Subversion Repositories ALCASAR

Compare Revisions

No changes between revisions

Ignore whitespace Rev 792 → Rev 793

/alcasar.sh
396,7 → 396,9
USERCTL=no
EOF
# Configuration de l'interface eth1 (réseau de consultation)
cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
# utile uniquement pour le mode bypass (cf. alcasar-bypass.sh)
rm -f /etc/sysconfig/network-scripts/ifcfg-$INTIF
cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF
DEVICE=$INTIF
BOOTPROTO=static
IPADDR=$PRIVATE_IP
848,6 → 850,7
uamserver https://$HOSTNAME/intercept.php
radiusnasid $HOSTNAME
uamsecret $secretuam
uamallowed alcasar
coaport 3799
include $DIR_DEST_ETC/alcasar-uamallowed
include $DIR_DEST_ETC/alcasar-uamdomain
1296,6 → 1299,8
[ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
# postfix banner anonymisation
$SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf
# sshd écoute côté LAN et WAN
$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config
1344,7 → 1349,6
$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
 
# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
# Apply French Security Agency rules (sysctl + msec when possible)
# ignorer les broadcast ICMP. (attaque smurf)
1398,12 → 1402,13
then
echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
else
$SED "s?timeout_established.*?itimeout_established = 3600?g" /etc/sysctl.conf
$SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf
fi
# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée)
sysctl -w net.ipv4.conf.all.log_martians=0
$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
 
 
# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
# On mets en place la sécurité sur les fichiers
1439,7 → 1444,7
$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
# On supprime les services et les utilisateurs inutiles
for svc in alsa sound dm atd netfs bootlogd stop-bootlogd
for svc in alsa sound dm atd bootlogd stop-bootlogd
do
/sbin/chkconfig --del $svc
done
/conf/rpms/rpm-build-howto
10,7 → 10,7
 
**** Coova-chilli *****
- récupérer le 'tarball' de la dernière version de coova-chilli.
- Le décompresser dans un répertoire et tester la compilation traditionnelle (./configure + make)
- Le décompresser dans un répertoire et lancer la compilation traditionnelle (./configure + make). Cela permet de s'assurer que tout les pré-requis sont bien présents.
- tester l'install en tant que root (make install). Tout est dans /usr/local/sbin|etc|share|... désisntaller par "make uninstall"
- copier le tarball dans ~/rpmbuild/SOURCES/
### pour versions antérieures à 1.2.5 de coova ####
24,13 → 24,12
- copié ce fichier sous rpmbuild/SOURCES avec le nom spécifié dans le .spec
- se positionner dans rpmbuild/SPEC et lancer la génération du RPM (rpmbuild -ba coova-chilli.spec)
### pour version supérieures ou égales à 1.2.6 de coova ####
- copier le fichier ".spec" RedHat du répertoire "distro" de l'archive décompressée dans ~rpmbuild/SPEC et l'adapter (version, packager, commentaires, etc.). Ou adapter le .spec utilisé précédement.
- ajouter en première ligne "%define _disable_ld_no_undefined 1"
- ajouter 2 lignes intégrant le répertoire "lib64" lors de la suppression des binaires statiques (rm -rf $RPM_BUILD_ROOT/usr/lib/*.la)
- copier et adapter le .spec utilisé précédement. LEs modifs ont été les suivantes :
- ajouter en première ligne "%define _disable_ld_no_undefined 1"
- ajouter 2 lignes intégrant le répertoire "lib64" lors de la suppression des binaires statiques (rm -rf $RPM_BUILD_ROOT/usr/lib/*.la)
- se positionner dans rpmbuild/SPEC et lancer la génération du RPM en supprimant le support ssl (rpmbuild -ba coova-chilli.spec --without ssl)
 
**** HAVP ****
- récupérer le tarball de la dernière version d'HAVP. Le décompresser dans un répertoire et tester la compilation traditionnelle (./configure + make)
- copier ce tarball dans ~/rpmbuild/SOURCES/
- adaptation du fichier .spec (version, packager, commentaires, etc.) +
cd rp
- adaptation du fichier .spec (version, packager, commentaires, etc.)
/conf/rpms/i586/coova-chilli-1.2.8-0mdv2010.2.i586.rpm
Cannot display: file marked as a binary type.
svn:mime-type = application/octet-stream
Property changes:
Deleted: svn:mime-type
-application/octet-stream
\ No newline at end of property
/conf/rpms/i586/coova-chilli-1.2.9-0mdv2010.2.i586.rpm
Cannot display: file marked as a binary type.
svn:mime-type = application/octet-stream
Property changes:
Added: svn:mime-type
+application/octet-stream
\ No newline at end of property
/scripts/alcasar-urpmi.sh
61,9 → 61,9
# Set the RPM repository
MIRROR_NBR=2
# For french ALCASARistes
MIRRORLIST1="http://ftp.free.fr/pub/Distributions_Linux/MandrivaLinux/official/$VERSION/$ARCH"
MIRRORLIST2="http://ftp.free.fr/pub/Distributions_Linux/MandrivaLinux/official/$VERSION/$ARCH"
# For International install
MIRRORLIST2="http://api.mandriva.com/mirrors/basic.$VERSION.$ARCH.list"
MIRRORLIST1="http://api.mandriva.com/mirrors/basic.$VERSION.$ARCH.list"
try_nb="0"; nb_repository="0"
while [ "$nb_repository" != "4" ]
do