Subversion Repositories ALCASAR

Rev

Rev 958 | Rev 967 | Go to most recent revision | Details | Compare with Previous | Last modification | View Log

Rev Author Line No. Line
672 richard 1
#!/bin/bash
57 franck 2
#  $Id: alcasar.sh 959 2012-07-26 12:49:22Z franck $ 
1 root 3
 
4
# alcasar.sh
959 franck 5
 
6
# ALCASAR - Portail captif d'accès à l'Internet -  Copyright (C) [2005] [ALcasar team - Rexy - 3abtux - ...] 
7
# Ce programme est un logiciel libre ; vous pouvez le redistribuer et/ou le modifier au titre des clauses de la Licence Publique Générale GNU, 
8
# elle que publiée par la Free Software Foundation ; soit la version 3 de la Licence. 
9
# Ce programme est distribué dans l'espoir qu'il sera utile, mais SANS AUCUNE GARANTIE ; 
10
# sans même une garantie implicite de COMMERCIABILITE ou DE CONFORMITE A UNE UTILISATION PARTICULIERE. 
11
# Voir la Licence Publique Générale GNU pour plus de détails. 
12
# Vous devriez avoir reçu un exemplaire de la Licence Publique Générale GNU avec ce programme ; 
13
# si ce n’est pas le cas, consultez :   <http://www.gnu.org/licenses/>.
14
 
15
#  @mail de la team d'ALCASAR
16
 
1 root 17
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
18
# This script is distributed under the Gnu General Public License (GPL)
19
 
672 richard 20
# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
21
# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
1 root 22
# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
23
# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
672 richard 24
#
806 richard 25
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, awstat, ntpd, openssl, dnsmasq, havp, libclamav  and firewalleyes
1 root 26
 
27
# Options :
376 franck 28
#       -i or --install
29
#       -u or --uninstall
1 root 30
 
376 franck 31
# Functions :
29 richard 32
#       testing         : Tests de connectivité et de téléchargement avant installation
1 root 33
#       init            : Installation des RPM et des scripts
34
#       network         : Paramètrage du réseau
35
#       gestion         : Installation de l'interface de gestion
36
#       AC              : Initialisation de l'autorité de certification. Création des certificats
37
#       init_db         : Création de la base 'radius' sur le serveur MySql
38
#       param_radius    : Configuration du serveur d'authentification FreeRadius
39
#       param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
40
#       param_chilli    : Configuration du daemon 'coova-chilli' et de la page d'authentification
41
#       param_squid     : Configuration du proxy squid en mode 'cache'
42
#       param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
479 richard 43
#       antivirus       : Installation havp + libclamav
1 root 44
#       param_awstats   : Configuration de l'interface des statistiques de consultation WEB
297 richard 45
#       dnsmasq         : Configuration du serveur de noms et du serveur dhcp de secours
308 richard 46
#       BL              : Configuration de la BlackList
1 root 47
#       cron            : Mise en place des exports de logs (+ chiffrement)
532 richard 48
#       post_install    : Finalisation environnement ( sécurité, bannières, rotation logs, ...)
1 root 49
 
50
DATE=`date '+%d %B %Y - %Hh%M'`
51
DATE_SHORT=`date '+%d/%m/%Y'`
595 richard 52
Lang=`echo $LANG|cut -c 1-2`
1 root 53
# ******* Files parameters - paramètres fichiers *********
832 richard 54
DIR_INSTALL=`pwd`                               # install directory 
1 root 55
DIR_CONF="$DIR_INSTALL/conf"                    # répertoire d'installation contenant les fichiers de configuration
56
DIR_SCRIPTS="$DIR_INSTALL/scripts"              # répertoire d'installation contenant les scripts
806 richard 57
DIR_SAVE="/var/Save"                            # répertoire de sauvegarde (system_backup, user_db_backup, logs)
316 richard 58
DIR_WEB="/var/www/html"                         # répertoire racine APACHE
648 richard 59
DIR_DG="/etc/dansguardian"                      # répertoire de config de DansGuardian
316 richard 60
DIR_ACC="$DIR_WEB/acc"                          # répertoire du centre de gestion 'ALCASAR Control Center'
1 root 61
DIR_DEST_BIN="/usr/local/bin"                   # répertoire des scripts
62
DIR_DEST_SBIN="/usr/local/sbin"                 # répertoire des scripts d'admin
63
DIR_DEST_ETC="/usr/local/etc"                   # répertoire des fichiers de conf
628 richard 64
CONF_FILE="$DIR_DEST_ETC/alcasar.conf"          # fichier de conf d'alcasar
65
PASSWD_FILE="/root/ALCASAR-passwords.txt"       # fichier texte contenant les mots de passe et secrets partagés 
1 root 66
# ******* DBMS parameters - paramètres SGBD ********
67
DB_RADIUS="radius"                              # nom de la base de données utilisée par le serveur FreeRadius
68
DB_USER="radius"                                # nom de l'utilisateur de la base de données
69
# ******* Network parameters - paramètres réseau *******
503 richard 70
HOSTNAME="alcasar"                              # 
1 root 71
DOMAIN="localdomain"                            # domaine local
72
EXTIF="eth0"                                    # ETH0 est l'interface connectée à Internet (Box FAI)
73
INTIF="eth1"                                    # ETH1 est l'interface connectée au réseau local de consultation
597 richard 74
DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24"      # adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
1 root 75
# ****** Paths - chemin des commandes *******
76
SED="/bin/sed -i"
77
# ****************** End of global parameters *********************
78
 
959 franck 79
license ()
80
{
81
        if [ $Lang == "fr" ]
82
        then cat $DIR_INSTALL/gpl-3.0.fr.txt
83
        else cat $DIR_INSTALL/gpl-3.0.txt
84
        fi
85
        read a
86
}
87
 
1 root 88
header_install ()
89
{
90
        clear
91
        echo "-----------------------------------------------------------------------------"
460 richard 92
        echo "                     ALCASAR V$VERSION Installation"
1 root 93
        echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
94
        echo "-----------------------------------------------------------------------------"
95
} # End of header_install ()
96
 
97
##################################################################
29 richard 98
##                      Fonction TESTING                        ##
99
## - Test de la connectivité Internet                          ##
100
##################################################################
101
testing ()
102
{
595 richard 103
        if [ $Lang == "fr" ]
784 richard 104
                then echo -n "Tests des paramètres réseau : "
595 richard 105
                else echo -n "Network parameters tests : "
106
        fi
784 richard 107
# We test eth0 config files
108
        PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
109
        PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
110
        if [ `echo $PUBLIC_IP|wc -c` -lt 7 ] || [ `echo $PUBLIC_GATEWAY|wc -c` -lt 7 ]
111
                then
112
                if [ $Lang == "fr" ]
113
                then
114
                        echo "Échec"
115
                        echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."
116
                        echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
830 richard 117
                        echo "Appliquez les changements : 'service network restart'"
784 richard 118
                else
119
                        echo "Failed"
120
                        echo "The Internet connected network card ($EXTIF) isn't well configured."
121
                        echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
830 richard 122
                        echo "Apply the new configuration 'service network restart'"
784 richard 123
                fi
830 richard 124
                echo "DEVICE=$EXTIF"
784 richard 125
                echo "IPADDR="
126
                echo "NETMASK="
127
                echo "GATEWAY="
128
                echo "DNS1="
129
                echo "DNS2="
830 richard 130
                echo "ONBOOT=yes"
784 richard 131
                exit 0
132
        fi
133
        echo -n "."
460 richard 134
# We test the Ethernet links state
29 richard 135
        for i in $EXTIF $INTIF
136
        do
294 richard 137
                /sbin/ip link set $i up
306 richard 138
                sleep 3
808 franck 139
                CMD=`/usr/sbin/ethtool $i |grep Link | awk '{print $NF}'`
140
                CMD2=`/sbin/mii-tool $i | grep -i link | awk '{print $NF}'`
141
                if [ $CMD != "yes" ] && [ $CMD2 != "ok" ]
29 richard 142
                        then
595 richard 143
                        if [ $Lang == "fr" ]
144
                        then
145
                                echo "Échec"
146
                                echo "Le lien réseau de la carte $i n'est pas actif."
147
                                echo "Réglez ce problème puis relancez ce script."
148
                        else
149
                                echo "Failed"
150
                                echo "The link state of $i interface id down."
151
                                echo "Resolv this problem, then restart this script."
152
                        fi
29 richard 153
                        exit 0
154
                fi
308 richard 155
        echo -n "."
29 richard 156
        done
157
# On teste la présence d'un routeur par défaut (Box FAI)
784 richard 158
        if [ `ip route list|grep -c ^default` -ne "1" ] ; then
595 richard 159
                if [ $Lang == "fr" ]
160
                then
161
                        echo "Échec"
162
                        echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
163
                        echo "Réglez ce problème puis relancez ce script."
164
                else
165
                        echo "Failed"
166
                        echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
167
                        echo "Resolv this problem, then restart this script."
168
                fi
29 richard 169
                exit 0
170
        fi
308 richard 171
        echo -n "."
172
# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
784 richard 173
        if [ `ip route list|grep ^default|grep -c eth1` -eq "1" ] ; then
595 richard 174
                if [ $Lang == "fr" ]
175
                        then echo "La configuration des cartes réseau va être corrigée."
176
                        else echo "The Ethernet card configuration will be corrected."
177
                fi
29 richard 178
                /etc/init.d/network stop
179
                mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
180
                $SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
181
                /etc/init.d/network start
182
                echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
183
                sleep 2
595 richard 184
                if [ $Lang == "fr" ]
185
                        then echo "Configuration corrigée"
186
                        else echo "Configuration updated"
187
                fi
29 richard 188
                sleep 2
595 richard 189
                if [ $Lang == "fr" ]
190
                        then echo "Vous pouvez relancer ce script."
191
                        else echo "You can restart this script."
192
                fi
29 richard 193
                exit 0
194
        fi
308 richard 195
        echo -n "."
196
# On test le lien vers le routeur par default
197
        IP_GW=`ip route list|grep ^default|cut -d" " -f3`
198
        arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW|grep response|cut -d" " -f2`
527 richard 199
        if [ $(expr $arp_reply) -eq 0 ]
308 richard 200
                then
595 richard 201
                if [ $Lang == "fr" ]
202
                then
203
                        echo "Échec"
204
                        echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
205
                        echo "Réglez ce problème puis relancez ce script."
206
                else
207
                        echo "Failed"
208
                        echo "The Internet gateway doesn't answered"
209
                        echo "Resolv this problem, then restart this script."
210
                fi
308 richard 211
                exit 0
212
        fi
213
        echo -n "."
421 franck 214
# On teste la connectivité Internet
29 richard 215
        rm -rf /tmp/con_ok.html
308 richard 216
        /usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
29 richard 217
        if [ ! -e /tmp/con_ok.html ]
218
        then
595 richard 219
                if [ $Lang == "fr" ]
220
                then
221
                        echo "La tentative de connexion vers Internet a échoué (google.fr)."
222
                        echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
223
                        echo "Vérifiez la validité des adresses IP des DNS."
224
                else
225
                        echo "The Internet connection try failed (google.fr)."
226
                        echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
227
                        echo "Verify the DNS IP addresses"
228
                fi
29 richard 229
                exit 0
230
        fi
231
        rm -rf /tmp/con_ok.html
308 richard 232
        echo ". : ok"
302 richard 233
} # end of testing
234
 
235
##################################################################
236
##                      Fonction INIT                           ##
237
## - Création du fichier "/root/ALCASAR_parametres.txt"                ##
238
## - Installation et modification des scripts du portail        ##
239
##################################################################
240
init ()
241
{
527 richard 242
        if [ "$mode" != "update" ]
302 richard 243
        then
244
# On affecte le nom d'organisme
597 richard 245
                header_install
302 richard 246
                ORGANISME=!
247
                PTN='^[a-zA-Z0-9-]*$'
580 richard 248
                until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
302 richard 249
                do
595 richard 250
                        if [ $Lang == "fr" ]
597 richard 251
                                then echo -n "Entrez le nom de votre organisme : "
252
                                else echo -n "Enter the name of your organism : "
595 richard 253
                        fi
330 franck 254
                        read ORGANISME
613 richard 255
                        if [ "$ORGANISME" == "" ]
330 franck 256
                                then
257
                                ORGANISME=!
258
                        fi
259
                done
302 richard 260
        fi
1 root 261
# On crée aléatoirement les mots de passe et les secrets partagés
628 richard 262
        rm -f $PASSWD_FILE
59 richard 263
        grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`        # mot de passe de protection du menu Grub
628 richard 264
        echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
265
        echo "$grubpwd" >> $PASSWD_FILE
59 richard 266
        md5_grubpwd=`/usr/bin/md5pass $grubpwd`
384 richard 267
        $SED "/^password.*/d" /boot/grub/menu.lst
268
        $SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1 root 269
        mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`       # mot de passe de l'administrateur Mysqld
628 richard 270
        echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
271
        echo "root / $mysqlpwd" >> $PASSWD_FILE
1 root 272
        radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`      # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
628 richard 273
        echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
274
        echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
1 root 275
        secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`      # secret partagé entre intercept.php et coova-chilli
628 richard 276
        echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
277
        echo "$secretuam" >> $PASSWD_FILE
1 root 278
        secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`   # secret partagé entre coova-chilli et FreeRadius
628 richard 279
        echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
280
        echo "$secretradius" >> $PASSWD_FILE
281
        chmod 640 $PASSWD_FILE
453 franck 282
# On installe les scripts et fichiers de configuration d'ALCASAR 
865 richard 283
#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log.sh,watchdog.sh}
5 franck 284
        cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
453 franck 285
#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
5 franck 286
        cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
453 franck 287
#  - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
648 richard 288
        cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1 root 289
        $SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
290
        $SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5 franck 291
        $SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
292
        $SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
628 richard 293
# generate central conf file
294
        cat <<EOF > $CONF_FILE
612 richard 295
##########################################
296
##                                      ##
297
##          ALCASAR Parameters          ##
298
##                                      ##
299
##########################################
1 root 300
 
612 richard 301
INSTALL_DATE=$DATE
302
VERSION=$VERSION
303
ORGANISM=$ORGANISME
923 franck 304
DOMAIN=$DOMAIN
612 richard 305
EOF
628 richard 306
        chmod o-rwx $CONF_FILE
1 root 307
} # End of init ()
308
 
309
##################################################################
310
##                      Fonction network                        ##
311
## - Définition du plan d'adressage du réseau de consultation ##
595 richard 312
## - Nommage DNS du système                                    ##
1 root 313
## - Configuration de l'interface eth1 (réseau de consultation)        ##
314
## - Modification du fichier /etc/hosts                         ##
315
## - Configuration du serveur de temps (NTP)                    ##
316
## - Renseignement des fichiers hosts.allow et hosts.deny       ##
317
##################################################################
318
network ()
319
{
320
        header_install
636 richard 321
        if [ "$mode" != "update" ]
322
                then
323
                if [ $Lang == "fr" ]
324
                        then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
325
                        else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
326
                fi
327
                response=0
328
                PTN='^[oOyYnN]$'
329
                until [[ $(expr $response : $PTN) -gt 0 ]]
1 root 330
                do
595 richard 331
                        if [ $Lang == "fr" ]
659 richard 332
                                then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
618 richard 333
                                else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
595 richard 334
                        fi
1 root 335
                        read response
336
                done
636 richard 337
                if [ "$response" = "n" ] || [ "$response" = "N" ]
338
                then
339
                        PRIVATE_IP_MASK="0"
340
                        PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'
341
                        until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
1 root 342
                        do
595 richard 343
                                if [ $Lang == "fr" ]
597 richard 344
                                        then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
345
                                        else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
595 richard 346
                                fi
597 richard 347
                                read PRIVATE_IP_MASK
1 root 348
                        done
636 richard 349
                else
350
                        PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
351
                fi
595 richard 352
        else
637 richard 353
                PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf|cut -d"=" -f2`
354
                rm -rf conf/etc/alcasar.conf
1 root 355
        fi
861 richard 356
# Define LAN side global parameters
1 root 357
        hostname $HOSTNAME
837 richard 358
        PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK | cut -d"=" -f2`                       # private network address (ie.: 192.168.182.0)
359
        PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK | cut -d"=" -f2`                       # private network mask (ie.: 255.255.255.0)
360
        PRIVATE_IP=`echo $PRIVATE_IP_MASK | cut -d"/" -f1`                                      # ALCASAR private ip address (consultation LAN side)
861 richard 361
        PRIVATE_PREFIX=`/bin/ipcalc -p $PRIVATE_IP_MASK |cut -d"=" -f2`                         # network prefix (ie. 24)
362
        PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$PRIVATE_PREFIX                                   # ie.: 192.168.182.0/24
363
        classe=$((PRIVATE_PREFIX/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2`          # ie.: 2=classe B, 3=classe C
837 richard 364
        PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.                  # compatibility with hosts.allow et hosts.deny (ie.: 192.168.182.)
365
        PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`                # private network broadcast (ie.: 192.168.182.255)
366
        private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`                # last octet of LAN address
367
        private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`            # last octet of LAN broadcast
368
        PRIVATE_FIRST_IP=`echo $PRIVATE_NETWORK | cut -d"." -f1-3`"."`expr $private_network_ending + 1`         # First network address (ex.: 192.168.182.1)
369
        PRIVATE_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1`      # last network address (ex.: 192.168.182.254)
861 richard 370
 
841 richard 371
# Define Internet parameters
14 richard 372
        [ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
373
        DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`      # @ip 1er DNS
374
        DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`      # @ip 2ème DNS
70 franck 375
        DNS1=${DNS1:=208.67.220.220}
376
        DNS2=${DNS2:=208.67.222.222}
597 richard 377
        PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
784 richard 378
        DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 | cut -d"=" -f2`
379
        PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}
380
        PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK|cut -d"=" -f2`
861 richard 381
 
765 stephane 382
        echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
383
        echo "PUBLIC_MTU=1500" >> $CONF_FILE
628 richard 384
        echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE
385
        echo "DNS1=$DNS1" >> $CONF_FILE
386
        echo "DNS2=$DNS2" >> $CONF_FILE
387
        echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
941 richard 388
        echo "DHCP=full" >> $CONF_FILE
914 franck 389
        echo "EXT_DHCP_IP=none" >> $CONF_FILE
390
        echo "RELAY_DHCP_IP=none" >> $CONF_FILE
391
        echo "RELAY_DHCP_PORT=none" >> $CONF_FILE
597 richard 392
        [ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default
841 richard 393
# config network
1 root 394
        cat <<EOF > /etc/sysconfig/network
395
NETWORKING=yes
396
HOSTNAME="$HOSTNAME"
397
FORWARD_IPV4=true
398
EOF
841 richard 399
# config /etc/hosts
1 root 400
        [ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default
401
        cat <<EOF > /etc/hosts
503 richard 402
127.0.0.1       localhost
914 franck 403
$PRIVATE_IP     $HOSTNAME $HOSTNAME.$DOMAIN
1 root 404
EOF
841 richard 405
# Config eth0 (Internet)
14 richard 406
        cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
407
DEVICE=$EXTIF
408
BOOTPROTO=static
597 richard 409
IPADDR=$PUBLIC_IP
410
NETMASK=$PUBLIC_NETMASK
411
GATEWAY=$PUBLIC_GATEWAY
14 richard 412
DNS1=127.0.0.1
413
ONBOOT=yes
414
METRIC=10
415
NOZEROCONF=yes
416
MII_NOT_SUPPORTED=yes
417
IPV6INIT=no
418
IPV6TO4INIT=no
419
ACCOUNTING=no
420
USERCTL=no
421
EOF
841 richard 422
# Config eth1 (consultation LAN) in normal mode
423
        cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
424
DEVICE=$INTIF
425
BOOTPROTO=static
426
ONBOOT=yes
427
NOZEROCONF=yes
428
MII_NOT_SUPPORTED=yes
429
IPV6INIT=no
430
IPV6TO4INIT=no
431
ACCOUNTING=no
432
USERCTL=no
433
EOF
434
# Config of eth1 in bypass mode (see "alcasar-bypass.sh")
793 richard 435
        cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF
1 root 436
DEVICE=$INTIF
437
BOOTPROTO=static
438
IPADDR=$PRIVATE_IP
604 richard 439
NETMASK=$PRIVATE_NETMASK
1 root 440
ONBOOT=yes
441
METRIC=10
442
NOZEROCONF=yes
443
MII_NOT_SUPPORTED=yes
14 richard 444
IPV6INIT=no
445
IPV6TO4INIT=no
446
ACCOUNTING=no
447
USERCTL=no
1 root 448
EOF
440 franck 449
# Mise à l'heure du serveur
450
        [ -e /etc/ntp/step-tickers.default ] || cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
451
        cat <<EOF > /etc/ntp/step-tickers
455 franck 452
0.fr.pool.ntp.org       # adapt to your country
453
1.fr.pool.ntp.org
454
2.fr.pool.ntp.org
440 franck 455
EOF
456
# Configuration du serveur de temps (sur lui même)
1 root 457
        [ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
458
        cat <<EOF > /etc/ntp.conf
456 franck 459
server 0.fr.pool.ntp.org        # adapt to your country
447 franck 460
server 1.fr.pool.ntp.org
461
server 2.fr.pool.ntp.org
462
server 127.127.1.0              # local clock si NTP internet indisponible ...
411 richard 463
fudge 127.127.1.0 stratum 10
604 richard 464
restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
1 root 465
restrict 127.0.0.1
310 richard 466
driftfile /var/lib/ntp/drift
1 root 467
logfile /var/log/ntp.log
468
EOF
440 franck 469
 
310 richard 470
        chown -R ntp:ntp /var/lib/ntp
1 root 471
# Renseignement des fichiers hosts.allow et hosts.deny
472
        [ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default
473
        cat <<EOF > /etc/hosts.allow
474
ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
604 richard 475
sshd: ALL
1 root 476
ntpd: $PRIVATE_NETWORK_SHORT
477
EOF
478
        [ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default
479
        cat <<EOF > /etc/hosts.deny
480
ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
481
EOF
604 richard 482
# Firewall config
790 richard 483
        $SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
484
        $SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
485
        chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
860 richard 486
# create the filter exception file and ip_bloqued file
790 richard 487
        touch $DIR_DEST_ETC/alcasar-filter-exceptions
860 richard 488
# create the ip_blocked file with a first line (LAN between ALCASAR and the Internet GW)
489
        echo "#$PUBLIC_IP/$PUBLIC_PREFIX LAN-ALCASAR-BOX" > $DIR_DEST_ETC/alcasar-ip-blocked
790 richard 490
# load conntrack ftp module
491
        [ -e /etc/modprobe.preload.default ] || cp /etc/modprobe.preload /etc/modprobe.preload.default
492
        echo "ip_conntrack_ftp" >>  /etc/modprobe.preload
860 richard 493
# the script "$DIR_DEST_BIN/alcasar-iptables.sh" is launched at the end in order to allow update via ssh
1 root 494
} # End of network ()
495
 
496
##################################################################
497
##                      Fonction gestion                        ##
498
## - installation du centre de gestion                          ##
499
## - configuration du serveur web (Apache)                      ##
500
## - définition du 1er comptes de gestion                      ##
501
## - sécurisation des accès                                   ##
502
##################################################################
503
gestion()
504
{
505
        [ -d $DIR_WEB ] && rm -rf $DIR_WEB
506
        mkdir $DIR_WEB
507
# Copie et configuration des fichiers du centre de gestion
316 richard 508
        cp -rf $DIR_INSTALL/web/* $DIR_WEB/
1 root 509
        echo "$VERSION du $DATE" > $DIR_WEB/VERSION
316 richard 510
        $SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
511
        $SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
512
        $SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
513
        $SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
498 richard 514
        $SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
316 richard 515
        chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
5 franck 516
        chown -R apache:apache $DIR_WEB/*
840 richard 517
        for i in system_backup base logs/firewall logs/httpd logs/squid logs/security;
1 root 518
        do
519
                [ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i
520
        done
5 franck 521
        chown -R root:apache $DIR_SAVE
71 richard 522
# Configuration et sécurisation php
523
        [ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default
534 richard 524
        timezone=`cat /etc/sysconfig/clock|grep ZONE|cut -d"=" -f2`
525
        $SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
411 richard 526
        $SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
527
        $SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
71 richard 528
        $SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
529
        $SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
530
# Configuration et sécurisation Apache
790 richard 531
        rm -rf /var/www/cgi-bin/* /var/www/perl/* /var/www/icons/README* /var/www/error/README*
1 root 532
        [ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
580 richard 533
        $SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
303 richard 534
        $SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
1 root 535
        $SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
536
        $SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
537
        $SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
790 richard 538
        $SED "s?^LoadModule authn_anon_module.*?#LoadModule authn_anon_module modules/mod_authn_anon.so?g" /etc/httpd/conf/httpd.conf
539
        $SED "s?^LoadModule status_module.*?#LoadModule status_module modules/mod_status.so?g" /etc/httpd/conf/httpd.conf
540
        $SED "s?^LoadModule autoindex_module.*?#LoadModule autoindex_module modules/mod_autoindex.so?g" /etc/httpd/conf/httpd.conf
541
        $SED "s?^LoadModule info_module.*?#LoadModule info_module modules/mod_info.so?g" /etc/httpd/conf/httpd.conf
542
        $SED "s?^LoadModule imagemap_module.*?#LoadModule imagemap_module modules/mod_imagemap.so?g" /etc/httpd/conf/httpd.conf
543
        $SED "s?^LoadModule rewrite_module.*?#LoadModule rewrite_module modules/mod_rewrite.so?g" /etc/httpd/conf/httpd.conf
1 root 544
        FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
545
        $SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
546
        $SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
547
        [ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
548
        cat <<EOF > /var/www/error/include/bottom.html
549
</body>
550
</html>
551
EOF
552
# Définition du premier compte lié au profil 'admin'
509 richard 553
        header_install
510 richard 554
        if [ "$mode" = "install" ]
555
        then
613 richard 556
                admin_portal=!
557
                PTN='^[a-zA-Z0-9-]*$'
558
                until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
559
                        do
560
                        header_install
561
                        if [ $Lang == "fr" ]
562
                        then
563
                                echo ""
564
                                echo "Définissez un premier compte d'administration du portail :"
565
                                echo
566
                                echo -n "Nom : "
567
                        else
568
                                echo ""
569
                                echo "Define the first account allow to administrate the portal :"
570
                                echo
571
                                echo -n "Account : "
572
                        fi
573
                        read admin_portal
574
                        if [ "$admin_portal" == "" ]
575
                                then
576
                                admin_portal=!
577
                        fi
578
                        done
1 root 579
# Création du fichier de clés de ce compte dans le profil "admin"
510 richard 580
                [ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
581
                mkdir -p $DIR_DEST_ETC/digest
582
                chmod 755 $DIR_DEST_ETC/digest
583
                until [ -s $DIR_DEST_ETC/digest/key_admin ]
584
                        do
613 richard 585
                                /usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510 richard 586
                        done
587
                $DIR_DEST_SBIN/alcasar-profil.sh --list
595 richard 588
        else   # mise à jour des versions < 2.1
510 richard 589
                if ([ $MAJ_RUNNING_VERSION -lt 2 ] || ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
590
                        then
613 richard 591
                        if [ $Lang == "fr" ]
592
                        then
593
                                echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
594
                                echo
595
                                echo -n "Nom : "
596
                        else
597
                                echo "This update need to redefine the first admin account"
598
                                echo
599
                                echo -n "Account : "
600
                        fi
601
                        read admin_portal
510 richard 602
                        [ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
603
                        mkdir -p $DIR_DEST_ETC/digest
604
                        chmod 755 $DIR_DEST_ETC/digest
605
                        until [ -s $DIR_DEST_ETC/digest/key_admin ]
606
                        do
613 richard 607
                                /usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510 richard 608
                        done
609
                        $DIR_DEST_SBIN/alcasar-profil.sh --list
610
                fi
611
        fi
434 richard 612
# synchronisation horaire
613
        ntpd -q -g &
1 root 614
# Sécurisation du centre
615
        rm -f /etc/httpd/conf/webapps.d/*
616
        cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
316 richard 617
<Directory $DIR_ACC>
1 root 618
        SSLRequireSSL
619
        AllowOverride None
620
        Order deny,allow
621
        Deny from all
622
        Allow from 127.0.0.1
623
        Allow from $PRIVATE_NETWORK_MASK
624
        require valid-user
625
        AuthType digest
626
        AuthName $HOSTNAME
627
        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 628
        AuthUserFile $DIR_DEST_ETC/digest/key_all
580 richard 629
        ErrorDocument 404 https://$HOSTNAME/
1 root 630
</Directory>
316 richard 631
<Directory $DIR_ACC/admin>
1 root 632
        SSLRequireSSL
633
        AllowOverride None
634
        Order deny,allow
635
        Deny from all
636
        Allow from 127.0.0.1
637
        Allow from $PRIVATE_NETWORK_MASK
638
        require valid-user
639
        AuthType digest
640
        AuthName $HOSTNAME
641
        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 642
        AuthUserFile $DIR_DEST_ETC/digest/key_admin
580 richard 643
        ErrorDocument 404 https://$HOSTNAME/
1 root 644
</Directory>
344 richard 645
<Directory $DIR_ACC/manager>
1 root 646
        SSLRequireSSL
647
        AllowOverride None
648
        Order deny,allow
649
        Deny from all
650
        Allow from 127.0.0.1
651
        Allow from $PRIVATE_NETWORK_MASK
652
        require valid-user
653
        AuthType digest
654
        AuthName $HOSTNAME
655
        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 656
        AuthUserFile $DIR_DEST_ETC/digest/key_manager
580 richard 657
        ErrorDocument 404 https://$HOSTNAME/
1 root 658
</Directory>
316 richard 659
<Directory $DIR_ACC/backup>
660
        SSLRequireSSL
661
        AllowOverride None
662
        Order deny,allow
663
        Deny from all
664
        Allow from 127.0.0.1
665
        Allow from $PRIVATE_NETWORK_MASK
666
        require valid-user
667
        AuthType digest
668
        AuthName $HOSTNAME
669
        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 670
        AuthUserFile $DIR_DEST_ETC/digest/key_backup
580 richard 671
        ErrorDocument 404 https://$HOSTNAME/
316 richard 672
</Directory>
811 richard 673
Alias /save/ "$DIR_SAVE/"
674
<Directory $DIR_SAVE>
675
        SSLRequireSSL
676
        Options Indexes
677
        Order deny,allow
678
        Deny from all
679
        Allow from 127.0.0.1
680
        Allow from $PRIVATE_NETWORK_MASK
681
        require valid-user
682
        AuthType digest
683
        AuthName $HOSTNAME
684
        AuthUserFile $DIR_DEST_ETC/digest/key_backup
685
        ErrorDocument 404 https://$HOSTNAME/
686
</Directory>
1 root 687
EOF
688
} # End of gestion ()
689
 
690
##########################################################################################
691
##                              Fonction AC()                                           ##
692
## - Création d'une Autorité de Certification et du certificat serveur pour apache    ##
693
##########################################################################################
694
AC ()
695
{
696
        $SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
510 richard 697
        $DIR_DEST_BIN/alcasar-CA.sh
800 richard 698
        FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl_vhost.conf`
303 richard 699
        [ -e /etc/httpd/conf/vhosts-ssl.default ]  || cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
700
        $SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
701
        $SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
679 richard 702
        $SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
5 franck 703
        chown -R root:apache /etc/pki
1 root 704
        chmod -R 750 /etc/pki
705
} # End AC ()
706
 
707
##########################################################################################
708
##                      Fonction init_db()                                              ##
709
## - Initialisation de la base Mysql                                                    ##
710
## - Affectation du mot de passe de l'administrateur (root)                             ##
711
## - Suppression des bases et des utilisateurs superflus                                ##
712
## - Création de la base 'radius'                                                      ##
713
## - Installation du schéma de cette base                                              ##
714
## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)  ##
715
##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)              ##
716
##########################################################################################
717
init_db ()
718
{
719
        mkdir -p /var/lib/mysql/.tmp
720
        chown mysql:mysql /var/lib/mysql/.tmp
227 franck 721
        [ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf          # prend en compte les migrations de MySQL
1 root 722
        [ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default
723
        $SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
724
        /etc/init.d/mysqld start
725
        sleep 4
726
        mysqladmin -u root password $mysqlpwd
727
        MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615 richard 728
# Delete exemple databases if exist
1 root 729
        $MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;"
615 richard 730
# Create 'radius' database
1 root 731
        $MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
615 richard 732
# Add an empty radius database structure
364 franck 733
        mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
615 richard 734
# modify the start script in order to close accounting connexion when the system is comming down or up
735
        [ -e /etc/init.d/mysqld.default ] || cp /etc/init.d/mysqld /etc/init.d/mysqld.default
736
        $SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
737
        $SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
1 root 738
} # End init_db ()
739
 
740
##########################################################################
741
##                      Fonction param_radius                           ##
742
## - Paramètrage des fichiers de configuration FreeRadius              ##
743
## - Affectation du secret partagé entre coova-chilli et freeradius    ##
744
## - Modification de fichier de conf pour l'accès à Mysql             ##
745
##########################################################################
746
param_radius ()
747
{
748
        cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
749
        chown -R radius:radius /etc/raddb
750
        [ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
751
# paramètrage radius.conf
752
        $SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf
753
        $SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf
754
        $SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf
755
# suppression de la fonction proxy
756
        $SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf
757
        $SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
654 richard 758
# suppression du module EAP
759
        $SED "s?^[\t ]*\$INCLUDE eap.conf.*?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
1 root 760
# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
761
        $SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
762
# prise en compte du module SQL et des compteurs SQL
763
        $SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
764
        $SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
765
        $SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
766
# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
767
        rm -f /etc/raddb/sites-enabled/*
768
        cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
769
        chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
770
        chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
771
        chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
772
        ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
384 richard 773
# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
1 root 774
        touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
775
# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
776
        [ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
777
        cat << EOF > /etc/raddb/clients.conf
778
client 127.0.0.1 {
779
        secret = $secretradius
780
        shortname = localhost
781
}
782
EOF
783
# modif sql.conf
784
        [ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
785
        $SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
786
        $SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
787
        $SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
788
        $SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf
789
# modif dialup.conf
790
        [ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
791
        cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
792
} # End param_radius ()
793
 
794
##########################################################################
795
##                      Fonction param_web_radius                       ##
796
## - Import, modification et paramètrage de l'interface "dialupadmin"  ##
797
## - Création du lien vers la page de changement de mot de passe        ##
798
##########################################################################
799
param_web_radius ()
800
{
801
# copie de l'interface d'origine dans la structure Alcasar
316 richard 802
        [ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
803
        rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme
804
        rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
344 richard 805
# copie des fichiers modifiés
806
        cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
316 richard 807
        chown -R apache:apache $DIR_ACC/manager/
344 richard 808
# Modification des fichiers de configuration
1 root 809
        [ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
503 richard 810
        $SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
1 root 811
        $SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
812
        $SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
813
        $SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
814
        $SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
815
        $SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
816
        $SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
817
        $SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
946 richard 818
        $SED "s?^general_charset.*?general_charset: utf-8?g" /etc/freeradius-web/admin.conf
344 richard 819
        [ -e /etc/freeradius-web/config.php.default ] || cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
820
        cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
131 richard 821
        cat <<EOF > /etc/freeradius-web/naslist.conf
632 richard 822
nas1_name: alcasar-$ORGANISME
1 root 823
nas1_model: Portail captif
824
nas1_ip: $PRIVATE_IP
825
nas1_port_num: 0
826
nas1_community: public
827
EOF
828
# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
829
        [ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
830
        cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
114 richard 831
# Ajout du mappage des attributs chillispot
832
        [ -e /etc/freeradius-web/sql.attrmap.default ] || mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
833
        cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
1 root 834
# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
835
        [ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
836
        $SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
837
        $SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5 franck 838
        chown -R apache:apache /etc/freeradius-web
1 root 839
# Ajout de l'alias vers la page de "changement de mot de passe usager"
840
        cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
344 richard 841
<Directory $DIR_WEB/pass>
1 root 842
        SSLRequireSSL
843
        AllowOverride None
844
        Order deny,allow
845
        Deny from all
846
        Allow from 127.0.0.1
847
        Allow from $PRIVATE_NETWORK_MASK
580 richard 848
        ErrorDocument 404 https://$HOSTNAME
1 root 849
</Directory>
850
EOF
851
} # End of param_web_radius ()
852
 
799 richard 853
##################################################################################
854
##                      Fonction param_chilli                                   ##
855
## - Création du fichier d'initialisation et de configuration de coova-chilli  ##
856
## - Paramètrage de la page d'authentification (intercept.php)                 ##
857
##################################################################################
1 root 858
param_chilli ()
859
{
799 richard 860
# init file creation
461 richard 861
        [ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default
799 richard 862
        cat <<EOF > /etc/init.d/chilli
863
#!/bin/sh
864
#
865
# chilli CoovaChilli init
866
#
867
# chkconfig: 2345 65 35
868
# description: CoovaChilli
869
### BEGIN INIT INFO
870
# Provides:       chilli
871
# Required-Start: network 
872
# Should-Start: 
873
# Required-Stop:  network
874
# Should-Stop: 
875
# Default-Start:  2 3 5
876
# Default-Stop:
877
# Description:    CoovaChilli access controller
878
### END INIT INFO
879
 
880
[ -f /usr/sbin/chilli ] || exit 0
881
. /etc/init.d/functions
882
CONFIG=/etc/chilli.conf
883
pidfile=/var/run/chilli.pid
884
[ -f \$CONFIG ] || {
885
    echo "\$CONFIG Not found"
886
    exit 0
887
}
888
RETVAL=0
889
prog="chilli"
890
case \$1 in
891
    start)
892
        if [ -f \$pidfile ] ; then
893
                gprintf "chilli is already running"
894
        else
895
                gprintf "Starting \$prog: "
896
                rm -f /var/run/chilli* # cleaning
897
                /sbin/modprobe tun >/dev/null 2>&1
898
                echo 1 > /proc/sys/net/ipv4/ip_forward
899
                [ -e /dev/net/tun ] || {
900
                (cd /dev;
901
                        mkdir net;
902
                        cd net;
903
                        mknod tun c 10 200)
904
                }
905
                ifconfig eth1 0.0.0.0
906
                daemon /usr/sbin/chilli -c \$CONFIG --pidfile=\$pidfile &
907
                RETVAL=$?
908
        fi
909
        ;;
910
 
911
    reload)
912
        killall -HUP chilli
913
        ;;
914
 
915
    restart)
916
        \$0 stop
917
        sleep 2
918
        \$0 start
919
        ;;
920
 
921
    status)
922
        status chilli
923
        RETVAL=0
924
        ;;
925
 
926
    stop)
927
        if [ -f \$pidfile ] ; then  
928
                gprintf "Shutting down \$prog: "
929
                killproc /usr/sbin/chilli
930
                RETVAL=\$?
931
                [ \$RETVAL = 0 ] && rm -f $pidfile
932
        else   
933
                gprintf "chilli is not running"
934
        fi
935
        ;;
936
 
937
    *)
938
        echo "Usage: \$0 {start|stop|restart|reload|status}"
939
        exit 1
940
esac
941
echo
942
EOF
943
 
944
# conf file creation
346 richard 945
        [ -e /etc/chilli.conf.default ] || cp /etc/chilli.conf /etc/chilli.conf.default
946
        cat <<EOF > /etc/chilli.conf
947
# coova config for ALCASAR
948
cmdsocket       /var/run/chilli.sock
949
unixipc         chilli.eth1.ipc
950
pidfile         /var/run/chilli.eth1.pid
951
net             $PRIVATE_NETWORK_MASK
595 richard 952
dhcpif          $INTIF
841 richard 953
ethers          $DIR_DEST_ETC/alcasar-ethers
861 richard 954
#nodynip
865 richard 955
#statip
956
dynip           $PRIVATE_NETWORK_MASK
346 richard 957
domain          localdomain
355 richard 958
dns1            $PRIVATE_IP
959
dns2            $PRIVATE_IP
346 richard 960
uamlisten       $PRIVATE_IP
503 richard 961
uamport         3990
837 richard 962
macauth
963
macpasswd       password
346 richard 964
locationname    $HOSTNAME
965
radiusserver1   127.0.0.1
966
radiusserver2   127.0.0.1
967
radiussecret    $secretradius
968
radiusauthport  1812
969
radiusacctport  1813
467 richard 970
uamserver       https://$HOSTNAME/intercept.php
346 richard 971
radiusnasid     $HOSTNAME
972
uamsecret       $secretuam
793 richard 973
uamallowed      alcasar
346 richard 974
coaport         3799
503 richard 975
include         $DIR_DEST_ETC/alcasar-uamallowed
976
include         $DIR_DEST_ETC/alcasar-uamdomain
917 franck 977
#dhcpgateway
978
#dhcprelayagent
979
#dhcpgatewayport
346 richard 980
EOF
605 richard 981
# création du fichier d'allocation d'adresses IP statiques
982
        touch $DIR_DEST_ETC/alcasar-ethers
840 richard 983
# create files for trusted domains and urls
984
        touch $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
503 richard 985
        chown root:apache $DIR_DEST_ETC/alcasar-*
986
        chmod 660 $DIR_DEST_ETC/alcasar-*
847 richard 987
# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli)
526 stephane 988
        $SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
989
        $SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
796 richard 990
# user 'chilli' creation (in order to run conup/off and up/down scripts
991
        chilli_exist=`grep chilli /etc/passwd|wc -l`
992
        if [ "$chilli_exist" == "1" ]
993
        then
994
              userdel -r chilli 2>/dev/null
995
        fi
996
        groupadd -f chilli
997
        useradd -r -g chilli -s /bin/false -c "system user for coova-chilli" chilli
1 root 998
}  # End of param_chilli ()
999
 
1000
##########################################################
1001
##                      Fonction param_squid            ##
1002
## - Paramètrage du proxy 'squid' en mode 'cache'      ##
1003
## - Initialisation de la base de données              ##
1004
##########################################################
1005
param_squid ()
1006
{
1007
# paramètrage de Squid (connecté en série derrière Dansguardian)
1008
        [ -e /etc/squid/squid.conf.default  ] || cp /etc/squid/squid.conf /etc/squid/squid.conf.default
1009
# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
1010
        $SED "/^acl localnet/d" /etc/squid/squid.conf
1011
        $SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
1012
        $SED "/^icp_port 3130/d" /etc/squid/squid.conf
1013
        $SED "/^http_access allow localnet/d" /etc/squid/squid.conf
1014
        $SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
1015
        $SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
1016
# mode 'proxy transparent local'
595 richard 1017
        $SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
726 franck 1018
# Configuration du cache local
749 franck 1019
        $SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 256 16 256?g" /etc/squid/squid.conf
405 franck 1020
# emplacement et formatage standard des logs
419 franck 1021
        echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
749 franck 1022
        echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh' >> /etc/squid/squid.conf
405 franck 1023
        echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
1 root 1024
# compatibilité des logs avec awstats
315 richard 1025
        echo "emulate_httpd_log on" >> /etc/squid/squid.conf
749 franck 1026
        echo "half_closed_clients off" >> /etc/squid/squid.conf
1027
        echo "server_persistent_connections off" >> /etc/squid/squid.conf
1028
        echo "client_persistent_connections on" >> /etc/squid/squid.conf
1029
        echo "client_lifetime 1440 minutes" >> /etc/squid/squid.conf
1030
        echo "request_timeout 5 minutes" >> /etc/squid/squid.conf
1031
        echo "persistent_request_timeout 2 minutes" >> /etc/squid/squid.conf
726 franck 1032
        echo "cache_mem 256 MB" >> /etc/squid/squid.conf
749 franck 1033
        echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
1034
        echo "maximum_object_size     4096 KB" >> /etc/squid/squid.conf
835 richard 1035
# anonymisation of squid version
813 richard 1036
        echo "via off" >> /etc/squid/squid.conf
835 richard 1037
# remove the 'X_forwarded' http option
812 richard 1038
        echo "forwarded_for delete" >> /etc/squid/squid.conf
835 richard 1039
# linked squid output in HAVP input
1040
        echo "cache_peer 127.0.0.1 parent 8090 0 no-query default" >> /etc/squid/squid.conf
1041
        echo "never_direct allow all" >> /etc/squid/squid.conf
1042
# avoid error messages on network interfaces state changes
313 richard 1043
        $SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
894 richard 1044
# reduce squid shutdown time (100 to 50)
1045
        $SED "s?^SQUID_SHUTDOWN_TIMEOUT.*?SQUID_SHUTDOWN_TIMEOUT=50?g" /etc/sysconfig/squid
1046
 
835 richard 1047
# Squid cache init
1 root 1048
        /usr/sbin/squid -z
1049
}  # End of param_squid ()
1050
 
1051
##################################################################
1052
##              Fonction param_dansguardian                     ##
1053
## - Paramètrage du gestionnaire de contenu Dansguardian       ##
1054
##################################################################
1055
param_dansguardian ()
1056
{
1057
        mkdir /var/dansguardian
1058
        chown dansguardian /var/dansguardian
497 richard 1059
        [ -e $DIR_DG/dansguardian.conf.default ] || cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
307 richard 1060
# Le filtrage est désactivé par défaut 
497 richard 1061
        $SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1 root 1062
# la page d'interception est en français
497 richard 1063
        $SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1 root 1064
# on limite l'écoute de Dansguardian côté LAN
497 richard 1065
        $SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
835 richard 1066
# on chaîne Dansguardian au proxy cache SQUID
1067
        $SED "s?^proxyport.*?proxyport = 3128?g" $DIR_DG/dansguardian.conf
1 root 1068
# on remplace la page d'interception (template)
1069
        cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
1070
        cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
1071
# on ne loggue que les deny (pour le reste, on a squid)
497 richard 1072
        $SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
659 richard 1073
# lauch of 10 daemons (20 in largest server)
1074
        $SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1 root 1075
# on désactive par défaut le controle de contenu des pages html
497 richard 1076
        $SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
1077
        cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
1078
        $SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1 root 1079
# on désactive par défaut le contrôle d'URL par expressions régulières
497 richard 1080
        cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
1081
        $SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1 root 1082
# on désactive par défaut le contrôle de téléchargement de fichiers
497 richard 1083
        [ -e $DIR_DG/dansguardianf1.conf.default ] || cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
1084
        $SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
1085
        [ -e $DIR_DG/lists/bannedextensionlist.default ] || mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
1086
        [ -e $DIR_DG/lists/bannedmimetypelist.default ] || mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
1087
        touch $DIR_DG/lists/bannedextensionlist
1088
        touch $DIR_DG/lists/bannedmimetypelist
1089
# 'Safesearch' regex actualisation
498 richard 1090
        $SED "s?images?search?g" $DIR_DG/lists/urlregexplist
497 richard 1091
# empty LAN IP list that won't be WEB filtered
1092
        [ -e $DIR_DG/lists/exceptioniplist.default ] || mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
1093
        touch $DIR_DG/lists/exceptioniplist
1094
# Keep a copy of URL & domain filter configuration files
1095
        [ -e $DIR_DG/lists/bannedsitelist.default ] || mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
1096
        [ -e $DIR_DG/lists/bannedurllist.default ] || mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1 root 1097
} # End of param_dansguardian ()
1098
 
71 richard 1099
##################################################################
1100
##                      Fonction antivirus                      ##
479 richard 1101
## - configuration havp + libclamav                             ##
71 richard 1102
##################################################################
1103
antivirus ()           
1104
{
288 richard 1105
# création de l'usager 'havp'
1106
        havp_exist=`grep havp /etc/passwd|wc -l`
307 richard 1107
        if [ "$havp_exist" == "1" ]
288 richard 1108
        then
478 richard 1109
              userdel -r havp 2>/dev/null
894 richard 1110
              groupdel havp 2>/dev/null
288 richard 1111
        fi
307 richard 1112
        groupadd -f havp
796 richard 1113
        useradd -r -g havp -s /bin/false -c "system user for havp" havp
476 richard 1114
        mkdir -p /var/tmp/havp /var/log/havp
1115
        chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
307 richard 1116
        $SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
109 richard 1117
# configuration d'HAVP
1118
        [ -e /etc/havp/havp.config.default ] || cp /etc/havp/havp.config /etc/havp/havp.config.default
1119
        $SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
631 richard 1120
        $SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config                            # datas come on 8090                    
1121
        $SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config       # we listen only on loopback
1122
        $SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config            # active libclamav AV
1123
        $SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config                     # log only when malware matches
659 richard 1124
        $SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config              # 10 daemons are started simultaneously
835 richard 1125
        $SED "s?^# SCANIMAGES.*?SCANIMAGES false?g" /etc/havp/havp.config               # doesn't scan image files
1126
        $SED "s?^# SKIPMIME.*?SKIPMIME image\/\* video\/\* audio\/\*?g" /etc/havp/havp.config # doesn't scan some multimedia files
481 franck 1127
# remplacement du fichier d'initialisation
335 richard 1128
        [ -e /etc/init.d/havp.default ] || cp /etc/init.d/havp /etc/init.d/havp.default
481 franck 1129
        cp -f $DIR_CONF/havp-init /etc/init.d/havp
340 richard 1130
# on remplace la page d'interception (template)
1131
        cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
1132
        cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
489 richard 1133
# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
1134
        $SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
1135
        $SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
734 richard 1136
# Virus database update
1137
        rm -f /var/lib/clamav/*.cld # in case of old database scheme
1138
        [ -e /var/lib/clamav/main.cvd ] || /usr/bin/freshclam
71 richard 1139
}
1140
 
1 root 1141
##################################################################################
476 richard 1142
##                      param_ulogd function                                    ##
1143
## - Ulog config for multi-log files                                            ##
1144
##################################################################################
1145
param_ulogd ()
1146
{
1147
# Three instances of ulogd (three different logfiles)
1148
        [ -d /var/log/firewall ] || mkdir -p /var/log/firewall
478 richard 1149
        nl=1
1150
        for log_type in tracability ssh ext-access
1151
        do
1152
                [ -e /var/log/firewall/$log_type.log ] || touch /var/log/firewall/$log_type.log
1153
                cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
1154
                $SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf
1155
                $SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
1156
                cat << EOF >> /etc/ulogd-$log_type.conf
1157
[LOGEMU]
1158
file="/var/log/firewall/$log_type.log"
1159
sync=1
1160
EOF
1161
                nl=`expr $nl + 1`
1162
        done
476 richard 1163
        chown -R root:apache /var/log/firewall
1164
        chmod 750 /var/log/firewall
1165
        chmod 640 /var/log/firewall/*
1166
        [ -e /etc/init.d/ulogd.default ] || cp /etc/init.d/ulogd /etc/init.d/ulogd.default
1167
        cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
1168
}  # End of param_ulogd ()
1169
 
1170
##################################################################################
1 root 1171
##                              Fonction param_awstats                          ##
1172
## - configuration de l'interface des logs de consultation WEB (AWSTAT)         ##
1173
##################################################################################
1174
param_awstats()
1175
{
316 richard 1176
        cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
1177
        chown -R apache:apache $DIR_ACC/awstats
1 root 1178
        cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
1179
        $SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
1180
        $SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
1181
        $SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
1182
        $SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
1183
        $SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
344 richard 1184
        $SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
1185
        $SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1 root 1186
        $SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
1187
        $SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59 richard 1188
        $SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
580 richard 1189
        $SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1190
        $SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1191
        $SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1192
        $SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
1193
        $SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
1194
        $SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
1195
        $SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
1196
        $SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
1197
        $SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
1198
        $SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
1199
        $SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
1200
        $SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
1201
        $SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
1202
        $SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
1203
        $SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
1204
 
1 root 1205
        cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
316 richard 1206
<Directory $DIR_ACC/awstats>
1 root 1207
        SSLRequireSSL
1208
        Options ExecCGI
1209
        AddHandler cgi-script .pl
1210
        DirectoryIndex awstats.pl
1211
        Order deny,allow
1212
        Deny from all
1213
        Allow from 127.0.0.1
1214
        Allow from $PRIVATE_NETWORK_MASK
1215
        require valid-user
1216
        AuthType digest
1217
        AuthName $HOSTNAME
1218
        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 1219
        AuthUserFile $DIR_DEST_ETC/digest/key_admin
580 richard 1220
        ErrorDocument 404 https://$HOSTNAME/
1 root 1221
</Directory>
1222
SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
1223
EOF
1224
} # End of param_awstats ()
1225
 
1226
##########################################################
235 richard 1227
##              Fonction param_dnsmasq                  ##
1 root 1228
##########################################################
219 jeremy 1229
param_dnsmasq ()
1230
{
1231
        [ -d /var/log/dnsmasq ] || mkdir /var/log/dnsmasq
259 richard 1232
        $SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
503 richard 1233
        [ -e /etc/dnsmasq.conf.default ] || cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
520 richard 1234
# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
503 richard 1235
        cat << EOF > /etc/dnsmasq.conf
520 richard 1236
# Configuration file for "dnsmasq in forward mode"
503 richard 1237
conf-file=$DIR_DEST_ETC/alcasar-dns-name        # zone de definition de noms DNS locaux
259 richard 1238
listen-address=$PRIVATE_IP
1239
listen-address=127.0.0.1
286 richard 1240
no-dhcp-interface=$INTIF
259 richard 1241
bind-interfaces
1242
cache-size=256
1243
domain=$DOMAIN
1244
domain-needed
1245
expand-hosts
1246
bogus-priv
1247
filterwin2k
1248
server=$DNS1
1249
server=$DNS2
498 richard 1250
# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
865 richard 1251
dhcp-range=$PRIVATE_FIRST_IP,$PRIVATE_LAST_IP,$PRIVATE_NETMASK,12h
632 richard 1252
dhcp-option=option:router,$PRIVATE_IP
259 richard 1253
#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
1254
 
291 franck 1255
# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
420 franck 1256
#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
259 richard 1257
EOF
520 richard 1258
# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
1259
        cat << EOF > /etc/dnsmasq-blackhole.conf
1260
        # Configuration file for "dnsmasq with blackhole"
1261
# Inclusion de la blacklist <domains> de Toulouse dans la configuration
1262
conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
503 richard 1263
conf-file=$DIR_DEST_ETC/alcasar-dns-name        # zone de definition de noms DNS locaux
498 richard 1264
listen-address=$PRIVATE_IP
1265
port=54
1266
no-dhcp-interface=$INTIF
1267
bind-interfaces
1268
cache-size=256
1269
domain=$DOMAIN
1270
domain-needed
1271
expand-hosts
1272
bogus-priv
1273
filterwin2k
1274
server=$DNS1
1275
server=$DNS2
1276
EOF
718 franck 1277
 
800 richard 1278
# Init file modification
503 richard 1279
[ -e /etc/init.d/dnsmasq.default ] || cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
800 richard 1280
# Start and stop a 2nd process for the "DNS blackhole"
520 richard 1281
$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
503 richard 1282
$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
800 richard 1283
# Start after chilli (65) which create tun0
1284
$SED "s?^# chkconfig:.*?# chkconfig: 2345 99 40?g" /etc/init.d/dnsmasq
933 franck 1285
# Optionnellement on pré-active les logs DNS des clients
786 richard 1286
[ -e /etc/sysconfig/dnsmasq.default ] || cp /etc/sysconfig/dnsmasq /etc/sysconfig/dnsmasq.default
933 franck 1287
$SED "s?log-facility?#OPTIONS=\"-q --log-facility=/var/log/dnsmasq/queries.log\"?g"  /etc/sysconfig/dnsmasq
1288
# Optionnellement, exemple de configuration avec un A.D.
1289
echo '#OPTIONS="$OPTIONS --server=/your-domain/192.168.182.2"' >> /etc/sysconfig/dnsmasq
308 richard 1290
} # End dnsmasq
1291
 
1292
##########################################################
1293
##              Fonction BL (BlackList)                 ##
1294
##########################################################
1295
BL ()
1296
{
1297
# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
648 richard 1298
        rm -rf $DIR_DG/lists/blacklists
1299
        tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
878 richard 1300
# on crée le répertoire ossi (noms de domaine et URLs ajoutés à la BL)
1301
        mkdir $DIR_DG/lists/blacklists/ossi
1302
        touch $DIR_DG/lists/blacklists/ossi/domains
1303
        touch $DIR_DG/lists/blacklists/ossi/urls
309 richard 1304
# On crée les fichiers vides de sites ou d'URL réhabilités
648 richard 1305
        [ -e $DIR_DG/lists/exceptionsitelist.default ] || mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
673 richard 1306
        [ -e $DIR_DG/lists/exceptionurllist.default ] || mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
648 richard 1307
        touch $DIR_DG/lists/exceptionsitelist
1308
        touch $DIR_DG/lists/exceptionurllist
311 richard 1309
# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
648 richard 1310
        cat <<EOF > $DIR_DG/lists/bannedurllist
311 richard 1311
# Dansguardian filter config for ALCASAR
1312
EOF
648 richard 1313
        cat <<EOF > $DIR_DG/lists/bannedsitelist
311 richard 1314
# Dansguardian domain filter config for ALCASAR
1315
# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
1316
#**
1317
# block all SSL and CONNECT tunnels
1318
**s
1319
# block all SSL and CONNECT tunnels specified only as an IP
1320
*ips
1321
# block all sites specified only by an IP
1322
*ip
1323
EOF
878 richard 1324
# On ajoute Bing et Youtube à la récriture d'URL liée au contrôle scolaire/parental
1325
        cat <<EOF >> $DIR_DG/lists/urlregexplist
1326
# Bing - add 'adlt=strict'
1327
#"(^http://[0-9a-z]+\.bing\.[a-z]+[-/%.0-9a-z]*\?)(.*)"->"\1\2&adlt=strict"
1328
# Youtube - add 'edufilter=your_ID' 
885 richard 1329
#"(^http://[0-9a-z]+\.youtube\.[a-z]+[-/%.0-9a-z]*\?)(.*)"->"\1\2&edufilter=ABCD1234567890abcdef"
878 richard 1330
EOF
648 richard 1331
        chown -R dansguardian:apache $DIR_DG
1332
        chmod -R g+rw $DIR_DG
304 richard 1333
# On crée la structure du DNS-blackhole :
503 richard 1334
        mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1335
        chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1336
        chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
786 richard 1337
# On adapte la BL de Toulouse à notre structure
654 richard 1338
        if [ "$mode" != "update" ]; then
1339
                $DIR_DEST_SBIN/alcasar-bl.sh --adapt
1340
        fi
308 richard 1341
}
219 jeremy 1342
 
1 root 1343
##########################################################
1344
##              Fonction cron                           ##
1345
## - Mise en place des différents fichiers de cron     ##
1346
##########################################################
1347
cron ()
1348
{
1349
# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
1350
        [ -e /etc/crontab.default ] || cp /etc/crontab /etc/crontab.default
1351
        cat <<EOF > /etc/crontab
1352
SHELL=/bin/bash
1353
PATH=/sbin:/bin:/usr/sbin:/usr/bin
1354
MAILTO=root
1355
HOME=/
1356
 
1357
# run-parts
1358
01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
1359
02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
1360
22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
1361
42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
1362
EOF
1363
        [ -e /etc/anacrontab.default ] || cp /etc/anacrontab /etc/anacrontab.default
1364
        cat <<EOF >> /etc/anacrontab
667 franck 1365
7       8       cron.MysqlDump          nice /etc/cron.d/alcasar-mysql
1366
7       10      cron.logExport          nice /etc/cron.d/alcasar-export_log
1367
7       15      cron.logClean           nice /etc/cron.d/alcasar-clean_log
1368
7       20      cron.importClean        nice /etc/cron.d/alcasar-clean_import
1 root 1369
EOF
667 franck 1370
        cat <<EOF > /etc/cron.d/alcasar-clean_log
713 franck 1371
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
865 richard 1372
30 4 * * 1 root $DIR_DEST_BIN/alcasar-log.sh --clean
1 root 1373
EOF
811 richard 1374
        cat <<EOF > /etc/cron.d/alcasar-mysql
868 richard 1375
# Contrôle, réparation et export de la base des usagers (tous les lundi à 4h45)
955 richard 1376
45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
905 franck 1377
# Nettoyage des utilisateurs dont la date d'expiration du compte est supérieure à 7 jours
917 franck 1378
40 4 * * * root /usr/local/sbin/alcasar-mysql.sh --expire_user 2>&1 >/dev/null
1 root 1379
EOF
667 franck 1380
        cat <<EOF > /etc/cron.d/alcasar-export_log
713 franck 1381
# export des log squid, firewall et apache (tous les lundi à 5h00)
865 richard 1382
00 5 * * 1 root $DIR_DEST_BIN/alcasar-log.sh --export
1 root 1383
EOF
952 franck 1384
        cat <<EOF > /etc/cron.d/alcasar-archive
1385
# Archive des logs et de la base de données (tous les lundi à 5h35)
1386
35 5 * * 1 root $DIR_DEST_BIN/alcasar-archive.sh --now
1387
EOF
1 root 1388
        cat << EOF > /etc/cron.d/awstats
713 franck 1389
# mise à jour des stats de consultation WEB toutes les 30'
419 franck 1390
*/30 * * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1 root 1391
EOF
667 franck 1392
        cat << EOF > /etc/cron.d/alcasar-clean_import
713 franck 1393
# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
503 richard 1394
30 * * * *  root $DIR_DEST_BIN/alcasar-import-clean.sh
168 franck 1395
EOF
722 franck 1396
        cat << EOF > /etc/cron.d/alcasar-distrib-updates
1397
# mise à jour automatique de la distribution tous les jours 3h30
762 franck 1398
30 3 * * *  root /usr/sbin/urpmi --auto-update --auto 2>&1
722 franck 1399
EOF
1 root 1400
# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
1401
# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
1402
# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct') 
1403
# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
1404
# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
1405
# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
1406
        $SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
1407
        $SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
1408
        rm -f /etc/cron.daily/freeradius-web
1409
        rm -f /etc/cron.monthly/freeradius-web
1410
        cat << EOF > /etc/cron.d/freeradius-web
1411
1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
1412
5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
1413
10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
1414
15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
1415
EOF
671 franck 1416
        cat << EOF > /etc/cron.d/alcasar-watchdog
713 franck 1417
# activation du "chien de garde" (watchdog) toutes les 3'
1 root 1418
*/3 * * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
1419
EOF
808 franck 1420
# activation du "chien de garde des services" (watchdog) toutes les 18'
1421
        cat << EOF > /etc/cron.d/alcasar-daemon-watchdog
1422
# activation du "chien de garde" (daemon-watchdog) toutes les 18'
1423
*/18 * * * * root $DIR_DEST_BIN/alcasar-daemon.sh > /dev/null 2>&1
1424
EOF
522 richard 1425
# suppression des crons usagers
1426
        rm -f /var/spool/cron/*
1 root 1427
} # End cron
1428
 
1429
##################################################################
1430
##                      Fonction post_install                   ##
1431
## - Modification des bannières (locales et ssh) et des prompts ##
1432
## - Installation de la structure de chiffrement pour root      ##
1433
## - Mise en place du sudoers et de la sécurité sur les fichiers##
1434
## - Mise en place du la rotation des logs                      ##
5 franck 1435
## - Configuration dans le cas d'une mise à jour               ##
1 root 1436
##################################################################
1437
post_install()
1438
{
1439
# adaptation du script "chien de garde" (watchdog)
376 franck 1440
        $SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1441
        $SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1 root 1442
# création de la bannière locale
1443
        [ -e /etc/mandriva-release.default ]  || cp /etc/mandriva-release /etc/mandriva-release.default
589 richard 1444
        cp -f $DIR_CONF/banner /etc/mandriva-release
1445
        echo " V$VERSION" >> /etc/mandriva-release
1 root 1446
# création de la bannière SSH
1447
        cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5 franck 1448
        chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1 root 1449
        [ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
1450
        $SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1451
        $SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
793 richard 1452
# postfix banner anonymisation
1453
        $SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf
604 richard 1454
# sshd écoute côté LAN et WAN
1 root 1455
        $SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
604 richard 1456
        $SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config
860 richard 1457
        # Put the default value in conf file (sshd, QOS and protocols/dns/ are off)(web antivirus is on)
1 root 1458
        /sbin/chkconfig --del sshd
628 richard 1459
        echo "SSH=off" >> $CONF_FILE
694 franck 1460
        echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
628 richard 1461
        echo "QOS=off" >> $CONF_FILE
1462
        echo "LDAP=off" >> $CONF_FILE
786 richard 1463
        echo "LDAP_IP=0.0.0.0/0.0.0.0" >> $CONF_FILE
885 richard 1464
        echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
628 richard 1465
        echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
1466
        echo "DNS_FILTERING=off" >> $CONF_FILE
885 richard 1467
        echo "YOUTUBE_ID=ABCD1234567890abcdef" >> $CONF_FILE
1 root 1468
# Coloration des prompts
1469
        [ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default
5 franck 1470
        cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
630 franck 1471
        $SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1 root 1472
# Droits d'exécution pour utilisateur apache et sysadmin
1473
        [ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default
5 franck 1474
        cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
629 richard 1475
        $SED "s?^Host_Alias.*?Host_Alias        LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost             #réseau de l'organisme?g" /etc/sudoers
132 franck 1476
# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1 root 1477
        cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
1478
        chmod 644 /etc/logrotate.d/*
714 franck 1479
# rectification sur versions précédentes de la compression des logs
706 franck 1480
        $SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
1481
# actualisation des fichiers logs compressés
714 franck 1482
        for dir in firewall squid dansguardian httpd
706 franck 1483
        do
714 franck 1484
              find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
706 franck 1485
        done
1486
# export des logs en 'retard' dans /var/Save/logs
865 richard 1487
        /usr/local/bin/alcasar-log.sh --export
1 root 1488
# processus lancés par défaut au démarrage
796 richard 1489
        for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd netfs mysqld dansguardian havp freshclam
1 root 1490
        do
1491
                /sbin/chkconfig --add $i
1492
        done
953 franck 1493
# On rajoute une tempo pour relancer radius après le redémarrage de mysqld (bug en cours d'analyse)
1494
        cat << EOF > /etc/rc.local
1495
#!/bin/sh
1496
#
1497
### BEGIN INIT INFO
1498
# Provides: rc.local
1499
# X-Mandriva-Compat-Mode
1500
# Default-Start: 2 3 4 5
1501
# Short-Description: Local initialization script
1502
# Description: This script will be executed *after* all the other init scripts.
1503
#              You can put your own initialization stuff in here if you don't
1504
#              want to do the full Sys V style init stuff.
1505
### END INIT INFO
1506
 
1507
/etc/init.d/mysqld restart
1508
sleep 1
1509
/etc/init.d/radiusd restart
1510
 
1511
touch /var/lock/subsys/local
1512
EOF
595 richard 1513
# pour éviter les alertes de dépendance entre service.
384 richard 1514
        $SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
497 richard 1515
        $SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
595 richard 1516
        $SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
1517
        $SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
306 richard 1518
# On affecte le niveau de sécurité du système : type "fileserver"
235 richard 1519
        $SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
306 richard 1520
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
235 richard 1521
        $SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
568 richard 1522
# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
1523
# Apply French Security Agency rules (sysctl + msec when possible)
1524
# ignorer les broadcast ICMP. (attaque smurf) 
1525
$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
1526
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
1527
# ignorer les erreurs ICMP bogus
1528
$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
1529
sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
595 richard 1530
# désactiver l'envoi et la réponse aux ICMP redirects
679 richard 1531
sysctl -w net.ipv4.conf.all.accept_redirects=0
568 richard 1532
accept_redirect=`grep accept_redirect /etc/sysctl.conf|wc -l`
1533
        if [ "$accept_redirect" == "0" ]
1534
        then
679 richard 1535
                echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
1536
        else
1537
                $SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
568 richard 1538
        fi
679 richard 1539
sysctl -w net.ipv4.conf.all.send_redirects=0
568 richard 1540
send_redirect=`grep send_redirect /etc/sysctl.conf|wc -l`
1541
        if [ "$send_redirect" == "0" ]
1542
        then
679 richard 1543
                echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
1544
        else
1545
                $SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
568 richard 1546
        fi
1547
# activer les SYN Cookies (attaque syn flood)
679 richard 1548
sysctl -w net.ipv4.tcp_syncookies=1
568 richard 1549
tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf|wc -l`
1550
        if [ "$tcp_syncookies" == "0" ]
1551
        then
679 richard 1552
                echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
1553
        else
1554
                $SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
568 richard 1555
        fi
595 richard 1556
# activer l'antispoofing niveau Noyau
568 richard 1557
$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
1558
sysctl -w net.ipv4.conf.all.rp_filter=1
1559
# ignorer le source routing
679 richard 1560
sysctl -w net.ipv4.conf.all.accept_source_route=0
568 richard 1561
accept_source_route=`grep accept_source_route /etc/sysctl.conf|wc -l`
1562
        if [ "$accept_source_route" == "0" ]
1563
        then
679 richard 1564
                echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
1565
        else
1566
                $SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
568 richard 1567
        fi
679 richard 1568
# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
1569
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
1570
timeout_established=`grep timeout_established /etc/sysctl.conf|wc -l`
1571
        if [ "$timeout_established" == "0" ]
1572
        then
1573
                echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
1574
        else
793 richard 1575
                $SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf
679 richard 1576
        fi
1577
# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée) 
568 richard 1578
sysctl -w net.ipv4.conf.all.log_martians=0
1579
$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
1580
 
793 richard 1581
 
306 richard 1582
# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
1583
        $SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1 root 1584
# On mets en place la sécurité sur les fichiers
1585
# des modif par rapport à radius update
1586
        cat <<EOF > /etc/security/msec/perm.local
1587
/var/log/firewall/                      root.apache     750
1588
/var/log/firewall/*                     root.apache     640
1589
/etc/security/msec/perm.local           root.root       640
1590
/etc/security/msec/level.local          root.root       640
1591
/etc/freeradius-web                     root.apache     750
1592
/etc/freeradius-web/admin.conf          root.apache     640
1593
/etc/freeradius-web/config.php          root.apache     640
1594
/etc/raddb/dictionnary                  root.radius     640
1595
/etc/raddb/ldap.attrmap                 root.radius     640
1596
/etc/raddb/hints                        root.radius     640
1597
/etc/raddb/huntgroups                   root.radius     640
1598
/etc/raddb/attrs.access_reject          root.radius     640
1599
/etc/raddb/attrs.accounting_response    root.radius     640
1600
/etc/raddb/acct_users                   root.radius     640
1601
/etc/raddb/preproxy_users               root.radius     640
1602
/etc/raddb/modules/ldap                 radius.apache   660
1603
/etc/raddb/sites-available/alcasar      radius.apache   660
1604
/etc/pki/*                              root.apache     750
1605
EOF
1606
        /usr/sbin/msec
59 richard 1607
# modification /etc/inittab
1608
        [ -e /etc/inittab.default ] || cp /etc/inittab /etc/inittab.default
60 richard 1609
# On ne garde que 3 terminaux
59 richard 1610
        $SED "s?^4.*?#&?g" /etc/inittab
1611
        $SED "s?^5.*?#&?g" /etc/inittab
1612
        $SED "s?^6.*?#&?g" /etc/inittab
470 richard 1613
# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
1614
$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
1615
$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
532 richard 1616
# On supprime les services et les utilisateurs inutiles
793 richard 1617
for svc in alsa sound dm atd bootlogd stop-bootlogd
532 richard 1618
do
1619
        /sbin/chkconfig --del $svc
1620
done
1621
for rm_users in avahi-autoipd avahi icapd
1622
do
1623
        user=`cat /etc/passwd|grep $rm_users|cut -d":" -f1`
1624
        if [ "$user" == "$rm_users" ]
1625
        then
1626
                /usr/sbin/userdel -f $rm_users
1627
        fi
1628
done
628 richard 1629
# Load and update the previous conf file
5 franck 1630
if [ "$mode" = "update" ]
1631
then
389 franck 1632
        $DIR_DEST_BIN/alcasar-conf.sh --load
628 richard 1633
        $SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
1634
        $SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
5 franck 1635
fi
595 richard 1636
rm -f /tmp/alcasar-conf*
434 richard 1637
chown -R root:apache $DIR_DEST_ETC/*
512 richard 1638
chmod -R 660 $DIR_DEST_ETC/*
434 richard 1639
chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1 root 1640
        cd $DIR_INSTALL
5 franck 1641
        echo ""
1 root 1642
        echo "#############################################################################"
638 richard 1643
        if [ $Lang == "fr" ]
1644
                then
1645
                echo "#                        Fin d'installation d'ALCASAR                       #"
1646
                echo "#                                                                           #"
1647
                echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1648
                echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1649
                echo "#                                                                           #"
1650
                echo "#############################################################################"
1651
                echo
1652
                echo "- ALCASAR sera fonctionnel après redémarrage du système"
1653
                echo
1654
                echo "- Lisez attentivement la documentation d'exploitation"
1655
                echo
1656
                echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
1657
                echo
1658
                echo "                   Appuyez sur 'Entrée' pour continuer"
1659
        else   
1660
                echo "#                        Enf of ALCASAR install process                     #"
1661
                echo "#                                                                           #"
1662
                echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1663
                echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1664
                echo "#                                                                           #"
1665
                echo "#############################################################################"
1666
                echo
1667
                echo "- The system will be rebooted in order to operate ALCASAR"
1668
                echo
1669
                echo "- Read the exploitation documentation"
1670
                echo
1671
                echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
1672
                echo
1673
                echo "                   Hit 'Enter' to continue"
1674
        fi
815 richard 1675
        sleep 2
1676
        if [ "$mode" != "update" ]
820 richard 1677
        then
815 richard 1678
                read a
1679
        fi
774 richard 1680
        clear
1681
# Apply and save the firewall rules
490 richard 1682
        sh $DIR_DEST_BIN/alcasar-iptables.sh
1683
        sleep 2
1 root 1684
        reboot
1685
} # End post_install ()
1686
 
1687
#################################
1688
#  Boucle principale du script  #
1689
#################################
832 richard 1690
dir_exec=`dirname "$0"`
1691
if [ $dir_exec != "." ]
1692
then
1693
        echo "Lancez ce programme depuis le répertoire de l'archive d'ALCASAR"
1694
        echo "Launch this program from the ALCASAR archive directory"
1695
        exit 0
1696
fi
1697
VERSION=`cat $DIR_INSTALL/VERSION`
291 franck 1698
usage="Usage: alcasar.sh {-i or --install} | {-u or --uninstall}"
1 root 1699
nb_args=$#
1700
args=$1
1701
if [ $nb_args -eq 0 ]
1702
then
1703
        nb_args=1
1704
        args="-h"
1705
fi
1706
case $args in
1707
        -\? | -h* | --h*)
1708
                echo "$usage"
1709
                exit 0
1710
                ;;
291 franck 1711
        -i | --install)
959 franck 1712
                license
5 franck 1713
                header_install
29 richard 1714
                testing
597 richard 1715
# Test if ALCASAR is already installed
5 franck 1716
                if [ -e $DIR_WEB/VERSION ]
1 root 1717
                then
460 richard 1718
                        actual_version=`cat $DIR_WEB/VERSION`
595 richard 1719
                        if [ $Lang == "fr" ]
1720
                                then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
1721
                                else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
1722
                        fi
5 franck 1723
                        response=0
460 richard 1724
                        PTN='^[oOnNyY]$'
580 richard 1725
                        until [[ $(expr $response : $PTN) -gt 0 ]]
5 franck 1726
                        do
595 richard 1727
                                if [ $Lang == "fr" ]
1728
                                        then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
1729
                                        else echo -n "Do you want to update (Y/n)?";
1730
                                 fi
5 franck 1731
                                read response
1732
                        done
597 richard 1733
                        if [ "$response" = "n" ] || [ "$response" = "N" ]
5 franck 1734
                        then
597 richard 1735
                                rm -f /tmp/alcasar-conf*
1736
                        else
510 richard 1737
                                RUNNING_VERSION=`cat $DIR_WEB/VERSION|cut -d" " -f1`
1738
                                MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f1`
1739
                                MIN_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f2|cut -c1`
1740
                                UPD_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f3`
636 richard 1741
# Create a backup of running version importants files
5 franck 1742
                                chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
389 franck 1743
                                $DIR_SCRIPTS/alcasar-conf.sh --create
532 richard 1744
                                mode="update"
5 franck 1745
                        fi
1 root 1746
                fi
595 richard 1747
# RPMs install
1748
                $DIR_SCRIPTS/alcasar-urpmi.sh
1749
                if [ "$?" != "0" ]
1 root 1750
                then
595 richard 1751
                        exit 0
1752
                fi
1753
                if [ -e $DIR_WEB/VERSION ]
1754
                then
597 richard 1755
# Uninstall the running version
532 richard 1756
                        $DIR_SCRIPTS/sbin/alcasar-uninstall.sh
595 richard 1757
                fi
636 richard 1758
# Test if manual update 
597 richard 1759
                if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
595 richard 1760
                then
636 richard 1761
                        header_install
595 richard 1762
                        if [ $Lang == "fr" ]
636 richard 1763
                                then echo "Le fichier de configuration d'une ancienne version a été trouvé";
1764
                                else echo "The configuration file of an old version has been found";
595 richard 1765
                        fi
597 richard 1766
                        response=0
1767
                        PTN='^[oOnNyY]$'
1768
                        until [[ $(expr $response : $PTN) -gt 0 ]]
1769
                        do
1770
                                if [ $Lang == "fr" ]
1771
                                        then echo -n "Voulez-vous l'utiliser (O/n)? ";
1772
                                        else echo -n "Do you want to use it (Y/n)?";
1773
                                 fi
1774
                                read response
1775
                                if [ "$response" = "n" ] || [ "$response" = "N" ]
1776
                                then rm -f /tmp/alcasar-conf*
1777
                                fi
1778
                        done
1779
                fi
636 richard 1780
# Test if update
597 richard 1781
                if [ -e /tmp/alcasar-conf.tar.gz ]
1782
                then
1783
                        if [ $Lang == "fr" ]
1784
                                then echo "#### Installation avec mise à jour ####";
1785
                                else echo "#### Installation with update     ####";
1786
                        fi
636 richard 1787
# Extract the central configuration file
637 richard 1788
                        tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf
1789
                        ORGANISME=`grep ORGANISM conf/etc/alcasar.conf|cut -d"=" -f2`
5 franck 1790
                        mode="update"
1791
                else
1792
                        mode="install"
1 root 1793
                fi
604 richard 1794
                for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
5 franck 1795
                do
1796
                        $func
735 richard 1797
# echo "*** 'debug' : end of function $func ***"; read a
14 richard 1798
                done
5 franck 1799
                ;;
291 franck 1800
        -u | --uninstall)
5 franck 1801
                if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1 root 1802
                then
597 richard 1803
                        if [ $Lang == "fr" ]
1804
                                then echo "ALCASAR n'est pas installé!";
1805
                                else echo "ALCASAR isn't installed!";
1806
                        fi
1 root 1807
                        exit 0
1808
                fi
5 franck 1809
                response=0
1810
                PTN='^[oOnN]$'
580 richard 1811
                until [[ $(expr $response : $PTN) -gt 0 ]]
5 franck 1812
                do
597 richard 1813
                        if [ $Lang == "fr" ]
1814
                                then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
854 richard 1815
                                else echo -n "Do you want to create the running version configuration file (Y/n)? ";
597 richard 1816
                        fi
5 franck 1817
                        read response
1818
                done
597 richard 1819
                if [ "$reponse" = "o" ] || [ "$reponse" = "O" ] || [ "$response" = "Y" ] || [ "$response" = "y" ]
1 root 1820
                then
389 franck 1821
                        $DIR_SCRIPT/alcasar-conf.sh --create
498 richard 1822
                else   
1823
                        rm -f /tmp/alcasar-conf*
1 root 1824
                fi
597 richard 1825
# Uninstall the running version
65 richard 1826
                $DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1 root 1827
                ;;
1828
        *)
1829
                echo "Argument inconnu :$1";
460 richard 1830
                echo "Unknown argument :$1";
1 root 1831
                echo "$usage"
1832
                exit 1
1833
                ;;
1834
esac
10 franck 1835
# end of script
366 franck 1836