5	franck	263	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
453	franck	264	# - dans /usr/local/sbin : alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
5	franck	265	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
453	franck	266	# - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
648	richard	267	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1	root	268	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
		269	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5	franck	270	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
		271	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
628	richard	272	# generate central conf file
		273	cat <<EOF > $CONF_FILE
612	richard	274	##########################################
		275	## ##
		276	## ALCASAR Parameters ##
		277	## ##
		278	##########################################
1	root	279
612	richard	280	INSTALL_DATE=$DATE
		281	VERSION=$VERSION
		282	ORGANISM=$ORGANISME
		283	EOF
628	richard	284	chmod o-rwx $CONF_FILE
1	root	285	} # End of init ()
		286
		287	##################################################################
		288	## Fonction network ##
		289	## - Définition du plan d'adressage du réseau de consultation ##
595	richard	290	## - Nommage DNS du système ##
1	root	291	## - Configuration de l'interface eth1 (réseau de consultation) ##
		292	## - Modification du fichier /etc/hosts ##
		293	## - Configuration du serveur de temps (NTP) ##
		294	## - Renseignement des fichiers hosts.allow et hosts.deny ##
		295	##################################################################
		296	network ()
		297	{
		298	header_install
636	richard	299	if [ "$mode" != "update" ]
		300	then
		301	if [ $Lang == "fr" ]
		302	then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
		303	else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
		304	fi
		305	response=0
		306	PTN='^[oOyYnN]$'
		307	until [[ $(expr $response : $PTN) -gt 0 ]]
1	root	308	do
595	richard	309	if [ $Lang == "fr" ]
659	richard	310	then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
618	richard	311	else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
595	richard	312	fi
1	root	313	read response
		314	done
636	richard	315	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		316	then
		317	PRIVATE_IP_MASK="0"
		318	PTN='^$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$.$[01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]$/[012]\?[[:digit:]]$'
		319	until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
1	root	320	do
595	richard	321	if [ $Lang == "fr" ]
597	richard	322	then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
		323	else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
595	richard	324	fi
597	richard	325	read PRIVATE_IP_MASK
1	root	326	done
636	richard	327	else
		328	PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
		329	fi
595	richard	330	else
637	richard	331	PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf\|cut -d"=" -f2`
		332	rm -rf conf/etc/alcasar.conf
1	root	333	fi
861	richard	334	# Define LAN side global parameters
1	root	335	hostname $HOSTNAME
837	richard	336	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK \| cut -d"=" -f2` # private network address (ie.: 192.168.182.0)
		337	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK \| cut -d"=" -f2` # private network mask (ie.: 255.255.255.0)
		338	PRIVATE_IP=`echo $PRIVATE_IP_MASK \| cut -d"/" -f1` # ALCASAR private ip address (consultation LAN side)
861	richard	339	PRIVATE_PREFIX=`/bin/ipcalc -p $PRIVATE_IP_MASK \|cut -d"=" -f2` # network prefix (ie. 24)
		340	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$PRIVATE_PREFIX # ie.: 192.168.182.0/24
		341	classe=$((PRIVATE_PREFIX/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2` # ie.: 2=classe B, 3=classe C
837	richard	342	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`. # compatibility with hosts.allow et hosts.deny (ie.: 192.168.182.)
		343	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # private network broadcast (ie.: 192.168.182.255)
		344	private_network_ending=`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup` # last octet of LAN address
		345	private_broadcast_ending=`echo $PRIVATE_BROADCAST \| cut -d"." -f$classe_sup` # last octet of LAN broadcast
		346	PRIVATE_FIRST_IP=`echo $PRIVATE_NETWORK \| cut -d"." -f1-3`"."`expr $private_network_ending + 1` # First network address (ex.: 192.168.182.1)
		347	PRIVATE_LAST_IP=`echo $PRIVATE_BROADCAST \| cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1` # last network address (ex.: 192.168.182.254)
861	richard	348
841	richard	349	# Define Internet parameters
14	richard	350	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] \|\| cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
		351	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 1er DNS
		352	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 2ème DNS
70	franck	353	DNS1=${DNS1:=208.67.220.220}
		354	DNS2=${DNS2:=208.67.222.222}
597	richard	355	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
784	richard	356	DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 \| cut -d"=" -f2`
		357	PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}
		358	PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK\|cut -d"=" -f2`
861	richard	359
765	stephane	360	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
		361	echo "PUBLIC_MTU=1500" >> $CONF_FILE
628	richard	362	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE
		363	echo "DNS1=$DNS1" >> $CONF_FILE
		364	echo "DNS2=$DNS2" >> $CONF_FILE
		365	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
862	richard	366	echo "DHCP=half" >> $CONF_FILE
597	richard	367	[ -e /etc/sysconfig/network.default ] \|\| cp /etc/sysconfig/network /etc/sysconfig/network.default
841	richard	368	# config network
1	root	369	cat <<EOF > /etc/sysconfig/network
		370	NETWORKING=yes
		371	HOSTNAME="$HOSTNAME"
		372	FORWARD_IPV4=true
		373	EOF
841	richard	374	# config /etc/hosts
1	root	375	[ -e /etc/hosts.default ] \|\| cp /etc/hosts /etc/hosts.default
		376	cat <<EOF > /etc/hosts
503	richard	377	127.0.0.1 localhost
		378	$PRIVATE_IP $HOSTNAME
1	root	379	EOF
841	richard	380	# Config eth0 (Internet)
14	richard	381	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
		382	DEVICE=$EXTIF
		383	BOOTPROTO=static
597	richard	384	IPADDR=$PUBLIC_IP
		385	NETMASK=$PUBLIC_NETMASK
		386	GATEWAY=$PUBLIC_GATEWAY
14	richard	387	DNS1=127.0.0.1
		388	ONBOOT=yes
		389	METRIC=10
		390	NOZEROCONF=yes
		391	MII_NOT_SUPPORTED=yes
		392	IPV6INIT=no
		393	IPV6TO4INIT=no
		394	ACCOUNTING=no
		395	USERCTL=no
		396	EOF
841	richard	397	# Config eth1 (consultation LAN) in normal mode
		398	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
		399	DEVICE=$INTIF
		400	BOOTPROTO=static
		401	ONBOOT=yes
		402	NOZEROCONF=yes
		403	MII_NOT_SUPPORTED=yes
		404	IPV6INIT=no
		405	IPV6TO4INIT=no
		406	ACCOUNTING=no
		407	USERCTL=no
		408	EOF
		409	# Config of eth1 in bypass mode (see "alcasar-bypass.sh")
793	richard	410	cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF
1	root	411	DEVICE=$INTIF
		412	BOOTPROTO=static
		413	IPADDR=$PRIVATE_IP
604	richard	414	NETMASK=$PRIVATE_NETMASK
1	root	415	ONBOOT=yes
		416	METRIC=10
		417	NOZEROCONF=yes
		418	MII_NOT_SUPPORTED=yes
14	richard	419	IPV6INIT=no
		420	IPV6TO4INIT=no
		421	ACCOUNTING=no
		422	USERCTL=no
1	root	423	EOF
440	franck	424	# Mise à l'heure du serveur
		425	[ -e /etc/ntp/step-tickers.default ] \|\| cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
		426	cat <<EOF > /etc/ntp/step-tickers
455	franck	427	0.fr.pool.ntp.org # adapt to your country
		428	1.fr.pool.ntp.org
		429	2.fr.pool.ntp.org
440	franck	430	EOF
		431	# Configuration du serveur de temps (sur lui même)
1	root	432	[ -e /etc/ntp.conf.default ] \|\| cp /etc/ntp.conf /etc/ntp.conf.default
		433	cat <<EOF > /etc/ntp.conf
456	franck	434	server 0.fr.pool.ntp.org # adapt to your country
447	franck	435	server 1.fr.pool.ntp.org
		436	server 2.fr.pool.ntp.org
		437	server 127.127.1.0 # local clock si NTP internet indisponible ...
411	richard	438	fudge 127.127.1.0 stratum 10
604	richard	439	restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
1	root	440	restrict 127.0.0.1
310	richard	441	driftfile /var/lib/ntp/drift
1	root	442	logfile /var/log/ntp.log
		443	EOF
440	franck	444
310	richard	445	chown -R ntp:ntp /var/lib/ntp
1	root	446	# Renseignement des fichiers hosts.allow et hosts.deny
		447	[ -e /etc/hosts.allow.default ] \|\| cp /etc/hosts.allow /etc/hosts.allow.default
		448	cat <<EOF > /etc/hosts.allow
		449	ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
604	richard	450	sshd: ALL
1	root	451	ntpd: $PRIVATE_NETWORK_SHORT
		452	EOF
		453	[ -e /etc/host.deny.default ] \|\| cp /etc/hosts.deny /etc/hosts.deny.default
		454	cat <<EOF > /etc/hosts.deny
		455	ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" \| /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
		456	EOF
604	richard	457	# Firewall config
790	richard	458	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		459	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
		460	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
860	richard	461	# create the filter exception file and ip_bloqued file
790	richard	462	touch $DIR_DEST_ETC/alcasar-filter-exceptions
860	richard	463	# create the ip_blocked file with a first line (LAN between ALCASAR and the Internet GW)
		464	echo "#$PUBLIC_IP/$PUBLIC_PREFIX LAN-ALCASAR-BOX" > $DIR_DEST_ETC/alcasar-ip-blocked
790	richard	465	# load conntrack ftp module
		466	[ -e /etc/modprobe.preload.default ] \|\| cp /etc/modprobe.preload /etc/modprobe.preload.default
		467	echo "ip_conntrack_ftp" >> /etc/modprobe.preload
860	richard	468	# the script "$DIR_DEST_BIN/alcasar-iptables.sh" is launched at the end in order to allow update via ssh
1	root	469	} # End of network ()
		470
		471	##################################################################
		472	## Fonction gestion ##
		473	## - installation du centre de gestion ##
		474	## - configuration du serveur web (Apache) ##
		475	## - définition du 1er comptes de gestion ##
		476	## - sécurisation des accès ##
		477	##################################################################
		478	gestion()
		479	{
		480	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
		481	mkdir $DIR_WEB
		482	# Copie et configuration des fichiers du centre de gestion
316	richard	483	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
1	root	484	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
316	richard	485	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
		486	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		487	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
		488	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
498	richard	489	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
316	richard	490	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
5	franck	491	chown -R apache:apache $DIR_WEB/*
840	richard	492	for i in system_backup base logs/firewall logs/httpd logs/squid logs/security;
1	root	493	do
		494	[ -d $DIR_SAVE/$i ] \|\| mkdir -p $DIR_SAVE/$i
		495	done
5	franck	496	chown -R root:apache $DIR_SAVE
71	richard	497	# Configuration et sécurisation php
		498	[ -e /etc/php.ini.default ] \|\| cp /etc/php.ini /etc/php.ini.default
534	richard	499	timezone=`cat /etc/sysconfig/clock\|grep ZONE\|cut -d"=" -f2`
		500	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
411	richard	501	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
		502	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
71	richard	503	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
		504	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
		505	# Configuration et sécurisation Apache
790	richard	506	rm -rf /var/www/cgi-bin/* /var/www/perl/* /var/www/icons/README* /var/www/error/README*
1	root	507	[ -e /etc/httpd/conf/httpd.conf.default ] \|\| cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
580	richard	508	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
303	richard	509	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
1	root	510	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
		511	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
		512	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
790	richard	513	$SED "s?^LoadModule authn_anon_module.*?#LoadModule authn_anon_module modules/mod_authn_anon.so?g" /etc/httpd/conf/httpd.conf
		514	$SED "s?^LoadModule status_module.*?#LoadModule status_module modules/mod_status.so?g" /etc/httpd/conf/httpd.conf
		515	$SED "s?^LoadModule autoindex_module.*?#LoadModule autoindex_module modules/mod_autoindex.so?g" /etc/httpd/conf/httpd.conf
		516	$SED "s?^LoadModule info_module.*?#LoadModule info_module modules/mod_info.so?g" /etc/httpd/conf/httpd.conf
		517	$SED "s?^LoadModule imagemap_module.*?#LoadModule imagemap_module modules/mod_imagemap.so?g" /etc/httpd/conf/httpd.conf
		518	$SED "s?^LoadModule rewrite_module.*?#LoadModule rewrite_module modules/mod_rewrite.so?g" /etc/httpd/conf/httpd.conf
1	root	519	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
		520	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
		521	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
		522	[ -e /var/www/error/include/bottom.html.default ] \|\| mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
		523	cat <<EOF > /var/www/error/include/bottom.html
		524	</body>
		525	</html>
		526	EOF
		527	# Définition du premier compte lié au profil 'admin'
509	richard	528	header_install
510	richard	529	if [ "$mode" = "install" ]
		530	then
613	richard	531	admin_portal=!
		532	PTN='^[a-zA-Z0-9-]*$'
		533	until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
		534	do
		535	header_install
		536	if [ $Lang == "fr" ]
		537	then
		538	echo ""
		539	echo "Définissez un premier compte d'administration du portail :"
		540	echo
		541	echo -n "Nom : "
		542	else
		543	echo ""
		544	echo "Define the first account allow to administrate the portal :"
		545	echo
		546	echo -n "Account : "
		547	fi
		548	read admin_portal
		549	if [ "$admin_portal" == "" ]
		550	then
		551	admin_portal=!
		552	fi
		553	done
1	root	554	# Création du fichier de clés de ce compte dans le profil "admin"
510	richard	555	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		556	mkdir -p $DIR_DEST_ETC/digest
		557	chmod 755 $DIR_DEST_ETC/digest
		558	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		559	do
613	richard	560	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	561	done
		562	$DIR_DEST_SBIN/alcasar-profil.sh --list
595	richard	563	else # mise à jour des versions < 2.1
510	richard	564	if ([ $MAJ_RUNNING_VERSION -lt 2 ] \|\| ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
		565	then
613	richard	566	if [ $Lang == "fr" ]
		567	then
		568	echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
		569	echo
		570	echo -n "Nom : "
		571	else
		572	echo "This update need to redefine the first admin account"
		573	echo
		574	echo -n "Account : "
		575	fi
		576	read admin_portal
510	richard	577	[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		578	mkdir -p $DIR_DEST_ETC/digest
		579	chmod 755 $DIR_DEST_ETC/digest
		580	until [ -s $DIR_DEST_ETC/digest/key_admin ]
		581	do
613	richard	582	/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510	richard	583	done
		584	$DIR_DEST_SBIN/alcasar-profil.sh --list
		585	fi
		586	fi
434	richard	587	# synchronisation horaire
		588	ntpd -q -g &
1	root	589	# Sécurisation du centre
		590	rm -f /etc/httpd/conf/webapps.d/*
		591	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	592	<Directory $DIR_ACC>
1	root	593	SSLRequireSSL
		594	AllowOverride None
		595	Order deny,allow
		596	Deny from all
		597	Allow from 127.0.0.1
		598	Allow from $PRIVATE_NETWORK_MASK
		599	require valid-user
		600	AuthType digest
		601	AuthName $HOSTNAME
		602	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	603	AuthUserFile $DIR_DEST_ETC/digest/key_all
580	richard	604	ErrorDocument 404 https://$HOSTNAME/
1	root	605	</Directory>
316	richard	606	<Directory $DIR_ACC/admin>
1	root	607	SSLRequireSSL
		608	AllowOverride None
		609	Order deny,allow
		610	Deny from all
		611	Allow from 127.0.0.1
		612	Allow from $PRIVATE_NETWORK_MASK
		613	require valid-user
		614	AuthType digest
		615	AuthName $HOSTNAME
		616	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	617	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	618	ErrorDocument 404 https://$HOSTNAME/
1	root	619	</Directory>
344	richard	620	<Directory $DIR_ACC/manager>
1	root	621	SSLRequireSSL
		622	AllowOverride None
		623	Order deny,allow
		624	Deny from all
		625	Allow from 127.0.0.1
		626	Allow from $PRIVATE_NETWORK_MASK
		627	require valid-user
		628	AuthType digest
		629	AuthName $HOSTNAME
		630	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	631	AuthUserFile $DIR_DEST_ETC/digest/key_manager
580	richard	632	ErrorDocument 404 https://$HOSTNAME/
1	root	633	</Directory>
316	richard	634	<Directory $DIR_ACC/backup>
		635	SSLRequireSSL
		636	AllowOverride None
		637	Order deny,allow
		638	Deny from all
		639	Allow from 127.0.0.1
		640	Allow from $PRIVATE_NETWORK_MASK
		641	require valid-user
		642	AuthType digest
		643	AuthName $HOSTNAME
		644	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	645	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580	richard	646	ErrorDocument 404 https://$HOSTNAME/
316	richard	647	</Directory>
811	richard	648	Alias /save/ "$DIR_SAVE/"
		649	<Directory $DIR_SAVE>
		650	SSLRequireSSL
		651	Options Indexes
		652	Order deny,allow
		653	Deny from all
		654	Allow from 127.0.0.1
		655	Allow from $PRIVATE_NETWORK_MASK
		656	require valid-user
		657	AuthType digest
		658	AuthName $HOSTNAME
		659	AuthUserFile $DIR_DEST_ETC/digest/key_backup
		660	ErrorDocument 404 https://$HOSTNAME/
		661	</Directory>
1	root	662	EOF
		663	} # End of gestion ()
		664
		665	##########################################################################################
		666	## Fonction AC() ##
		667	## - Création d'une Autorité de Certification et du certificat serveur pour apache ##
		668	##########################################################################################
		669	AC ()
		670	{
		671	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
510	richard	672	$DIR_DEST_BIN/alcasar-CA.sh
800	richard	673	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl_vhost.conf`
303	richard	674	[ -e /etc/httpd/conf/vhosts-ssl.default ] \|\| cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
		675	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
		676	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
679	richard	677	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
5	franck	678	chown -R root:apache /etc/pki
1	root	679	chmod -R 750 /etc/pki
		680	} # End AC ()
		681
		682	##########################################################################################
		683	## Fonction init_db() ##
		684	## - Initialisation de la base Mysql ##
		685	## - Affectation du mot de passe de l'administrateur (root) ##
		686	## - Suppression des bases et des utilisateurs superflus ##
		687	## - Création de la base 'radius' ##
		688	## - Installation du schéma de cette base ##
		689	## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo) ##
		690	## ces table proviennent de 'dialupadmin' (paquetage freeradius-web) ##
		691	##########################################################################################
		692	init_db ()
		693	{
		694	mkdir -p /var/lib/mysql/.tmp
		695	chown mysql:mysql /var/lib/mysql/.tmp
227	franck	696	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf # prend en compte les migrations de MySQL
1	root	697	[ -e /etc/my.cnf.default ] \|\| cp /etc/my.cnf /etc/my.cnf.default
		698	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
		699	/etc/init.d/mysqld start
		700	sleep 4
		701	mysqladmin -u root password $mysqlpwd
		702	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615	richard	703	# Delete exemple databases if exist
1	root	704	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;"
615	richard	705	# Create 'radius' database
1	root	706	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
615	richard	707	# Add an empty radius database structure
364	franck	708	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
615	richard	709	# modify the start script in order to close accounting connexion when the system is comming down or up
		710	[ -e /etc/init.d/mysqld.default ] \|\| cp /etc/init.d/mysqld /etc/init.d/mysqld.default
		711	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
		712	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
1	root	713	} # End init_db ()
		714
		715	##########################################################################
		716	## Fonction param_radius ##
		717	## - Paramètrage des fichiers de configuration FreeRadius ##
		718	## - Affectation du secret partagé entre coova-chilli et freeradius ##
		719	## - Modification de fichier de conf pour l'accès à Mysql ##
		720	##########################################################################
		721	param_radius ()
		722	{
		723	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
		724	chown -R radius:radius /etc/raddb
		725	[ -e /etc/raddb/radiusd.conf.default ] \|\| cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
		726	# paramètrage radius.conf
		727	$SED "s?^[\t ]#[\t ]user =.*?user = radius?g" /etc/raddb/radiusd.conf
		728	$SED "s?^[\t ]#[\t ]group =.*?group = radius?g" /etc/raddb/radiusd.conf
		729	$SED "s?^[\t ]status_server =.?status_server = no?g" /etc/raddb/radiusd.conf
		730	# suppression de la fonction proxy
		731	$SED "s?^[\t ]proxy_requests.?proxy_requests = no?g" /etc/raddb/radiusd.conf
		732	$SED "s?^[\t ]\$INCLUDE proxy.conf.?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
654	richard	733	# suppression du module EAP
		734	$SED "s?^[\t ]\$INCLUDE eap.conf.?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
1	root	735	# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
		736	$SED "s?^[\t ]ipaddr =.?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
		737	# prise en compte du module SQL et des compteurs SQL
		738	$SED "s?^[\t ]#[\t ]\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
		739	$SED "s?^[\t ]#[\t ]\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
		740	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
		741	# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
		742	rm -f /etc/raddb/sites-enabled/*
		743	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
		744	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
		745	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
		746	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
		747	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
384	richard	748	# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
1	root	749	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
		750	# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
		751	[ -e /etc/raddb/clients.conf.default ] \|\| cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
		752	cat << EOF > /etc/raddb/clients.conf
		753	client 127.0.0.1 {
		754	secret = $secretradius
		755	shortname = localhost
		756	}
		757	EOF
		758	# modif sql.conf
		759	[ -e /etc/raddb/sql.conf.default ] \|\| cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
		760	$SED "s?^[\t ]login =.?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
		761	$SED "s?^[\t ]password =.?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
		762	$SED "s?^[\t ]radius_db =.?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
		763	$SED "s?^[\t ]sqltrace =.?sqltrace = no?g" /etc/raddb/sql.conf
		764	# modif dialup.conf
		765	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] \|\| cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
		766	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
		767	} # End param_radius ()
		768
		769	##########################################################################
		770	## Fonction param_web_radius ##
		771	## - Import, modification et paramètrage de l'interface "dialupadmin" ##
		772	## - Création du lien vers la page de changement de mot de passe ##
		773	##########################################################################
		774	param_web_radius ()
		775	{
		776	# copie de l'interface d'origine dans la structure Alcasar
316	richard	777	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
		778	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme
		779	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
344	richard	780	# copie des fichiers modifiés
		781	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
316	richard	782	chown -R apache:apache $DIR_ACC/manager/
344	richard	783	# Modification des fichiers de configuration
1	root	784	[ -e /etc/freeradius-web/admin.conf.default ] \|\| cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
503	richard	785	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
1	root	786	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
		787	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
		788	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
		789	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
		790	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
		791	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
		792	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
582	richard	793	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
344	richard	794	[ -e /etc/freeradius-web/config.php.default ] \|\| cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
		795	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
131	richard	796	cat <<EOF > /etc/freeradius-web/naslist.conf
632	richard	797	nas1_name: alcasar-$ORGANISME
1	root	798	nas1_model: Portail captif
		799	nas1_ip: $PRIVATE_IP
		800	nas1_port_num: 0
		801	nas1_community: public
		802	EOF
		803	# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
		804	[ -e /etc/freeradius-web/user_edit.attrs.default ] \|\| mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
		805	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
114	richard	806	# Ajout du mappage des attributs chillispot
		807	[ -e /etc/freeradius-web/sql.attrmap.default ] \|\| mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
		808	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
1	root	809	# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
		810	[ -e /etc/freeradius-web/sql.attrs.default ] \|\| cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
		811	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
		812	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5	franck	813	chown -R apache:apache /etc/freeradius-web
1	root	814	# Ajout de l'alias vers la page de "changement de mot de passe usager"
		815	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
344	richard	816	<Directory $DIR_WEB/pass>
1	root	817	SSLRequireSSL
		818	AllowOverride None
		819	Order deny,allow
		820	Deny from all
		821	Allow from 127.0.0.1
		822	Allow from $PRIVATE_NETWORK_MASK
580	richard	823	ErrorDocument 404 https://$HOSTNAME
1	root	824	</Directory>
		825	EOF
		826	} # End of param_web_radius ()
		827
799	richard	828	##################################################################################
		829	## Fonction param_chilli ##
		830	## - Création du fichier d'initialisation et de configuration de coova-chilli ##
		831	## - Paramètrage de la page d'authentification (intercept.php) ##
		832	##################################################################################
1	root	833	param_chilli ()
		834	{
799	richard	835	# init file creation
461	richard	836	[ -e /etc/init.d/chilli.default ] \|\| cp /etc/init.d/chilli /etc/init.d/chilli.default
799	richard	837	cat <<EOF > /etc/init.d/chilli
		838	#!/bin/sh
		839	#
		840	# chilli CoovaChilli init
		841	#
		842	# chkconfig: 2345 65 35
		843	# description: CoovaChilli
		844	### BEGIN INIT INFO
		845	# Provides: chilli
		846	# Required-Start: network
		847	# Should-Start:
		848	# Required-Stop: network
		849	# Should-Stop:
		850	# Default-Start: 2 3 5
		851	# Default-Stop:
		852	# Description: CoovaChilli access controller
		853	### END INIT INFO
		854
		855	[ -f /usr/sbin/chilli ] \|\| exit 0
		856	. /etc/init.d/functions
		857	CONFIG=/etc/chilli.conf
		858	pidfile=/var/run/chilli.pid
		859	[ -f \$CONFIG ] \|\| {
		860	echo "\$CONFIG Not found"
		861	exit 0
		862	}
		863	RETVAL=0
		864	prog="chilli"
		865	case \$1 in
		866	start)
		867	if [ -f \$pidfile ] ; then
		868	gprintf "chilli is already running"
		869	else
		870	gprintf "Starting \$prog: "
		871	rm -f /var/run/chilli* # cleaning
		872	/sbin/modprobe tun >/dev/null 2>&1
		873	echo 1 > /proc/sys/net/ipv4/ip_forward
		874	[ -e /dev/net/tun ] \|\| {
		875	(cd /dev;
		876	mkdir net;
		877	cd net;
		878	mknod tun c 10 200)
		879	}
		880	ifconfig eth1 0.0.0.0
		881	daemon /usr/sbin/chilli -c \$CONFIG --pidfile=\$pidfile &
		882	RETVAL=$?
		883	fi
		884	;;
		885
		886	reload)
		887	killall -HUP chilli
		888	;;
		889
		890	restart)
		891	\$0 stop
		892	sleep 2
		893	\$0 start
		894	;;
		895
		896	status)
		897	status chilli
		898	RETVAL=0
		899	;;
		900
		901	stop)
		902	if [ -f \$pidfile ] ; then
		903	gprintf "Shutting down \$prog: "
		904	killproc /usr/sbin/chilli
		905	RETVAL=\$?
		906	[ \$RETVAL = 0 ] && rm -f $pidfile
		907	else
		908	gprintf "chilli is not running"
		909	fi
		910	;;
		911
		912	*)
		913	echo "Usage: \$0 {start\|stop\|restart\|reload\|status}"
		914	exit 1
		915	esac
		916	echo
		917	EOF
		918
		919	# conf file creation
346	richard	920	[ -e /etc/chilli.conf.default ] \|\| cp /etc/chilli.conf /etc/chilli.conf.default
		921	cat <<EOF > /etc/chilli.conf
		922	# coova config for ALCASAR
		923	cmdsocket /var/run/chilli.sock
		924	unixipc chilli.eth1.ipc
		925	pidfile /var/run/chilli.eth1.pid
		926	net $PRIVATE_NETWORK_MASK
595	richard	927	dhcpif $INTIF
841	richard	928	ethers $DIR_DEST_ETC/alcasar-ethers
861	richard	929	#nodynip
865	richard	930	#statip
		931	dynip $PRIVATE_NETWORK_MASK
346	richard	932	domain localdomain
355	richard	933	dns1 $PRIVATE_IP
		934	dns2 $PRIVATE_IP
346	richard	935	uamlisten $PRIVATE_IP
503	richard	936	uamport 3990
837	richard	937	macauth
		938	macpasswd password
346	richard	939	locationname $HOSTNAME
		940	radiusserver1 127.0.0.1
		941	radiusserver2 127.0.0.1
		942	radiussecret $secretradius
		943	radiusauthport 1812
		944	radiusacctport 1813
467	richard	945	uamserver https://$HOSTNAME/intercept.php
346	richard	946	radiusnasid $HOSTNAME
		947	uamsecret $secretuam
793	richard	948	uamallowed alcasar
346	richard	949	coaport 3799
503	richard	950	include $DIR_DEST_ETC/alcasar-uamallowed
		951	include $DIR_DEST_ETC/alcasar-uamdomain
346	richard	952	EOF
605	richard	953	# création du fichier d'allocation d'adresses IP statiques
		954	touch $DIR_DEST_ETC/alcasar-ethers
840	richard	955	# create files for trusted domains and urls
		956	touch $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
503	richard	957	chown root:apache $DIR_DEST_ETC/alcasar-*
		958	chmod 660 $DIR_DEST_ETC/alcasar-*
847	richard	959	# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli)
526	stephane	960	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
		961	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
796	richard	962	# user 'chilli' creation (in order to run conup/off and up/down scripts
		963	chilli_exist=`grep chilli /etc/passwd\|wc -l`
		964	if [ "$chilli_exist" == "1" ]
		965	then
		966	userdel -r chilli 2>/dev/null
		967	fi
		968	groupadd -f chilli
		969	useradd -r -g chilli -s /bin/false -c "system user for coova-chilli" chilli
1	root	970	} # End of param_chilli ()
		971
		972	##########################################################
		973	## Fonction param_squid ##
		974	## - Paramètrage du proxy 'squid' en mode 'cache' ##
		975	## - Initialisation de la base de données ##
		976	##########################################################
		977	param_squid ()
		978	{
		979	# paramètrage de Squid (connecté en série derrière Dansguardian)
		980	[ -e /etc/squid/squid.conf.default ] \|\| cp /etc/squid/squid.conf /etc/squid/squid.conf.default
		981	# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
		982	$SED "/^acl localnet/d" /etc/squid/squid.conf
		983	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
		984	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
		985	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
		986	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
		987	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
		988	# mode 'proxy transparent local'
595	richard	989	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
726	franck	990	# Configuration du cache local
749	franck	991	$SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 256 16 256?g" /etc/squid/squid.conf
405	franck	992	# emplacement et formatage standard des logs
419	franck	993	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
749	franck	994	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh' >> /etc/squid/squid.conf
405	franck	995	echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
1	root	996	# compatibilité des logs avec awstats
315	richard	997	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
749	franck	998	echo "half_closed_clients off" >> /etc/squid/squid.conf
		999	echo "server_persistent_connections off" >> /etc/squid/squid.conf
		1000	echo "client_persistent_connections on" >> /etc/squid/squid.conf
		1001	echo "client_lifetime 1440 minutes" >> /etc/squid/squid.conf
		1002	echo "request_timeout 5 minutes" >> /etc/squid/squid.conf
		1003	echo "persistent_request_timeout 2 minutes" >> /etc/squid/squid.conf
726	franck	1004	echo "cache_mem 256 MB" >> /etc/squid/squid.conf
749	franck	1005	echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
		1006	echo "maximum_object_size 4096 KB" >> /etc/squid/squid.conf
835	richard	1007	# anonymisation of squid version
813	richard	1008	echo "via off" >> /etc/squid/squid.conf
835	richard	1009	# remove the 'X_forwarded' http option
812	richard	1010	echo "forwarded_for delete" >> /etc/squid/squid.conf
835	richard	1011	# linked squid output in HAVP input
		1012	echo "cache_peer 127.0.0.1 parent 8090 0 no-query default" >> /etc/squid/squid.conf
		1013	echo "never_direct allow all" >> /etc/squid/squid.conf
		1014	# avoid error messages on network interfaces state changes
313	richard	1015	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
835	richard	1016	# Squid cache init
1	root	1017	/usr/sbin/squid -z
		1018	} # End of param_squid ()
		1019
		1020	##################################################################
		1021	## Fonction param_dansguardian ##
		1022	## - Paramètrage du gestionnaire de contenu Dansguardian ##
		1023	##################################################################
		1024	param_dansguardian ()
		1025	{
		1026	mkdir /var/dansguardian
		1027	chown dansguardian /var/dansguardian
497	richard	1028	[ -e $DIR_DG/dansguardian.conf.default ] \|\| cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
307	richard	1029	# Le filtrage est désactivé par défaut
497	richard	1030	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1	root	1031	# la page d'interception est en français
497	richard	1032	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1	root	1033	# on limite l'écoute de Dansguardian côté LAN
497	richard	1034	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
835	richard	1035	# on chaîne Dansguardian au proxy cache SQUID
		1036	$SED "s?^proxyport.*?proxyport = 3128?g" $DIR_DG/dansguardian.conf
1	root	1037	# on remplace la page d'interception (template)
		1038	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
		1039	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
		1040	# on ne loggue que les deny (pour le reste, on a squid)
497	richard	1041	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
659	richard	1042	# lauch of 10 daemons (20 in largest server)
		1043	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1	root	1044	# on désactive par défaut le controle de contenu des pages html
497	richard	1045	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
		1046	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
		1047	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1	root	1048	# on désactive par défaut le contrôle d'URL par expressions régulières
497	richard	1049	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
		1050	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1	root	1051	# on désactive par défaut le contrôle de téléchargement de fichiers
497	richard	1052	[ -e $DIR_DG/dansguardianf1.conf.default ] \|\| cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
		1053	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
		1054	[ -e $DIR_DG/lists/bannedextensionlist.default ] \|\| mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
		1055	[ -e $DIR_DG/lists/bannedmimetypelist.default ] \|\| mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
		1056	touch $DIR_DG/lists/bannedextensionlist
		1057	touch $DIR_DG/lists/bannedmimetypelist
		1058	# 'Safesearch' regex actualisation
498	richard	1059	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
497	richard	1060	# empty LAN IP list that won't be WEB filtered
		1061	[ -e $DIR_DG/lists/exceptioniplist.default ] \|\| mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
		1062	touch $DIR_DG/lists/exceptioniplist
		1063	# Keep a copy of URL & domain filter configuration files
		1064	[ -e $DIR_DG/lists/bannedsitelist.default ] \|\| mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
		1065	[ -e $DIR_DG/lists/bannedurllist.default ] \|\| mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1	root	1066	} # End of param_dansguardian ()
		1067
71	richard	1068	##################################################################
		1069	## Fonction antivirus ##
479	richard	1070	## - configuration havp + libclamav ##
71	richard	1071	##################################################################
		1072	antivirus ()
		1073	{
288	richard	1074	# création de l'usager 'havp'
		1075	havp_exist=`grep havp /etc/passwd\|wc -l`
307	richard	1076	if [ "$havp_exist" == "1" ]
288	richard	1077	then
478	richard	1078	userdel -r havp 2>/dev/null
288	richard	1079	fi
307	richard	1080	groupadd -f havp
796	richard	1081	useradd -r -g havp -s /bin/false -c "system user for havp" havp
476	richard	1082	mkdir -p /var/tmp/havp /var/log/havp
		1083	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
307	richard	1084	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
109	richard	1085	# configuration d'HAVP
		1086	[ -e /etc/havp/havp.config.default ] \|\| cp /etc/havp/havp.config /etc/havp/havp.config.default
		1087	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
631	richard	1088	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config # datas come on 8090
		1089	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config # we listen only on loopback
		1090	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config # active libclamav AV
		1091	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config # log only when malware matches
659	richard	1092	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config # 10 daemons are started simultaneously
835	richard	1093	$SED "s?^# SCANIMAGES.*?SCANIMAGES false?g" /etc/havp/havp.config # doesn't scan image files
		1094	$SED "s?^# SKIPMIME.?SKIPMIME image\/\ video\/\* audio\/\*?g" /etc/havp/havp.config # doesn't scan some multimedia files
481	franck	1095	# remplacement du fichier d'initialisation
335	richard	1096	[ -e /etc/init.d/havp.default ] \|\| cp /etc/init.d/havp /etc/init.d/havp.default
481	franck	1097	cp -f $DIR_CONF/havp-init /etc/init.d/havp
340	richard	1098	# on remplace la page d'interception (template)
		1099	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
		1100	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
489	richard	1101	# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
		1102	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
		1103	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
734	richard	1104	# Virus database update
		1105	rm -f /var/lib/clamav/*.cld # in case of old database scheme
		1106	[ -e /var/lib/clamav/main.cvd ] \|\| /usr/bin/freshclam
71	richard	1107	}
		1108
1	root	1109	##################################################################################
476	richard	1110	## param_ulogd function ##
		1111	## - Ulog config for multi-log files ##
		1112	##################################################################################
		1113	param_ulogd ()
		1114	{
		1115	# Three instances of ulogd (three different logfiles)
		1116	[ -d /var/log/firewall ] \|\| mkdir -p /var/log/firewall
478	richard	1117	nl=1
		1118	for log_type in tracability ssh ext-access
		1119	do
		1120	[ -e /var/log/firewall/$log_type.log ] \|\| touch /var/log/firewall/$log_type.log
		1121	cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
		1122	$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf
		1123	$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
		1124	cat << EOF >> /etc/ulogd-$log_type.conf
		1125	[LOGEMU]
		1126	file="/var/log/firewall/$log_type.log"
		1127	sync=1
		1128	EOF
		1129	nl=`expr $nl + 1`
		1130	done
476	richard	1131	chown -R root:apache /var/log/firewall
		1132	chmod 750 /var/log/firewall
		1133	chmod 640 /var/log/firewall/*
		1134	[ -e /etc/init.d/ulogd.default ] \|\| cp /etc/init.d/ulogd /etc/init.d/ulogd.default
		1135	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
		1136	} # End of param_ulogd ()
		1137
		1138	##################################################################################
1	root	1139	## Fonction param_awstats ##
		1140	## - configuration de l'interface des logs de consultation WEB (AWSTAT) ##
		1141	##################################################################################
		1142	param_awstats()
		1143	{
316	richard	1144	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
		1145	chown -R apache:apache $DIR_ACC/awstats
1	root	1146	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
		1147	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
		1148	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
		1149	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
		1150	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
		1151	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
344	richard	1152	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
		1153	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1	root	1154	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
		1155	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59	richard	1156	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
580	richard	1157	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
		1158	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1159	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
		1160	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
		1161	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
		1162	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
		1163	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
		1164	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
		1165	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
		1166	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
		1167	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
		1168	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
		1169	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
		1170	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
		1171	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
		1172
1	root	1173	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
316	richard	1174	<Directory $DIR_ACC/awstats>
1	root	1175	SSLRequireSSL
		1176	Options ExecCGI
		1177	AddHandler cgi-script .pl
		1178	DirectoryIndex awstats.pl
		1179	Order deny,allow
		1180	Deny from all
		1181	Allow from 127.0.0.1
		1182	Allow from $PRIVATE_NETWORK_MASK
		1183	require valid-user
		1184	AuthType digest
		1185	AuthName $HOSTNAME
		1186	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434	richard	1187	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580	richard	1188	ErrorDocument 404 https://$HOSTNAME/
1	root	1189	</Directory>
		1190	SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
		1191	EOF
		1192	} # End of param_awstats ()
		1193
		1194	##########################################################
235	richard	1195	## Fonction param_dnsmasq ##
1	root	1196	##########################################################
219	jeremy	1197	param_dnsmasq ()
		1198	{
		1199	[ -d /var/log/dnsmasq ] \|\| mkdir /var/log/dnsmasq
259	richard	1200	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
503	richard	1201	[ -e /etc/dnsmasq.conf.default ] \|\| cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
520	richard	1202	# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
503	richard	1203	cat << EOF > /etc/dnsmasq.conf
520	richard	1204	# Configuration file for "dnsmasq in forward mode"
503	richard	1205	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
259	richard	1206	listen-address=$PRIVATE_IP
		1207	listen-address=127.0.0.1
286	richard	1208	no-dhcp-interface=$INTIF
259	richard	1209	bind-interfaces
		1210	cache-size=256
		1211	domain=$DOMAIN
		1212	domain-needed
		1213	expand-hosts
		1214	bogus-priv
		1215	filterwin2k
		1216	server=$DNS1
		1217	server=$DNS2
498	richard	1218	# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
865	richard	1219	dhcp-range=$PRIVATE_FIRST_IP,$PRIVATE_LAST_IP,$PRIVATE_NETMASK,12h
632	richard	1220	dhcp-option=option:router,$PRIVATE_IP
259	richard	1221	#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
		1222
291	franck	1223	# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
420	franck	1224	#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
259	richard	1225	EOF
520	richard	1226	# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
		1227	cat << EOF > /etc/dnsmasq-blackhole.conf
		1228	# Configuration file for "dnsmasq with blackhole"
		1229	# Inclusion de la blacklist <domains> de Toulouse dans la configuration
		1230	conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
503	richard	1231	conf-file=$DIR_DEST_ETC/alcasar-dns-name # zone de definition de noms DNS locaux
498	richard	1232	listen-address=$PRIVATE_IP
		1233	port=54
		1234	no-dhcp-interface=$INTIF
		1235	bind-interfaces
		1236	cache-size=256
		1237	domain=$DOMAIN
		1238	domain-needed
		1239	expand-hosts
		1240	bogus-priv
		1241	filterwin2k
		1242	server=$DNS1
		1243	server=$DNS2
		1244	EOF
718	franck	1245
800	richard	1246	# Init file modification
503	richard	1247	[ -e /etc/init.d/dnsmasq.default ] \|\| cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
800	richard	1248	# Start and stop a 2nd process for the "DNS blackhole"
520	richard	1249	$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
503	richard	1250	$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
800	richard	1251	# Start after chilli (65) which create tun0
		1252	$SED "s?^# chkconfig:.*?# chkconfig: 2345 99 40?g" /etc/init.d/dnsmasq
		1253	# Optionnellement on active les logs DNS des clients
786	richard	1254	[ -e /etc/sysconfig/dnsmasq.default ] \|\| cp /etc/sysconfig/dnsmasq /etc/sysconfig/dnsmasq.default
800	richard	1255	$SED "s?^OPTIONS=.*?#OPTIONS=\"-q --log-facility=/var/log/dnsmasq/queries.log\"?g" /etc/sysconfig/dnsmasq
308	richard	1256	} # End dnsmasq
		1257
		1258	##########################################################
		1259	## Fonction BL (BlackList) ##
		1260	##########################################################
		1261	BL ()
		1262	{
		1263	# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
648	richard	1264	rm -rf $DIR_DG/lists/blacklists
		1265	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
		1266	# on crée le répertoire de la BL secondaire et le répertoire "pureip" (catégorie virtuelle)
		1267	mkdir $DIR_DG/lists/blacklists/ossi $DIR_DG/lists/blacklists/ip
		1268	touch $DIR_DG/lists/blacklists/ossi/domains $DIR_DG/lists/blacklists/ip/domains
		1269	touch $DIR_DG/lists/blacklists/ossi/urls $DIR_DG/lists/blacklists/ip/urls
309	richard	1270	# On crée les fichiers vides de sites ou d'URL réhabilités
648	richard	1271	[ -e $DIR_DG/lists/exceptionsitelist.default ] \|\| mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
673	richard	1272	[ -e $DIR_DG/lists/exceptionurllist.default ] \|\| mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
648	richard	1273	touch $DIR_DG/lists/exceptionsitelist
		1274	touch $DIR_DG/lists/exceptionurllist
311	richard	1275	# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
648	richard	1276	cat <<EOF > $DIR_DG/lists/bannedurllist
311	richard	1277	# Dansguardian filter config for ALCASAR
		1278	EOF
648	richard	1279	cat <<EOF > $DIR_DG/lists/bannedsitelist
311	richard	1280	# Dansguardian domain filter config for ALCASAR
		1281	# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
		1282	#**
		1283	# block all SSL and CONNECT tunnels
		1284	**s
		1285	# block all SSL and CONNECT tunnels specified only as an IP
		1286	*ips
		1287	# block all sites specified only by an IP
		1288	*ip
		1289	EOF
648	richard	1290	chown -R dansguardian:apache $DIR_DG
		1291	chmod -R g+rw $DIR_DG
304	richard	1292	# On crée la structure du DNS-blackhole :
503	richard	1293	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1294	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
		1295	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
786	richard	1296	# On adapte la BL de Toulouse à notre structure
654	richard	1297	if [ "$mode" != "update" ]; then
		1298	$DIR_DEST_SBIN/alcasar-bl.sh --adapt
		1299	fi
308	richard	1300	}
219	jeremy	1301
1	root	1302	##########################################################
		1303	## Fonction cron ##
		1304	## - Mise en place des différents fichiers de cron ##
		1305	##########################################################
		1306	cron ()
		1307	{
		1308	# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
		1309	[ -e /etc/crontab.default ] \|\| cp /etc/crontab /etc/crontab.default
		1310	cat <<EOF > /etc/crontab
		1311	SHELL=/bin/bash
		1312	PATH=/sbin:/bin:/usr/sbin:/usr/bin
		1313	MAILTO=root
		1314	HOME=/
		1315
		1316	# run-parts
		1317	01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
		1318	02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
		1319	22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
		1320	42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
		1321	EOF
		1322	[ -e /etc/anacrontab.default ] \|\| cp /etc/anacrontab /etc/anacrontab.default
		1323	cat <<EOF >> /etc/anacrontab
667	franck	1324	7 8 cron.MysqlDump nice /etc/cron.d/alcasar-mysql
		1325	7 10 cron.logExport nice /etc/cron.d/alcasar-export_log
		1326	7 15 cron.logClean nice /etc/cron.d/alcasar-clean_log
		1327	7 20 cron.importClean nice /etc/cron.d/alcasar-clean_import
1	root	1328	EOF
667	franck	1329	cat <<EOF > /etc/cron.d/alcasar-clean_log
713	franck	1330	# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
865	richard	1331	30 4 * * 1 root $DIR_DEST_BIN/alcasar-log.sh --clean
1	root	1332	EOF
811	richard	1333	cat <<EOF > /etc/cron.d/alcasar-mysql
1	root	1334	# export de la base des usagers (tous les lundi à 4h45)
671	franck	1335	45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
1	root	1336	EOF
667	franck	1337	cat <<EOF > /etc/cron.d/alcasar-export_log
713	franck	1338	# export des log squid, firewall et apache (tous les lundi à 5h00)
865	richard	1339	00 5 * * 1 root $DIR_DEST_BIN/alcasar-log.sh --export
1	root	1340	EOF
		1341	cat << EOF > /etc/cron.d/awstats
713	franck	1342	# mise à jour des stats de consultation WEB toutes les 30'
419	franck	1343	/30 * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1	root	1344	EOF
667	franck	1345	cat << EOF > /etc/cron.d/alcasar-clean_import
713	franck	1346	# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
503	richard	1347	30 * * * * root $DIR_DEST_BIN/alcasar-import-clean.sh
168	franck	1348	EOF
722	franck	1349	cat << EOF > /etc/cron.d/alcasar-distrib-updates
		1350	# mise à jour automatique de la distribution tous les jours 3h30
762	franck	1351	30 3 * * * root /usr/sbin/urpmi --auto-update --auto 2>&1
722	franck	1352	EOF
1	root	1353	# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
		1354	# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
		1355	# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct')
		1356	# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
		1357	# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
		1358	# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
		1359	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
		1360	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
		1361	rm -f /etc/cron.daily/freeradius-web
		1362	rm -f /etc/cron.monthly/freeradius-web
		1363	cat << EOF > /etc/cron.d/freeradius-web
		1364	1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
		1365	5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
		1366	10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
		1367	15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
		1368	EOF
671	franck	1369	cat << EOF > /etc/cron.d/alcasar-watchdog
713	franck	1370	# activation du "chien de garde" (watchdog) toutes les 3'
1	root	1371	/3 * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
		1372	EOF
808	franck	1373	# activation du "chien de garde des services" (watchdog) toutes les 18'
		1374	cat << EOF > /etc/cron.d/alcasar-daemon-watchdog
		1375	# activation du "chien de garde" (daemon-watchdog) toutes les 18'
		1376	/18 * * * root $DIR_DEST_BIN/alcasar-daemon.sh > /dev/null 2>&1
		1377	EOF
522	richard	1378	# suppression des crons usagers
		1379	rm -f /var/spool/cron/*
1	root	1380	} # End cron
		1381
		1382	##################################################################
		1383	## Fonction post_install ##
		1384	## - Modification des bannières (locales et ssh) et des prompts ##
		1385	## - Installation de la structure de chiffrement pour root ##
		1386	## - Mise en place du sudoers et de la sécurité sur les fichiers##
		1387	## - Mise en place du la rotation des logs ##
5	franck	1388	## - Configuration dans le cas d'une mise à jour ##
1	root	1389	##################################################################
		1390	post_install()
		1391	{
		1392	# adaptation du script "chien de garde" (watchdog)
376	franck	1393	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
		1394	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1	root	1395	# création de la bannière locale
		1396	[ -e /etc/mandriva-release.default ] \|\| cp /etc/mandriva-release /etc/mandriva-release.default
589	richard	1397	cp -f $DIR_CONF/banner /etc/mandriva-release
		1398	echo " V$VERSION" >> /etc/mandriva-release
1	root	1399	# création de la bannière SSH
		1400	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5	franck	1401	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1	root	1402	[ -e /etc/ssh/sshd_config.default ] \|\| cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
		1403	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
		1404	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
793	richard	1405	# postfix banner anonymisation
		1406	$SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf
604	richard	1407	# sshd écoute côté LAN et WAN
1	root	1408	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
604	richard	1409	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config
860	richard	1410	# Put the default value in conf file (sshd, QOS and protocols/dns/ are off)(web antivirus is on)
1	root	1411	/sbin/chkconfig --del sshd
628	richard	1412	echo "SSH=off" >> $CONF_FILE
694	franck	1413	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
628	richard	1414	echo "QOS=off" >> $CONF_FILE
		1415	echo "LDAP=off" >> $CONF_FILE
786	richard	1416	echo "LDAP_IP=0.0.0.0/0.0.0.0" >> $CONF_FILE
628	richard	1417	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
		1418	echo "DNS_FILTERING=off" >> $CONF_FILE
		1419	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
1	root	1420	# Coloration des prompts
		1421	[ -e /etc/bashrc.default ] \|\| cp /etc/bashrc /etc/bashrc.default
5	franck	1422	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
630	franck	1423	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1	root	1424	# Droits d'exécution pour utilisateur apache et sysadmin
		1425	[ -e /etc/sudoers.default ] \|\| cp /etc/sudoers /etc/sudoers.default
5	franck	1426	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
629	richard	1427	$SED "s?^Host_Alias.*?Host_Alias LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost #réseau de l'organisme?g" /etc/sudoers
132	franck	1428	# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1	root	1429	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
		1430	chmod 644 /etc/logrotate.d/*
714	franck	1431	# rectification sur versions précédentes de la compression des logs
706	franck	1432	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
		1433	# actualisation des fichiers logs compressés
714	franck	1434	for dir in firewall squid dansguardian httpd
706	franck	1435	do
714	franck	1436	find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
706	franck	1437	done
		1438	# export des logs en 'retard' dans /var/Save/logs
865	richard	1439	/usr/local/bin/alcasar-log.sh --export
1	root	1440	# processus lancés par défaut au démarrage
796	richard	1441	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd netfs mysqld dansguardian havp freshclam
1	root	1442	do
		1443	/sbin/chkconfig --add $i
		1444	done
595	richard	1445	# pour éviter les alertes de dépendance entre service.
384	richard	1446	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
497	richard	1447	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
595	richard	1448	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
		1449	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
306	richard	1450	# On affecte le niveau de sécurité du système : type "fileserver"
235	richard	1451	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
306	richard	1452	# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
235	richard	1453	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
568	richard	1454	# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
		1455	# Apply French Security Agency rules (sysctl + msec when possible)
		1456	# ignorer les broadcast ICMP. (attaque smurf)
		1457	$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
		1458	sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
		1459	# ignorer les erreurs ICMP bogus
		1460	$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
		1461	sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
595	richard	1462	# désactiver l'envoi et la réponse aux ICMP redirects
679	richard	1463	sysctl -w net.ipv4.conf.all.accept_redirects=0
568	richard	1464	accept_redirect=`grep accept_redirect /etc/sysctl.conf\|wc -l`
		1465	if [ "$accept_redirect" == "0" ]
		1466	then
679	richard	1467	echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
		1468	else
		1469	$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
568	richard	1470	fi
679	richard	1471	sysctl -w net.ipv4.conf.all.send_redirects=0
568	richard	1472	send_redirect=`grep send_redirect /etc/sysctl.conf\|wc -l`
		1473	if [ "$send_redirect" == "0" ]
		1474	then
679	richard	1475	echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
		1476	else
		1477	$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
568	richard	1478	fi
		1479	# activer les SYN Cookies (attaque syn flood)
679	richard	1480	sysctl -w net.ipv4.tcp_syncookies=1
568	richard	1481	tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf\|wc -l`
		1482	if [ "$tcp_syncookies" == "0" ]
		1483	then
679	richard	1484	echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
		1485	else
		1486	$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
568	richard	1487	fi
595	richard	1488	# activer l'antispoofing niveau Noyau
568	richard	1489	$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
		1490	sysctl -w net.ipv4.conf.all.rp_filter=1
		1491	# ignorer le source routing
679	richard	1492	sysctl -w net.ipv4.conf.all.accept_source_route=0
568	richard	1493	accept_source_route=`grep accept_source_route /etc/sysctl.conf\|wc -l`
		1494	if [ "$accept_source_route" == "0" ]
		1495	then
679	richard	1496	echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
		1497	else
		1498	$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
568	richard	1499	fi
679	richard	1500	# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
		1501	sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
		1502	timeout_established=`grep timeout_established /etc/sysctl.conf\|wc -l`
		1503	if [ "$timeout_established" == "0" ]
		1504	then
		1505	echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
		1506	else
793	richard	1507	$SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf
679	richard	1508	fi
		1509	# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée)
568	richard	1510	sysctl -w net.ipv4.conf.all.log_martians=0
		1511	$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
		1512
793	richard	1513
306	richard	1514	# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
		1515	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1	root	1516	# On mets en place la sécurité sur les fichiers
		1517	# des modif par rapport à radius update
		1518	cat <<EOF > /etc/security/msec/perm.local
		1519	/var/log/firewall/ root.apache 750
		1520	/var/log/firewall/* root.apache 640
		1521	/etc/security/msec/perm.local root.root 640
		1522	/etc/security/msec/level.local root.root 640
		1523	/etc/freeradius-web root.apache 750
		1524	/etc/freeradius-web/admin.conf root.apache 640
		1525	/etc/freeradius-web/config.php root.apache 640
		1526	/etc/raddb/dictionnary root.radius 640
		1527	/etc/raddb/ldap.attrmap root.radius 640
		1528	/etc/raddb/hints root.radius 640
		1529	/etc/raddb/huntgroups root.radius 640
		1530	/etc/raddb/attrs.access_reject root.radius 640
		1531	/etc/raddb/attrs.accounting_response root.radius 640
		1532	/etc/raddb/acct_users root.radius 640
		1533	/etc/raddb/preproxy_users root.radius 640
		1534	/etc/raddb/modules/ldap radius.apache 660
		1535	/etc/raddb/sites-available/alcasar radius.apache 660
		1536	/etc/pki/* root.apache 750
		1537	EOF
		1538	/usr/sbin/msec
59	richard	1539	# modification /etc/inittab
		1540	[ -e /etc/inittab.default ] \|\| cp /etc/inittab /etc/inittab.default
60	richard	1541	# On ne garde que 3 terminaux
59	richard	1542	$SED "s?^4.*?#&?g" /etc/inittab
		1543	$SED "s?^5.*?#&?g" /etc/inittab
		1544	$SED "s?^6.*?#&?g" /etc/inittab
470	richard	1545	# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
		1546	$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
		1547	$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
532	richard	1548	# On supprime les services et les utilisateurs inutiles
793	richard	1549	for svc in alsa sound dm atd bootlogd stop-bootlogd
532	richard	1550	do
		1551	/sbin/chkconfig --del $svc
		1552	done
		1553	for rm_users in avahi-autoipd avahi icapd
		1554	do
		1555	user=`cat /etc/passwd\|grep $rm_users\|cut -d":" -f1`
		1556	if [ "$user" == "$rm_users" ]
		1557	then
		1558	/usr/sbin/userdel -f $rm_users
		1559	fi
		1560	done
628	richard	1561	# Load and update the previous conf file
5	franck	1562	if [ "$mode" = "update" ]
		1563	then
389	franck	1564	$DIR_DEST_BIN/alcasar-conf.sh --load
628	richard	1565	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
		1566	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
5	franck	1567	fi
595	richard	1568	rm -f /tmp/alcasar-conf*
434	richard	1569	chown -R root:apache $DIR_DEST_ETC/*
512	richard	1570	chmod -R 660 $DIR_DEST_ETC/*
434	richard	1571	chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1	root	1572	cd $DIR_INSTALL
5	franck	1573	echo ""
1	root	1574	echo "#############################################################################"
638	richard	1575	if [ $Lang == "fr" ]
		1576	then
		1577	echo "# Fin d'installation d'ALCASAR #"
		1578	echo "# #"
		1579	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1580	echo "# des Accès au Réseau ( ALCASAR ) #"
		1581	echo "# #"
		1582	echo "#############################################################################"
		1583	echo
		1584	echo "- ALCASAR sera fonctionnel après redémarrage du système"
		1585	echo
		1586	echo "- Lisez attentivement la documentation d'exploitation"
		1587	echo
		1588	echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
		1589	echo
		1590	echo " Appuyez sur 'Entrée' pour continuer"
		1591	else
		1592	echo "# Enf of ALCASAR install process #"
		1593	echo "# #"
		1594	echo "# Application Libre pour le Contrôle Authentifié et Sécurisé #"
		1595	echo "# des Accès au Réseau ( ALCASAR ) #"
		1596	echo "# #"
		1597	echo "#############################################################################"
		1598	echo
		1599	echo "- The system will be rebooted in order to operate ALCASAR"
		1600	echo
		1601	echo "- Read the exploitation documentation"
		1602	echo
		1603	echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
		1604	echo
		1605	echo " Hit 'Enter' to continue"
		1606	fi
815	richard	1607	sleep 2
		1608	if [ "$mode" != "update" ]
820	richard	1609	then
815	richard	1610	read a
		1611	fi
774	richard	1612	clear
		1613	# Apply and save the firewall rules
490	richard	1614	sh $DIR_DEST_BIN/alcasar-iptables.sh
		1615	sleep 2
1	root	1616	reboot
		1617	} # End post_install ()
		1618
		1619	#################################
		1620	# Boucle principale du script #
		1621	#################################
832	richard	1622	dir_exec=`dirname "$0"`
		1623	if [ $dir_exec != "." ]
		1624	then
		1625	echo "Lancez ce programme depuis le répertoire de l'archive d'ALCASAR"
		1626	echo "Launch this program from the ALCASAR archive directory"
		1627	exit 0
		1628	fi
		1629	VERSION=`cat $DIR_INSTALL/VERSION`
291	franck	1630	usage="Usage: alcasar.sh {-i or --install} \| {-u or --uninstall}"
1	root	1631	nb_args=$#
		1632	args=$1
		1633	if [ $nb_args -eq 0 ]
		1634	then
		1635	nb_args=1
		1636	args="-h"
		1637	fi
		1638	case $args in
		1639	-\? \| -h* \| --h*)
		1640	echo "$usage"
		1641	exit 0
		1642	;;
291	franck	1643	-i \| --install)
5	franck	1644	header_install
29	richard	1645	testing
597	richard	1646	# Test if ALCASAR is already installed
5	franck	1647	if [ -e $DIR_WEB/VERSION ]
1	root	1648	then
460	richard	1649	actual_version=`cat $DIR_WEB/VERSION`
595	richard	1650	if [ $Lang == "fr" ]
		1651	then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
		1652	else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
		1653	fi
5	franck	1654	response=0
460	richard	1655	PTN='^[oOnNyY]$'
580	richard	1656	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1657	do
595	richard	1658	if [ $Lang == "fr" ]
		1659	then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
		1660	else echo -n "Do you want to update (Y/n)?";
		1661	fi
5	franck	1662	read response
		1663	done
597	richard	1664	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
5	franck	1665	then
597	richard	1666	rm -f /tmp/alcasar-conf*
		1667	else
510	richard	1668	RUNNING_VERSION=`cat $DIR_WEB/VERSION\|cut -d" " -f1`
		1669	MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f1`
		1670	MIN_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f2\|cut -c1`
		1671	UPD_RUNNING_VERSION=`echo $RUNNING_VERSION\|cut -d"." -f3`
636	richard	1672	# Create a backup of running version importants files
5	franck	1673	chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
389	franck	1674	$DIR_SCRIPTS/alcasar-conf.sh --create
532	richard	1675	mode="update"
5	franck	1676	fi
1	root	1677	fi
595	richard	1678	# RPMs install
		1679	$DIR_SCRIPTS/alcasar-urpmi.sh
		1680	if [ "$?" != "0" ]
1	root	1681	then
595	richard	1682	exit 0
		1683	fi
		1684	if [ -e $DIR_WEB/VERSION ]
		1685	then
597	richard	1686	# Uninstall the running version
532	richard	1687	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
595	richard	1688	fi
636	richard	1689	# Test if manual update
597	richard	1690	if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
595	richard	1691	then
636	richard	1692	header_install
595	richard	1693	if [ $Lang == "fr" ]
636	richard	1694	then echo "Le fichier de configuration d'une ancienne version a été trouvé";
		1695	else echo "The configuration file of an old version has been found";
595	richard	1696	fi
597	richard	1697	response=0
		1698	PTN='^[oOnNyY]$'
		1699	until [[ $(expr $response : $PTN) -gt 0 ]]
		1700	do
		1701	if [ $Lang == "fr" ]
		1702	then echo -n "Voulez-vous l'utiliser (O/n)? ";
		1703	else echo -n "Do you want to use it (Y/n)?";
		1704	fi
		1705	read response
		1706	if [ "$response" = "n" ] \|\| [ "$response" = "N" ]
		1707	then rm -f /tmp/alcasar-conf*
		1708	fi
		1709	done
		1710	fi
636	richard	1711	# Test if update
597	richard	1712	if [ -e /tmp/alcasar-conf.tar.gz ]
		1713	then
		1714	if [ $Lang == "fr" ]
		1715	then echo "#### Installation avec mise à jour ####";
		1716	else echo "#### Installation with update ####";
		1717	fi
636	richard	1718	# Extract the central configuration file
637	richard	1719	tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf
		1720	ORGANISME=`grep ORGANISM conf/etc/alcasar.conf\|cut -d"=" -f2`
5	franck	1721	mode="update"
		1722	else
		1723	mode="install"
1	root	1724	fi
604	richard	1725	for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
5	franck	1726	do
		1727	$func
735	richard	1728	# echo "* 'debug' : end of function $func *"; read a
14	richard	1729	done
5	franck	1730	;;
291	franck	1731	-u \| --uninstall)
5	franck	1732	if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1	root	1733	then
597	richard	1734	if [ $Lang == "fr" ]
		1735	then echo "ALCASAR n'est pas installé!";
		1736	else echo "ALCASAR isn't installed!";
		1737	fi
1	root	1738	exit 0
		1739	fi
5	franck	1740	response=0
		1741	PTN='^[oOnN]$'
580	richard	1742	until [[ $(expr $response : $PTN) -gt 0 ]]
5	franck	1743	do
597	richard	1744	if [ $Lang == "fr" ]
		1745	then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
854	richard	1746	else echo -n "Do you want to create the running version configuration file (Y/n)? ";
597	richard	1747	fi
5	franck	1748	read response
		1749	done
597	richard	1750	if [ "$reponse" = "o" ] \|\| [ "$reponse" = "O" ] \|\| [ "$response" = "Y" ] \|\| [ "$response" = "y" ]
1	root	1751	then
389	franck	1752	$DIR_SCRIPT/alcasar-conf.sh --create
498	richard	1753	else
		1754	rm -f /tmp/alcasar-conf*
1	root	1755	fi
597	richard	1756	# Uninstall the running version
65	richard	1757	$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1	root	1758	;;
		1759	*)
		1760	echo "Argument inconnu :$1";
460	richard	1761	echo "Unknown argument :$1";
1	root	1762	echo "$usage"
		1763	exit 1
		1764	;;
		1765	esac
10	franck	1766	# end of script
366	franck	1767

Subversion Repositories ALCASAR

(root)/alcasar.sh @ 2681 – Rev 865