Subversion Repositories ALCASAR

Rev

Rev 800 | Rev 806 | Go to most recent revision | Only display areas with differences | Ignore whitespace | Details | Blame | Last modification | View Log

Rev 800 Rev 801
1
#!/bin/bash
1
#!/bin/bash
2
#  $Id: alcasar.sh 800 2012-02-02 20:19:00Z richard $ 
2
#  $Id: alcasar.sh 801 2012-02-02 21:05:57Z richard $ 
3
 
3
 
4
# alcasar.sh
4
# alcasar.sh
5
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
5
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
6
# This script is distributed under the Gnu General Public License (GPL)
6
# This script is distributed under the Gnu General Public License (GPL)
7
 
7
 
8
# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
8
# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
9
# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
9
# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
10
# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
10
# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
11
# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
11
# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
12
#
12
#
13
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, awstat, ntpd, openssl, dnsmasq, havp, libclamav  and firewalleyes
13
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, awstat, ntpd, openssl, dnsmasq, havp, libclamav  and firewalleyes
14
 
14
 
15
# Options :
15
# Options :
16
#       -i or --install
16
#       -i or --install
17
#       -u or --uninstall
17
#       -u or --uninstall
18
 
18
 
19
# Functions :
19
# Functions :
20
#	testing		: Tests de connectivité et de téléchargement avant installation
20
#	testing		: Tests de connectivité et de téléchargement avant installation
21
#	init		: Installation des RPM et des scripts
21
#	init		: Installation des RPM et des scripts
22
#	network		: Paramètrage du réseau
22
#	network		: Paramètrage du réseau
23
#	gestion		: Installation de l'interface de gestion
23
#	gestion		: Installation de l'interface de gestion
24
#	AC		: Initialisation de l'autorité de certification. Création des certificats
24
#	AC		: Initialisation de l'autorité de certification. Création des certificats
25
#	init_db		: Création de la base 'radius' sur le serveur MySql
25
#	init_db		: Création de la base 'radius' sur le serveur MySql
26
#	param_radius	: Configuration du serveur d'authentification FreeRadius
26
#	param_radius	: Configuration du serveur d'authentification FreeRadius
27
#	param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
27
#	param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
28
#	param_chilli	: Configuration du daemon 'coova-chilli' et de la page d'authentification
28
#	param_chilli	: Configuration du daemon 'coova-chilli' et de la page d'authentification
29
#	param_squid	: Configuration du proxy squid en mode 'cache'
29
#	param_squid	: Configuration du proxy squid en mode 'cache'
30
#	param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
30
#	param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
31
#	antivirus	: Installation havp + libclamav
31
#	antivirus	: Installation havp + libclamav
32
#	param_awstats	: Configuration de l'interface des statistiques de consultation WEB
32
#	param_awstats	: Configuration de l'interface des statistiques de consultation WEB
33
#	dnsmasq		: Configuration du serveur de noms et du serveur dhcp de secours
33
#	dnsmasq		: Configuration du serveur de noms et du serveur dhcp de secours
34
#	BL		: Configuration de la BlackList
34
#	BL		: Configuration de la BlackList
35
#	cron		: Mise en place des exports de logs (+ chiffrement)
35
#	cron		: Mise en place des exports de logs (+ chiffrement)
36
#	post_install	: Finalisation environnement ( sécurité, bannières, rotation logs, ...)
36
#	post_install	: Finalisation environnement ( sécurité, bannières, rotation logs, ...)
37
 
37
 
38
VERSION=`cat VERSION`
38
VERSION=`cat VERSION`
39
DATE=`date '+%d %B %Y - %Hh%M'`
39
DATE=`date '+%d %B %Y - %Hh%M'`
40
DATE_SHORT=`date '+%d/%m/%Y'`
40
DATE_SHORT=`date '+%d/%m/%Y'`
41
Lang=`echo $LANG|cut -c 1-2`
41
Lang=`echo $LANG|cut -c 1-2`
42
# ******* Files parameters - paramètres fichiers *********
42
# ******* Files parameters - paramètres fichiers *********
43
DIR_INSTALL=`pwd`				# répertoire d'installation
43
DIR_INSTALL=`pwd`				# répertoire d'installation
44
DIR_CONF="$DIR_INSTALL/conf"			# répertoire d'installation contenant les fichiers de configuration
44
DIR_CONF="$DIR_INSTALL/conf"			# répertoire d'installation contenant les fichiers de configuration
45
DIR_SCRIPTS="$DIR_INSTALL/scripts"		# répertoire d'installation contenant les scripts
45
DIR_SCRIPTS="$DIR_INSTALL/scripts"		# répertoire d'installation contenant les scripts
46
DIR_SAVE="/var/Save"				# répertoire de sauvegarde (ISO, backup, etc.)
46
DIR_SAVE="/var/Save"				# répertoire de sauvegarde (ISO, backup, etc.)
47
DIR_WEB="/var/www/html"				# répertoire racine APACHE
47
DIR_WEB="/var/www/html"				# répertoire racine APACHE
48
DIR_DG="/etc/dansguardian"			# répertoire de config de DansGuardian
48
DIR_DG="/etc/dansguardian"			# répertoire de config de DansGuardian
49
DIR_ACC="$DIR_WEB/acc"				# répertoire du centre de gestion 'ALCASAR Control Center'
49
DIR_ACC="$DIR_WEB/acc"				# répertoire du centre de gestion 'ALCASAR Control Center'
50
DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts
50
DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts
51
DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin
51
DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin
52
DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf
52
DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf
53
CONF_FILE="$DIR_DEST_ETC/alcasar.conf"		# fichier de conf d'alcasar
53
CONF_FILE="$DIR_DEST_ETC/alcasar.conf"		# fichier de conf d'alcasar
54
PASSWD_FILE="/root/ALCASAR-passwords.txt"	# fichier texte contenant les mots de passe et secrets partagés 
54
PASSWD_FILE="/root/ALCASAR-passwords.txt"	# fichier texte contenant les mots de passe et secrets partagés 
55
# ******* DBMS parameters - paramètres SGBD ********
55
# ******* DBMS parameters - paramètres SGBD ********
56
DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius
56
DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius
57
DB_USER="radius"				# nom de l'utilisateur de la base de données
57
DB_USER="radius"				# nom de l'utilisateur de la base de données
58
# ******* Network parameters - paramètres réseau *******
58
# ******* Network parameters - paramètres réseau *******
59
HOSTNAME="alcasar"				# 
59
HOSTNAME="alcasar"				# 
60
DOMAIN="localdomain"				# domaine local
60
DOMAIN="localdomain"				# domaine local
61
EXTIF="eth0"					# ETH0 est l'interface connectée à Internet (Box FAI)
61
EXTIF="eth0"					# ETH0 est l'interface connectée à Internet (Box FAI)
62
INTIF="eth1"					# ETH1 est l'interface connectée au réseau local de consultation
62
INTIF="eth1"					# ETH1 est l'interface connectée au réseau local de consultation
63
DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24"	# adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
63
DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24"	# adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
64
# ****** Paths - chemin des commandes *******
64
# ****** Paths - chemin des commandes *******
65
SED="/bin/sed -i"
65
SED="/bin/sed -i"
66
# ****************** End of global parameters *********************
66
# ****************** End of global parameters *********************
67
 
67
 
68
header_install ()
68
header_install ()
69
{
69
{
70
	clear
70
	clear
71
	echo "-----------------------------------------------------------------------------"
71
	echo "-----------------------------------------------------------------------------"
72
	echo "                     ALCASAR V$VERSION Installation"
72
	echo "                     ALCASAR V$VERSION Installation"
73
	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
73
	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
74
	echo "-----------------------------------------------------------------------------"
74
	echo "-----------------------------------------------------------------------------"
75
} # End of header_install ()
75
} # End of header_install ()
76
 
76
 
77
##################################################################
77
##################################################################
78
##			Fonction TESTING			##
78
##			Fonction TESTING			##
79
## - Test de la connectivité Internet				##
79
## - Test de la connectivité Internet				##
80
##################################################################
80
##################################################################
81
testing ()
81
testing ()
82
{
82
{
83
	if [ $Lang == "fr" ]
83
	if [ $Lang == "fr" ]
84
		then echo -n "Tests des paramètres réseau : "
84
		then echo -n "Tests des paramètres réseau : "
85
		else echo -n "Network parameters tests : "
85
		else echo -n "Network parameters tests : "
86
	fi
86
	fi
87
# We test eth0 config files
87
# We test eth0 config files
88
	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
88
	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
89
	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
89
	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
90
	if [ `echo $PUBLIC_IP|wc -c` -lt 7 ] || [ `echo $PUBLIC_GATEWAY|wc -c` -lt 7 ]
90
	if [ `echo $PUBLIC_IP|wc -c` -lt 7 ] || [ `echo $PUBLIC_GATEWAY|wc -c` -lt 7 ]
91
		then
91
		then
92
		if [ $Lang == "fr" ]
92
		if [ $Lang == "fr" ]
93
		then 
93
		then 
94
			echo "Échec"
94
			echo "Échec"
95
			echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."
95
			echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."
96
			echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
96
			echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
97
		else
97
		else
98
			echo "Failed"
98
			echo "Failed"
99
			echo "The Internet connected network card ($EXTIF) isn't well configured."
99
			echo "The Internet connected network card ($EXTIF) isn't well configured."
100
			echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
100
			echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
101
		fi
101
		fi
102
		echo "IPADDR="
102
		echo "IPADDR="
103
		echo "NETMASK="
103
		echo "NETMASK="
104
		echo "GATEWAY="
104
		echo "GATEWAY="
105
		echo "DNS1="
105
		echo "DNS1="
106
		echo "DNS2="
106
		echo "DNS2="
107
		exit 0
107
		exit 0
108
	fi
108
	fi
109
	echo -n "."
109
	echo -n "."
110
# We test the Ethernet links state
110
# We test the Ethernet links state
111
	for i in $EXTIF $INTIF
111
	for i in $EXTIF $INTIF
112
	do
112
	do
113
		/sbin/ip link set $i up
113
		/sbin/ip link set $i up
114
		sleep 3
114
		sleep 3
115
		if [ "`/usr/sbin/ethtool $i|grep Link|cut -d' ' -f3`" != "yes" ]
115
		if [ "`/usr/sbin/ethtool $i|grep Link|cut -d' ' -f3`" != "yes" ]
116
			then
116
			then
117
			if [ $Lang == "fr" ]
117
			if [ $Lang == "fr" ]
118
			then 
118
			then 
119
				echo "Échec"
119
				echo "Échec"
120
				echo "Le lien réseau de la carte $i n'est pas actif."
120
				echo "Le lien réseau de la carte $i n'est pas actif."
121
				echo "Réglez ce problème puis relancez ce script."
121
				echo "Réglez ce problème puis relancez ce script."
122
			else
122
			else
123
				echo "Failed"
123
				echo "Failed"
124
				echo "The link state of $i interface id down."
124
				echo "The link state of $i interface id down."
125
				echo "Resolv this problem, then restart this script."
125
				echo "Resolv this problem, then restart this script."
126
			fi
126
			fi
127
			exit 0
127
			exit 0
128
		fi
128
		fi
129
	echo -n "."
129
	echo -n "."
130
	done
130
	done
131
# On teste la présence d'un routeur par défaut (Box FAI)
131
# On teste la présence d'un routeur par défaut (Box FAI)
132
	if [ `ip route list|grep -c ^default` -ne "1" ] ; then
132
	if [ `ip route list|grep -c ^default` -ne "1" ] ; then
133
		if [ $Lang == "fr" ]
133
		if [ $Lang == "fr" ]
134
		then 
134
		then 
135
			echo "Échec"
135
			echo "Échec"
136
			echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
136
			echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
137
			echo "Réglez ce problème puis relancez ce script."
137
			echo "Réglez ce problème puis relancez ce script."
138
		else
138
		else
139
			echo "Failed"
139
			echo "Failed"
140
			echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
140
			echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
141
			echo "Resolv this problem, then restart this script."
141
			echo "Resolv this problem, then restart this script."
142
		fi
142
		fi
143
		exit 0
143
		exit 0
144
	fi
144
	fi
145
	echo -n "."
145
	echo -n "."
146
# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
146
# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
147
	if [ `ip route list|grep ^default|grep -c eth1` -eq "1" ] ; then
147
	if [ `ip route list|grep ^default|grep -c eth1` -eq "1" ] ; then
148
		if [ $Lang == "fr" ]
148
		if [ $Lang == "fr" ]
149
			then echo "La configuration des cartes réseau va être corrigée."
149
			then echo "La configuration des cartes réseau va être corrigée."
150
			else echo "The Ethernet card configuration will be corrected."
150
			else echo "The Ethernet card configuration will be corrected."
151
		fi
151
		fi
152
		/etc/init.d/network stop
152
		/etc/init.d/network stop
153
		mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
153
		mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
154
		$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
154
		$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
155
		/etc/init.d/network start
155
		/etc/init.d/network start
156
		echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
156
		echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
157
		sleep 2
157
		sleep 2
158
		if [ $Lang == "fr" ]
158
		if [ $Lang == "fr" ]
159
			then echo "Configuration corrigée"
159
			then echo "Configuration corrigée"
160
			else echo "Configuration updated"
160
			else echo "Configuration updated"
161
		fi
161
		fi
162
		sleep 2
162
		sleep 2
163
		if [ $Lang == "fr" ]
163
		if [ $Lang == "fr" ]
164
			then echo "Vous pouvez relancer ce script."
164
			then echo "Vous pouvez relancer ce script."
165
			else echo "You can restart this script."
165
			else echo "You can restart this script."
166
		fi
166
		fi
167
		exit 0
167
		exit 0
168
	fi
168
	fi
169
	echo -n "."
169
	echo -n "."
170
# On test le lien vers le routeur par default
170
# On test le lien vers le routeur par default
171
	IP_GW=`ip route list|grep ^default|cut -d" " -f3`
171
	IP_GW=`ip route list|grep ^default|cut -d" " -f3`
172
	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW|grep response|cut -d" " -f2`
172
	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW|grep response|cut -d" " -f2`
173
	if [ $(expr $arp_reply) -eq 0 ]
173
	if [ $(expr $arp_reply) -eq 0 ]
174
	       	then
174
	       	then
175
		if [ $Lang == "fr" ]
175
		if [ $Lang == "fr" ]
176
		then 
176
		then 
177
			echo "Échec"
177
			echo "Échec"
178
			echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
178
			echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
179
			echo "Réglez ce problème puis relancez ce script."
179
			echo "Réglez ce problème puis relancez ce script."
180
		else
180
		else
181
			echo "Failed"
181
			echo "Failed"
182
			echo "The Internet gateway doesn't answered"
182
			echo "The Internet gateway doesn't answered"
183
			echo "Resolv this problem, then restart this script."
183
			echo "Resolv this problem, then restart this script."
184
		fi
184
		fi
185
		exit 0
185
		exit 0
186
	fi
186
	fi
187
	echo -n "."
187
	echo -n "."
188
# On teste la connectivité Internet
188
# On teste la connectivité Internet
189
	rm -rf /tmp/con_ok.html
189
	rm -rf /tmp/con_ok.html
190
	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
190
	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
191
	if [ ! -e /tmp/con_ok.html ]
191
	if [ ! -e /tmp/con_ok.html ]
192
	then
192
	then
193
		if [ $Lang == "fr" ]
193
		if [ $Lang == "fr" ]
194
		then 
194
		then 
195
			echo "La tentative de connexion vers Internet a échoué (google.fr)."
195
			echo "La tentative de connexion vers Internet a échoué (google.fr)."
196
			echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
196
			echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
197
			echo "Vérifiez la validité des adresses IP des DNS."
197
			echo "Vérifiez la validité des adresses IP des DNS."
198
		else
198
		else
199
			echo "The Internet connection try failed (google.fr)."
199
			echo "The Internet connection try failed (google.fr)."
200
			echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
200
			echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
201
			echo "Verify the DNS IP addresses"
201
			echo "Verify the DNS IP addresses"
202
		fi
202
		fi
203
		exit 0
203
		exit 0
204
	fi
204
	fi
205
	rm -rf /tmp/con_ok.html
205
	rm -rf /tmp/con_ok.html
206
	echo ". : ok"
206
	echo ". : ok"
207
} # end of testing
207
} # end of testing
208
 
208
 
209
##################################################################
209
##################################################################
210
##			Fonction INIT				##
210
##			Fonction INIT				##
211
## - Création du fichier "/root/ALCASAR_parametres.txt"		##
211
## - Création du fichier "/root/ALCASAR_parametres.txt"		##
212
## - Installation et modification des scripts du portail	##
212
## - Installation et modification des scripts du portail	##
213
##################################################################
213
##################################################################
214
init ()
214
init ()
215
{
215
{
216
	if [ "$mode" != "update" ]
216
	if [ "$mode" != "update" ]
217
	then
217
	then
218
# On affecte le nom d'organisme
218
# On affecte le nom d'organisme
219
		header_install
219
		header_install
220
		ORGANISME=!
220
		ORGANISME=!
221
		PTN='^[a-zA-Z0-9-]*$'
221
		PTN='^[a-zA-Z0-9-]*$'
222
		until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
222
		until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
223
                do
223
                do
224
			if [ $Lang == "fr" ]
224
			if [ $Lang == "fr" ]
225
			       	then echo -n "Entrez le nom de votre organisme : "
225
			       	then echo -n "Entrez le nom de votre organisme : "
226
				else echo -n "Enter the name of your organism : "
226
				else echo -n "Enter the name of your organism : "
227
			fi
227
			fi
228
			read ORGANISME
228
			read ORGANISME
229
			if [ "$ORGANISME" == "" ]
229
			if [ "$ORGANISME" == "" ]
230
				then
230
				then
231
				ORGANISME=!
231
				ORGANISME=!
232
			fi
232
			fi
233
		done
233
		done
234
	fi
234
	fi
235
# On crée aléatoirement les mots de passe et les secrets partagés
235
# On crée aléatoirement les mots de passe et les secrets partagés
236
	rm -f $PASSWD_FILE
236
	rm -f $PASSWD_FILE
237
	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub
237
	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub
238
	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
238
	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
239
	echo "$grubpwd" >> $PASSWD_FILE
239
	echo "$grubpwd" >> $PASSWD_FILE
240
	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
240
	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
241
	$SED "/^password.*/d" /boot/grub/menu.lst
241
	$SED "/^password.*/d" /boot/grub/menu.lst
242
	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
242
	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
243
	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld
243
	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld
244
	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
244
	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
245
	echo "root / $mysqlpwd" >> $PASSWD_FILE
245
	echo "root / $mysqlpwd" >> $PASSWD_FILE
246
	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
246
	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
247
	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
247
	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
248
	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
248
	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
249
	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli
249
	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli
250
	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
250
	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
251
	echo "$secretuam" >> $PASSWD_FILE
251
	echo "$secretuam" >> $PASSWD_FILE
252
	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius
252
	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius
253
	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
253
	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
254
	echo "$secretradius" >> $PASSWD_FILE
254
	echo "$secretradius" >> $PASSWD_FILE
255
	chmod 640 $PASSWD_FILE
255
	chmod 640 $PASSWD_FILE
256
# On installe les scripts et fichiers de configuration d'ALCASAR 
256
# On installe les scripts et fichiers de configuration d'ALCASAR 
257
#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}
257
#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}
258
	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
258
	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
259
#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
259
#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
260
	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
260
	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
261
#  - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
261
#  - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
262
	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
262
	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
263
	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
263
	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
264
	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
264
	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
265
	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
265
	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
266
	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
266
	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
267
# generate central conf file
267
# generate central conf file
268
	cat <<EOF > $CONF_FILE
268
	cat <<EOF > $CONF_FILE
269
##########################################
269
##########################################
270
##                                      ##
270
##                                      ##
271
##          ALCASAR Parameters          ##
271
##          ALCASAR Parameters          ##
272
##                                      ##
272
##                                      ##
273
##########################################
273
##########################################
274
 
274
 
275
INSTALL_DATE=$DATE
275
INSTALL_DATE=$DATE
276
VERSION=$VERSION
276
VERSION=$VERSION
277
ORGANISM=$ORGANISME
277
ORGANISM=$ORGANISME
278
EOF
278
EOF
279
	chmod o-rwx $CONF_FILE
279
	chmod o-rwx $CONF_FILE
280
} # End of init ()
280
} # End of init ()
281
 
281
 
282
##################################################################
282
##################################################################
283
##			Fonction network			##
283
##			Fonction network			##
284
## - Définition du plan d'adressage du réseau de consultation	##
284
## - Définition du plan d'adressage du réseau de consultation	##
285
## - Nommage DNS du système 					##
285
## - Nommage DNS du système 					##
286
## - Configuration de l'interface eth1 (réseau de consultation)	##
286
## - Configuration de l'interface eth1 (réseau de consultation)	##
287
## - Modification du fichier /etc/hosts				##
287
## - Modification du fichier /etc/hosts				##
288
## - Configuration du serveur de temps (NTP)			##
288
## - Configuration du serveur de temps (NTP)			##
289
## - Renseignement des fichiers hosts.allow et hosts.deny	##
289
## - Renseignement des fichiers hosts.allow et hosts.deny	##
290
##################################################################
290
##################################################################
291
network ()
291
network ()
292
{
292
{
293
	header_install
293
	header_install
294
	if [ "$mode" != "update" ]
294
	if [ "$mode" != "update" ]
295
		then
295
		then
296
		if [ $Lang == "fr" ]
296
		if [ $Lang == "fr" ]
297
			then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
297
			then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
298
			else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
298
			else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
299
		fi
299
		fi
300
		response=0
300
		response=0
301
		PTN='^[oOyYnN]$'
301
		PTN='^[oOyYnN]$'
302
		until [[ $(expr $response : $PTN) -gt 0 ]]
302
		until [[ $(expr $response : $PTN) -gt 0 ]]
303
		do
303
		do
304
			if [ $Lang == "fr" ]
304
			if [ $Lang == "fr" ]
305
				then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
305
				then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
306
				else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
306
				else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
307
			fi
307
			fi
308
			read response
308
			read response
309
		done
309
		done
310
		if [ "$response" = "n" ] || [ "$response" = "N" ]
310
		if [ "$response" = "n" ] || [ "$response" = "N" ]
311
		then
311
		then
312
			PRIVATE_IP_MASK="0"
312
			PRIVATE_IP_MASK="0"
313
			PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'
313
			PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'
314
			until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
314
			until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
315
			do
315
			do
316
				if [ $Lang == "fr" ]
316
				if [ $Lang == "fr" ]
317
					then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
317
					then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
318
					else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
318
					else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
319
				fi
319
				fi
320
				read PRIVATE_IP_MASK
320
				read PRIVATE_IP_MASK
321
			done
321
			done
322
		else
322
		else
323
       			PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
323
       			PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
324
		fi
324
		fi
325
	else
325
	else
326
		PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf|cut -d"=" -f2` 
326
		PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf|cut -d"=" -f2` 
327
		rm -rf conf/etc/alcasar.conf
327
		rm -rf conf/etc/alcasar.conf
328
	fi
328
	fi
329
# Define Lan side Ethernet card
329
# Define Lan side Ethernet card
330
	hostname $HOSTNAME
330
	hostname $HOSTNAME
331
	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK | cut -d"=" -f2`			# @ réseau de consultation (ex.: 192.168.182.0)
331
	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK | cut -d"=" -f2`			# @ réseau de consultation (ex.: 192.168.182.0)
332
	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK | cut -d"=" -f2`			# masque réseau de consultation (ex.: 255.255.255.0)
332
	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK | cut -d"=" -f2`			# masque réseau de consultation (ex.: 255.255.255.0)
333
	PRIVATE_IP=`echo $PRIVATE_IP_MASK | cut -d"/" -f1`					# @ip du portail (côté réseau de consultation)
333
	PRIVATE_IP=`echo $PRIVATE_IP_MASK | cut -d"/" -f1`					# @ip du portail (côté réseau de consultation)
334
	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK |cut -d"=" -f2`				# prefixe du réseau (ex. 24)
334
	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK |cut -d"=" -f2`				# prefixe du réseau (ex. 24)
335
	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix					# @ + masque du réseau de consult (192.168.182.0/24)
335
	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix					# @ + masque du réseau de consult (192.168.182.0/24)
336
	classe=$((private_prefix/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2`		# classes de réseau (ex.: 2=classe B, 3=classe C)
336
	classe=$((private_prefix/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2`		# classes de réseau (ex.: 2=classe B, 3=classe C)
337
	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.			# @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
337
	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.			# @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
338
	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ broadcast réseau de consultation (ex.: 192.168.182.255)
338
	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ broadcast réseau de consultation (ex.: 192.168.182.255)
339
	tmp_mask=`echo $PRIVATE_NETWORK_MASK|cut -d"/" -f2`; half_mask=`expr $tmp_mask + 1`	# masque du 1/2 réseau de consultation (ex.: 25)
339
	tmp_mask=`echo $PRIVATE_NETWORK_MASK|cut -d"/" -f2`; half_mask=`expr $tmp_mask + 1`	# masque du 1/2 réseau de consultation (ex.: 25)
340
	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$half_mask						# plage des adresses statiques (ex.: 192.168.182.0/25)
340
	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$half_mask						# plage des adresses statiques (ex.: 192.168.182.0/25)
341
	private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`		# dernier octet de l'@ de réseau
341
	private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`		# dernier octet de l'@ de réseau
342
	private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`		# dernier octet de l'@ de broadcast
342
	private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`		# dernier octet de l'@ de broadcast
343
	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
343
	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
344
	private_half_plage=`expr $private_plage / 2`
344
	private_half_plage=`expr $private_plage / 2`
345
	private_dyn=`expr $private_half_plage + $private_network_ending`
345
	private_dyn=`expr $private_half_plage + $private_network_ending`
346
	private_dyn_ip_network=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup_sup-5`
346
	private_dyn_ip_network=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup_sup-5`
347
	PRIVATE_DYN_IP=`echo $private_dyn_ip_network | cut -d"." -f1-4`/$half_mask					# @ réseau (CIDR) de la plage des adresses dynamiques (ex.: 192.168.182.128/25)
347
	PRIVATE_DYN_IP=`echo $private_dyn_ip_network | cut -d"." -f1-4`/$half_mask					# @ réseau (CIDR) de la plage des adresses dynamiques (ex.: 192.168.182.128/25)
348
	private_dyn_ip_ending=`echo $private_dyn_ip_network | cut -d"." -f4`
348
	private_dyn_ip_ending=`echo $private_dyn_ip_network | cut -d"." -f4`
349
	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network | cut -d"." -f1-3`"."`expr $private_dyn_ip_ending + 1`	# 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
349
	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network | cut -d"." -f1-3`"."`expr $private_dyn_ip_ending + 1`	# 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
350
	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1`		# dernière adresse de la plage dynamique (ex.: 192.168.182.254)
350
	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1`		# dernière adresse de la plage dynamique (ex.: 192.168.182.254)
351
# Define Internet side Ethernet card
351
# Define Internet side Ethernet card
352
	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
352
	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
353
	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 1er DNS
353
	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 1er DNS
354
	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 2ème DNS
354
	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 2ème DNS
355
	DNS1=${DNS1:=208.67.220.220}
355
	DNS1=${DNS1:=208.67.220.220}
356
	DNS2=${DNS2:=208.67.222.222}
356
	DNS2=${DNS2:=208.67.222.222}
357
	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
357
	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
358
	DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 | cut -d"=" -f2`
358
	DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 | cut -d"=" -f2`
359
	PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}
359
	PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}
360
	PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK|cut -d"=" -f2`
360
	PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK|cut -d"=" -f2`
361
	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
361
	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
362
	echo "PUBLIC_MTU=1500" >> $CONF_FILE
362
	echo "PUBLIC_MTU=1500" >> $CONF_FILE
363
	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE 
363
	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE 
364
	echo "DNS1=$DNS1" >> $CONF_FILE
364
	echo "DNS1=$DNS1" >> $CONF_FILE
365
	echo "DNS2=$DNS2" >> $CONF_FILE
365
	echo "DNS2=$DNS2" >> $CONF_FILE
366
	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
366
	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
367
	echo "DHCP=on" >> $CONF_FILE
367
	echo "DHCP=on" >> $CONF_FILE
368
	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default
368
	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default
369
	# Renseignement des fichiers de configuration réseau
369
	# Renseignement des fichiers de configuration réseau
370
	cat <<EOF > /etc/sysconfig/network
370
	cat <<EOF > /etc/sysconfig/network
371
NETWORKING=yes
371
NETWORKING=yes
372
HOSTNAME="$HOSTNAME"
372
HOSTNAME="$HOSTNAME"
373
FORWARD_IPV4=true
373
FORWARD_IPV4=true
374
EOF
374
EOF
375
# Modif /etc/hosts
375
# Modif /etc/hosts
376
	[ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default
376
	[ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default
377
	cat <<EOF > /etc/hosts
377
	cat <<EOF > /etc/hosts
378
127.0.0.1	localhost
378
127.0.0.1	localhost
379
$PRIVATE_IP	$HOSTNAME 
379
$PRIVATE_IP	$HOSTNAME 
380
EOF
380
EOF
381
# Configuration de l'interface eth0 (Internet)
381
# Configuration de l'interface eth0 (Internet)
382
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
382
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
383
DEVICE=$EXTIF
383
DEVICE=$EXTIF
384
BOOTPROTO=static
384
BOOTPROTO=static
385
IPADDR=$PUBLIC_IP
385
IPADDR=$PUBLIC_IP
386
NETMASK=$PUBLIC_NETMASK
386
NETMASK=$PUBLIC_NETMASK
387
GATEWAY=$PUBLIC_GATEWAY
387
GATEWAY=$PUBLIC_GATEWAY
388
DNS1=127.0.0.1
388
DNS1=127.0.0.1
389
ONBOOT=yes
389
ONBOOT=yes
390
METRIC=10
390
METRIC=10
391
NOZEROCONF=yes
391
NOZEROCONF=yes
392
MII_NOT_SUPPORTED=yes
392
MII_NOT_SUPPORTED=yes
393
IPV6INIT=no
393
IPV6INIT=no
394
IPV6TO4INIT=no
394
IPV6TO4INIT=no
395
ACCOUNTING=no
395
ACCOUNTING=no
396
USERCTL=no
396
USERCTL=no
397
EOF
397
EOF
398
# Configuration de l'interface eth1 (réseau de consultation)
398
# Configuration de l'interface eth1 (réseau de consultation)
399
# utile uniquement pour le mode bypass (cf. alcasar-bypass.sh)
399
# utile uniquement pour le mode bypass (cf. alcasar-bypass.sh)
400
	rm -f /etc/sysconfig/network-scripts/ifcfg-$INTIF
400
	rm -f /etc/sysconfig/network-scripts/ifcfg-$INTIF
401
	cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF
401
	cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF
402
DEVICE=$INTIF
402
DEVICE=$INTIF
403
BOOTPROTO=static
403
BOOTPROTO=static
404
IPADDR=$PRIVATE_IP
404
IPADDR=$PRIVATE_IP
405
NETMASK=$PRIVATE_NETMASK
405
NETMASK=$PRIVATE_NETMASK
406
ONBOOT=yes
406
ONBOOT=yes
407
METRIC=10
407
METRIC=10
408
NOZEROCONF=yes
408
NOZEROCONF=yes
409
MII_NOT_SUPPORTED=yes
409
MII_NOT_SUPPORTED=yes
410
IPV6INIT=no
410
IPV6INIT=no
411
IPV6TO4INIT=no
411
IPV6TO4INIT=no
412
ACCOUNTING=no
412
ACCOUNTING=no
413
USERCTL=no
413
USERCTL=no
414
EOF
414
EOF
415
# Mise à l'heure du serveur
415
# Mise à l'heure du serveur
416
	[ -e /etc/ntp/step-tickers.default ] || cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
416
	[ -e /etc/ntp/step-tickers.default ] || cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
417
	cat <<EOF > /etc/ntp/step-tickers
417
	cat <<EOF > /etc/ntp/step-tickers
418
0.fr.pool.ntp.org	# adapt to your country
418
0.fr.pool.ntp.org	# adapt to your country
419
1.fr.pool.ntp.org
419
1.fr.pool.ntp.org
420
2.fr.pool.ntp.org
420
2.fr.pool.ntp.org
421
EOF
421
EOF
422
# Configuration du serveur de temps (sur lui même)
422
# Configuration du serveur de temps (sur lui même)
423
	[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
423
	[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
424
	cat <<EOF > /etc/ntp.conf
424
	cat <<EOF > /etc/ntp.conf
425
server 0.fr.pool.ntp.org	# adapt to your country
425
server 0.fr.pool.ntp.org	# adapt to your country
426
server 1.fr.pool.ntp.org
426
server 1.fr.pool.ntp.org
427
server 2.fr.pool.ntp.org
427
server 2.fr.pool.ntp.org
428
server 127.127.1.0   		# local clock si NTP internet indisponible ...
428
server 127.127.1.0   		# local clock si NTP internet indisponible ...
429
fudge 127.127.1.0 stratum 10
429
fudge 127.127.1.0 stratum 10
430
restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
430
restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
431
restrict 127.0.0.1
431
restrict 127.0.0.1
432
driftfile /var/lib/ntp/drift
432
driftfile /var/lib/ntp/drift
433
logfile /var/log/ntp.log
433
logfile /var/log/ntp.log
434
EOF
434
EOF
435
 
435
 
436
	chown -R ntp:ntp /var/lib/ntp
436
	chown -R ntp:ntp /var/lib/ntp
437
# Renseignement des fichiers hosts.allow et hosts.deny
437
# Renseignement des fichiers hosts.allow et hosts.deny
438
	[ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default
438
	[ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default
439
	cat <<EOF > /etc/hosts.allow
439
	cat <<EOF > /etc/hosts.allow
440
ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
440
ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
441
sshd: ALL
441
sshd: ALL
442
ntpd: $PRIVATE_NETWORK_SHORT
442
ntpd: $PRIVATE_NETWORK_SHORT
443
EOF
443
EOF
444
	[ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default
444
	[ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default
445
	cat <<EOF > /etc/hosts.deny
445
	cat <<EOF > /etc/hosts.deny
446
ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
446
ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
447
EOF
447
EOF
448
# Firewall config
448
# Firewall config
449
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
449
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
450
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
450
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
451
	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
451
	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
452
# create the filter exxeption file
452
# create the filter exxeption file
453
	touch $DIR_DEST_ETC/alcasar-filter-exceptions
453
	touch $DIR_DEST_ETC/alcasar-filter-exceptions
454
# load conntrack ftp module
454
# load conntrack ftp module
455
	[ -e /etc/modprobe.preload.default ] || cp /etc/modprobe.preload /etc/modprobe.preload.default
455
	[ -e /etc/modprobe.preload.default ] || cp /etc/modprobe.preload /etc/modprobe.preload.default
456
	echo "ip_conntrack_ftp" >>  /etc/modprobe.preload
456
	echo "ip_conntrack_ftp" >>  /etc/modprobe.preload
457
# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
457
# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
458
} # End of network ()
458
} # End of network ()
459
 
459
 
460
##################################################################
460
##################################################################
461
##			Fonction gestion			##
461
##			Fonction gestion			##
462
## - installation du centre de gestion				##
462
## - installation du centre de gestion				##
463
## - configuration du serveur web (Apache)			##
463
## - configuration du serveur web (Apache)			##
464
## - définition du 1er comptes de gestion 			##
464
## - définition du 1er comptes de gestion 			##
465
## - sécurisation des accès					##
465
## - sécurisation des accès					##
466
##################################################################
466
##################################################################
467
gestion()
467
gestion()
468
{
468
{
469
	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
469
	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
470
	mkdir $DIR_WEB
470
	mkdir $DIR_WEB
471
# Copie et configuration des fichiers du centre de gestion
471
# Copie et configuration des fichiers du centre de gestion
472
	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
472
	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
473
	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
473
	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
474
	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
474
	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
475
	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
475
	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
476
	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
476
	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
477
	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
477
	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
478
	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
478
	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
479
	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
479
	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
480
	chown -R apache:apache $DIR_WEB/*
480
	chown -R apache:apache $DIR_WEB/*
481
	for i in ISO base logs/firewall logs/httpd logs/squid ;
481
	for i in ISO base logs/firewall logs/httpd logs/squid ;
482
	do
482
	do
483
		[ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i
483
		[ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i
484
	done
484
	done
485
	chown -R root:apache $DIR_SAVE
485
	chown -R root:apache $DIR_SAVE
486
# Configuration et sécurisation php
486
# Configuration et sécurisation php
487
	[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default
487
	[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default
488
	timezone=`cat /etc/sysconfig/clock|grep ZONE|cut -d"=" -f2`
488
	timezone=`cat /etc/sysconfig/clock|grep ZONE|cut -d"=" -f2`
489
	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
489
	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
490
	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
490
	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
491
	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
491
	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
492
	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
492
	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
493
	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
493
	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
494
# Configuration et sécurisation Apache
494
# Configuration et sécurisation Apache
495
	rm -rf /var/www/cgi-bin/* /var/www/perl/* /var/www/icons/README* /var/www/error/README*
495
	rm -rf /var/www/cgi-bin/* /var/www/perl/* /var/www/icons/README* /var/www/error/README*
496
	[ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
496
	[ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
497
	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
497
	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
498
	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
498
	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
499
	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
499
	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
500
	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
500
	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
501
	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
501
	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
502
	$SED "s?^LoadModule authn_anon_module.*?#LoadModule authn_anon_module modules/mod_authn_anon.so?g" /etc/httpd/conf/httpd.conf
502
	$SED "s?^LoadModule authn_anon_module.*?#LoadModule authn_anon_module modules/mod_authn_anon.so?g" /etc/httpd/conf/httpd.conf
503
	$SED "s?^LoadModule status_module.*?#LoadModule status_module modules/mod_status.so?g" /etc/httpd/conf/httpd.conf
503
	$SED "s?^LoadModule status_module.*?#LoadModule status_module modules/mod_status.so?g" /etc/httpd/conf/httpd.conf
504
	$SED "s?^LoadModule autoindex_module.*?#LoadModule autoindex_module modules/mod_autoindex.so?g" /etc/httpd/conf/httpd.conf
504
	$SED "s?^LoadModule autoindex_module.*?#LoadModule autoindex_module modules/mod_autoindex.so?g" /etc/httpd/conf/httpd.conf
505
	$SED "s?^LoadModule info_module.*?#LoadModule info_module modules/mod_info.so?g" /etc/httpd/conf/httpd.conf
505
	$SED "s?^LoadModule info_module.*?#LoadModule info_module modules/mod_info.so?g" /etc/httpd/conf/httpd.conf
506
	$SED "s?^LoadModule cgi_module.*?#LoadModule cgi_module modules/mod_cgi.so?g" /etc/httpd/conf/httpd.conf
506
	$SED "s?^LoadModule cgi_module.*?#LoadModule cgi_module modules/mod_cgi.so?g" /etc/httpd/conf/httpd.conf
507
	$SED "s?^LoadModule imagemap_module.*?#LoadModule imagemap_module modules/mod_imagemap.so?g" /etc/httpd/conf/httpd.conf
507
	$SED "s?^LoadModule imagemap_module.*?#LoadModule imagemap_module modules/mod_imagemap.so?g" /etc/httpd/conf/httpd.conf
508
	$SED "s?^LoadModule rewrite_module.*?#LoadModule rewrite_module modules/mod_rewrite.so?g" /etc/httpd/conf/httpd.conf
508
	$SED "s?^LoadModule rewrite_module.*?#LoadModule rewrite_module modules/mod_rewrite.so?g" /etc/httpd/conf/httpd.conf
509
	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
509
	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
510
	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
510
	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
511
	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
511
	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
512
	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
512
	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
513
	cat <<EOF > /var/www/error/include/bottom.html
513
	cat <<EOF > /var/www/error/include/bottom.html
514
</body>
514
</body>
515
</html>
515
</html>
516
EOF
516
EOF
517
# Définition du premier compte lié au profil 'admin'
517
# Définition du premier compte lié au profil 'admin'
518
	header_install
518
	header_install
519
	if [ "$mode" = "install" ]
519
	if [ "$mode" = "install" ]
520
	then
520
	then
521
		admin_portal=!
521
		admin_portal=!
522
		PTN='^[a-zA-Z0-9-]*$'
522
		PTN='^[a-zA-Z0-9-]*$'
523
		until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
523
		until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
524
                	do
524
                	do
525
			header_install
525
			header_install
526
			if [ $Lang == "fr" ]
526
			if [ $Lang == "fr" ]
527
			then 
527
			then 
528
				echo ""
528
				echo ""
529
				echo "Définissez un premier compte d'administration du portail :"
529
				echo "Définissez un premier compte d'administration du portail :"
530
				echo
530
				echo
531
				echo -n "Nom : "
531
				echo -n "Nom : "
532
			else
532
			else
533
				echo ""
533
				echo ""
534
				echo "Define the first account allow to administrate the portal :"
534
				echo "Define the first account allow to administrate the portal :"
535
				echo
535
				echo
536
				echo -n "Account : "
536
				echo -n "Account : "
537
			fi
537
			fi
538
			read admin_portal
538
			read admin_portal
539
			if [ "$admin_portal" == "" ]
539
			if [ "$admin_portal" == "" ]
540
				then
540
				then
541
				admin_portal=!
541
				admin_portal=!
542
			fi
542
			fi
543
			done
543
			done
544
# Création du fichier de clés de ce compte dans le profil "admin"
544
# Création du fichier de clés de ce compte dans le profil "admin"
545
		[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
545
		[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
546
		mkdir -p $DIR_DEST_ETC/digest
546
		mkdir -p $DIR_DEST_ETC/digest
547
		chmod 755 $DIR_DEST_ETC/digest
547
		chmod 755 $DIR_DEST_ETC/digest
548
		until [ -s $DIR_DEST_ETC/digest/key_admin ]
548
		until [ -s $DIR_DEST_ETC/digest/key_admin ]
549
			do
549
			do
550
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
550
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
551
			done
551
			done
552
		$DIR_DEST_SBIN/alcasar-profil.sh --list
552
		$DIR_DEST_SBIN/alcasar-profil.sh --list
553
	else   # mise à jour des versions < 2.1
553
	else   # mise à jour des versions < 2.1
554
		if ([ $MAJ_RUNNING_VERSION -lt 2 ] || ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
554
		if ([ $MAJ_RUNNING_VERSION -lt 2 ] || ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
555
			then
555
			then
556
			if [ $Lang == "fr" ]
556
			if [ $Lang == "fr" ]
557
			then 
557
			then 
558
				echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
558
				echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
559
				echo
559
				echo
560
				echo -n "Nom : "
560
				echo -n "Nom : "
561
			else
561
			else
562
				echo "This update need to redefine the first admin account"
562
				echo "This update need to redefine the first admin account"
563
				echo
563
				echo
564
				echo -n "Account : "
564
				echo -n "Account : "
565
			fi
565
			fi
566
			read admin_portal
566
			read admin_portal
567
			[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
567
			[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
568
			mkdir -p $DIR_DEST_ETC/digest
568
			mkdir -p $DIR_DEST_ETC/digest
569
			chmod 755 $DIR_DEST_ETC/digest
569
			chmod 755 $DIR_DEST_ETC/digest
570
			until [ -s $DIR_DEST_ETC/digest/key_admin ]
570
			until [ -s $DIR_DEST_ETC/digest/key_admin ]
571
			do
571
			do
572
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
572
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
573
			done
573
			done
574
			$DIR_DEST_SBIN/alcasar-profil.sh --list
574
			$DIR_DEST_SBIN/alcasar-profil.sh --list
575
		fi
575
		fi
576
	fi
576
	fi
577
# synchronisation horaire
577
# synchronisation horaire
578
	ntpd -q -g &
578
	ntpd -q -g &
579
# Sécurisation du centre
579
# Sécurisation du centre
580
	rm -f /etc/httpd/conf/webapps.d/*
580
	rm -f /etc/httpd/conf/webapps.d/*
581
	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
581
	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
582
<Directory $DIR_ACC>
582
<Directory $DIR_ACC>
583
	SSLRequireSSL
583
	SSLRequireSSL
584
	AllowOverride None
584
	AllowOverride None
585
	Order deny,allow
585
	Order deny,allow
586
	Deny from all
586
	Deny from all
587
	Allow from 127.0.0.1
587
	Allow from 127.0.0.1
588
	Allow from $PRIVATE_NETWORK_MASK
588
	Allow from $PRIVATE_NETWORK_MASK
589
	require valid-user
589
	require valid-user
590
	AuthType digest
590
	AuthType digest
591
	AuthName $HOSTNAME
591
	AuthName $HOSTNAME
592
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
592
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
593
	AuthUserFile $DIR_DEST_ETC/digest/key_all
593
	AuthUserFile $DIR_DEST_ETC/digest/key_all
594
	ErrorDocument 404 https://$HOSTNAME/
594
	ErrorDocument 404 https://$HOSTNAME/
595
</Directory>
595
</Directory>
596
<Directory $DIR_ACC/admin>
596
<Directory $DIR_ACC/admin>
597
	SSLRequireSSL
597
	SSLRequireSSL
598
	AllowOverride None
598
	AllowOverride None
599
	Order deny,allow
599
	Order deny,allow
600
	Deny from all
600
	Deny from all
601
	Allow from 127.0.0.1
601
	Allow from 127.0.0.1
602
	Allow from $PRIVATE_NETWORK_MASK
602
	Allow from $PRIVATE_NETWORK_MASK
603
	require valid-user
603
	require valid-user
604
	AuthType digest
604
	AuthType digest
605
	AuthName $HOSTNAME
605
	AuthName $HOSTNAME
606
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
606
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
607
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
607
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
608
	ErrorDocument 404 https://$HOSTNAME/
608
	ErrorDocument 404 https://$HOSTNAME/
609
</Directory>
609
</Directory>
610
<Directory $DIR_ACC/manager>
610
<Directory $DIR_ACC/manager>
611
	SSLRequireSSL
611
	SSLRequireSSL
612
	AllowOverride None
612
	AllowOverride None
613
	Order deny,allow
613
	Order deny,allow
614
	Deny from all
614
	Deny from all
615
	Allow from 127.0.0.1
615
	Allow from 127.0.0.1
616
	Allow from $PRIVATE_NETWORK_MASK
616
	Allow from $PRIVATE_NETWORK_MASK
617
	require valid-user
617
	require valid-user
618
	AuthType digest
618
	AuthType digest
619
	AuthName $HOSTNAME
619
	AuthName $HOSTNAME
620
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
620
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
621
	AuthUserFile $DIR_DEST_ETC/digest/key_manager
621
	AuthUserFile $DIR_DEST_ETC/digest/key_manager
622
	ErrorDocument 404 https://$HOSTNAME/
622
	ErrorDocument 404 https://$HOSTNAME/
623
</Directory>
623
</Directory>
624
<Directory $DIR_ACC/backup>
624
<Directory $DIR_ACC/backup>
625
	SSLRequireSSL
625
	SSLRequireSSL
626
	AllowOverride None
626
	AllowOverride None
627
	Order deny,allow
627
	Order deny,allow
628
	Deny from all
628
	Deny from all
629
	Allow from 127.0.0.1
629
	Allow from 127.0.0.1
630
	Allow from $PRIVATE_NETWORK_MASK
630
	Allow from $PRIVATE_NETWORK_MASK
631
	require valid-user
631
	require valid-user
632
	AuthType digest
632
	AuthType digest
633
	AuthName $HOSTNAME
633
	AuthName $HOSTNAME
634
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
634
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
635
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
635
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
636
	ErrorDocument 404 https://$HOSTNAME/
636
	ErrorDocument 404 https://$HOSTNAME/
637
</Directory>
637
</Directory>
638
EOF
638
EOF
639
} # End of gestion ()
639
} # End of gestion ()
640
 
640
 
641
##########################################################################################
641
##########################################################################################
642
##				Fonction AC()						##
642
##				Fonction AC()						##
643
## - Création d'une Autorité de Certification et du certificat serveur pour apache 	##
643
## - Création d'une Autorité de Certification et du certificat serveur pour apache 	##
644
##########################################################################################
644
##########################################################################################
645
AC ()
645
AC ()
646
{
646
{
647
	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
647
	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
648
	$DIR_DEST_BIN/alcasar-CA.sh
648
	$DIR_DEST_BIN/alcasar-CA.sh
649
	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl_vhost.conf`
649
	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl_vhost.conf`
650
	[ -e /etc/httpd/conf/vhosts-ssl.default ]  || cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
650
	[ -e /etc/httpd/conf/vhosts-ssl.default ]  || cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
651
	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
651
	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
652
	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
652
	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
653
	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
653
	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
654
	chown -R root:apache /etc/pki
654
	chown -R root:apache /etc/pki
655
	chmod -R 750 /etc/pki
655
	chmod -R 750 /etc/pki
656
} # End AC ()
656
} # End AC ()
657
 
657
 
658
##########################################################################################
658
##########################################################################################
659
##			Fonction init_db()						##
659
##			Fonction init_db()						##
660
## - Initialisation de la base Mysql							##
660
## - Initialisation de la base Mysql							##
661
## - Affectation du mot de passe de l'administrateur (root)				##
661
## - Affectation du mot de passe de l'administrateur (root)				##
662
## - Suppression des bases et des utilisateurs superflus				##
662
## - Suppression des bases et des utilisateurs superflus				##
663
## - Création de la base 'radius'							##
663
## - Création de la base 'radius'							##
664
## - Installation du schéma de cette base						##
664
## - Installation du schéma de cette base						##
665
## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)	##
665
## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)	##
666
##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)		##
666
##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)		##
667
##########################################################################################
667
##########################################################################################
668
init_db ()
668
init_db ()
669
{
669
{
670
	mkdir -p /var/lib/mysql/.tmp
670
	mkdir -p /var/lib/mysql/.tmp
671
	chown mysql:mysql /var/lib/mysql/.tmp
671
	chown mysql:mysql /var/lib/mysql/.tmp
672
	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf		# prend en compte les migrations de MySQL
672
	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf		# prend en compte les migrations de MySQL
673
	[ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default
673
	[ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default
674
	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
674
	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
675
	/etc/init.d/mysqld start
675
	/etc/init.d/mysqld start
676
	sleep 4
676
	sleep 4
677
	mysqladmin -u root password $mysqlpwd
677
	mysqladmin -u root password $mysqlpwd
678
	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
678
	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
679
# Delete exemple databases if exist
679
# Delete exemple databases if exist
680
	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;" 
680
	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;" 
681
# Create 'radius' database
681
# Create 'radius' database
682
	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
682
	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
683
# Add an empty radius database structure
683
# Add an empty radius database structure
684
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
684
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
685
# modify the start script in order to close accounting connexion when the system is comming down or up
685
# modify the start script in order to close accounting connexion when the system is comming down or up
686
	[ -e /etc/init.d/mysqld.default ] || cp /etc/init.d/mysqld /etc/init.d/mysqld.default
686
	[ -e /etc/init.d/mysqld.default ] || cp /etc/init.d/mysqld /etc/init.d/mysqld.default
687
	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
687
	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
688
	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
688
	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
689
} # End init_db ()
689
} # End init_db ()
690
 
690
 
691
##########################################################################
691
##########################################################################
692
##			Fonction param_radius				##
692
##			Fonction param_radius				##
693
## - Paramètrage des fichiers de configuration FreeRadius		##
693
## - Paramètrage des fichiers de configuration FreeRadius		##
694
## - Affectation du secret partagé entre coova-chilli et freeradius	##
694
## - Affectation du secret partagé entre coova-chilli et freeradius	##
695
## - Modification de fichier de conf pour l'accès à Mysql		##
695
## - Modification de fichier de conf pour l'accès à Mysql		##
696
##########################################################################
696
##########################################################################
697
param_radius ()
697
param_radius ()
698
{
698
{
699
	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
699
	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
700
	chown -R radius:radius /etc/raddb
700
	chown -R radius:radius /etc/raddb
701
	[ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
701
	[ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
702
# paramètrage radius.conf
702
# paramètrage radius.conf
703
	$SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf
703
	$SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf
704
	$SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf
704
	$SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf
705
	$SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf
705
	$SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf
706
# suppression de la fonction proxy
706
# suppression de la fonction proxy
707
	$SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf
707
	$SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf
708
	$SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
708
	$SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
709
# suppression du module EAP
709
# suppression du module EAP
710
	$SED "s?^[\t ]*\$INCLUDE eap.conf.*?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
710
	$SED "s?^[\t ]*\$INCLUDE eap.conf.*?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
711
# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
711
# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
712
	$SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
712
	$SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
713
# prise en compte du module SQL et des compteurs SQL
713
# prise en compte du module SQL et des compteurs SQL
714
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
714
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
715
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
715
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
716
	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
716
	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
717
# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
717
# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
718
	rm -f /etc/raddb/sites-enabled/*
718
	rm -f /etc/raddb/sites-enabled/*
719
       	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
719
       	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
720
	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
720
	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
721
	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
721
	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
722
	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
722
	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
723
	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
723
	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
724
# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
724
# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
725
	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
725
	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
726
# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
726
# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
727
	[ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
727
	[ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
728
	cat << EOF > /etc/raddb/clients.conf
728
	cat << EOF > /etc/raddb/clients.conf
729
client 127.0.0.1 {
729
client 127.0.0.1 {
730
	secret = $secretradius
730
	secret = $secretradius
731
	shortname = localhost
731
	shortname = localhost
732
}
732
}
733
EOF
733
EOF
734
# modif sql.conf
734
# modif sql.conf
735
	[ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
735
	[ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
736
	$SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
736
	$SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
737
	$SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
737
	$SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
738
	$SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
738
	$SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
739
	$SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf
739
	$SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf
740
# modif dialup.conf
740
# modif dialup.conf
741
	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
741
	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
742
	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
742
	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
743
} # End param_radius ()
743
} # End param_radius ()
744
 
744
 
745
##########################################################################
745
##########################################################################
746
##			Fonction param_web_radius			##
746
##			Fonction param_web_radius			##
747
## - Import, modification et paramètrage de l'interface "dialupadmin"	##
747
## - Import, modification et paramètrage de l'interface "dialupadmin"	##
748
## - Création du lien vers la page de changement de mot de passe        ##
748
## - Création du lien vers la page de changement de mot de passe        ##
749
##########################################################################
749
##########################################################################
750
param_web_radius ()
750
param_web_radius ()
751
{
751
{
752
# copie de l'interface d'origine dans la structure Alcasar
752
# copie de l'interface d'origine dans la structure Alcasar
753
	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
753
	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
754
	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme 
754
	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme 
755
	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
755
	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
756
# copie des fichiers modifiés
756
# copie des fichiers modifiés
757
	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
757
	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
758
	chown -R apache:apache $DIR_ACC/manager/
758
	chown -R apache:apache $DIR_ACC/manager/
759
# Modification des fichiers de configuration
759
# Modification des fichiers de configuration
760
	[ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
760
	[ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
761
	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
761
	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
762
	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
762
	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
763
	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
763
	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
764
	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
764
	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
765
	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
765
	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
766
	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
766
	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
767
	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
767
	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
768
	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
768
	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
769
	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
769
	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
770
	[ -e /etc/freeradius-web/config.php.default ] || cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
770
	[ -e /etc/freeradius-web/config.php.default ] || cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
771
	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
771
	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
772
	cat <<EOF > /etc/freeradius-web/naslist.conf
772
	cat <<EOF > /etc/freeradius-web/naslist.conf
773
nas1_name: alcasar-$ORGANISME
773
nas1_name: alcasar-$ORGANISME
774
nas1_model: Portail captif
774
nas1_model: Portail captif
775
nas1_ip: $PRIVATE_IP
775
nas1_ip: $PRIVATE_IP
776
nas1_port_num: 0
776
nas1_port_num: 0
777
nas1_community: public
777
nas1_community: public
778
EOF
778
EOF
779
# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
779
# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
780
	[ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
780
	[ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
781
	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
781
	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
782
# Ajout du mappage des attributs chillispot
782
# Ajout du mappage des attributs chillispot
783
	[ -e /etc/freeradius-web/sql.attrmap.default ] || mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
783
	[ -e /etc/freeradius-web/sql.attrmap.default ] || mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
784
	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
784
	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
785
# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
785
# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
786
	[ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
786
	[ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
787
	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
787
	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
788
	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
788
	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
789
	chown -R apache:apache /etc/freeradius-web
789
	chown -R apache:apache /etc/freeradius-web
790
# Ajout de l'alias vers la page de "changement de mot de passe usager"
790
# Ajout de l'alias vers la page de "changement de mot de passe usager"
791
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
791
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
792
<Directory $DIR_WEB/pass>
792
<Directory $DIR_WEB/pass>
793
	SSLRequireSSL
793
	SSLRequireSSL
794
	AllowOverride None
794
	AllowOverride None
795
	Order deny,allow
795
	Order deny,allow
796
	Deny from all
796
	Deny from all
797
	Allow from 127.0.0.1
797
	Allow from 127.0.0.1
798
	Allow from $PRIVATE_NETWORK_MASK
798
	Allow from $PRIVATE_NETWORK_MASK
799
	ErrorDocument 404 https://$HOSTNAME
799
	ErrorDocument 404 https://$HOSTNAME
800
</Directory>
800
</Directory>
801
EOF
801
EOF
802
} # End of param_web_radius ()
802
} # End of param_web_radius ()
803
 
803
 
804
##################################################################################
804
##################################################################################
805
##			Fonction param_chilli					##
805
##			Fonction param_chilli					##
806
## - Création du fichier d'initialisation et de configuration de coova-chilli	##
806
## - Création du fichier d'initialisation et de configuration de coova-chilli	##
807
## - Paramètrage de la page d'authentification (intercept.php)			##
807
## - Paramètrage de la page d'authentification (intercept.php)			##
808
##################################################################################
808
##################################################################################
809
param_chilli ()
809
param_chilli ()
810
{
810
{
811
# init file creation
811
# init file creation
812
	[ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default
812
	[ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default
813
	cat <<EOF > /etc/init.d/chilli
813
	cat <<EOF > /etc/init.d/chilli
814
#!/bin/sh
814
#!/bin/sh
815
#
815
#
816
# chilli CoovaChilli init
816
# chilli CoovaChilli init
817
#
817
#
818
# chkconfig: 2345 65 35
818
# chkconfig: 2345 65 35
819
# description: CoovaChilli
819
# description: CoovaChilli
820
### BEGIN INIT INFO
820
### BEGIN INIT INFO
821
# Provides:       chilli
821
# Provides:       chilli
822
# Required-Start: network 
822
# Required-Start: network 
823
# Should-Start: 
823
# Should-Start: 
824
# Required-Stop:  network
824
# Required-Stop:  network
825
# Should-Stop: 
825
# Should-Stop: 
826
# Default-Start:  2 3 5
826
# Default-Start:  2 3 5
827
# Default-Stop:
827
# Default-Stop:
828
# Description:    CoovaChilli access controller
828
# Description:    CoovaChilli access controller
829
### END INIT INFO
829
### END INIT INFO
830
 
830
 
831
[ -f /usr/sbin/chilli ] || exit 0
831
[ -f /usr/sbin/chilli ] || exit 0
832
. /etc/init.d/functions
832
. /etc/init.d/functions
833
CONFIG=/etc/chilli.conf
833
CONFIG=/etc/chilli.conf
834
pidfile=/var/run/chilli.pid
834
pidfile=/var/run/chilli.pid
835
[ -f \$CONFIG ] || {
835
[ -f \$CONFIG ] || {
836
    echo "\$CONFIG Not found"
836
    echo "\$CONFIG Not found"
837
    exit 0
837
    exit 0
838
}
838
}
839
RETVAL=0
839
RETVAL=0
840
prog="chilli"
840
prog="chilli"
841
case \$1 in
841
case \$1 in
842
    start)
842
    start)
843
	if [ -f \$pidfile ] ; then 
843
	if [ -f \$pidfile ] ; then 
844
		gprintf "chilli is already running"
844
		gprintf "chilli is already running"
845
	else
845
	else
846
        	gprintf "Starting \$prog: "
846
        	gprintf "Starting \$prog: "
847
		rm -f /var/run/chilli* # cleaning
847
		rm -f /var/run/chilli* # cleaning
848
        	/sbin/modprobe tun >/dev/null 2>&1
848
        	/sbin/modprobe tun >/dev/null 2>&1
849
        	echo 1 > /proc/sys/net/ipv4/ip_forward
849
        	echo 1 > /proc/sys/net/ipv4/ip_forward
850
		[ -e /dev/net/tun ] || {
850
		[ -e /dev/net/tun ] || {
851
	    	(cd /dev; 
851
	    	(cd /dev; 
852
			mkdir net; 
852
			mkdir net; 
853
			cd net; 
853
			cd net; 
854
			mknod tun c 10 200)
854
			mknod tun c 10 200)
855
		}
855
		}
856
		ifconfig eth1 0.0.0.0
856
		ifconfig eth1 0.0.0.0
857
		daemon /usr/sbin/chilli -c \$CONFIG --pidfile=\$pidfile &
857
		daemon /usr/sbin/chilli -c \$CONFIG --pidfile=\$pidfile &
858
        	RETVAL=$?
858
        	RETVAL=$?
859
		sleep 1 # wait for tun0 to be up
-
 
860
	fi
859
	fi
861
	;;
860
	;;
862
 
861
 
863
    reload)
862
    reload)
864
	killall -HUP chilli
863
	killall -HUP chilli
865
	;;
864
	;;
866
 
865
 
867
    restart)
866
    restart)
868
	\$0 stop
867
	\$0 stop
869
        sleep 2
868
        sleep 2
870
	\$0 start
869
	\$0 start
871
	;;
870
	;;
872
    
871
    
873
    status)
872
    status)
874
        status chilli
873
        status chilli
875
        RETVAL=0
874
        RETVAL=0
876
        ;;
875
        ;;
877
 
876
 
878
    stop)
877
    stop)
879
	if [ -f \$pidfile ] ; then  
878
	if [ -f \$pidfile ] ; then  
880
        	gprintf "Shutting down \$prog: "
879
        	gprintf "Shutting down \$prog: "
881
		killproc /usr/sbin/chilli
880
		killproc /usr/sbin/chilli
882
		RETVAL=\$?
881
		RETVAL=\$?
883
		[ \$RETVAL = 0 ] && rm -f $pidfile
882
		[ \$RETVAL = 0 ] && rm -f $pidfile
884
	else	
883
	else	
885
        	gprintf "chilli is not running"
884
        	gprintf "chilli is not running"
886
	fi
885
	fi
887
	;;
886
	;;
888
    
887
    
889
    *)
888
    *)
890
        echo "Usage: \$0 {start|stop|restart|reload|status}"
889
        echo "Usage: \$0 {start|stop|restart|reload|status}"
891
        exit 1
890
        exit 1
892
esac
891
esac
893
echo
892
echo
894
EOF
893
EOF
895
 
894
 
896
# conf file creation
895
# conf file creation
897
	[ -e /etc/chilli.conf.default ] || cp /etc/chilli.conf /etc/chilli.conf.default
896
	[ -e /etc/chilli.conf.default ] || cp /etc/chilli.conf /etc/chilli.conf.default
898
	cat <<EOF > /etc/chilli.conf
897
	cat <<EOF > /etc/chilli.conf
899
# coova config for ALCASAR
898
# coova config for ALCASAR
900
cmdsocket	/var/run/chilli.sock
899
cmdsocket	/var/run/chilli.sock
901
unixipc		chilli.eth1.ipc
900
unixipc		chilli.eth1.ipc
902
pidfile		/var/run/chilli.eth1.pid
901
pidfile		/var/run/chilli.eth1.pid
903
net		$PRIVATE_NETWORK_MASK
902
net		$PRIVATE_NETWORK_MASK
904
dhcpif		$INTIF
903
dhcpif		$INTIF
905
#nodynip
904
#nodynip
906
dynip		$PRIVATE_DYN_IP
905
dynip		$PRIVATE_DYN_IP
907
statip		$PRIVATE_STAT_IP
906
statip		$PRIVATE_STAT_IP
908
ethers		$DIR_DEST_ETC/alcasar-ethers
907
ethers		$DIR_DEST_ETC/alcasar-ethers
909
domain		localdomain
908
domain		localdomain
910
dns1		$PRIVATE_IP
909
dns1		$PRIVATE_IP
911
dns2		$PRIVATE_IP
910
dns2		$PRIVATE_IP
912
uamlisten	$PRIVATE_IP
911
uamlisten	$PRIVATE_IP
913
uamport		3990
912
uamport		3990
914
macallowlocal
913
macallowlocal
915
locationname	$HOSTNAME
914
locationname	$HOSTNAME
916
radiusserver1	127.0.0.1
915
radiusserver1	127.0.0.1
917
radiusserver2	127.0.0.1
916
radiusserver2	127.0.0.1
918
radiussecret	$secretradius
917
radiussecret	$secretradius
919
radiusauthport	1812
918
radiusauthport	1812
920
radiusacctport	1813
919
radiusacctport	1813
921
uamserver	https://$HOSTNAME/intercept.php
920
uamserver	https://$HOSTNAME/intercept.php
922
radiusnasid	$HOSTNAME
921
radiusnasid	$HOSTNAME
923
uamsecret	$secretuam
922
uamsecret	$secretuam
924
uamallowed	alcasar
923
uamallowed	alcasar
925
coaport		3799
924
coaport		3799
926
include		$DIR_DEST_ETC/alcasar-uamallowed
925
include		$DIR_DEST_ETC/alcasar-uamallowed
927
include		$DIR_DEST_ETC/alcasar-uamdomain
926
include		$DIR_DEST_ETC/alcasar-uamdomain
928
include		$DIR_DEST_ETC/alcasar-macallowed
927
include		$DIR_DEST_ETC/alcasar-macallowed
929
EOF
928
EOF
930
# création du fichier d'allocation d'adresses IP statiques
929
# création du fichier d'allocation d'adresses IP statiques
931
	touch $DIR_DEST_ETC/alcasar-ethers
930
	touch $DIR_DEST_ETC/alcasar-ethers
932
# création des fichiers de sites, d'urls et d'adresses MAC de confiance
931
# création des fichiers de sites, d'urls et d'adresses MAC de confiance
933
	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
932
	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
934
	chown root:apache $DIR_DEST_ETC/alcasar-*
933
	chown root:apache $DIR_DEST_ETC/alcasar-*
935
	chmod 660 $DIR_DEST_ETC/alcasar-*
934
	chmod 660 $DIR_DEST_ETC/alcasar-*
936
# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
935
# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
937
	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
936
	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
938
	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
937
	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
939
	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
938
	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
940
# user 'chilli' creation (in order to run conup/off and up/down scripts
939
# user 'chilli' creation (in order to run conup/off and up/down scripts
941
	chilli_exist=`grep chilli /etc/passwd|wc -l`
940
	chilli_exist=`grep chilli /etc/passwd|wc -l`
942
	if [ "$chilli_exist" == "1" ]
941
	if [ "$chilli_exist" == "1" ]
943
	then
942
	then
944
	      userdel -r chilli 2>/dev/null
943
	      userdel -r chilli 2>/dev/null
945
	fi
944
	fi
946
	groupadd -f chilli
945
	groupadd -f chilli
947
	useradd -r -g chilli -s /bin/false -c "system user for coova-chilli" chilli
946
	useradd -r -g chilli -s /bin/false -c "system user for coova-chilli" chilli
948
}  # End of param_chilli ()
947
}  # End of param_chilli ()
949
 
948
 
950
##########################################################
949
##########################################################
951
##			Fonction param_squid		##
950
##			Fonction param_squid		##
952
## - Paramètrage du proxy 'squid' en mode 'cache'	##
951
## - Paramètrage du proxy 'squid' en mode 'cache'	##
953
## - Initialisation de la base de données  		##
952
## - Initialisation de la base de données  		##
954
##########################################################
953
##########################################################
955
param_squid ()
954
param_squid ()
956
{
955
{
957
# paramètrage de Squid (connecté en série derrière Dansguardian)
956
# paramètrage de Squid (connecté en série derrière Dansguardian)
958
	[ -e /etc/squid/squid.conf.default  ] || cp /etc/squid/squid.conf /etc/squid/squid.conf.default
957
	[ -e /etc/squid/squid.conf.default  ] || cp /etc/squid/squid.conf /etc/squid/squid.conf.default
959
# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
958
# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
960
	$SED "/^acl localnet/d" /etc/squid/squid.conf
959
	$SED "/^acl localnet/d" /etc/squid/squid.conf
961
	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
960
	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
962
	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
961
	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
963
	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
962
	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
964
	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
963
	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
965
	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
964
	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
966
# mode 'proxy transparent local'
965
# mode 'proxy transparent local'
967
	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
966
	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
968
# Configuration du cache local
967
# Configuration du cache local
969
	$SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 256 16 256?g" /etc/squid/squid.conf
968
	$SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 256 16 256?g" /etc/squid/squid.conf
970
# emplacement et formatage standard des logs
969
# emplacement et formatage standard des logs
971
	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
970
	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
972
	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh' >> /etc/squid/squid.conf
971
	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh' >> /etc/squid/squid.conf
973
        echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
972
        echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
974
# compatibilité des logs avec awstats
973
# compatibilité des logs avec awstats
975
	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
974
	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
976
	echo "half_closed_clients off" >> /etc/squid/squid.conf
975
	echo "half_closed_clients off" >> /etc/squid/squid.conf
977
	echo "server_persistent_connections off" >> /etc/squid/squid.conf
976
	echo "server_persistent_connections off" >> /etc/squid/squid.conf
978
	echo "client_persistent_connections on" >> /etc/squid/squid.conf
977
	echo "client_persistent_connections on" >> /etc/squid/squid.conf
979
	echo "client_lifetime 1440 minutes" >> /etc/squid/squid.conf
978
	echo "client_lifetime 1440 minutes" >> /etc/squid/squid.conf
980
	echo "request_timeout 5 minutes" >> /etc/squid/squid.conf
979
	echo "request_timeout 5 minutes" >> /etc/squid/squid.conf
981
	echo "persistent_request_timeout 2 minutes" >> /etc/squid/squid.conf
980
	echo "persistent_request_timeout 2 minutes" >> /etc/squid/squid.conf
982
	echo "cache_mem 256 MB" >> /etc/squid/squid.conf
981
	echo "cache_mem 256 MB" >> /etc/squid/squid.conf
983
	echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
982
	echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
984
	echo "maximum_object_size     4096 KB" >> /etc/squid/squid.conf
983
	echo "maximum_object_size     4096 KB" >> /etc/squid/squid.conf
985
# pour éviter les message d'erreur lors des changement d'état des interfaces réseaux
984
# pour éviter les message d'erreur lors des changement d'état des interfaces réseaux
986
	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
985
	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
987
# Initialisation du cache de Squid
986
# Initialisation du cache de Squid
988
	/usr/sbin/squid -z
987
	/usr/sbin/squid -z
989
}  # End of param_squid ()
988
}  # End of param_squid ()
990
	
989
	
991
##################################################################
990
##################################################################
992
##		Fonction param_dansguardian			##
991
##		Fonction param_dansguardian			##
993
## - Paramètrage du gestionnaire de contenu Dansguardian	##
992
## - Paramètrage du gestionnaire de contenu Dansguardian	##
994
##################################################################
993
##################################################################
995
param_dansguardian ()
994
param_dansguardian ()
996
{
995
{
997
	mkdir /var/dansguardian
996
	mkdir /var/dansguardian
998
	chown dansguardian /var/dansguardian
997
	chown dansguardian /var/dansguardian
999
	[ -e $DIR_DG/dansguardian.conf.default ] || cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
998
	[ -e $DIR_DG/dansguardian.conf.default ] || cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
1000
# Le filtrage est désactivé par défaut 
999
# Le filtrage est désactivé par défaut 
1001
	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1000
	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1002
# la page d'interception est en français
1001
# la page d'interception est en français
1003
	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1002
	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1004
# on limite l'écoute de Dansguardian côté LAN
1003
# on limite l'écoute de Dansguardian côté LAN
1005
	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
1004
	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
1006
# on chaîne Dansguardian au proxy antivirus HAVP
1005
# on chaîne Dansguardian au proxy antivirus HAVP
1007
	$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
1006
	$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
1008
# on remplace la page d'interception (template)
1007
# on remplace la page d'interception (template)
1009
	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
1008
	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
1010
	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
1009
	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
1011
# on ne loggue que les deny (pour le reste, on a squid)
1010
# on ne loggue que les deny (pour le reste, on a squid)
1012
	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
1011
	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
1013
# lauch of 10 daemons (20 in largest server)
1012
# lauch of 10 daemons (20 in largest server)
1014
	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1013
	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1015
# on désactive par défaut le controle de contenu des pages html
1014
# on désactive par défaut le controle de contenu des pages html
1016
	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
1015
	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
1017
	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
1016
	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
1018
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1017
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1019
# on désactive par défaut le contrôle d'URL par expressions régulières
1018
# on désactive par défaut le contrôle d'URL par expressions régulières
1020
	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
1019
	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
1021
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1020
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1022
# on désactive par défaut le contrôle de téléchargement de fichiers
1021
# on désactive par défaut le contrôle de téléchargement de fichiers
1023
	[ -e $DIR_DG/dansguardianf1.conf.default ] || cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
1022
	[ -e $DIR_DG/dansguardianf1.conf.default ] || cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
1024
	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
1023
	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
1025
	[ -e $DIR_DG/lists/bannedextensionlist.default ] || mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
1024
	[ -e $DIR_DG/lists/bannedextensionlist.default ] || mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
1026
	[ -e $DIR_DG/lists/bannedmimetypelist.default ] || mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
1025
	[ -e $DIR_DG/lists/bannedmimetypelist.default ] || mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
1027
	touch $DIR_DG/lists/bannedextensionlist
1026
	touch $DIR_DG/lists/bannedextensionlist
1028
	touch $DIR_DG/lists/bannedmimetypelist
1027
	touch $DIR_DG/lists/bannedmimetypelist
1029
# 'Safesearch' regex actualisation
1028
# 'Safesearch' regex actualisation
1030
	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
1029
	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
1031
# empty LAN IP list that won't be WEB filtered
1030
# empty LAN IP list that won't be WEB filtered
1032
	[ -e $DIR_DG/lists/exceptioniplist.default ] || mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
1031
	[ -e $DIR_DG/lists/exceptioniplist.default ] || mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
1033
	touch $DIR_DG/lists/exceptioniplist
1032
	touch $DIR_DG/lists/exceptioniplist
1034
# Keep a copy of URL & domain filter configuration files
1033
# Keep a copy of URL & domain filter configuration files
1035
	[ -e $DIR_DG/lists/bannedsitelist.default ] || mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
1034
	[ -e $DIR_DG/lists/bannedsitelist.default ] || mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
1036
	[ -e $DIR_DG/lists/bannedurllist.default ] || mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1035
	[ -e $DIR_DG/lists/bannedurllist.default ] || mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1037
} # End of param_dansguardian ()
1036
} # End of param_dansguardian ()
1038
 
1037
 
1039
##################################################################
1038
##################################################################
1040
##			Fonction antivirus			##
1039
##			Fonction antivirus			##
1041
## - configuration havp + libclamav				##
1040
## - configuration havp + libclamav				##
1042
##################################################################
1041
##################################################################
1043
antivirus ()		
1042
antivirus ()		
1044
{
1043
{
1045
# création de l'usager 'havp'
1044
# création de l'usager 'havp'
1046
	havp_exist=`grep havp /etc/passwd|wc -l`
1045
	havp_exist=`grep havp /etc/passwd|wc -l`
1047
	if [ "$havp_exist" == "1" ]
1046
	if [ "$havp_exist" == "1" ]
1048
	then
1047
	then
1049
	      userdel -r havp 2>/dev/null
1048
	      userdel -r havp 2>/dev/null
1050
	fi
1049
	fi
1051
	groupadd -f havp
1050
	groupadd -f havp
1052
	useradd -r -g havp -s /bin/false -c "system user for havp" havp
1051
	useradd -r -g havp -s /bin/false -c "system user for havp" havp
1053
	mkdir -p /var/tmp/havp /var/log/havp
1052
	mkdir -p /var/tmp/havp /var/log/havp
1054
	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
1053
	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
1055
	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
1054
	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
1056
# configuration d'HAVP
1055
# configuration d'HAVP
1057
	[ -e /etc/havp/havp.config.default ] || cp /etc/havp/havp.config /etc/havp/havp.config.default
1056
	[ -e /etc/havp/havp.config.default ] || cp /etc/havp/havp.config /etc/havp/havp.config.default
1058
	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
1057
	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
1059
	$SED "s?^# PARENTPROXY.*?PARENTPROXY 127.0.0.1?g" /etc/havp/havp.config		# datas come from DG
1058
	$SED "s?^# PARENTPROXY.*?PARENTPROXY 127.0.0.1?g" /etc/havp/havp.config		# datas come from DG
1060
	$SED "s?^# PARENTPORT.*?PARENTPORT 3128?g" /etc/havp/havp.config		# datas are send to squid (3128)
1059
	$SED "s?^# PARENTPORT.*?PARENTPORT 3128?g" /etc/havp/havp.config		# datas are send to squid (3128)
1061
	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config				# datas come on 8090			
1060
	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config				# datas come on 8090			
1062
	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config	# we listen only on loopback
1061
	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config	# we listen only on loopback
1063
	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config		# active libclamav AV
1062
	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config		# active libclamav AV
1064
	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config			# log only when malware matches
1063
	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config			# log only when malware matches
1065
	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config		# 10 daemons are started simultaneously
1064
	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config		# 10 daemons are started simultaneously
1066
# remplacement du fichier d'initialisation
1065
# remplacement du fichier d'initialisation
1067
	[ -e /etc/init.d/havp.default ] || cp /etc/init.d/havp /etc/init.d/havp.default
1066
	[ -e /etc/init.d/havp.default ] || cp /etc/init.d/havp /etc/init.d/havp.default
1068
	cp -f $DIR_CONF/havp-init /etc/init.d/havp
1067
	cp -f $DIR_CONF/havp-init /etc/init.d/havp
1069
# on remplace la page d'interception (template)
1068
# on remplace la page d'interception (template)
1070
	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
1069
	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
1071
	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
1070
	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
1072
# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
1071
# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
1073
	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
1072
	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
1074
	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
1073
	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
1075
# Virus database update
1074
# Virus database update
1076
	rm -f /var/lib/clamav/*.cld # in case of old database scheme
1075
	rm -f /var/lib/clamav/*.cld # in case of old database scheme
1077
	[ -e /var/lib/clamav/main.cvd ] || /usr/bin/freshclam
1076
	[ -e /var/lib/clamav/main.cvd ] || /usr/bin/freshclam
1078
}
1077
}
1079
 
1078
 
1080
##################################################################################
1079
##################################################################################
1081
##			param_ulogd function					##
1080
##			param_ulogd function					##
1082
## - Ulog config for multi-log files 						##
1081
## - Ulog config for multi-log files 						##
1083
##################################################################################
1082
##################################################################################
1084
param_ulogd ()
1083
param_ulogd ()
1085
{
1084
{
1086
# Three instances of ulogd (three different logfiles)
1085
# Three instances of ulogd (three different logfiles)
1087
	[ -d /var/log/firewall ] || mkdir -p /var/log/firewall
1086
	[ -d /var/log/firewall ] || mkdir -p /var/log/firewall
1088
	nl=1
1087
	nl=1
1089
	for log_type in tracability ssh ext-access
1088
	for log_type in tracability ssh ext-access
1090
	do
1089
	do
1091
		[ -e /var/log/firewall/$log_type.log ] || touch /var/log/firewall/$log_type.log
1090
		[ -e /var/log/firewall/$log_type.log ] || touch /var/log/firewall/$log_type.log
1092
		cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
1091
		cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
1093
		$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf 
1092
		$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf 
1094
		$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
1093
		$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
1095
		cat << EOF >> /etc/ulogd-$log_type.conf
1094
		cat << EOF >> /etc/ulogd-$log_type.conf
1096
[LOGEMU]
1095
[LOGEMU]
1097
file="/var/log/firewall/$log_type.log"
1096
file="/var/log/firewall/$log_type.log"
1098
sync=1
1097
sync=1
1099
EOF
1098
EOF
1100
		nl=`expr $nl + 1`
1099
		nl=`expr $nl + 1`
1101
	done
1100
	done
1102
	chown -R root:apache /var/log/firewall
1101
	chown -R root:apache /var/log/firewall
1103
	chmod 750 /var/log/firewall
1102
	chmod 750 /var/log/firewall
1104
	chmod 640 /var/log/firewall/*
1103
	chmod 640 /var/log/firewall/*
1105
	[ -e /etc/init.d/ulogd.default ] || cp /etc/init.d/ulogd /etc/init.d/ulogd.default
1104
	[ -e /etc/init.d/ulogd.default ] || cp /etc/init.d/ulogd /etc/init.d/ulogd.default
1106
	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
1105
	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
1107
}  # End of param_ulogd ()
1106
}  # End of param_ulogd ()
1108
 
1107
 
1109
##################################################################################
1108
##################################################################################
1110
##				Fonction param_awstats				##
1109
##				Fonction param_awstats				##
1111
## - configuration de l'interface des logs de consultation WEB (AWSTAT)		##
1110
## - configuration de l'interface des logs de consultation WEB (AWSTAT)		##
1112
##################################################################################
1111
##################################################################################
1113
param_awstats()
1112
param_awstats()
1114
{
1113
{
1115
	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
1114
	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
1116
	chown -R apache:apache $DIR_ACC/awstats
1115
	chown -R apache:apache $DIR_ACC/awstats
1117
	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
1116
	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
1118
	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
1117
	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
1119
	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
1118
	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
1120
	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
1119
	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
1121
	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
1120
	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
1122
	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
1121
	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
1123
	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
1122
	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
1124
	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1123
	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1125
	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
1124
	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
1126
	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
1125
	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
1127
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1126
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1128
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1127
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1129
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1128
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1130
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1129
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1131
	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
1130
	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
1132
	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
1131
	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
1133
	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
1132
	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
1134
	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
1133
	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
1135
	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
1134
	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
1136
	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
1135
	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
1137
	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
1136
	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
1138
	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
1137
	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
1139
	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
1138
	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
1140
	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
1139
	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
1141
	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
1140
	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
1142
	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
1141
	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
1143
 
1142
 
1144
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
1143
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
1145
<Directory $DIR_ACC/awstats>
1144
<Directory $DIR_ACC/awstats>
1146
	SSLRequireSSL
1145
	SSLRequireSSL
1147
	Options ExecCGI
1146
	Options ExecCGI
1148
	AddHandler cgi-script .pl
1147
	AddHandler cgi-script .pl
1149
	DirectoryIndex awstats.pl
1148
	DirectoryIndex awstats.pl
1150
	Order deny,allow
1149
	Order deny,allow
1151
	Deny from all
1150
	Deny from all
1152
	Allow from 127.0.0.1
1151
	Allow from 127.0.0.1
1153
	Allow from $PRIVATE_NETWORK_MASK
1152
	Allow from $PRIVATE_NETWORK_MASK
1154
	require valid-user
1153
	require valid-user
1155
	AuthType digest
1154
	AuthType digest
1156
	AuthName $HOSTNAME
1155
	AuthName $HOSTNAME
1157
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
1156
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
1158
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
1157
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
1159
	ErrorDocument 404 https://$HOSTNAME/
1158
	ErrorDocument 404 https://$HOSTNAME/
1160
</Directory>
1159
</Directory>
1161
SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
1160
SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
1162
EOF
1161
EOF
1163
} # End of param_awstats ()
1162
} # End of param_awstats ()
1164
 
1163
 
1165
##########################################################
1164
##########################################################
1166
##		Fonction param_dnsmasq			##
1165
##		Fonction param_dnsmasq			##
1167
##########################################################
1166
##########################################################
1168
param_dnsmasq ()
1167
param_dnsmasq ()
1169
{
1168
{
1170
	[ -d /var/log/dnsmasq ] || mkdir /var/log/dnsmasq
1169
	[ -d /var/log/dnsmasq ] || mkdir /var/log/dnsmasq
1171
	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
1170
	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
1172
	[ -e /etc/dnsmasq.conf.default ] || cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
1171
	[ -e /etc/dnsmasq.conf.default ] || cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
1173
# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
1172
# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
1174
	cat << EOF > /etc/dnsmasq.conf 
1173
	cat << EOF > /etc/dnsmasq.conf 
1175
# Configuration file for "dnsmasq in forward mode"
1174
# Configuration file for "dnsmasq in forward mode"
1176
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
1175
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
1177
listen-address=$PRIVATE_IP
1176
listen-address=$PRIVATE_IP
1178
listen-address=127.0.0.1
1177
listen-address=127.0.0.1
1179
no-dhcp-interface=$INTIF
1178
no-dhcp-interface=$INTIF
1180
bind-interfaces
1179
bind-interfaces
1181
cache-size=256
1180
cache-size=256
1182
domain=$DOMAIN
1181
domain=$DOMAIN
1183
domain-needed
1182
domain-needed
1184
expand-hosts
1183
expand-hosts
1185
bogus-priv
1184
bogus-priv
1186
filterwin2k
1185
filterwin2k
1187
server=$DNS1
1186
server=$DNS1
1188
server=$DNS2
1187
server=$DNS2
1189
# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
1188
# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
1190
dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_NETMASK,12h
1189
dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_NETMASK,12h
1191
dhcp-option=option:router,$PRIVATE_IP
1190
dhcp-option=option:router,$PRIVATE_IP
1192
#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
1191
#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
1193
 
1192
 
1194
# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
1193
# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
1195
#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
1194
#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
1196
EOF
1195
EOF
1197
# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
1196
# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
1198
	cat << EOF > /etc/dnsmasq-blackhole.conf 
1197
	cat << EOF > /etc/dnsmasq-blackhole.conf 
1199
	# Configuration file for "dnsmasq with blackhole"
1198
	# Configuration file for "dnsmasq with blackhole"
1200
# Inclusion de la blacklist <domains> de Toulouse dans la configuration
1199
# Inclusion de la blacklist <domains> de Toulouse dans la configuration
1201
conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
1200
conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
1202
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
1201
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
1203
listen-address=$PRIVATE_IP
1202
listen-address=$PRIVATE_IP
1204
port=54
1203
port=54
1205
no-dhcp-interface=$INTIF
1204
no-dhcp-interface=$INTIF
1206
bind-interfaces
1205
bind-interfaces
1207
cache-size=256
1206
cache-size=256
1208
domain=$DOMAIN
1207
domain=$DOMAIN
1209
domain-needed
1208
domain-needed
1210
expand-hosts
1209
expand-hosts
1211
bogus-priv
1210
bogus-priv
1212
filterwin2k
1211
filterwin2k
1213
server=$DNS1
1212
server=$DNS1
1214
server=$DNS2
1213
server=$DNS2
1215
EOF
1214
EOF
1216
 
1215
 
1217
# Init file modification
1216
# Init file modification
1218
[ -e /etc/init.d/dnsmasq.default ] || cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
1217
[ -e /etc/init.d/dnsmasq.default ] || cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
1219
# Start and stop a 2nd process for the "DNS blackhole"
1218
# Start and stop a 2nd process for the "DNS blackhole"
1220
$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
1219
$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
1221
$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
1220
$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
1222
# Start after chilli (65) which create tun0
1221
# Start after chilli (65) which create tun0
1223
$SED "s?^# chkconfig:.*?# chkconfig: 2345 99 40?g" /etc/init.d/dnsmasq
1222
$SED "s?^# chkconfig:.*?# chkconfig: 2345 99 40?g" /etc/init.d/dnsmasq
1224
# Optionnellement on active les logs DNS des clients
1223
# Optionnellement on active les logs DNS des clients
1225
[ -e /etc/sysconfig/dnsmasq.default ] || cp /etc/sysconfig/dnsmasq /etc/sysconfig/dnsmasq.default
1224
[ -e /etc/sysconfig/dnsmasq.default ] || cp /etc/sysconfig/dnsmasq /etc/sysconfig/dnsmasq.default
1226
$SED "s?^OPTIONS=.*?#OPTIONS=\"-q --log-facility=/var/log/dnsmasq/queries.log\"?g"  /etc/sysconfig/dnsmasq
1225
$SED "s?^OPTIONS=.*?#OPTIONS=\"-q --log-facility=/var/log/dnsmasq/queries.log\"?g"  /etc/sysconfig/dnsmasq
1227
} # End dnsmasq
1226
} # End dnsmasq
1228
 
1227
 
1229
##########################################################
1228
##########################################################
1230
##		Fonction BL (BlackList)			##
1229
##		Fonction BL (BlackList)			##
1231
##########################################################
1230
##########################################################
1232
BL ()
1231
BL ()
1233
{
1232
{
1234
# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
1233
# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
1235
	rm -rf $DIR_DG/lists/blacklists
1234
	rm -rf $DIR_DG/lists/blacklists
1236
	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
1235
	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
1237
	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
1236
	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
1238
	chown apache:apache $DIR_ACC/VERSION-BL
1237
	chown apache:apache $DIR_ACC/VERSION-BL
1239
# on crée le répertoire de la BL secondaire et le répertoire "pureip" (catégorie virtuelle)
1238
# on crée le répertoire de la BL secondaire et le répertoire "pureip" (catégorie virtuelle)
1240
	mkdir $DIR_DG/lists/blacklists/ossi $DIR_DG/lists/blacklists/ip
1239
	mkdir $DIR_DG/lists/blacklists/ossi $DIR_DG/lists/blacklists/ip
1241
	touch $DIR_DG/lists/blacklists/ossi/domains $DIR_DG/lists/blacklists/ip/domains
1240
	touch $DIR_DG/lists/blacklists/ossi/domains $DIR_DG/lists/blacklists/ip/domains
1242
	touch $DIR_DG/lists/blacklists/ossi/urls $DIR_DG/lists/blacklists/ip/urls
1241
	touch $DIR_DG/lists/blacklists/ossi/urls $DIR_DG/lists/blacklists/ip/urls
1243
# On crée les fichiers vides de sites ou d'URL réhabilités
1242
# On crée les fichiers vides de sites ou d'URL réhabilités
1244
	[ -e $DIR_DG/lists/exceptionsitelist.default ] || mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
1243
	[ -e $DIR_DG/lists/exceptionsitelist.default ] || mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
1245
	[ -e $DIR_DG/lists/exceptionurllist.default ] || mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
1244
	[ -e $DIR_DG/lists/exceptionurllist.default ] || mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
1246
	touch $DIR_DG/lists/exceptionsitelist
1245
	touch $DIR_DG/lists/exceptionsitelist
1247
	touch $DIR_DG/lists/exceptionurllist
1246
	touch $DIR_DG/lists/exceptionurllist
1248
# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
1247
# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
1249
	cat <<EOF > $DIR_DG/lists/bannedurllist
1248
	cat <<EOF > $DIR_DG/lists/bannedurllist
1250
# Dansguardian filter config for ALCASAR
1249
# Dansguardian filter config for ALCASAR
1251
EOF
1250
EOF
1252
	cat <<EOF > $DIR_DG/lists/bannedsitelist
1251
	cat <<EOF > $DIR_DG/lists/bannedsitelist
1253
# Dansguardian domain filter config for ALCASAR
1252
# Dansguardian domain filter config for ALCASAR
1254
# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
1253
# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
1255
#**
1254
#**
1256
# block all SSL and CONNECT tunnels
1255
# block all SSL and CONNECT tunnels
1257
**s
1256
**s
1258
# block all SSL and CONNECT tunnels specified only as an IP
1257
# block all SSL and CONNECT tunnels specified only as an IP
1259
*ips
1258
*ips
1260
# block all sites specified only by an IP
1259
# block all sites specified only by an IP
1261
*ip
1260
*ip
1262
EOF
1261
EOF
1263
	chown -R dansguardian:apache $DIR_DG
1262
	chown -R dansguardian:apache $DIR_DG
1264
	chmod -R g+rw $DIR_DG
1263
	chmod -R g+rw $DIR_DG
1265
# On crée la structure du DNS-blackhole :
1264
# On crée la structure du DNS-blackhole :
1266
  	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1265
  	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1267
	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1266
	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1268
	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1267
	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1269
# On fait pointer le black-hole sur une page interne
1268
# On fait pointer le black-hole sur une page interne
1270
	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
1269
	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
1271
# On adapte la BL de Toulouse à notre structure
1270
# On adapte la BL de Toulouse à notre structure
1272
	if [ "$mode" != "update" ]; then
1271
	if [ "$mode" != "update" ]; then
1273
		$DIR_DEST_SBIN/alcasar-bl.sh --adapt
1272
		$DIR_DEST_SBIN/alcasar-bl.sh --adapt
1274
	fi
1273
	fi
1275
}
1274
}
1276
 
1275
 
1277
##########################################################
1276
##########################################################
1278
##		Fonction cron				##
1277
##		Fonction cron				##
1279
## - Mise en place des différents fichiers de cron	##
1278
## - Mise en place des différents fichiers de cron	##
1280
##########################################################
1279
##########################################################
1281
cron ()
1280
cron ()
1282
{
1281
{
1283
# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
1282
# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
1284
	[ -e /etc/crontab.default ] || cp /etc/crontab /etc/crontab.default
1283
	[ -e /etc/crontab.default ] || cp /etc/crontab /etc/crontab.default
1285
	cat <<EOF > /etc/crontab
1284
	cat <<EOF > /etc/crontab
1286
SHELL=/bin/bash
1285
SHELL=/bin/bash
1287
PATH=/sbin:/bin:/usr/sbin:/usr/bin
1286
PATH=/sbin:/bin:/usr/sbin:/usr/bin
1288
MAILTO=root
1287
MAILTO=root
1289
HOME=/
1288
HOME=/
1290
 
1289
 
1291
# run-parts
1290
# run-parts
1292
01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
1291
01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
1293
02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
1292
02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
1294
22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
1293
22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
1295
42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
1294
42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
1296
EOF
1295
EOF
1297
	[ -e /etc/anacrontab.default ] || cp /etc/anacrontab /etc/anacrontab.default
1296
	[ -e /etc/anacrontab.default ] || cp /etc/anacrontab /etc/anacrontab.default
1298
	cat <<EOF >> /etc/anacrontab
1297
	cat <<EOF >> /etc/anacrontab
1299
7       8       cron.MysqlDump          nice /etc/cron.d/alcasar-mysql
1298
7       8       cron.MysqlDump          nice /etc/cron.d/alcasar-mysql
1300
7       10      cron.logExport          nice /etc/cron.d/alcasar-export_log
1299
7       10      cron.logExport          nice /etc/cron.d/alcasar-export_log
1301
7       15      cron.logClean           nice /etc/cron.d/alcasar-clean_log
1300
7       15      cron.logClean           nice /etc/cron.d/alcasar-clean_log
1302
7	20	cron.importClean	nice /etc/cron.d/alcasar-clean_import
1301
7	20	cron.importClean	nice /etc/cron.d/alcasar-clean_import
1303
EOF
1302
EOF
1304
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1303
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1305
	cat <<EOF > /etc/cron.d/alcasar-clean_log
1304
	cat <<EOF > /etc/cron.d/alcasar-clean_log
1306
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1305
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1307
30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
1306
30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
1308
EOF
1307
EOF
1309
# export de la base des usagers (tous les lundi à 4h45)
1308
# export de la base des usagers (tous les lundi à 4h45)
1310
	cat <<EOF > /etc/cron.d/alcasar-mysql
1309
	cat <<EOF > /etc/cron.d/alcasar-mysql
1311
# export des log squid, firewall et apache (tous les lundi à 5h00)
1310
# export des log squid, firewall et apache (tous les lundi à 5h00)
1312
45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
1311
45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
1313
EOF
1312
EOF
1314
# export des log squid, firewall et apache (tous les lundi à 5h00)
1313
# export des log squid, firewall et apache (tous les lundi à 5h00)
1315
	cat <<EOF > /etc/cron.d/alcasar-export_log
1314
	cat <<EOF > /etc/cron.d/alcasar-export_log
1316
# export des log squid, firewall et apache (tous les lundi à 5h00)
1315
# export des log squid, firewall et apache (tous les lundi à 5h00)
1317
00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
1316
00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
1318
EOF
1317
EOF
1319
# mise à jour des stats de consultation WEB toutes les 30'  ## existe en double pour le daily sans l'@IP
1318
# mise à jour des stats de consultation WEB toutes les 30'  ## existe en double pour le daily sans l'@IP
1320
# sans mèl ( > /dev/null 2>&1)
1319
# sans mèl ( > /dev/null 2>&1)
1321
	cat << EOF > /etc/cron.d/awstats
1320
	cat << EOF > /etc/cron.d/awstats
1322
# mise à jour des stats de consultation WEB toutes les 30'
1321
# mise à jour des stats de consultation WEB toutes les 30'
1323
*/30 * * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1322
*/30 * * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1324
EOF
1323
EOF
1325
# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
1324
# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
1326
	cat << EOF > /etc/cron.d/alcasar-clean_import
1325
	cat << EOF > /etc/cron.d/alcasar-clean_import
1327
# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
1326
# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
1328
30 * * * *  root $DIR_DEST_BIN/alcasar-import-clean.sh
1327
30 * * * *  root $DIR_DEST_BIN/alcasar-import-clean.sh
1329
EOF
1328
EOF
1330
# mise à jour automatique de la distribution
1329
# mise à jour automatique de la distribution
1331
	cat << EOF > /etc/cron.d/alcasar-distrib-updates
1330
	cat << EOF > /etc/cron.d/alcasar-distrib-updates
1332
# mise à jour automatique de la distribution tous les jours 3h30
1331
# mise à jour automatique de la distribution tous les jours 3h30
1333
30 3 * * *  root /usr/sbin/urpmi --auto-update --auto 2>&1
1332
30 3 * * *  root /usr/sbin/urpmi --auto-update --auto 2>&1
1334
EOF
1333
EOF
1335
# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
1334
# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
1336
# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
1335
# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
1337
# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct') 
1336
# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct') 
1338
# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
1337
# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
1339
# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
1338
# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
1340
# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
1339
# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
1341
	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
1340
	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
1342
	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
1341
	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
1343
	rm -f /etc/cron.daily/freeradius-web
1342
	rm -f /etc/cron.daily/freeradius-web
1344
	rm -f /etc/cron.monthly/freeradius-web
1343
	rm -f /etc/cron.monthly/freeradius-web
1345
	cat << EOF > /etc/cron.d/freeradius-web
1344
	cat << EOF > /etc/cron.d/freeradius-web
1346
1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
1345
1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
1347
5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
1346
5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
1348
10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
1347
10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
1349
15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
1348
15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
1350
EOF
1349
EOF
1351
# activation du "chien de garde" (watchdog) toutes les 3'
1350
# activation du "chien de garde" (watchdog) toutes les 3'
1352
	cat << EOF > /etc/cron.d/alcasar-watchdog
1351
	cat << EOF > /etc/cron.d/alcasar-watchdog
1353
# activation du "chien de garde" (watchdog) toutes les 3'
1352
# activation du "chien de garde" (watchdog) toutes les 3'
1354
*/3 * * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
1353
*/3 * * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
1355
EOF
1354
EOF
1356
# suppression des crons usagers
1355
# suppression des crons usagers
1357
	rm -f /var/spool/cron/*
1356
	rm -f /var/spool/cron/*
1358
} # End cron
1357
} # End cron
1359
 
1358
 
1360
##################################################################
1359
##################################################################
1361
##			Fonction post_install			##
1360
##			Fonction post_install			##
1362
## - Modification des bannières (locales et ssh) et des prompts ##
1361
## - Modification des bannières (locales et ssh) et des prompts ##
1363
## - Installation de la structure de chiffrement pour root	##
1362
## - Installation de la structure de chiffrement pour root	##
1364
## - Mise en place du sudoers et de la sécurité sur les fichiers##
1363
## - Mise en place du sudoers et de la sécurité sur les fichiers##
1365
## - Mise en place du la rotation des logs			##
1364
## - Mise en place du la rotation des logs			##
1366
## - Configuration dans le cas d'une mise à jour		##
1365
## - Configuration dans le cas d'une mise à jour		##
1367
##################################################################
1366
##################################################################
1368
post_install()
1367
post_install()
1369
{
1368
{
1370
# adaptation du script "chien de garde" (watchdog)
1369
# adaptation du script "chien de garde" (watchdog)
1371
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1370
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1372
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1371
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1373
	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1372
	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1374
# création de la bannière locale
1373
# création de la bannière locale
1375
	[ -e /etc/mandriva-release.default ]  || cp /etc/mandriva-release /etc/mandriva-release.default
1374
	[ -e /etc/mandriva-release.default ]  || cp /etc/mandriva-release /etc/mandriva-release.default
1376
	cp -f $DIR_CONF/banner /etc/mandriva-release
1375
	cp -f $DIR_CONF/banner /etc/mandriva-release
1377
	echo " V$VERSION" >> /etc/mandriva-release
1376
	echo " V$VERSION" >> /etc/mandriva-release
1378
# création de la bannière SSH
1377
# création de la bannière SSH
1379
	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
1378
	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
1380
	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1379
	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1381
	[ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
1380
	[ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
1382
	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1381
	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1383
	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1382
	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1384
# postfix banner anonymisation
1383
# postfix banner anonymisation
1385
	$SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf
1384
	$SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf
1386
# sshd écoute côté LAN et WAN
1385
# sshd écoute côté LAN et WAN
1387
	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
1386
	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
1388
	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config 
1387
	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config 
1389
	# Put the default value in conf file (sshd, QOS and protocols/dns/ext_LAN filtering are off)(web antivirus is on)
1388
	# Put the default value in conf file (sshd, QOS and protocols/dns/ext_LAN filtering are off)(web antivirus is on)
1390
	/sbin/chkconfig --del sshd
1389
	/sbin/chkconfig --del sshd
1391
	echo "SSH=off" >> $CONF_FILE
1390
	echo "SSH=off" >> $CONF_FILE
1392
	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
1391
	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
1393
	echo "QOS=off" >> $CONF_FILE
1392
	echo "QOS=off" >> $CONF_FILE
1394
	echo "LDAP=off" >> $CONF_FILE
1393
	echo "LDAP=off" >> $CONF_FILE
1395
	echo "LDAP_IP=0.0.0.0/0.0.0.0" >> $CONF_FILE
1394
	echo "LDAP_IP=0.0.0.0/0.0.0.0" >> $CONF_FILE
1396
	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
1395
	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
1397
	echo "EXT_LAN_FILTERING=off" >> $CONF_FILE
1396
	echo "EXT_LAN_FILTERING=off" >> $CONF_FILE
1398
	echo "DNS_FILTERING=off" >> $CONF_FILE
1397
	echo "DNS_FILTERING=off" >> $CONF_FILE
1399
	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
1398
	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
1400
# Coloration des prompts
1399
# Coloration des prompts
1401
	[ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default
1400
	[ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default
1402
	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
1401
	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
1403
	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1402
	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1404
# Droits d'exécution pour utilisateur apache et sysadmin
1403
# Droits d'exécution pour utilisateur apache et sysadmin
1405
	[ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default
1404
	[ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default
1406
	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
1405
	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
1407
	$SED "s?^Host_Alias.*?Host_Alias	LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost		#réseau de l'organisme?g" /etc/sudoers
1406
	$SED "s?^Host_Alias.*?Host_Alias	LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost		#réseau de l'organisme?g" /etc/sudoers
1408
# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1407
# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1409
	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
1408
	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
1410
	chmod 644 /etc/logrotate.d/*
1409
	chmod 644 /etc/logrotate.d/*
1411
# rectification sur versions précédentes de la compression des logs
1410
# rectification sur versions précédentes de la compression des logs
1412
	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
1411
	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
1413
# actualisation des fichiers logs compressés
1412
# actualisation des fichiers logs compressés
1414
	for dir in firewall squid dansguardian httpd
1413
	for dir in firewall squid dansguardian httpd
1415
	do
1414
	do
1416
	      find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
1415
	      find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
1417
	done
1416
	done
1418
# export des logs en 'retard' dans /var/Save/logs
1417
# export des logs en 'retard' dans /var/Save/logs
1419
	/usr/local/bin/alcasar-log-export.sh
1418
	/usr/local/bin/alcasar-log-export.sh
1420
# processus lancés par défaut au démarrage
1419
# processus lancés par défaut au démarrage
1421
	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd netfs mysqld dansguardian havp freshclam
1420
	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd netfs mysqld dansguardian havp freshclam
1422
	do
1421
	do
1423
		/sbin/chkconfig --add $i
1422
		/sbin/chkconfig --add $i
1424
	done
1423
	done
1425
# pour éviter les alertes de dépendance entre service.
1424
# pour éviter les alertes de dépendance entre service.
1426
	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
1425
	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
1427
	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
1426
	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
1428
	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
1427
	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
1429
	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
1428
	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
1430
# On affecte le niveau de sécurité du système : type "fileserver"
1429
# On affecte le niveau de sécurité du système : type "fileserver"
1431
	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
1430
	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
1432
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
1431
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
1433
	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
1432
	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
1434
# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
1433
# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
1435
# Apply French Security Agency rules (sysctl + msec when possible)
1434
# Apply French Security Agency rules (sysctl + msec when possible)
1436
# ignorer les broadcast ICMP. (attaque smurf) 
1435
# ignorer les broadcast ICMP. (attaque smurf) 
1437
$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
1436
$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
1438
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
1437
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
1439
# ignorer les erreurs ICMP bogus
1438
# ignorer les erreurs ICMP bogus
1440
$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
1439
$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
1441
sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
1440
sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
1442
# désactiver l'envoi et la réponse aux ICMP redirects
1441
# désactiver l'envoi et la réponse aux ICMP redirects
1443
sysctl -w net.ipv4.conf.all.accept_redirects=0
1442
sysctl -w net.ipv4.conf.all.accept_redirects=0
1444
accept_redirect=`grep accept_redirect /etc/sysctl.conf|wc -l`
1443
accept_redirect=`grep accept_redirect /etc/sysctl.conf|wc -l`
1445
	if [ "$accept_redirect" == "0" ]
1444
	if [ "$accept_redirect" == "0" ]
1446
	then
1445
	then
1447
		echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
1446
		echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
1448
	else
1447
	else
1449
		$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
1448
		$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
1450
	fi
1449
	fi
1451
sysctl -w net.ipv4.conf.all.send_redirects=0
1450
sysctl -w net.ipv4.conf.all.send_redirects=0
1452
send_redirect=`grep send_redirect /etc/sysctl.conf|wc -l`
1451
send_redirect=`grep send_redirect /etc/sysctl.conf|wc -l`
1453
	if [ "$send_redirect" == "0" ]
1452
	if [ "$send_redirect" == "0" ]
1454
	then
1453
	then
1455
		echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
1454
		echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
1456
	else
1455
	else
1457
		$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
1456
		$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
1458
	fi
1457
	fi
1459
# activer les SYN Cookies (attaque syn flood)
1458
# activer les SYN Cookies (attaque syn flood)
1460
sysctl -w net.ipv4.tcp_syncookies=1
1459
sysctl -w net.ipv4.tcp_syncookies=1
1461
tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf|wc -l`
1460
tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf|wc -l`
1462
	if [ "$tcp_syncookies" == "0" ]
1461
	if [ "$tcp_syncookies" == "0" ]
1463
	then
1462
	then
1464
		echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
1463
		echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
1465
	else
1464
	else
1466
		$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
1465
		$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
1467
	fi
1466
	fi
1468
# activer l'antispoofing niveau Noyau
1467
# activer l'antispoofing niveau Noyau
1469
$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
1468
$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
1470
sysctl -w net.ipv4.conf.all.rp_filter=1
1469
sysctl -w net.ipv4.conf.all.rp_filter=1
1471
# ignorer le source routing
1470
# ignorer le source routing
1472
sysctl -w net.ipv4.conf.all.accept_source_route=0
1471
sysctl -w net.ipv4.conf.all.accept_source_route=0
1473
accept_source_route=`grep accept_source_route /etc/sysctl.conf|wc -l`
1472
accept_source_route=`grep accept_source_route /etc/sysctl.conf|wc -l`
1474
	if [ "$accept_source_route" == "0" ]
1473
	if [ "$accept_source_route" == "0" ]
1475
	then
1474
	then
1476
		echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
1475
		echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
1477
	else
1476
	else
1478
		$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
1477
		$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
1479
	fi
1478
	fi
1480
# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
1479
# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
1481
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
1480
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
1482
timeout_established=`grep timeout_established /etc/sysctl.conf|wc -l`
1481
timeout_established=`grep timeout_established /etc/sysctl.conf|wc -l`
1483
	if [ "$timeout_established" == "0" ]
1482
	if [ "$timeout_established" == "0" ]
1484
	then
1483
	then
1485
		echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
1484
		echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
1486
	else
1485
	else
1487
		$SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf
1486
		$SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf
1488
	fi
1487
	fi
1489
# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée) 
1488
# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée) 
1490
sysctl -w net.ipv4.conf.all.log_martians=0
1489
sysctl -w net.ipv4.conf.all.log_martians=0
1491
$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
1490
$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
1492
 
1491
 
1493
 
1492
 
1494
# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
1493
# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
1495
	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1494
	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1496
# On mets en place la sécurité sur les fichiers
1495
# On mets en place la sécurité sur les fichiers
1497
# des modif par rapport à radius update
1496
# des modif par rapport à radius update
1498
	cat <<EOF > /etc/security/msec/perm.local
1497
	cat <<EOF > /etc/security/msec/perm.local
1499
/var/log/firewall/			root.apache	750
1498
/var/log/firewall/			root.apache	750
1500
/var/log/firewall/*			root.apache	640
1499
/var/log/firewall/*			root.apache	640
1501
/etc/security/msec/perm.local		root.root	640
1500
/etc/security/msec/perm.local		root.root	640
1502
/etc/security/msec/level.local		root.root	640
1501
/etc/security/msec/level.local		root.root	640
1503
/etc/freeradius-web			root.apache	750
1502
/etc/freeradius-web			root.apache	750
1504
/etc/freeradius-web/admin.conf		root.apache	640
1503
/etc/freeradius-web/admin.conf		root.apache	640
1505
/etc/freeradius-web/config.php		root.apache	640
1504
/etc/freeradius-web/config.php		root.apache	640
1506
/etc/raddb/dictionnary			root.radius	640
1505
/etc/raddb/dictionnary			root.radius	640
1507
/etc/raddb/ldap.attrmap			root.radius	640
1506
/etc/raddb/ldap.attrmap			root.radius	640
1508
/etc/raddb/hints			root.radius	640
1507
/etc/raddb/hints			root.radius	640
1509
/etc/raddb/huntgroups			root.radius	640
1508
/etc/raddb/huntgroups			root.radius	640
1510
/etc/raddb/attrs.access_reject		root.radius	640
1509
/etc/raddb/attrs.access_reject		root.radius	640
1511
/etc/raddb/attrs.accounting_response	root.radius	640
1510
/etc/raddb/attrs.accounting_response	root.radius	640
1512
/etc/raddb/acct_users			root.radius	640
1511
/etc/raddb/acct_users			root.radius	640
1513
/etc/raddb/preproxy_users		root.radius	640
1512
/etc/raddb/preproxy_users		root.radius	640
1514
/etc/raddb/modules/ldap			radius.apache	660
1513
/etc/raddb/modules/ldap			radius.apache	660
1515
/etc/raddb/sites-available/alcasar	radius.apache	660
1514
/etc/raddb/sites-available/alcasar	radius.apache	660
1516
/etc/pki/*				root.apache	750
1515
/etc/pki/*				root.apache	750
1517
EOF
1516
EOF
1518
	/usr/sbin/msec
1517
	/usr/sbin/msec
1519
# modification /etc/inittab
1518
# modification /etc/inittab
1520
	[ -e /etc/inittab.default ] || cp /etc/inittab /etc/inittab.default
1519
	[ -e /etc/inittab.default ] || cp /etc/inittab /etc/inittab.default
1521
# On ne garde que 3 terminaux
1520
# On ne garde que 3 terminaux
1522
	$SED "s?^4.*?#&?g" /etc/inittab
1521
	$SED "s?^4.*?#&?g" /etc/inittab
1523
	$SED "s?^5.*?#&?g" /etc/inittab
1522
	$SED "s?^5.*?#&?g" /etc/inittab
1524
	$SED "s?^6.*?#&?g" /etc/inittab
1523
	$SED "s?^6.*?#&?g" /etc/inittab
1525
# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
1524
# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
1526
$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
1525
$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
1527
$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
1526
$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
1528
# On supprime les services et les utilisateurs inutiles
1527
# On supprime les services et les utilisateurs inutiles
1529
for svc in alsa sound dm atd bootlogd stop-bootlogd
1528
for svc in alsa sound dm atd bootlogd stop-bootlogd
1530
do
1529
do
1531
	/sbin/chkconfig --del $svc
1530
	/sbin/chkconfig --del $svc
1532
done
1531
done
1533
for rm_users in avahi-autoipd avahi icapd
1532
for rm_users in avahi-autoipd avahi icapd
1534
do
1533
do
1535
	user=`cat /etc/passwd|grep $rm_users|cut -d":" -f1`
1534
	user=`cat /etc/passwd|grep $rm_users|cut -d":" -f1`
1536
	if [ "$user" == "$rm_users" ]
1535
	if [ "$user" == "$rm_users" ]
1537
	then
1536
	then
1538
		/usr/sbin/userdel -f $rm_users
1537
		/usr/sbin/userdel -f $rm_users
1539
	fi
1538
	fi
1540
done
1539
done
1541
# Load and update the previous conf file
1540
# Load and update the previous conf file
1542
if [ "$mode" = "update" ]
1541
if [ "$mode" = "update" ]
1543
then
1542
then
1544
	$DIR_DEST_BIN/alcasar-conf.sh --load
1543
	$DIR_DEST_BIN/alcasar-conf.sh --load
1545
	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
1544
	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
1546
	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
1545
	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
1547
fi
1546
fi
1548
rm -f /tmp/alcasar-conf*
1547
rm -f /tmp/alcasar-conf*
1549
chown -R root:apache $DIR_DEST_ETC/*
1548
chown -R root:apache $DIR_DEST_ETC/*
1550
chmod -R 660 $DIR_DEST_ETC/*
1549
chmod -R 660 $DIR_DEST_ETC/*
1551
chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1550
chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1552
	cd $DIR_INSTALL
1551
	cd $DIR_INSTALL
1553
	echo ""
1552
	echo ""
1554
	echo "#############################################################################"
1553
	echo "#############################################################################"
1555
	if [ $Lang == "fr" ]
1554
	if [ $Lang == "fr" ]
1556
		then
1555
		then
1557
		echo "#                        Fin d'installation d'ALCASAR                       #"
1556
		echo "#                        Fin d'installation d'ALCASAR                       #"
1558
		echo "#                                                                           #"
1557
		echo "#                                                                           #"
1559
		echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1558
		echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1560
		echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1559
		echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1561
		echo "#                                                                           #"
1560
		echo "#                                                                           #"
1562
		echo "#############################################################################"
1561
		echo "#############################################################################"
1563
		echo
1562
		echo
1564
		echo "- ALCASAR sera fonctionnel après redémarrage du système"
1563
		echo "- ALCASAR sera fonctionnel après redémarrage du système"
1565
		echo
1564
		echo
1566
		echo "- Lisez attentivement la documentation d'exploitation"
1565
		echo "- Lisez attentivement la documentation d'exploitation"
1567
		echo
1566
		echo
1568
		echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
1567
		echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
1569
		echo
1568
		echo
1570
		echo "                   Appuyez sur 'Entrée' pour continuer"
1569
		echo "                   Appuyez sur 'Entrée' pour continuer"
1571
	else	
1570
	else	
1572
		echo "#                        Enf of ALCASAR install process                     #"
1571
		echo "#                        Enf of ALCASAR install process                     #"
1573
		echo "#                                                                           #"
1572
		echo "#                                                                           #"
1574
		echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1573
		echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1575
		echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1574
		echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1576
		echo "#                                                                           #"
1575
		echo "#                                                                           #"
1577
		echo "#############################################################################"
1576
		echo "#############################################################################"
1578
		echo
1577
		echo
1579
		echo "- The system will be rebooted in order to operate ALCASAR"
1578
		echo "- The system will be rebooted in order to operate ALCASAR"
1580
		echo
1579
		echo
1581
		echo "- Read the exploitation documentation"
1580
		echo "- Read the exploitation documentation"
1582
		echo
1581
		echo
1583
		echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
1582
		echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
1584
		echo
1583
		echo
1585
		echo "                   Hit 'Enter' to continue"
1584
		echo "                   Hit 'Enter' to continue"
1586
	fi
1585
	fi
1587
	read a
1586
	read a
1588
	clear
1587
	clear
1589
# Apply and save the firewall rules
1588
# Apply and save the firewall rules
1590
 	sh $DIR_DEST_BIN/alcasar-iptables.sh
1589
 	sh $DIR_DEST_BIN/alcasar-iptables.sh
1591
	sleep 2
1590
	sleep 2
1592
	reboot
1591
	reboot
1593
} # End post_install ()
1592
} # End post_install ()
1594
 
1593
 
1595
#################################
1594
#################################
1596
#  Boucle principale du script  #
1595
#  Boucle principale du script  #
1597
#################################
1596
#################################
1598
usage="Usage: alcasar.sh {-i or --install} | {-u or --uninstall}"
1597
usage="Usage: alcasar.sh {-i or --install} | {-u or --uninstall}"
1599
nb_args=$#
1598
nb_args=$#
1600
args=$1
1599
args=$1
1601
if [ $nb_args -eq 0 ]
1600
if [ $nb_args -eq 0 ]
1602
then
1601
then
1603
	nb_args=1
1602
	nb_args=1
1604
	args="-h"
1603
	args="-h"
1605
fi
1604
fi
1606
case $args in
1605
case $args in
1607
	-\? | -h* | --h*)
1606
	-\? | -h* | --h*)
1608
		echo "$usage"
1607
		echo "$usage"
1609
		exit 0
1608
		exit 0
1610
		;;
1609
		;;
1611
	-i | --install)
1610
	-i | --install)
1612
		header_install
1611
		header_install
1613
		testing
1612
		testing
1614
# Test if ALCASAR is already installed
1613
# Test if ALCASAR is already installed
1615
		if [ -e $DIR_WEB/VERSION ]
1614
		if [ -e $DIR_WEB/VERSION ]
1616
		then
1615
		then
1617
			actual_version=`cat $DIR_WEB/VERSION`
1616
			actual_version=`cat $DIR_WEB/VERSION`
1618
			if [ $Lang == "fr" ]
1617
			if [ $Lang == "fr" ]
1619
				then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
1618
				then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
1620
				else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
1619
				else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
1621
			fi
1620
			fi
1622
			response=0
1621
			response=0
1623
			PTN='^[oOnNyY]$'
1622
			PTN='^[oOnNyY]$'
1624
			until [[ $(expr $response : $PTN) -gt 0 ]]
1623
			until [[ $(expr $response : $PTN) -gt 0 ]]
1625
			do
1624
			do
1626
				if [ $Lang == "fr" ]
1625
				if [ $Lang == "fr" ]
1627
					then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
1626
					then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
1628
					else echo -n "Do you want to update (Y/n)?";
1627
					else echo -n "Do you want to update (Y/n)?";
1629
				 fi
1628
				 fi
1630
				read response
1629
				read response
1631
			done
1630
			done
1632
			if [ "$response" = "n" ] || [ "$response" = "N" ] 
1631
			if [ "$response" = "n" ] || [ "$response" = "N" ] 
1633
			then
1632
			then
1634
				rm -f /tmp/alcasar-conf*
1633
				rm -f /tmp/alcasar-conf*
1635
			else
1634
			else
1636
				RUNNING_VERSION=`cat $DIR_WEB/VERSION|cut -d" " -f1`
1635
				RUNNING_VERSION=`cat $DIR_WEB/VERSION|cut -d" " -f1`
1637
				MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f1`
1636
				MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f1`
1638
				MIN_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f2|cut -c1`
1637
				MIN_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f2|cut -c1`
1639
				UPD_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f3`
1638
				UPD_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f3`
1640
# Create a backup of running version importants files
1639
# Create a backup of running version importants files
1641
				chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
1640
				chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
1642
				$DIR_SCRIPTS/alcasar-conf.sh --create
1641
				$DIR_SCRIPTS/alcasar-conf.sh --create
1643
				mode="update"
1642
				mode="update"
1644
			fi
1643
			fi
1645
		fi
1644
		fi
1646
# RPMs install
1645
# RPMs install
1647
		$DIR_SCRIPTS/alcasar-urpmi.sh
1646
		$DIR_SCRIPTS/alcasar-urpmi.sh
1648
		if [ "$?" != "0" ]
1647
		if [ "$?" != "0" ]
1649
		then
1648
		then
1650
			exit 0
1649
			exit 0
1651
		fi
1650
		fi
1652
		if [ -e $DIR_WEB/VERSION ]
1651
		if [ -e $DIR_WEB/VERSION ]
1653
		then
1652
		then
1654
# Uninstall the running version
1653
# Uninstall the running version
1655
			$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1654
			$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1656
		fi
1655
		fi
1657
# Test if manual update	
1656
# Test if manual update	
1658
		if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
1657
		if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
1659
		then
1658
		then
1660
			header_install
1659
			header_install
1661
			if [ $Lang == "fr" ]
1660
			if [ $Lang == "fr" ]
1662
				then echo "Le fichier de configuration d'une ancienne version a été trouvé";
1661
				then echo "Le fichier de configuration d'une ancienne version a été trouvé";
1663
				else echo "The configuration file of an old version has been found";
1662
				else echo "The configuration file of an old version has been found";
1664
			fi
1663
			fi
1665
			response=0
1664
			response=0
1666
			PTN='^[oOnNyY]$'
1665
			PTN='^[oOnNyY]$'
1667
			until [[ $(expr $response : $PTN) -gt 0 ]]
1666
			until [[ $(expr $response : $PTN) -gt 0 ]]
1668
			do
1667
			do
1669
				if [ $Lang == "fr" ]
1668
				if [ $Lang == "fr" ]
1670
					then echo -n "Voulez-vous l'utiliser (O/n)? ";
1669
					then echo -n "Voulez-vous l'utiliser (O/n)? ";
1671
					else echo -n "Do you want to use it (Y/n)?";
1670
					else echo -n "Do you want to use it (Y/n)?";
1672
				 fi
1671
				 fi
1673
				read response
1672
				read response
1674
				if [ "$response" = "n" ] || [ "$response" = "N" ] 
1673
				if [ "$response" = "n" ] || [ "$response" = "N" ] 
1675
				then rm -f /tmp/alcasar-conf*
1674
				then rm -f /tmp/alcasar-conf*
1676
				fi
1675
				fi
1677
			done
1676
			done
1678
		fi
1677
		fi
1679
# Test if update
1678
# Test if update
1680
		if [ -e /tmp/alcasar-conf.tar.gz ] 
1679
		if [ -e /tmp/alcasar-conf.tar.gz ] 
1681
		then
1680
		then
1682
			if [ $Lang == "fr" ]
1681
			if [ $Lang == "fr" ]
1683
				then echo "#### Installation avec mise à jour ####";
1682
				then echo "#### Installation avec mise à jour ####";
1684
				else echo "#### Installation with update     ####";
1683
				else echo "#### Installation with update     ####";
1685
			fi
1684
			fi
1686
# Extract the central configuration file
1685
# Extract the central configuration file
1687
			tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf 
1686
			tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf 
1688
			ORGANISME=`grep ORGANISM conf/etc/alcasar.conf|cut -d"=" -f2`
1687
			ORGANISME=`grep ORGANISM conf/etc/alcasar.conf|cut -d"=" -f2`
1689
			mode="update"
1688
			mode="update"
1690
		else
1689
		else
1691
			mode="install"
1690
			mode="install"
1692
		fi
1691
		fi
1693
		for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
1692
		for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
1694
		do
1693
		do
1695
			$func
1694
			$func
1696
# echo "*** 'debug' : end of function $func ***"; read a
1695
# echo "*** 'debug' : end of function $func ***"; read a
1697
		done
1696
		done
1698
		;;
1697
		;;
1699
	-u | --uninstall)
1698
	-u | --uninstall)
1700
		if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1699
		if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1701
		then
1700
		then
1702
			if [ $Lang == "fr" ]
1701
			if [ $Lang == "fr" ]
1703
				then echo "ALCASAR n'est pas installé!";
1702
				then echo "ALCASAR n'est pas installé!";
1704
				else echo "ALCASAR isn't installed!";
1703
				else echo "ALCASAR isn't installed!";
1705
			fi
1704
			fi
1706
			exit 0
1705
			exit 0
1707
		fi
1706
		fi
1708
		response=0
1707
		response=0
1709
		PTN='^[oOnN]$'
1708
		PTN='^[oOnN]$'
1710
		until [[ $(expr $response : $PTN) -gt 0 ]]
1709
		until [[ $(expr $response : $PTN) -gt 0 ]]
1711
		do
1710
		do
1712
			if [ $Lang == "fr" ]
1711
			if [ $Lang == "fr" ]
1713
				then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
1712
				then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
1714
				else echo -n "Do you want to crate the running version configuration file (Y/n)? ";
1713
				else echo -n "Do you want to crate the running version configuration file (Y/n)? ";
1715
			fi
1714
			fi
1716
			read response
1715
			read response
1717
		done
1716
		done
1718
		if [ "$reponse" = "o" ] || [ "$reponse" = "O" ] || [ "$response" = "Y" ] || [ "$response" = "y" ]
1717
		if [ "$reponse" = "o" ] || [ "$reponse" = "O" ] || [ "$response" = "Y" ] || [ "$response" = "y" ]
1719
		then
1718
		then
1720
			$DIR_SCRIPT/alcasar-conf.sh --create
1719
			$DIR_SCRIPT/alcasar-conf.sh --create
1721
		else	
1720
		else	
1722
			rm -f /tmp/alcasar-conf*
1721
			rm -f /tmp/alcasar-conf*
1723
		fi
1722
		fi
1724
# Uninstall the running version
1723
# Uninstall the running version
1725
		$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1724
		$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1726
		;;
1725
		;;
1727
	*)
1726
	*)
1728
		echo "Argument inconnu :$1";
1727
		echo "Argument inconnu :$1";
1729
		echo "Unknown argument :$1";
1728
		echo "Unknown argument :$1";
1730
		echo "$usage"
1729
		echo "$usage"
1731
		exit 1
1730
		exit 1
1732
		;;
1731
		;;
1733
esac
1732
esac
1734
# end of script
1733
# end of script
1735
 
1734
 
1736
 
1735