/alcasar.sh |
---|
396,7 → 396,9 |
USERCTL=no |
EOF |
# Configuration de l'interface eth1 (réseau de consultation) |
cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF |
# utile uniquement pour le mode bypass (cf. alcasar-bypass.sh) |
rm -f /etc/sysconfig/network-scripts/ifcfg-$INTIF |
cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF |
DEVICE=$INTIF |
BOOTPROTO=static |
IPADDR=$PRIVATE_IP |
848,6 → 850,7 |
uamserver https://$HOSTNAME/intercept.php |
radiusnasid $HOSTNAME |
uamsecret $secretuam |
uamallowed alcasar |
coaport 3799 |
include $DIR_DEST_ETC/alcasar-uamallowed |
include $DIR_DEST_ETC/alcasar-uamdomain |
1296,6 → 1299,8 |
[ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default |
$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config |
$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config |
# postfix banner anonymisation |
$SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf |
# sshd écoute côté LAN et WAN |
$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config |
$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config |
1344,7 → 1349,6 |
$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf |
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 ) |
$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver |
# On applique les préconisations ANSSI (sysctl + msec quand c'est possible) |
# Apply French Security Agency rules (sysctl + msec when possible) |
# ignorer les broadcast ICMP. (attaque smurf) |
1398,12 → 1402,13 |
then |
echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf |
else |
$SED "s?timeout_established.*?itimeout_established = 3600?g" /etc/sysctl.conf |
$SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf |
fi |
# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée) |
sysctl -w net.ipv4.conf.all.log_martians=0 |
$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver |
# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys |
$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver |
# On mets en place la sécurité sur les fichiers |
1439,7 → 1444,7 |
$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst |
$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst |
# On supprime les services et les utilisateurs inutiles |
for svc in alsa sound dm atd netfs bootlogd stop-bootlogd |
for svc in alsa sound dm atd bootlogd stop-bootlogd |
do |
/sbin/chkconfig --del $svc |
done |
/conf/rpms/rpm-build-howto |
---|
10,7 → 10,7 |
**** Coova-chilli ***** |
- récupérer le 'tarball' de la dernière version de coova-chilli. |
- Le décompresser dans un répertoire et tester la compilation traditionnelle (./configure + make) |
- Le décompresser dans un répertoire et lancer la compilation traditionnelle (./configure + make). Cela permet de s'assurer que tout les pré-requis sont bien présents. |
- tester l'install en tant que root (make install). Tout est dans /usr/local/sbin|etc|share|... désisntaller par "make uninstall" |
- copier le tarball dans ~/rpmbuild/SOURCES/ |
### pour versions antérieures à 1.2.5 de coova #### |
24,13 → 24,12 |
- copié ce fichier sous rpmbuild/SOURCES avec le nom spécifié dans le .spec |
- se positionner dans rpmbuild/SPEC et lancer la génération du RPM (rpmbuild -ba coova-chilli.spec) |
### pour version supérieures ou égales à 1.2.6 de coova #### |
- copier le fichier ".spec" RedHat du répertoire "distro" de l'archive décompressée dans ~rpmbuild/SPEC et l'adapter (version, packager, commentaires, etc.). Ou adapter le .spec utilisé précédement. |
- ajouter en première ligne "%define _disable_ld_no_undefined 1" |
- ajouter 2 lignes intégrant le répertoire "lib64" lors de la suppression des binaires statiques (rm -rf $RPM_BUILD_ROOT/usr/lib/*.la) |
- copier et adapter le .spec utilisé précédement. LEs modifs ont été les suivantes : |
- ajouter en première ligne "%define _disable_ld_no_undefined 1" |
- ajouter 2 lignes intégrant le répertoire "lib64" lors de la suppression des binaires statiques (rm -rf $RPM_BUILD_ROOT/usr/lib/*.la) |
- se positionner dans rpmbuild/SPEC et lancer la génération du RPM en supprimant le support ssl (rpmbuild -ba coova-chilli.spec --without ssl) |
**** HAVP **** |
- récupérer le tarball de la dernière version d'HAVP. Le décompresser dans un répertoire et tester la compilation traditionnelle (./configure + make) |
- copier ce tarball dans ~/rpmbuild/SOURCES/ |
- adaptation du fichier .spec (version, packager, commentaires, etc.) + |
cd rp |
- adaptation du fichier .spec (version, packager, commentaires, etc.) |
/conf/rpms/i586/coova-chilli-1.2.8-0mdv2010.2.i586.rpm |
---|
Cannot display: file marked as a binary type. |
svn:mime-type = application/octet-stream |
Property changes: |
Deleted: svn:mime-type |
-application/octet-stream |
\ No newline at end of property |
/conf/rpms/i586/coova-chilli-1.2.9-0mdv2010.2.i586.rpm |
---|
Cannot display: file marked as a binary type. |
svn:mime-type = application/octet-stream |
Property changes: |
Added: svn:mime-type |
+application/octet-stream |
\ No newline at end of property |
/scripts/alcasar-urpmi.sh |
---|
61,9 → 61,9 |
# Set the RPM repository |
MIRROR_NBR=2 |
# For french ALCASARistes |
MIRRORLIST1="http://ftp.free.fr/pub/Distributions_Linux/MandrivaLinux/official/$VERSION/$ARCH" |
MIRRORLIST2="http://ftp.free.fr/pub/Distributions_Linux/MandrivaLinux/official/$VERSION/$ARCH" |
# For International install |
MIRRORLIST2="http://api.mandriva.com/mirrors/basic.$VERSION.$ARCH.list" |
MIRRORLIST1="http://api.mandriva.com/mirrors/basic.$VERSION.$ARCH.list" |
try_nb="0"; nb_repository="0" |
while [ "$nb_repository" != "4" ] |
do |