Subversion Repositories ALCASAR

Rev

Rev 832 | Rev 837 | Go to most recent revision | Only display areas with differences | Ignore whitespace | Details | Blame | Last modification | View Log

Rev 832 Rev 835
1
#!/bin/bash
1
#!/bin/bash
2
#  $Id: alcasar.sh 832 2012-03-04 21:17:43Z richard $ 
2
#  $Id: alcasar.sh 835 2012-03-11 22:21:27Z richard $ 
3
 
3
 
4
# alcasar.sh
4
# alcasar.sh
5
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
5
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
6
# This script is distributed under the Gnu General Public License (GPL)
6
# This script is distributed under the Gnu General Public License (GPL)
7
 
7
 
8
# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
8
# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
9
# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
9
# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
10
# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
10
# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
11
# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
11
# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
12
#
12
#
13
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, awstat, ntpd, openssl, dnsmasq, havp, libclamav  and firewalleyes
13
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, awstat, ntpd, openssl, dnsmasq, havp, libclamav  and firewalleyes
14
 
14
 
15
# Options :
15
# Options :
16
#       -i or --install
16
#       -i or --install
17
#       -u or --uninstall
17
#       -u or --uninstall
18
 
18
 
19
# Functions :
19
# Functions :
20
#	testing		: Tests de connectivité et de téléchargement avant installation
20
#	testing		: Tests de connectivité et de téléchargement avant installation
21
#	init		: Installation des RPM et des scripts
21
#	init		: Installation des RPM et des scripts
22
#	network		: Paramètrage du réseau
22
#	network		: Paramètrage du réseau
23
#	gestion		: Installation de l'interface de gestion
23
#	gestion		: Installation de l'interface de gestion
24
#	AC		: Initialisation de l'autorité de certification. Création des certificats
24
#	AC		: Initialisation de l'autorité de certification. Création des certificats
25
#	init_db		: Création de la base 'radius' sur le serveur MySql
25
#	init_db		: Création de la base 'radius' sur le serveur MySql
26
#	param_radius	: Configuration du serveur d'authentification FreeRadius
26
#	param_radius	: Configuration du serveur d'authentification FreeRadius
27
#	param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
27
#	param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
28
#	param_chilli	: Configuration du daemon 'coova-chilli' et de la page d'authentification
28
#	param_chilli	: Configuration du daemon 'coova-chilli' et de la page d'authentification
29
#	param_squid	: Configuration du proxy squid en mode 'cache'
29
#	param_squid	: Configuration du proxy squid en mode 'cache'
30
#	param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
30
#	param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
31
#	antivirus	: Installation havp + libclamav
31
#	antivirus	: Installation havp + libclamav
32
#	param_awstats	: Configuration de l'interface des statistiques de consultation WEB
32
#	param_awstats	: Configuration de l'interface des statistiques de consultation WEB
33
#	dnsmasq		: Configuration du serveur de noms et du serveur dhcp de secours
33
#	dnsmasq		: Configuration du serveur de noms et du serveur dhcp de secours
34
#	BL		: Configuration de la BlackList
34
#	BL		: Configuration de la BlackList
35
#	cron		: Mise en place des exports de logs (+ chiffrement)
35
#	cron		: Mise en place des exports de logs (+ chiffrement)
36
#	post_install	: Finalisation environnement ( sécurité, bannières, rotation logs, ...)
36
#	post_install	: Finalisation environnement ( sécurité, bannières, rotation logs, ...)
37
 
37
 
38
DATE=`date '+%d %B %Y - %Hh%M'`
38
DATE=`date '+%d %B %Y - %Hh%M'`
39
DATE_SHORT=`date '+%d/%m/%Y'`
39
DATE_SHORT=`date '+%d/%m/%Y'`
40
Lang=`echo $LANG|cut -c 1-2`
40
Lang=`echo $LANG|cut -c 1-2`
41
# ******* Files parameters - paramètres fichiers *********
41
# ******* Files parameters - paramètres fichiers *********
42
DIR_INSTALL=`pwd`				# install directory 
42
DIR_INSTALL=`pwd`				# install directory 
43
DIR_CONF="$DIR_INSTALL/conf"			# répertoire d'installation contenant les fichiers de configuration
43
DIR_CONF="$DIR_INSTALL/conf"			# répertoire d'installation contenant les fichiers de configuration
44
DIR_SCRIPTS="$DIR_INSTALL/scripts"		# répertoire d'installation contenant les scripts
44
DIR_SCRIPTS="$DIR_INSTALL/scripts"		# répertoire d'installation contenant les scripts
45
DIR_SAVE="/var/Save"				# répertoire de sauvegarde (system_backup, user_db_backup, logs)
45
DIR_SAVE="/var/Save"				# répertoire de sauvegarde (system_backup, user_db_backup, logs)
46
DIR_WEB="/var/www/html"				# répertoire racine APACHE
46
DIR_WEB="/var/www/html"				# répertoire racine APACHE
47
DIR_DG="/etc/dansguardian"			# répertoire de config de DansGuardian
47
DIR_DG="/etc/dansguardian"			# répertoire de config de DansGuardian
48
DIR_ACC="$DIR_WEB/acc"				# répertoire du centre de gestion 'ALCASAR Control Center'
48
DIR_ACC="$DIR_WEB/acc"				# répertoire du centre de gestion 'ALCASAR Control Center'
49
DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts
49
DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts
50
DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin
50
DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin
51
DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf
51
DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf
52
CONF_FILE="$DIR_DEST_ETC/alcasar.conf"		# fichier de conf d'alcasar
52
CONF_FILE="$DIR_DEST_ETC/alcasar.conf"		# fichier de conf d'alcasar
53
PASSWD_FILE="/root/ALCASAR-passwords.txt"	# fichier texte contenant les mots de passe et secrets partagés 
53
PASSWD_FILE="/root/ALCASAR-passwords.txt"	# fichier texte contenant les mots de passe et secrets partagés 
54
# ******* DBMS parameters - paramètres SGBD ********
54
# ******* DBMS parameters - paramètres SGBD ********
55
DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius
55
DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius
56
DB_USER="radius"				# nom de l'utilisateur de la base de données
56
DB_USER="radius"				# nom de l'utilisateur de la base de données
57
# ******* Network parameters - paramètres réseau *******
57
# ******* Network parameters - paramètres réseau *******
58
HOSTNAME="alcasar"				# 
58
HOSTNAME="alcasar"				# 
59
DOMAIN="localdomain"				# domaine local
59
DOMAIN="localdomain"				# domaine local
60
EXTIF="eth0"					# ETH0 est l'interface connectée à Internet (Box FAI)
60
EXTIF="eth0"					# ETH0 est l'interface connectée à Internet (Box FAI)
61
INTIF="eth1"					# ETH1 est l'interface connectée au réseau local de consultation
61
INTIF="eth1"					# ETH1 est l'interface connectée au réseau local de consultation
62
DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24"	# adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
62
DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24"	# adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
63
# ****** Paths - chemin des commandes *******
63
# ****** Paths - chemin des commandes *******
64
SED="/bin/sed -i"
64
SED="/bin/sed -i"
65
# ****************** End of global parameters *********************
65
# ****************** End of global parameters *********************
66
 
66
 
67
header_install ()
67
header_install ()
68
{
68
{
69
	clear
69
	clear
70
	echo "-----------------------------------------------------------------------------"
70
	echo "-----------------------------------------------------------------------------"
71
	echo "                     ALCASAR V$VERSION Installation"
71
	echo "                     ALCASAR V$VERSION Installation"
72
	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
72
	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
73
	echo "-----------------------------------------------------------------------------"
73
	echo "-----------------------------------------------------------------------------"
74
} # End of header_install ()
74
} # End of header_install ()
75
 
75
 
76
##################################################################
76
##################################################################
77
##			Fonction TESTING			##
77
##			Fonction TESTING			##
78
## - Test de la connectivité Internet				##
78
## - Test de la connectivité Internet				##
79
##################################################################
79
##################################################################
80
testing ()
80
testing ()
81
{
81
{
82
	if [ $Lang == "fr" ]
82
	if [ $Lang == "fr" ]
83
		then echo -n "Tests des paramètres réseau : "
83
		then echo -n "Tests des paramètres réseau : "
84
		else echo -n "Network parameters tests : "
84
		else echo -n "Network parameters tests : "
85
	fi
85
	fi
86
# We test eth0 config files
86
# We test eth0 config files
87
	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
87
	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
88
	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
88
	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
89
	if [ `echo $PUBLIC_IP|wc -c` -lt 7 ] || [ `echo $PUBLIC_GATEWAY|wc -c` -lt 7 ]
89
	if [ `echo $PUBLIC_IP|wc -c` -lt 7 ] || [ `echo $PUBLIC_GATEWAY|wc -c` -lt 7 ]
90
		then
90
		then
91
		if [ $Lang == "fr" ]
91
		if [ $Lang == "fr" ]
92
		then 
92
		then 
93
			echo "Échec"
93
			echo "Échec"
94
			echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."
94
			echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."
95
			echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
95
			echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
96
			echo "Appliquez les changements : 'service network restart'"
96
			echo "Appliquez les changements : 'service network restart'"
97
		else
97
		else
98
			echo "Failed"
98
			echo "Failed"
99
			echo "The Internet connected network card ($EXTIF) isn't well configured."
99
			echo "The Internet connected network card ($EXTIF) isn't well configured."
100
			echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
100
			echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
101
			echo "Apply the new configuration 'service network restart'"
101
			echo "Apply the new configuration 'service network restart'"
102
		fi
102
		fi
103
		echo "DEVICE=$EXTIF"
103
		echo "DEVICE=$EXTIF"
104
		echo "IPADDR="
104
		echo "IPADDR="
105
		echo "NETMASK="
105
		echo "NETMASK="
106
		echo "GATEWAY="
106
		echo "GATEWAY="
107
		echo "DNS1="
107
		echo "DNS1="
108
		echo "DNS2="
108
		echo "DNS2="
109
		echo "ONBOOT=yes"
109
		echo "ONBOOT=yes"
110
		exit 0
110
		exit 0
111
	fi
111
	fi
112
	echo -n "."
112
	echo -n "."
113
# We test the Ethernet links state
113
# We test the Ethernet links state
114
	for i in $EXTIF $INTIF
114
	for i in $EXTIF $INTIF
115
	do
115
	do
116
		/sbin/ip link set $i up
116
		/sbin/ip link set $i up
117
		sleep 3
117
		sleep 3
118
		CMD=`/usr/sbin/ethtool $i |grep Link | awk '{print $NF}'`
118
		CMD=`/usr/sbin/ethtool $i |grep Link | awk '{print $NF}'`
119
		CMD2=`/sbin/mii-tool $i | grep -i link | awk '{print $NF}'`
119
		CMD2=`/sbin/mii-tool $i | grep -i link | awk '{print $NF}'`
120
		if [ $CMD != "yes" ] && [ $CMD2 != "ok" ]
120
		if [ $CMD != "yes" ] && [ $CMD2 != "ok" ]
121
			then
121
			then
122
			if [ $Lang == "fr" ]
122
			if [ $Lang == "fr" ]
123
			then 
123
			then 
124
				echo "Échec"
124
				echo "Échec"
125
				echo "Le lien réseau de la carte $i n'est pas actif."
125
				echo "Le lien réseau de la carte $i n'est pas actif."
126
				echo "Réglez ce problème puis relancez ce script."
126
				echo "Réglez ce problème puis relancez ce script."
127
			else
127
			else
128
				echo "Failed"
128
				echo "Failed"
129
				echo "The link state of $i interface id down."
129
				echo "The link state of $i interface id down."
130
				echo "Resolv this problem, then restart this script."
130
				echo "Resolv this problem, then restart this script."
131
			fi
131
			fi
132
			exit 0
132
			exit 0
133
		fi
133
		fi
134
	echo -n "."
134
	echo -n "."
135
	done
135
	done
136
# On teste la présence d'un routeur par défaut (Box FAI)
136
# On teste la présence d'un routeur par défaut (Box FAI)
137
	if [ `ip route list|grep -c ^default` -ne "1" ] ; then
137
	if [ `ip route list|grep -c ^default` -ne "1" ] ; then
138
		if [ $Lang == "fr" ]
138
		if [ $Lang == "fr" ]
139
		then 
139
		then 
140
			echo "Échec"
140
			echo "Échec"
141
			echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
141
			echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
142
			echo "Réglez ce problème puis relancez ce script."
142
			echo "Réglez ce problème puis relancez ce script."
143
		else
143
		else
144
			echo "Failed"
144
			echo "Failed"
145
			echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
145
			echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
146
			echo "Resolv this problem, then restart this script."
146
			echo "Resolv this problem, then restart this script."
147
		fi
147
		fi
148
		exit 0
148
		exit 0
149
	fi
149
	fi
150
	echo -n "."
150
	echo -n "."
151
# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
151
# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
152
	if [ `ip route list|grep ^default|grep -c eth1` -eq "1" ] ; then
152
	if [ `ip route list|grep ^default|grep -c eth1` -eq "1" ] ; then
153
		if [ $Lang == "fr" ]
153
		if [ $Lang == "fr" ]
154
			then echo "La configuration des cartes réseau va être corrigée."
154
			then echo "La configuration des cartes réseau va être corrigée."
155
			else echo "The Ethernet card configuration will be corrected."
155
			else echo "The Ethernet card configuration will be corrected."
156
		fi
156
		fi
157
		/etc/init.d/network stop
157
		/etc/init.d/network stop
158
		mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
158
		mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
159
		$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
159
		$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
160
		/etc/init.d/network start
160
		/etc/init.d/network start
161
		echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
161
		echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
162
		sleep 2
162
		sleep 2
163
		if [ $Lang == "fr" ]
163
		if [ $Lang == "fr" ]
164
			then echo "Configuration corrigée"
164
			then echo "Configuration corrigée"
165
			else echo "Configuration updated"
165
			else echo "Configuration updated"
166
		fi
166
		fi
167
		sleep 2
167
		sleep 2
168
		if [ $Lang == "fr" ]
168
		if [ $Lang == "fr" ]
169
			then echo "Vous pouvez relancer ce script."
169
			then echo "Vous pouvez relancer ce script."
170
			else echo "You can restart this script."
170
			else echo "You can restart this script."
171
		fi
171
		fi
172
		exit 0
172
		exit 0
173
	fi
173
	fi
174
	echo -n "."
174
	echo -n "."
175
# On test le lien vers le routeur par default
175
# On test le lien vers le routeur par default
176
	IP_GW=`ip route list|grep ^default|cut -d" " -f3`
176
	IP_GW=`ip route list|grep ^default|cut -d" " -f3`
177
	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW|grep response|cut -d" " -f2`
177
	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW|grep response|cut -d" " -f2`
178
	if [ $(expr $arp_reply) -eq 0 ]
178
	if [ $(expr $arp_reply) -eq 0 ]
179
	       	then
179
	       	then
180
		if [ $Lang == "fr" ]
180
		if [ $Lang == "fr" ]
181
		then 
181
		then 
182
			echo "Échec"
182
			echo "Échec"
183
			echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
183
			echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
184
			echo "Réglez ce problème puis relancez ce script."
184
			echo "Réglez ce problème puis relancez ce script."
185
		else
185
		else
186
			echo "Failed"
186
			echo "Failed"
187
			echo "The Internet gateway doesn't answered"
187
			echo "The Internet gateway doesn't answered"
188
			echo "Resolv this problem, then restart this script."
188
			echo "Resolv this problem, then restart this script."
189
		fi
189
		fi
190
		exit 0
190
		exit 0
191
	fi
191
	fi
192
	echo -n "."
192
	echo -n "."
193
# On teste la connectivité Internet
193
# On teste la connectivité Internet
194
	rm -rf /tmp/con_ok.html
194
	rm -rf /tmp/con_ok.html
195
	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
195
	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
196
	if [ ! -e /tmp/con_ok.html ]
196
	if [ ! -e /tmp/con_ok.html ]
197
	then
197
	then
198
		if [ $Lang == "fr" ]
198
		if [ $Lang == "fr" ]
199
		then 
199
		then 
200
			echo "La tentative de connexion vers Internet a échoué (google.fr)."
200
			echo "La tentative de connexion vers Internet a échoué (google.fr)."
201
			echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
201
			echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
202
			echo "Vérifiez la validité des adresses IP des DNS."
202
			echo "Vérifiez la validité des adresses IP des DNS."
203
		else
203
		else
204
			echo "The Internet connection try failed (google.fr)."
204
			echo "The Internet connection try failed (google.fr)."
205
			echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
205
			echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
206
			echo "Verify the DNS IP addresses"
206
			echo "Verify the DNS IP addresses"
207
		fi
207
		fi
208
		exit 0
208
		exit 0
209
	fi
209
	fi
210
	rm -rf /tmp/con_ok.html
210
	rm -rf /tmp/con_ok.html
211
	echo ". : ok"
211
	echo ". : ok"
212
} # end of testing
212
} # end of testing
213
 
213
 
214
##################################################################
214
##################################################################
215
##			Fonction INIT				##
215
##			Fonction INIT				##
216
## - Création du fichier "/root/ALCASAR_parametres.txt"		##
216
## - Création du fichier "/root/ALCASAR_parametres.txt"		##
217
## - Installation et modification des scripts du portail	##
217
## - Installation et modification des scripts du portail	##
218
##################################################################
218
##################################################################
219
init ()
219
init ()
220
{
220
{
221
	if [ "$mode" != "update" ]
221
	if [ "$mode" != "update" ]
222
	then
222
	then
223
# On affecte le nom d'organisme
223
# On affecte le nom d'organisme
224
		header_install
224
		header_install
225
		ORGANISME=!
225
		ORGANISME=!
226
		PTN='^[a-zA-Z0-9-]*$'
226
		PTN='^[a-zA-Z0-9-]*$'
227
		until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
227
		until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
228
                do
228
                do
229
			if [ $Lang == "fr" ]
229
			if [ $Lang == "fr" ]
230
			       	then echo -n "Entrez le nom de votre organisme : "
230
			       	then echo -n "Entrez le nom de votre organisme : "
231
				else echo -n "Enter the name of your organism : "
231
				else echo -n "Enter the name of your organism : "
232
			fi
232
			fi
233
			read ORGANISME
233
			read ORGANISME
234
			if [ "$ORGANISME" == "" ]
234
			if [ "$ORGANISME" == "" ]
235
				then
235
				then
236
				ORGANISME=!
236
				ORGANISME=!
237
			fi
237
			fi
238
		done
238
		done
239
	fi
239
	fi
240
# On crée aléatoirement les mots de passe et les secrets partagés
240
# On crée aléatoirement les mots de passe et les secrets partagés
241
	rm -f $PASSWD_FILE
241
	rm -f $PASSWD_FILE
242
	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub
242
	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub
243
	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
243
	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
244
	echo "$grubpwd" >> $PASSWD_FILE
244
	echo "$grubpwd" >> $PASSWD_FILE
245
	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
245
	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
246
	$SED "/^password.*/d" /boot/grub/menu.lst
246
	$SED "/^password.*/d" /boot/grub/menu.lst
247
	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
247
	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
248
	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld
248
	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld
249
	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
249
	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
250
	echo "root / $mysqlpwd" >> $PASSWD_FILE
250
	echo "root / $mysqlpwd" >> $PASSWD_FILE
251
	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
251
	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
252
	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
252
	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
253
	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
253
	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
254
	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli
254
	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli
255
	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
255
	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
256
	echo "$secretuam" >> $PASSWD_FILE
256
	echo "$secretuam" >> $PASSWD_FILE
257
	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius
257
	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius
258
	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
258
	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
259
	echo "$secretradius" >> $PASSWD_FILE
259
	echo "$secretradius" >> $PASSWD_FILE
260
	chmod 640 $PASSWD_FILE
260
	chmod 640 $PASSWD_FILE
261
# On installe les scripts et fichiers de configuration d'ALCASAR 
261
# On installe les scripts et fichiers de configuration d'ALCASAR 
262
#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,watchdog.sh}
262
#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,watchdog.sh}
263
	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
263
	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
264
#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
264
#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
265
	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
265
	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
266
#  - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
266
#  - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
267
	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
267
	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
268
	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
268
	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
269
	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
269
	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
270
	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
270
	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
271
	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
271
	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
272
# generate central conf file
272
# generate central conf file
273
	cat <<EOF > $CONF_FILE
273
	cat <<EOF > $CONF_FILE
274
##########################################
274
##########################################
275
##                                      ##
275
##                                      ##
276
##          ALCASAR Parameters          ##
276
##          ALCASAR Parameters          ##
277
##                                      ##
277
##                                      ##
278
##########################################
278
##########################################
279
 
279
 
280
INSTALL_DATE=$DATE
280
INSTALL_DATE=$DATE
281
VERSION=$VERSION
281
VERSION=$VERSION
282
ORGANISM=$ORGANISME
282
ORGANISM=$ORGANISME
283
EOF
283
EOF
284
	chmod o-rwx $CONF_FILE
284
	chmod o-rwx $CONF_FILE
285
} # End of init ()
285
} # End of init ()
286
 
286
 
287
##################################################################
287
##################################################################
288
##			Fonction network			##
288
##			Fonction network			##
289
## - Définition du plan d'adressage du réseau de consultation	##
289
## - Définition du plan d'adressage du réseau de consultation	##
290
## - Nommage DNS du système 					##
290
## - Nommage DNS du système 					##
291
## - Configuration de l'interface eth1 (réseau de consultation)	##
291
## - Configuration de l'interface eth1 (réseau de consultation)	##
292
## - Modification du fichier /etc/hosts				##
292
## - Modification du fichier /etc/hosts				##
293
## - Configuration du serveur de temps (NTP)			##
293
## - Configuration du serveur de temps (NTP)			##
294
## - Renseignement des fichiers hosts.allow et hosts.deny	##
294
## - Renseignement des fichiers hosts.allow et hosts.deny	##
295
##################################################################
295
##################################################################
296
network ()
296
network ()
297
{
297
{
298
	header_install
298
	header_install
299
	if [ "$mode" != "update" ]
299
	if [ "$mode" != "update" ]
300
		then
300
		then
301
		if [ $Lang == "fr" ]
301
		if [ $Lang == "fr" ]
302
			then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
302
			then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
303
			else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
303
			else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
304
		fi
304
		fi
305
		response=0
305
		response=0
306
		PTN='^[oOyYnN]$'
306
		PTN='^[oOyYnN]$'
307
		until [[ $(expr $response : $PTN) -gt 0 ]]
307
		until [[ $(expr $response : $PTN) -gt 0 ]]
308
		do
308
		do
309
			if [ $Lang == "fr" ]
309
			if [ $Lang == "fr" ]
310
				then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
310
				then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
311
				else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
311
				else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
312
			fi
312
			fi
313
			read response
313
			read response
314
		done
314
		done
315
		if [ "$response" = "n" ] || [ "$response" = "N" ]
315
		if [ "$response" = "n" ] || [ "$response" = "N" ]
316
		then
316
		then
317
			PRIVATE_IP_MASK="0"
317
			PRIVATE_IP_MASK="0"
318
			PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'
318
			PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'
319
			until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
319
			until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
320
			do
320
			do
321
				if [ $Lang == "fr" ]
321
				if [ $Lang == "fr" ]
322
					then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
322
					then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
323
					else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
323
					else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
324
				fi
324
				fi
325
				read PRIVATE_IP_MASK
325
				read PRIVATE_IP_MASK
326
			done
326
			done
327
		else
327
		else
328
       			PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
328
       			PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
329
		fi
329
		fi
330
	else
330
	else
331
		PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf|cut -d"=" -f2` 
331
		PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf|cut -d"=" -f2` 
332
		rm -rf conf/etc/alcasar.conf
332
		rm -rf conf/etc/alcasar.conf
333
	fi
333
	fi
334
# Define Lan side Ethernet card
334
# Define Lan side Ethernet card
335
	hostname $HOSTNAME
335
	hostname $HOSTNAME
336
	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK | cut -d"=" -f2`			# @ réseau de consultation (ex.: 192.168.182.0)
336
	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK | cut -d"=" -f2`			# @ réseau de consultation (ex.: 192.168.182.0)
337
	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK | cut -d"=" -f2`			# masque réseau de consultation (ex.: 255.255.255.0)
337
	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK | cut -d"=" -f2`			# masque réseau de consultation (ex.: 255.255.255.0)
338
	PRIVATE_IP=`echo $PRIVATE_IP_MASK | cut -d"/" -f1`					# @ip du portail (côté réseau de consultation)
338
	PRIVATE_IP=`echo $PRIVATE_IP_MASK | cut -d"/" -f1`					# @ip du portail (côté réseau de consultation)
339
	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK |cut -d"=" -f2`				# prefixe du réseau (ex. 24)
339
	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK |cut -d"=" -f2`				# prefixe du réseau (ex. 24)
340
	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix					# @ + masque du réseau de consult (192.168.182.0/24)
340
	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix					# @ + masque du réseau de consult (192.168.182.0/24)
341
	classe=$((private_prefix/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2`		# classes de réseau (ex.: 2=classe B, 3=classe C)
341
	classe=$((private_prefix/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2`		# classes de réseau (ex.: 2=classe B, 3=classe C)
342
	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.			# @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
342
	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.			# @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
343
	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ broadcast réseau de consultation (ex.: 192.168.182.255)
343
	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ broadcast réseau de consultation (ex.: 192.168.182.255)
344
	tmp_mask=`echo $PRIVATE_NETWORK_MASK|cut -d"/" -f2`; half_mask=`expr $tmp_mask + 1`	# masque du 1/2 réseau de consultation (ex.: 25)
344
	tmp_mask=`echo $PRIVATE_NETWORK_MASK|cut -d"/" -f2`; half_mask=`expr $tmp_mask + 1`	# masque du 1/2 réseau de consultation (ex.: 25)
345
	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$half_mask						# plage des adresses statiques (ex.: 192.168.182.0/25)
345
	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$half_mask						# plage des adresses statiques (ex.: 192.168.182.0/25)
346
	private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`		# dernier octet de l'@ de réseau
346
	private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`		# dernier octet de l'@ de réseau
347
	private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`		# dernier octet de l'@ de broadcast
347
	private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`		# dernier octet de l'@ de broadcast
348
	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
348
	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
349
	private_half_plage=`expr $private_plage / 2`
349
	private_half_plage=`expr $private_plage / 2`
350
	private_dyn=`expr $private_half_plage + $private_network_ending`
350
	private_dyn=`expr $private_half_plage + $private_network_ending`
351
	private_dyn_ip_network=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup_sup-5`
351
	private_dyn_ip_network=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup_sup-5`
352
	PRIVATE_DYN_IP=`echo $private_dyn_ip_network | cut -d"." -f1-4`/$half_mask					# @ réseau (CIDR) de la plage des adresses dynamiques (ex.: 192.168.182.128/25)
352
	PRIVATE_DYN_IP=`echo $private_dyn_ip_network | cut -d"." -f1-4`/$half_mask					# @ réseau (CIDR) de la plage des adresses dynamiques (ex.: 192.168.182.128/25)
353
	private_dyn_ip_ending=`echo $private_dyn_ip_network | cut -d"." -f4`
353
	private_dyn_ip_ending=`echo $private_dyn_ip_network | cut -d"." -f4`
354
	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network | cut -d"." -f1-3`"."`expr $private_dyn_ip_ending + 1`	# 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
354
	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network | cut -d"." -f1-3`"."`expr $private_dyn_ip_ending + 1`	# 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
355
	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1`		# dernière adresse de la plage dynamique (ex.: 192.168.182.254)
355
	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1`		# dernière adresse de la plage dynamique (ex.: 192.168.182.254)
356
# Define Internet side Ethernet card
356
# Define Internet side Ethernet card
357
	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
357
	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
358
	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 1er DNS
358
	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 1er DNS
359
	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 2ème DNS
359
	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 2ème DNS
360
	DNS1=${DNS1:=208.67.220.220}
360
	DNS1=${DNS1:=208.67.220.220}
361
	DNS2=${DNS2:=208.67.222.222}
361
	DNS2=${DNS2:=208.67.222.222}
362
	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
362
	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
363
	DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 | cut -d"=" -f2`
363
	DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 | cut -d"=" -f2`
364
	PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}
364
	PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}
365
	PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK|cut -d"=" -f2`
365
	PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK|cut -d"=" -f2`
366
	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
366
	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
367
	echo "PUBLIC_MTU=1500" >> $CONF_FILE
367
	echo "PUBLIC_MTU=1500" >> $CONF_FILE
368
	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE 
368
	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE 
369
	echo "DNS1=$DNS1" >> $CONF_FILE
369
	echo "DNS1=$DNS1" >> $CONF_FILE
370
	echo "DNS2=$DNS2" >> $CONF_FILE
370
	echo "DNS2=$DNS2" >> $CONF_FILE
371
	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
371
	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
372
	echo "DHCP=on" >> $CONF_FILE
372
	echo "DHCP=on" >> $CONF_FILE
373
	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default
373
	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default
374
	# Renseignement des fichiers de configuration réseau
374
	# Renseignement des fichiers de configuration réseau
375
	cat <<EOF > /etc/sysconfig/network
375
	cat <<EOF > /etc/sysconfig/network
376
NETWORKING=yes
376
NETWORKING=yes
377
HOSTNAME="$HOSTNAME"
377
HOSTNAME="$HOSTNAME"
378
FORWARD_IPV4=true
378
FORWARD_IPV4=true
379
EOF
379
EOF
380
# Modif /etc/hosts
380
# Modif /etc/hosts
381
	[ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default
381
	[ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default
382
	cat <<EOF > /etc/hosts
382
	cat <<EOF > /etc/hosts
383
127.0.0.1	localhost
383
127.0.0.1	localhost
384
$PRIVATE_IP	$HOSTNAME 
384
$PRIVATE_IP	$HOSTNAME 
385
EOF
385
EOF
386
# Configuration de l'interface eth0 (Internet)
386
# Configuration de l'interface eth0 (Internet)
387
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
387
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
388
DEVICE=$EXTIF
388
DEVICE=$EXTIF
389
BOOTPROTO=static
389
BOOTPROTO=static
390
IPADDR=$PUBLIC_IP
390
IPADDR=$PUBLIC_IP
391
NETMASK=$PUBLIC_NETMASK
391
NETMASK=$PUBLIC_NETMASK
392
GATEWAY=$PUBLIC_GATEWAY
392
GATEWAY=$PUBLIC_GATEWAY
393
DNS1=127.0.0.1
393
DNS1=127.0.0.1
394
ONBOOT=yes
394
ONBOOT=yes
395
METRIC=10
395
METRIC=10
396
NOZEROCONF=yes
396
NOZEROCONF=yes
397
MII_NOT_SUPPORTED=yes
397
MII_NOT_SUPPORTED=yes
398
IPV6INIT=no
398
IPV6INIT=no
399
IPV6TO4INIT=no
399
IPV6TO4INIT=no
400
ACCOUNTING=no
400
ACCOUNTING=no
401
USERCTL=no
401
USERCTL=no
402
EOF
402
EOF
403
# Configuration de l'interface eth1 (réseau de consultation)
403
# Configuration de l'interface eth1 (réseau de consultation)
404
# utile uniquement pour le mode bypass (cf. alcasar-bypass.sh)
404
# utile uniquement pour le mode bypass (cf. alcasar-bypass.sh)
405
	rm -f /etc/sysconfig/network-scripts/ifcfg-$INTIF
405
	rm -f /etc/sysconfig/network-scripts/ifcfg-$INTIF
406
	cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF
406
	cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF
407
DEVICE=$INTIF
407
DEVICE=$INTIF
408
BOOTPROTO=static
408
BOOTPROTO=static
409
IPADDR=$PRIVATE_IP
409
IPADDR=$PRIVATE_IP
410
NETMASK=$PRIVATE_NETMASK
410
NETMASK=$PRIVATE_NETMASK
411
ONBOOT=yes
411
ONBOOT=yes
412
METRIC=10
412
METRIC=10
413
NOZEROCONF=yes
413
NOZEROCONF=yes
414
MII_NOT_SUPPORTED=yes
414
MII_NOT_SUPPORTED=yes
415
IPV6INIT=no
415
IPV6INIT=no
416
IPV6TO4INIT=no
416
IPV6TO4INIT=no
417
ACCOUNTING=no
417
ACCOUNTING=no
418
USERCTL=no
418
USERCTL=no
419
EOF
419
EOF
420
# Mise à l'heure du serveur
420
# Mise à l'heure du serveur
421
	[ -e /etc/ntp/step-tickers.default ] || cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
421
	[ -e /etc/ntp/step-tickers.default ] || cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
422
	cat <<EOF > /etc/ntp/step-tickers
422
	cat <<EOF > /etc/ntp/step-tickers
423
0.fr.pool.ntp.org	# adapt to your country
423
0.fr.pool.ntp.org	# adapt to your country
424
1.fr.pool.ntp.org
424
1.fr.pool.ntp.org
425
2.fr.pool.ntp.org
425
2.fr.pool.ntp.org
426
EOF
426
EOF
427
# Configuration du serveur de temps (sur lui même)
427
# Configuration du serveur de temps (sur lui même)
428
	[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
428
	[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
429
	cat <<EOF > /etc/ntp.conf
429
	cat <<EOF > /etc/ntp.conf
430
server 0.fr.pool.ntp.org	# adapt to your country
430
server 0.fr.pool.ntp.org	# adapt to your country
431
server 1.fr.pool.ntp.org
431
server 1.fr.pool.ntp.org
432
server 2.fr.pool.ntp.org
432
server 2.fr.pool.ntp.org
433
server 127.127.1.0   		# local clock si NTP internet indisponible ...
433
server 127.127.1.0   		# local clock si NTP internet indisponible ...
434
fudge 127.127.1.0 stratum 10
434
fudge 127.127.1.0 stratum 10
435
restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
435
restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
436
restrict 127.0.0.1
436
restrict 127.0.0.1
437
driftfile /var/lib/ntp/drift
437
driftfile /var/lib/ntp/drift
438
logfile /var/log/ntp.log
438
logfile /var/log/ntp.log
439
EOF
439
EOF
440
 
440
 
441
	chown -R ntp:ntp /var/lib/ntp
441
	chown -R ntp:ntp /var/lib/ntp
442
# Renseignement des fichiers hosts.allow et hosts.deny
442
# Renseignement des fichiers hosts.allow et hosts.deny
443
	[ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default
443
	[ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default
444
	cat <<EOF > /etc/hosts.allow
444
	cat <<EOF > /etc/hosts.allow
445
ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
445
ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
446
sshd: ALL
446
sshd: ALL
447
ntpd: $PRIVATE_NETWORK_SHORT
447
ntpd: $PRIVATE_NETWORK_SHORT
448
EOF
448
EOF
449
	[ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default
449
	[ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default
450
	cat <<EOF > /etc/hosts.deny
450
	cat <<EOF > /etc/hosts.deny
451
ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
451
ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
452
EOF
452
EOF
453
# Firewall config
453
# Firewall config
454
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
454
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
455
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
455
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
456
	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
456
	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
457
# create the filter exxeption file
457
# create the filter exxeption file
458
	touch $DIR_DEST_ETC/alcasar-filter-exceptions
458
	touch $DIR_DEST_ETC/alcasar-filter-exceptions
459
# load conntrack ftp module
459
# load conntrack ftp module
460
	[ -e /etc/modprobe.preload.default ] || cp /etc/modprobe.preload /etc/modprobe.preload.default
460
	[ -e /etc/modprobe.preload.default ] || cp /etc/modprobe.preload /etc/modprobe.preload.default
461
	echo "ip_conntrack_ftp" >>  /etc/modprobe.preload
461
	echo "ip_conntrack_ftp" >>  /etc/modprobe.preload
462
# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
462
# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
463
} # End of network ()
463
} # End of network ()
464
 
464
 
465
##################################################################
465
##################################################################
466
##			Fonction gestion			##
466
##			Fonction gestion			##
467
## - installation du centre de gestion				##
467
## - installation du centre de gestion				##
468
## - configuration du serveur web (Apache)			##
468
## - configuration du serveur web (Apache)			##
469
## - définition du 1er comptes de gestion 			##
469
## - définition du 1er comptes de gestion 			##
470
## - sécurisation des accès					##
470
## - sécurisation des accès					##
471
##################################################################
471
##################################################################
472
gestion()
472
gestion()
473
{
473
{
474
	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
474
	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
475
	mkdir $DIR_WEB
475
	mkdir $DIR_WEB
476
# Copie et configuration des fichiers du centre de gestion
476
# Copie et configuration des fichiers du centre de gestion
477
	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
477
	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
478
	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
478
	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
479
	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
479
	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
480
	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
480
	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
481
	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
481
	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
482
	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
482
	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
483
	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
483
	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
484
	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
484
	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
485
	chown -R apache:apache $DIR_WEB/*
485
	chown -R apache:apache $DIR_WEB/*
486
	for i in system_backup base logs/firewall logs/httpd logs/squid ;
486
	for i in system_backup base logs/firewall logs/httpd logs/squid ;
487
	do
487
	do
488
		[ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i
488
		[ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i
489
	done
489
	done
490
	chown -R root:apache $DIR_SAVE
490
	chown -R root:apache $DIR_SAVE
491
# Configuration et sécurisation php
491
# Configuration et sécurisation php
492
	[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default
492
	[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default
493
	timezone=`cat /etc/sysconfig/clock|grep ZONE|cut -d"=" -f2`
493
	timezone=`cat /etc/sysconfig/clock|grep ZONE|cut -d"=" -f2`
494
	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
494
	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
495
	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
495
	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
496
	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
496
	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
497
	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
497
	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
498
	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
498
	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
499
# Configuration et sécurisation Apache
499
# Configuration et sécurisation Apache
500
	rm -rf /var/www/cgi-bin/* /var/www/perl/* /var/www/icons/README* /var/www/error/README*
500
	rm -rf /var/www/cgi-bin/* /var/www/perl/* /var/www/icons/README* /var/www/error/README*
501
	[ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
501
	[ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
502
	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
502
	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
503
	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
503
	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
504
	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
504
	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
505
	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
505
	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
506
	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
506
	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
507
	$SED "s?^LoadModule authn_anon_module.*?#LoadModule authn_anon_module modules/mod_authn_anon.so?g" /etc/httpd/conf/httpd.conf
507
	$SED "s?^LoadModule authn_anon_module.*?#LoadModule authn_anon_module modules/mod_authn_anon.so?g" /etc/httpd/conf/httpd.conf
508
	$SED "s?^LoadModule status_module.*?#LoadModule status_module modules/mod_status.so?g" /etc/httpd/conf/httpd.conf
508
	$SED "s?^LoadModule status_module.*?#LoadModule status_module modules/mod_status.so?g" /etc/httpd/conf/httpd.conf
509
	$SED "s?^LoadModule autoindex_module.*?#LoadModule autoindex_module modules/mod_autoindex.so?g" /etc/httpd/conf/httpd.conf
509
	$SED "s?^LoadModule autoindex_module.*?#LoadModule autoindex_module modules/mod_autoindex.so?g" /etc/httpd/conf/httpd.conf
510
	$SED "s?^LoadModule info_module.*?#LoadModule info_module modules/mod_info.so?g" /etc/httpd/conf/httpd.conf
510
	$SED "s?^LoadModule info_module.*?#LoadModule info_module modules/mod_info.so?g" /etc/httpd/conf/httpd.conf
511
	$SED "s?^LoadModule imagemap_module.*?#LoadModule imagemap_module modules/mod_imagemap.so?g" /etc/httpd/conf/httpd.conf
511
	$SED "s?^LoadModule imagemap_module.*?#LoadModule imagemap_module modules/mod_imagemap.so?g" /etc/httpd/conf/httpd.conf
512
	$SED "s?^LoadModule rewrite_module.*?#LoadModule rewrite_module modules/mod_rewrite.so?g" /etc/httpd/conf/httpd.conf
512
	$SED "s?^LoadModule rewrite_module.*?#LoadModule rewrite_module modules/mod_rewrite.so?g" /etc/httpd/conf/httpd.conf
513
	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
513
	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
514
	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
514
	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
515
	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
515
	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
516
	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
516
	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
517
	cat <<EOF > /var/www/error/include/bottom.html
517
	cat <<EOF > /var/www/error/include/bottom.html
518
</body>
518
</body>
519
</html>
519
</html>
520
EOF
520
EOF
521
# Définition du premier compte lié au profil 'admin'
521
# Définition du premier compte lié au profil 'admin'
522
	header_install
522
	header_install
523
	if [ "$mode" = "install" ]
523
	if [ "$mode" = "install" ]
524
	then
524
	then
525
		admin_portal=!
525
		admin_portal=!
526
		PTN='^[a-zA-Z0-9-]*$'
526
		PTN='^[a-zA-Z0-9-]*$'
527
		until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
527
		until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
528
                	do
528
                	do
529
			header_install
529
			header_install
530
			if [ $Lang == "fr" ]
530
			if [ $Lang == "fr" ]
531
			then 
531
			then 
532
				echo ""
532
				echo ""
533
				echo "Définissez un premier compte d'administration du portail :"
533
				echo "Définissez un premier compte d'administration du portail :"
534
				echo
534
				echo
535
				echo -n "Nom : "
535
				echo -n "Nom : "
536
			else
536
			else
537
				echo ""
537
				echo ""
538
				echo "Define the first account allow to administrate the portal :"
538
				echo "Define the first account allow to administrate the portal :"
539
				echo
539
				echo
540
				echo -n "Account : "
540
				echo -n "Account : "
541
			fi
541
			fi
542
			read admin_portal
542
			read admin_portal
543
			if [ "$admin_portal" == "" ]
543
			if [ "$admin_portal" == "" ]
544
				then
544
				then
545
				admin_portal=!
545
				admin_portal=!
546
			fi
546
			fi
547
			done
547
			done
548
# Création du fichier de clés de ce compte dans le profil "admin"
548
# Création du fichier de clés de ce compte dans le profil "admin"
549
		[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
549
		[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
550
		mkdir -p $DIR_DEST_ETC/digest
550
		mkdir -p $DIR_DEST_ETC/digest
551
		chmod 755 $DIR_DEST_ETC/digest
551
		chmod 755 $DIR_DEST_ETC/digest
552
		until [ -s $DIR_DEST_ETC/digest/key_admin ]
552
		until [ -s $DIR_DEST_ETC/digest/key_admin ]
553
			do
553
			do
554
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
554
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
555
			done
555
			done
556
		$DIR_DEST_SBIN/alcasar-profil.sh --list
556
		$DIR_DEST_SBIN/alcasar-profil.sh --list
557
	else   # mise à jour des versions < 2.1
557
	else   # mise à jour des versions < 2.1
558
		if ([ $MAJ_RUNNING_VERSION -lt 2 ] || ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
558
		if ([ $MAJ_RUNNING_VERSION -lt 2 ] || ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
559
			then
559
			then
560
			if [ $Lang == "fr" ]
560
			if [ $Lang == "fr" ]
561
			then 
561
			then 
562
				echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
562
				echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
563
				echo
563
				echo
564
				echo -n "Nom : "
564
				echo -n "Nom : "
565
			else
565
			else
566
				echo "This update need to redefine the first admin account"
566
				echo "This update need to redefine the first admin account"
567
				echo
567
				echo
568
				echo -n "Account : "
568
				echo -n "Account : "
569
			fi
569
			fi
570
			read admin_portal
570
			read admin_portal
571
			[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
571
			[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
572
			mkdir -p $DIR_DEST_ETC/digest
572
			mkdir -p $DIR_DEST_ETC/digest
573
			chmod 755 $DIR_DEST_ETC/digest
573
			chmod 755 $DIR_DEST_ETC/digest
574
			until [ -s $DIR_DEST_ETC/digest/key_admin ]
574
			until [ -s $DIR_DEST_ETC/digest/key_admin ]
575
			do
575
			do
576
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
576
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
577
			done
577
			done
578
			$DIR_DEST_SBIN/alcasar-profil.sh --list
578
			$DIR_DEST_SBIN/alcasar-profil.sh --list
579
		fi
579
		fi
580
	fi
580
	fi
581
# synchronisation horaire
581
# synchronisation horaire
582
	ntpd -q -g &
582
	ntpd -q -g &
583
# Sécurisation du centre
583
# Sécurisation du centre
584
	rm -f /etc/httpd/conf/webapps.d/*
584
	rm -f /etc/httpd/conf/webapps.d/*
585
	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
585
	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
586
<Directory $DIR_ACC>
586
<Directory $DIR_ACC>
587
	SSLRequireSSL
587
	SSLRequireSSL
588
	AllowOverride None
588
	AllowOverride None
589
	Order deny,allow
589
	Order deny,allow
590
	Deny from all
590
	Deny from all
591
	Allow from 127.0.0.1
591
	Allow from 127.0.0.1
592
	Allow from $PRIVATE_NETWORK_MASK
592
	Allow from $PRIVATE_NETWORK_MASK
593
	require valid-user
593
	require valid-user
594
	AuthType digest
594
	AuthType digest
595
	AuthName $HOSTNAME
595
	AuthName $HOSTNAME
596
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
596
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
597
	AuthUserFile $DIR_DEST_ETC/digest/key_all
597
	AuthUserFile $DIR_DEST_ETC/digest/key_all
598
	ErrorDocument 404 https://$HOSTNAME/
598
	ErrorDocument 404 https://$HOSTNAME/
599
</Directory>
599
</Directory>
600
<Directory $DIR_ACC/admin>
600
<Directory $DIR_ACC/admin>
601
	SSLRequireSSL
601
	SSLRequireSSL
602
	AllowOverride None
602
	AllowOverride None
603
	Order deny,allow
603
	Order deny,allow
604
	Deny from all
604
	Deny from all
605
	Allow from 127.0.0.1
605
	Allow from 127.0.0.1
606
	Allow from $PRIVATE_NETWORK_MASK
606
	Allow from $PRIVATE_NETWORK_MASK
607
	require valid-user
607
	require valid-user
608
	AuthType digest
608
	AuthType digest
609
	AuthName $HOSTNAME
609
	AuthName $HOSTNAME
610
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
610
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
611
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
611
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
612
	ErrorDocument 404 https://$HOSTNAME/
612
	ErrorDocument 404 https://$HOSTNAME/
613
</Directory>
613
</Directory>
614
<Directory $DIR_ACC/manager>
614
<Directory $DIR_ACC/manager>
615
	SSLRequireSSL
615
	SSLRequireSSL
616
	AllowOverride None
616
	AllowOverride None
617
	Order deny,allow
617
	Order deny,allow
618
	Deny from all
618
	Deny from all
619
	Allow from 127.0.0.1
619
	Allow from 127.0.0.1
620
	Allow from $PRIVATE_NETWORK_MASK
620
	Allow from $PRIVATE_NETWORK_MASK
621
	require valid-user
621
	require valid-user
622
	AuthType digest
622
	AuthType digest
623
	AuthName $HOSTNAME
623
	AuthName $HOSTNAME
624
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
624
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
625
	AuthUserFile $DIR_DEST_ETC/digest/key_manager
625
	AuthUserFile $DIR_DEST_ETC/digest/key_manager
626
	ErrorDocument 404 https://$HOSTNAME/
626
	ErrorDocument 404 https://$HOSTNAME/
627
</Directory>
627
</Directory>
628
<Directory $DIR_ACC/backup>
628
<Directory $DIR_ACC/backup>
629
	SSLRequireSSL
629
	SSLRequireSSL
630
	AllowOverride None
630
	AllowOverride None
631
	Order deny,allow
631
	Order deny,allow
632
	Deny from all
632
	Deny from all
633
	Allow from 127.0.0.1
633
	Allow from 127.0.0.1
634
	Allow from $PRIVATE_NETWORK_MASK
634
	Allow from $PRIVATE_NETWORK_MASK
635
	require valid-user
635
	require valid-user
636
	AuthType digest
636
	AuthType digest
637
	AuthName $HOSTNAME
637
	AuthName $HOSTNAME
638
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
638
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
639
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
639
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
640
	ErrorDocument 404 https://$HOSTNAME/
640
	ErrorDocument 404 https://$HOSTNAME/
641
</Directory>
641
</Directory>
642
Alias /save/ "$DIR_SAVE/"
642
Alias /save/ "$DIR_SAVE/"
643
<Directory $DIR_SAVE>
643
<Directory $DIR_SAVE>
644
	SSLRequireSSL
644
	SSLRequireSSL
645
	Options Indexes
645
	Options Indexes
646
	Order deny,allow
646
	Order deny,allow
647
	Deny from all
647
	Deny from all
648
	Allow from 127.0.0.1
648
	Allow from 127.0.0.1
649
	Allow from $PRIVATE_NETWORK_MASK
649
	Allow from $PRIVATE_NETWORK_MASK
650
	require valid-user
650
	require valid-user
651
	AuthType digest
651
	AuthType digest
652
	AuthName $HOSTNAME
652
	AuthName $HOSTNAME
653
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
653
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
654
	ErrorDocument 404 https://$HOSTNAME/
654
	ErrorDocument 404 https://$HOSTNAME/
655
</Directory>
655
</Directory>
656
EOF
656
EOF
657
} # End of gestion ()
657
} # End of gestion ()
658
 
658
 
659
##########################################################################################
659
##########################################################################################
660
##				Fonction AC()						##
660
##				Fonction AC()						##
661
## - Création d'une Autorité de Certification et du certificat serveur pour apache 	##
661
## - Création d'une Autorité de Certification et du certificat serveur pour apache 	##
662
##########################################################################################
662
##########################################################################################
663
AC ()
663
AC ()
664
{
664
{
665
	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
665
	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
666
	$DIR_DEST_BIN/alcasar-CA.sh
666
	$DIR_DEST_BIN/alcasar-CA.sh
667
	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl_vhost.conf`
667
	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl_vhost.conf`
668
	[ -e /etc/httpd/conf/vhosts-ssl.default ]  || cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
668
	[ -e /etc/httpd/conf/vhosts-ssl.default ]  || cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
669
	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
669
	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
670
	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
670
	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
671
	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
671
	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
672
	chown -R root:apache /etc/pki
672
	chown -R root:apache /etc/pki
673
	chmod -R 750 /etc/pki
673
	chmod -R 750 /etc/pki
674
} # End AC ()
674
} # End AC ()
675
 
675
 
676
##########################################################################################
676
##########################################################################################
677
##			Fonction init_db()						##
677
##			Fonction init_db()						##
678
## - Initialisation de la base Mysql							##
678
## - Initialisation de la base Mysql							##
679
## - Affectation du mot de passe de l'administrateur (root)				##
679
## - Affectation du mot de passe de l'administrateur (root)				##
680
## - Suppression des bases et des utilisateurs superflus				##
680
## - Suppression des bases et des utilisateurs superflus				##
681
## - Création de la base 'radius'							##
681
## - Création de la base 'radius'							##
682
## - Installation du schéma de cette base						##
682
## - Installation du schéma de cette base						##
683
## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)	##
683
## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)	##
684
##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)		##
684
##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)		##
685
##########################################################################################
685
##########################################################################################
686
init_db ()
686
init_db ()
687
{
687
{
688
	mkdir -p /var/lib/mysql/.tmp
688
	mkdir -p /var/lib/mysql/.tmp
689
	chown mysql:mysql /var/lib/mysql/.tmp
689
	chown mysql:mysql /var/lib/mysql/.tmp
690
	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf		# prend en compte les migrations de MySQL
690
	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf		# prend en compte les migrations de MySQL
691
	[ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default
691
	[ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default
692
	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
692
	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
693
	/etc/init.d/mysqld start
693
	/etc/init.d/mysqld start
694
	sleep 4
694
	sleep 4
695
	mysqladmin -u root password $mysqlpwd
695
	mysqladmin -u root password $mysqlpwd
696
	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
696
	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
697
# Delete exemple databases if exist
697
# Delete exemple databases if exist
698
	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;" 
698
	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;" 
699
# Create 'radius' database
699
# Create 'radius' database
700
	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
700
	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
701
# Add an empty radius database structure
701
# Add an empty radius database structure
702
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
702
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
703
# modify the start script in order to close accounting connexion when the system is comming down or up
703
# modify the start script in order to close accounting connexion when the system is comming down or up
704
	[ -e /etc/init.d/mysqld.default ] || cp /etc/init.d/mysqld /etc/init.d/mysqld.default
704
	[ -e /etc/init.d/mysqld.default ] || cp /etc/init.d/mysqld /etc/init.d/mysqld.default
705
	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
705
	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
706
	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
706
	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
707
} # End init_db ()
707
} # End init_db ()
708
 
708
 
709
##########################################################################
709
##########################################################################
710
##			Fonction param_radius				##
710
##			Fonction param_radius				##
711
## - Paramètrage des fichiers de configuration FreeRadius		##
711
## - Paramètrage des fichiers de configuration FreeRadius		##
712
## - Affectation du secret partagé entre coova-chilli et freeradius	##
712
## - Affectation du secret partagé entre coova-chilli et freeradius	##
713
## - Modification de fichier de conf pour l'accès à Mysql		##
713
## - Modification de fichier de conf pour l'accès à Mysql		##
714
##########################################################################
714
##########################################################################
715
param_radius ()
715
param_radius ()
716
{
716
{
717
	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
717
	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
718
	chown -R radius:radius /etc/raddb
718
	chown -R radius:radius /etc/raddb
719
	[ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
719
	[ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
720
# paramètrage radius.conf
720
# paramètrage radius.conf
721
	$SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf
721
	$SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf
722
	$SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf
722
	$SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf
723
	$SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf
723
	$SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf
724
# suppression de la fonction proxy
724
# suppression de la fonction proxy
725
	$SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf
725
	$SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf
726
	$SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
726
	$SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
727
# suppression du module EAP
727
# suppression du module EAP
728
	$SED "s?^[\t ]*\$INCLUDE eap.conf.*?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
728
	$SED "s?^[\t ]*\$INCLUDE eap.conf.*?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
729
# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
729
# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
730
	$SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
730
	$SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
731
# prise en compte du module SQL et des compteurs SQL
731
# prise en compte du module SQL et des compteurs SQL
732
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
732
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
733
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
733
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
734
	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
734
	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
735
# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
735
# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
736
	rm -f /etc/raddb/sites-enabled/*
736
	rm -f /etc/raddb/sites-enabled/*
737
       	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
737
       	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
738
	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
738
	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
739
	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
739
	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
740
	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
740
	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
741
	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
741
	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
742
# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
742
# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
743
	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
743
	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
744
# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
744
# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
745
	[ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
745
	[ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
746
	cat << EOF > /etc/raddb/clients.conf
746
	cat << EOF > /etc/raddb/clients.conf
747
client 127.0.0.1 {
747
client 127.0.0.1 {
748
	secret = $secretradius
748
	secret = $secretradius
749
	shortname = localhost
749
	shortname = localhost
750
}
750
}
751
EOF
751
EOF
752
# modif sql.conf
752
# modif sql.conf
753
	[ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
753
	[ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
754
	$SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
754
	$SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
755
	$SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
755
	$SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
756
	$SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
756
	$SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
757
	$SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf
757
	$SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf
758
# modif dialup.conf
758
# modif dialup.conf
759
	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
759
	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
760
	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
760
	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
761
} # End param_radius ()
761
} # End param_radius ()
762
 
762
 
763
##########################################################################
763
##########################################################################
764
##			Fonction param_web_radius			##
764
##			Fonction param_web_radius			##
765
## - Import, modification et paramètrage de l'interface "dialupadmin"	##
765
## - Import, modification et paramètrage de l'interface "dialupadmin"	##
766
## - Création du lien vers la page de changement de mot de passe        ##
766
## - Création du lien vers la page de changement de mot de passe        ##
767
##########################################################################
767
##########################################################################
768
param_web_radius ()
768
param_web_radius ()
769
{
769
{
770
# copie de l'interface d'origine dans la structure Alcasar
770
# copie de l'interface d'origine dans la structure Alcasar
771
	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
771
	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
772
	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme 
772
	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme 
773
	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
773
	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
774
# copie des fichiers modifiés
774
# copie des fichiers modifiés
775
	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
775
	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
776
	chown -R apache:apache $DIR_ACC/manager/
776
	chown -R apache:apache $DIR_ACC/manager/
777
# Modification des fichiers de configuration
777
# Modification des fichiers de configuration
778
	[ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
778
	[ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
779
	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
779
	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
780
	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
780
	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
781
	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
781
	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
782
	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
782
	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
783
	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
783
	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
784
	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
784
	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
785
	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
785
	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
786
	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
786
	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
787
	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
787
	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
788
	[ -e /etc/freeradius-web/config.php.default ] || cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
788
	[ -e /etc/freeradius-web/config.php.default ] || cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
789
	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
789
	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
790
	cat <<EOF > /etc/freeradius-web/naslist.conf
790
	cat <<EOF > /etc/freeradius-web/naslist.conf
791
nas1_name: alcasar-$ORGANISME
791
nas1_name: alcasar-$ORGANISME
792
nas1_model: Portail captif
792
nas1_model: Portail captif
793
nas1_ip: $PRIVATE_IP
793
nas1_ip: $PRIVATE_IP
794
nas1_port_num: 0
794
nas1_port_num: 0
795
nas1_community: public
795
nas1_community: public
796
EOF
796
EOF
797
# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
797
# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
798
	[ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
798
	[ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
799
	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
799
	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
800
# Ajout du mappage des attributs chillispot
800
# Ajout du mappage des attributs chillispot
801
	[ -e /etc/freeradius-web/sql.attrmap.default ] || mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
801
	[ -e /etc/freeradius-web/sql.attrmap.default ] || mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
802
	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
802
	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
803
# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
803
# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
804
	[ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
804
	[ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
805
	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
805
	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
806
	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
806
	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
807
	chown -R apache:apache /etc/freeradius-web
807
	chown -R apache:apache /etc/freeradius-web
808
# Ajout de l'alias vers la page de "changement de mot de passe usager"
808
# Ajout de l'alias vers la page de "changement de mot de passe usager"
809
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
809
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
810
<Directory $DIR_WEB/pass>
810
<Directory $DIR_WEB/pass>
811
	SSLRequireSSL
811
	SSLRequireSSL
812
	AllowOverride None
812
	AllowOverride None
813
	Order deny,allow
813
	Order deny,allow
814
	Deny from all
814
	Deny from all
815
	Allow from 127.0.0.1
815
	Allow from 127.0.0.1
816
	Allow from $PRIVATE_NETWORK_MASK
816
	Allow from $PRIVATE_NETWORK_MASK
817
	ErrorDocument 404 https://$HOSTNAME
817
	ErrorDocument 404 https://$HOSTNAME
818
</Directory>
818
</Directory>
819
EOF
819
EOF
820
} # End of param_web_radius ()
820
} # End of param_web_radius ()
821
 
821
 
822
##################################################################################
822
##################################################################################
823
##			Fonction param_chilli					##
823
##			Fonction param_chilli					##
824
## - Création du fichier d'initialisation et de configuration de coova-chilli	##
824
## - Création du fichier d'initialisation et de configuration de coova-chilli	##
825
## - Paramètrage de la page d'authentification (intercept.php)			##
825
## - Paramètrage de la page d'authentification (intercept.php)			##
826
##################################################################################
826
##################################################################################
827
param_chilli ()
827
param_chilli ()
828
{
828
{
829
# init file creation
829
# init file creation
830
	[ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default
830
	[ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default
831
	cat <<EOF > /etc/init.d/chilli
831
	cat <<EOF > /etc/init.d/chilli
832
#!/bin/sh
832
#!/bin/sh
833
#
833
#
834
# chilli CoovaChilli init
834
# chilli CoovaChilli init
835
#
835
#
836
# chkconfig: 2345 65 35
836
# chkconfig: 2345 65 35
837
# description: CoovaChilli
837
# description: CoovaChilli
838
### BEGIN INIT INFO
838
### BEGIN INIT INFO
839
# Provides:       chilli
839
# Provides:       chilli
840
# Required-Start: network 
840
# Required-Start: network 
841
# Should-Start: 
841
# Should-Start: 
842
# Required-Stop:  network
842
# Required-Stop:  network
843
# Should-Stop: 
843
# Should-Stop: 
844
# Default-Start:  2 3 5
844
# Default-Start:  2 3 5
845
# Default-Stop:
845
# Default-Stop:
846
# Description:    CoovaChilli access controller
846
# Description:    CoovaChilli access controller
847
### END INIT INFO
847
### END INIT INFO
848
 
848
 
849
[ -f /usr/sbin/chilli ] || exit 0
849
[ -f /usr/sbin/chilli ] || exit 0
850
. /etc/init.d/functions
850
. /etc/init.d/functions
851
CONFIG=/etc/chilli.conf
851
CONFIG=/etc/chilli.conf
852
pidfile=/var/run/chilli.pid
852
pidfile=/var/run/chilli.pid
853
[ -f \$CONFIG ] || {
853
[ -f \$CONFIG ] || {
854
    echo "\$CONFIG Not found"
854
    echo "\$CONFIG Not found"
855
    exit 0
855
    exit 0
856
}
856
}
857
RETVAL=0
857
RETVAL=0
858
prog="chilli"
858
prog="chilli"
859
case \$1 in
859
case \$1 in
860
    start)
860
    start)
861
	if [ -f \$pidfile ] ; then 
861
	if [ -f \$pidfile ] ; then 
862
		gprintf "chilli is already running"
862
		gprintf "chilli is already running"
863
	else
863
	else
864
        	gprintf "Starting \$prog: "
864
        	gprintf "Starting \$prog: "
865
		rm -f /var/run/chilli* # cleaning
865
		rm -f /var/run/chilli* # cleaning
866
        	/sbin/modprobe tun >/dev/null 2>&1
866
        	/sbin/modprobe tun >/dev/null 2>&1
867
        	echo 1 > /proc/sys/net/ipv4/ip_forward
867
        	echo 1 > /proc/sys/net/ipv4/ip_forward
868
		[ -e /dev/net/tun ] || {
868
		[ -e /dev/net/tun ] || {
869
	    	(cd /dev; 
869
	    	(cd /dev; 
870
			mkdir net; 
870
			mkdir net; 
871
			cd net; 
871
			cd net; 
872
			mknod tun c 10 200)
872
			mknod tun c 10 200)
873
		}
873
		}
874
		ifconfig eth1 0.0.0.0
874
		ifconfig eth1 0.0.0.0
875
		daemon /usr/sbin/chilli -c \$CONFIG --pidfile=\$pidfile &
875
		daemon /usr/sbin/chilli -c \$CONFIG --pidfile=\$pidfile &
876
        	RETVAL=$?
876
        	RETVAL=$?
877
	fi
877
	fi
878
	;;
878
	;;
879
 
879
 
880
    reload)
880
    reload)
881
	killall -HUP chilli
881
	killall -HUP chilli
882
	;;
882
	;;
883
 
883
 
884
    restart)
884
    restart)
885
	\$0 stop
885
	\$0 stop
886
        sleep 2
886
        sleep 2
887
	\$0 start
887
	\$0 start
888
	;;
888
	;;
889
    
889
    
890
    status)
890
    status)
891
        status chilli
891
        status chilli
892
        RETVAL=0
892
        RETVAL=0
893
        ;;
893
        ;;
894
 
894
 
895
    stop)
895
    stop)
896
	if [ -f \$pidfile ] ; then  
896
	if [ -f \$pidfile ] ; then  
897
        	gprintf "Shutting down \$prog: "
897
        	gprintf "Shutting down \$prog: "
898
		killproc /usr/sbin/chilli
898
		killproc /usr/sbin/chilli
899
		RETVAL=\$?
899
		RETVAL=\$?
900
		[ \$RETVAL = 0 ] && rm -f $pidfile
900
		[ \$RETVAL = 0 ] && rm -f $pidfile
901
	else	
901
	else	
902
        	gprintf "chilli is not running"
902
        	gprintf "chilli is not running"
903
	fi
903
	fi
904
	;;
904
	;;
905
    
905
    
906
    *)
906
    *)
907
        echo "Usage: \$0 {start|stop|restart|reload|status}"
907
        echo "Usage: \$0 {start|stop|restart|reload|status}"
908
        exit 1
908
        exit 1
909
esac
909
esac
910
echo
910
echo
911
EOF
911
EOF
912
 
912
 
913
# conf file creation
913
# conf file creation
914
	[ -e /etc/chilli.conf.default ] || cp /etc/chilli.conf /etc/chilli.conf.default
914
	[ -e /etc/chilli.conf.default ] || cp /etc/chilli.conf /etc/chilli.conf.default
915
	cat <<EOF > /etc/chilli.conf
915
	cat <<EOF > /etc/chilli.conf
916
# coova config for ALCASAR
916
# coova config for ALCASAR
917
cmdsocket	/var/run/chilli.sock
917
cmdsocket	/var/run/chilli.sock
918
unixipc		chilli.eth1.ipc
918
unixipc		chilli.eth1.ipc
919
pidfile		/var/run/chilli.eth1.pid
919
pidfile		/var/run/chilli.eth1.pid
920
net		$PRIVATE_NETWORK_MASK
920
net		$PRIVATE_NETWORK_MASK
921
dhcpif		$INTIF
921
dhcpif		$INTIF
922
#nodynip
922
#nodynip
923
dynip		$PRIVATE_DYN_IP
923
dynip		$PRIVATE_DYN_IP
924
statip		$PRIVATE_STAT_IP
924
statip		$PRIVATE_STAT_IP
925
ethers		$DIR_DEST_ETC/alcasar-ethers
925
ethers		$DIR_DEST_ETC/alcasar-ethers
926
domain		localdomain
926
domain		localdomain
927
dns1		$PRIVATE_IP
927
dns1		$PRIVATE_IP
928
dns2		$PRIVATE_IP
928
dns2		$PRIVATE_IP
929
uamlisten	$PRIVATE_IP
929
uamlisten	$PRIVATE_IP
930
uamport		3990
930
uamport		3990
931
macallowlocal
931
macallowlocal
932
locationname	$HOSTNAME
932
locationname	$HOSTNAME
933
radiusserver1	127.0.0.1
933
radiusserver1	127.0.0.1
934
radiusserver2	127.0.0.1
934
radiusserver2	127.0.0.1
935
radiussecret	$secretradius
935
radiussecret	$secretradius
936
radiusauthport	1812
936
radiusauthport	1812
937
radiusacctport	1813
937
radiusacctport	1813
938
uamserver	https://$HOSTNAME/intercept.php
938
uamserver	https://$HOSTNAME/intercept.php
939
radiusnasid	$HOSTNAME
939
radiusnasid	$HOSTNAME
940
uamsecret	$secretuam
940
uamsecret	$secretuam
941
uamallowed	alcasar
941
uamallowed	alcasar
942
coaport		3799
942
coaport		3799
943
include		$DIR_DEST_ETC/alcasar-uamallowed
943
include		$DIR_DEST_ETC/alcasar-uamallowed
944
include		$DIR_DEST_ETC/alcasar-uamdomain
944
include		$DIR_DEST_ETC/alcasar-uamdomain
945
include		$DIR_DEST_ETC/alcasar-macallowed
945
include		$DIR_DEST_ETC/alcasar-macallowed
946
EOF
946
EOF
947
# création du fichier d'allocation d'adresses IP statiques
947
# création du fichier d'allocation d'adresses IP statiques
948
	touch $DIR_DEST_ETC/alcasar-ethers
948
	touch $DIR_DEST_ETC/alcasar-ethers
949
# création des fichiers de sites, d'urls et d'adresses MAC de confiance
949
# création des fichiers de sites, d'urls et d'adresses MAC de confiance
950
	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
950
	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
951
	chown root:apache $DIR_DEST_ETC/alcasar-*
951
	chown root:apache $DIR_DEST_ETC/alcasar-*
952
	chmod 660 $DIR_DEST_ETC/alcasar-*
952
	chmod 660 $DIR_DEST_ETC/alcasar-*
953
# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
953
# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
954
	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
954
	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
955
	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
955
	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
956
	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
956
	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
957
# user 'chilli' creation (in order to run conup/off and up/down scripts
957
# user 'chilli' creation (in order to run conup/off and up/down scripts
958
	chilli_exist=`grep chilli /etc/passwd|wc -l`
958
	chilli_exist=`grep chilli /etc/passwd|wc -l`
959
	if [ "$chilli_exist" == "1" ]
959
	if [ "$chilli_exist" == "1" ]
960
	then
960
	then
961
	      userdel -r chilli 2>/dev/null
961
	      userdel -r chilli 2>/dev/null
962
	fi
962
	fi
963
	groupadd -f chilli
963
	groupadd -f chilli
964
	useradd -r -g chilli -s /bin/false -c "system user for coova-chilli" chilli
964
	useradd -r -g chilli -s /bin/false -c "system user for coova-chilli" chilli
965
}  # End of param_chilli ()
965
}  # End of param_chilli ()
966
 
966
 
967
##########################################################
967
##########################################################
968
##			Fonction param_squid		##
968
##			Fonction param_squid		##
969
## - Paramètrage du proxy 'squid' en mode 'cache'	##
969
## - Paramètrage du proxy 'squid' en mode 'cache'	##
970
## - Initialisation de la base de données  		##
970
## - Initialisation de la base de données  		##
971
##########################################################
971
##########################################################
972
param_squid ()
972
param_squid ()
973
{
973
{
974
# paramètrage de Squid (connecté en série derrière Dansguardian)
974
# paramètrage de Squid (connecté en série derrière Dansguardian)
975
	[ -e /etc/squid/squid.conf.default  ] || cp /etc/squid/squid.conf /etc/squid/squid.conf.default
975
	[ -e /etc/squid/squid.conf.default  ] || cp /etc/squid/squid.conf /etc/squid/squid.conf.default
976
# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
976
# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
977
	$SED "/^acl localnet/d" /etc/squid/squid.conf
977
	$SED "/^acl localnet/d" /etc/squid/squid.conf
978
	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
978
	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
979
	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
979
	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
980
	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
980
	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
981
	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
981
	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
982
	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
982
	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
983
# mode 'proxy transparent local'
983
# mode 'proxy transparent local'
984
	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
984
	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
985
# Configuration du cache local
985
# Configuration du cache local
986
	$SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 256 16 256?g" /etc/squid/squid.conf
986
	$SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 256 16 256?g" /etc/squid/squid.conf
987
# emplacement et formatage standard des logs
987
# emplacement et formatage standard des logs
988
	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
988
	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
989
	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh' >> /etc/squid/squid.conf
989
	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh' >> /etc/squid/squid.conf
990
        echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
990
        echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
991
# compatibilité des logs avec awstats
991
# compatibilité des logs avec awstats
992
	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
992
	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
993
	echo "half_closed_clients off" >> /etc/squid/squid.conf
993
	echo "half_closed_clients off" >> /etc/squid/squid.conf
994
	echo "server_persistent_connections off" >> /etc/squid/squid.conf
994
	echo "server_persistent_connections off" >> /etc/squid/squid.conf
995
	echo "client_persistent_connections on" >> /etc/squid/squid.conf
995
	echo "client_persistent_connections on" >> /etc/squid/squid.conf
996
	echo "client_lifetime 1440 minutes" >> /etc/squid/squid.conf
996
	echo "client_lifetime 1440 minutes" >> /etc/squid/squid.conf
997
	echo "request_timeout 5 minutes" >> /etc/squid/squid.conf
997
	echo "request_timeout 5 minutes" >> /etc/squid/squid.conf
998
	echo "persistent_request_timeout 2 minutes" >> /etc/squid/squid.conf
998
	echo "persistent_request_timeout 2 minutes" >> /etc/squid/squid.conf
999
	echo "cache_mem 256 MB" >> /etc/squid/squid.conf
999
	echo "cache_mem 256 MB" >> /etc/squid/squid.conf
1000
	echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
1000
	echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
1001
	echo "maximum_object_size     4096 KB" >> /etc/squid/squid.conf
1001
	echo "maximum_object_size     4096 KB" >> /etc/squid/squid.conf
1002
# anonymisation de la version de squid
1002
# anonymisation of squid version
1003
	echo "via off" >> /etc/squid/squid.conf
1003
	echo "via off" >> /etc/squid/squid.conf
1004
# suppression de la primitive http 'X_forwarded'
1004
# remove the 'X_forwarded' http option
1005
	echo "forwarded_for delete" >> /etc/squid/squid.conf
1005
	echo "forwarded_for delete" >> /etc/squid/squid.conf
-
 
1006
# linked squid output in HAVP input
-
 
1007
	echo "cache_peer 127.0.0.1 parent 8090 0 no-query default" >> /etc/squid/squid.conf
-
 
1008
	echo "never_direct allow all" >> /etc/squid/squid.conf
1006
# pour éviter les message d'erreur lors des changement d'état des interfaces réseaux
1009
# avoid error messages on network interfaces state changes
1007
	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
1010
	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
1008
# Initialisation du cache de Squid
1011
# Squid cache init
1009
	/usr/sbin/squid -z
1012
	/usr/sbin/squid -z
1010
}  # End of param_squid ()
1013
}  # End of param_squid ()
1011
	
1014
	
1012
##################################################################
1015
##################################################################
1013
##		Fonction param_dansguardian			##
1016
##		Fonction param_dansguardian			##
1014
## - Paramètrage du gestionnaire de contenu Dansguardian	##
1017
## - Paramètrage du gestionnaire de contenu Dansguardian	##
1015
##################################################################
1018
##################################################################
1016
param_dansguardian ()
1019
param_dansguardian ()
1017
{
1020
{
1018
	mkdir /var/dansguardian
1021
	mkdir /var/dansguardian
1019
	chown dansguardian /var/dansguardian
1022
	chown dansguardian /var/dansguardian
1020
	[ -e $DIR_DG/dansguardian.conf.default ] || cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
1023
	[ -e $DIR_DG/dansguardian.conf.default ] || cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
1021
# Le filtrage est désactivé par défaut 
1024
# Le filtrage est désactivé par défaut 
1022
	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1025
	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1023
# la page d'interception est en français
1026
# la page d'interception est en français
1024
	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1027
	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1025
# on limite l'écoute de Dansguardian côté LAN
1028
# on limite l'écoute de Dansguardian côté LAN
1026
	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
1029
	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
1027
# on chaîne Dansguardian au proxy antivirus HAVP
1030
# on chaîne Dansguardian au proxy cache SQUID
1028
	$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
1031
	$SED "s?^proxyport.*?proxyport = 3128?g" $DIR_DG/dansguardian.conf
1029
# on remplace la page d'interception (template)
1032
# on remplace la page d'interception (template)
1030
	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
1033
	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
1031
	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
1034
	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
1032
# on ne loggue que les deny (pour le reste, on a squid)
1035
# on ne loggue que les deny (pour le reste, on a squid)
1033
	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
1036
	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
1034
# lauch of 10 daemons (20 in largest server)
1037
# lauch of 10 daemons (20 in largest server)
1035
	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1038
	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1036
# on désactive par défaut le controle de contenu des pages html
1039
# on désactive par défaut le controle de contenu des pages html
1037
	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
1040
	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
1038
	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
1041
	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
1039
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1042
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1040
# on désactive par défaut le contrôle d'URL par expressions régulières
1043
# on désactive par défaut le contrôle d'URL par expressions régulières
1041
	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
1044
	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
1042
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1045
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1043
# on désactive par défaut le contrôle de téléchargement de fichiers
1046
# on désactive par défaut le contrôle de téléchargement de fichiers
1044
	[ -e $DIR_DG/dansguardianf1.conf.default ] || cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
1047
	[ -e $DIR_DG/dansguardianf1.conf.default ] || cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
1045
	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
1048
	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
1046
	[ -e $DIR_DG/lists/bannedextensionlist.default ] || mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
1049
	[ -e $DIR_DG/lists/bannedextensionlist.default ] || mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
1047
	[ -e $DIR_DG/lists/bannedmimetypelist.default ] || mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
1050
	[ -e $DIR_DG/lists/bannedmimetypelist.default ] || mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
1048
	touch $DIR_DG/lists/bannedextensionlist
1051
	touch $DIR_DG/lists/bannedextensionlist
1049
	touch $DIR_DG/lists/bannedmimetypelist
1052
	touch $DIR_DG/lists/bannedmimetypelist
1050
# 'Safesearch' regex actualisation
1053
# 'Safesearch' regex actualisation
1051
	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
1054
	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
1052
# empty LAN IP list that won't be WEB filtered
1055
# empty LAN IP list that won't be WEB filtered
1053
	[ -e $DIR_DG/lists/exceptioniplist.default ] || mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
1056
	[ -e $DIR_DG/lists/exceptioniplist.default ] || mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
1054
	touch $DIR_DG/lists/exceptioniplist
1057
	touch $DIR_DG/lists/exceptioniplist
1055
# Keep a copy of URL & domain filter configuration files
1058
# Keep a copy of URL & domain filter configuration files
1056
	[ -e $DIR_DG/lists/bannedsitelist.default ] || mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
1059
	[ -e $DIR_DG/lists/bannedsitelist.default ] || mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
1057
	[ -e $DIR_DG/lists/bannedurllist.default ] || mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1060
	[ -e $DIR_DG/lists/bannedurllist.default ] || mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1058
} # End of param_dansguardian ()
1061
} # End of param_dansguardian ()
1059
 
1062
 
1060
##################################################################
1063
##################################################################
1061
##			Fonction antivirus			##
1064
##			Fonction antivirus			##
1062
## - configuration havp + libclamav				##
1065
## - configuration havp + libclamav				##
1063
##################################################################
1066
##################################################################
1064
antivirus ()		
1067
antivirus ()		
1065
{
1068
{
1066
# création de l'usager 'havp'
1069
# création de l'usager 'havp'
1067
	havp_exist=`grep havp /etc/passwd|wc -l`
1070
	havp_exist=`grep havp /etc/passwd|wc -l`
1068
	if [ "$havp_exist" == "1" ]
1071
	if [ "$havp_exist" == "1" ]
1069
	then
1072
	then
1070
	      userdel -r havp 2>/dev/null
1073
	      userdel -r havp 2>/dev/null
1071
	fi
1074
	fi
1072
	groupadd -f havp
1075
	groupadd -f havp
1073
	useradd -r -g havp -s /bin/false -c "system user for havp" havp
1076
	useradd -r -g havp -s /bin/false -c "system user for havp" havp
1074
	mkdir -p /var/tmp/havp /var/log/havp
1077
	mkdir -p /var/tmp/havp /var/log/havp
1075
	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
1078
	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
1076
	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
1079
	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
1077
# configuration d'HAVP
1080
# configuration d'HAVP
1078
	[ -e /etc/havp/havp.config.default ] || cp /etc/havp/havp.config /etc/havp/havp.config.default
1081
	[ -e /etc/havp/havp.config.default ] || cp /etc/havp/havp.config /etc/havp/havp.config.default
1079
	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
1082
	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
1080
	$SED "s?^# PARENTPROXY.*?PARENTPROXY 127.0.0.1?g" /etc/havp/havp.config		# datas come from DG
-
 
1081
	$SED "s?^# PARENTPORT.*?PARENTPORT 3128?g" /etc/havp/havp.config		# datas are send to squid (3128)
-
 
1082
	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config				# datas come on 8090			
1083
	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config				# datas come on 8090			
1083
	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config	# we listen only on loopback
1084
	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config	# we listen only on loopback
1084
	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config		# active libclamav AV
1085
	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config		# active libclamav AV
1085
	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config			# log only when malware matches
1086
	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config			# log only when malware matches
1086
	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config		# 10 daemons are started simultaneously
1087
	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config		# 10 daemons are started simultaneously
-
 
1088
	$SED "s?^# SCANIMAGES.*?SCANIMAGES false?g" /etc/havp/havp.config		# doesn't scan image files
-
 
1089
	$SED "s?^# SKIPMIME.*?SKIPMIME image\/\* video\/\* audio\/\*?g" /etc/havp/havp.config # doesn't scan some multimedia files
1087
# remplacement du fichier d'initialisation
1090
# remplacement du fichier d'initialisation
1088
	[ -e /etc/init.d/havp.default ] || cp /etc/init.d/havp /etc/init.d/havp.default
1091
	[ -e /etc/init.d/havp.default ] || cp /etc/init.d/havp /etc/init.d/havp.default
1089
	cp -f $DIR_CONF/havp-init /etc/init.d/havp
1092
	cp -f $DIR_CONF/havp-init /etc/init.d/havp
1090
# on remplace la page d'interception (template)
1093
# on remplace la page d'interception (template)
1091
	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
1094
	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
1092
	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
1095
	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
1093
# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
1096
# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
1094
	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
1097
	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
1095
	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
1098
	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
1096
# Virus database update
1099
# Virus database update
1097
	rm -f /var/lib/clamav/*.cld # in case of old database scheme
1100
	rm -f /var/lib/clamav/*.cld # in case of old database scheme
1098
	[ -e /var/lib/clamav/main.cvd ] || /usr/bin/freshclam
1101
	[ -e /var/lib/clamav/main.cvd ] || /usr/bin/freshclam
1099
}
1102
}
1100
 
1103
 
1101
##################################################################################
1104
##################################################################################
1102
##			param_ulogd function					##
1105
##			param_ulogd function					##
1103
## - Ulog config for multi-log files 						##
1106
## - Ulog config for multi-log files 						##
1104
##################################################################################
1107
##################################################################################
1105
param_ulogd ()
1108
param_ulogd ()
1106
{
1109
{
1107
# Three instances of ulogd (three different logfiles)
1110
# Three instances of ulogd (three different logfiles)
1108
	[ -d /var/log/firewall ] || mkdir -p /var/log/firewall
1111
	[ -d /var/log/firewall ] || mkdir -p /var/log/firewall
1109
	nl=1
1112
	nl=1
1110
	for log_type in tracability ssh ext-access
1113
	for log_type in tracability ssh ext-access
1111
	do
1114
	do
1112
		[ -e /var/log/firewall/$log_type.log ] || touch /var/log/firewall/$log_type.log
1115
		[ -e /var/log/firewall/$log_type.log ] || touch /var/log/firewall/$log_type.log
1113
		cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
1116
		cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
1114
		$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf 
1117
		$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf 
1115
		$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
1118
		$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
1116
		cat << EOF >> /etc/ulogd-$log_type.conf
1119
		cat << EOF >> /etc/ulogd-$log_type.conf
1117
[LOGEMU]
1120
[LOGEMU]
1118
file="/var/log/firewall/$log_type.log"
1121
file="/var/log/firewall/$log_type.log"
1119
sync=1
1122
sync=1
1120
EOF
1123
EOF
1121
		nl=`expr $nl + 1`
1124
		nl=`expr $nl + 1`
1122
	done
1125
	done
1123
	chown -R root:apache /var/log/firewall
1126
	chown -R root:apache /var/log/firewall
1124
	chmod 750 /var/log/firewall
1127
	chmod 750 /var/log/firewall
1125
	chmod 640 /var/log/firewall/*
1128
	chmod 640 /var/log/firewall/*
1126
	[ -e /etc/init.d/ulogd.default ] || cp /etc/init.d/ulogd /etc/init.d/ulogd.default
1129
	[ -e /etc/init.d/ulogd.default ] || cp /etc/init.d/ulogd /etc/init.d/ulogd.default
1127
	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
1130
	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
1128
}  # End of param_ulogd ()
1131
}  # End of param_ulogd ()
1129
 
1132
 
1130
##################################################################################
1133
##################################################################################
1131
##				Fonction param_awstats				##
1134
##				Fonction param_awstats				##
1132
## - configuration de l'interface des logs de consultation WEB (AWSTAT)		##
1135
## - configuration de l'interface des logs de consultation WEB (AWSTAT)		##
1133
##################################################################################
1136
##################################################################################
1134
param_awstats()
1137
param_awstats()
1135
{
1138
{
1136
	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
1139
	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
1137
	chown -R apache:apache $DIR_ACC/awstats
1140
	chown -R apache:apache $DIR_ACC/awstats
1138
	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
1141
	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
1139
	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
1142
	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
1140
	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
1143
	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
1141
	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
1144
	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
1142
	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
1145
	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
1143
	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
1146
	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
1144
	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
1147
	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
1145
	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1148
	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1146
	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
1149
	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
1147
	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
1150
	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
1148
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1151
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1149
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1152
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1150
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1153
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1151
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1154
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1152
	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
1155
	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
1153
	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
1156
	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
1154
	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
1157
	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
1155
	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
1158
	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
1156
	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
1159
	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
1157
	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
1160
	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
1158
	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
1161
	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
1159
	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
1162
	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
1160
	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
1163
	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
1161
	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
1164
	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
1162
	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
1165
	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
1163
	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
1166
	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
1164
 
1167
 
1165
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
1168
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
1166
<Directory $DIR_ACC/awstats>
1169
<Directory $DIR_ACC/awstats>
1167
	SSLRequireSSL
1170
	SSLRequireSSL
1168
	Options ExecCGI
1171
	Options ExecCGI
1169
	AddHandler cgi-script .pl
1172
	AddHandler cgi-script .pl
1170
	DirectoryIndex awstats.pl
1173
	DirectoryIndex awstats.pl
1171
	Order deny,allow
1174
	Order deny,allow
1172
	Deny from all
1175
	Deny from all
1173
	Allow from 127.0.0.1
1176
	Allow from 127.0.0.1
1174
	Allow from $PRIVATE_NETWORK_MASK
1177
	Allow from $PRIVATE_NETWORK_MASK
1175
	require valid-user
1178
	require valid-user
1176
	AuthType digest
1179
	AuthType digest
1177
	AuthName $HOSTNAME
1180
	AuthName $HOSTNAME
1178
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
1181
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
1179
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
1182
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
1180
	ErrorDocument 404 https://$HOSTNAME/
1183
	ErrorDocument 404 https://$HOSTNAME/
1181
</Directory>
1184
</Directory>
1182
SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
1185
SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
1183
EOF
1186
EOF
1184
} # End of param_awstats ()
1187
} # End of param_awstats ()
1185
 
1188
 
1186
##########################################################
1189
##########################################################
1187
##		Fonction param_dnsmasq			##
1190
##		Fonction param_dnsmasq			##
1188
##########################################################
1191
##########################################################
1189
param_dnsmasq ()
1192
param_dnsmasq ()
1190
{
1193
{
1191
	[ -d /var/log/dnsmasq ] || mkdir /var/log/dnsmasq
1194
	[ -d /var/log/dnsmasq ] || mkdir /var/log/dnsmasq
1192
	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
1195
	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
1193
	[ -e /etc/dnsmasq.conf.default ] || cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
1196
	[ -e /etc/dnsmasq.conf.default ] || cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
1194
# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
1197
# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
1195
	cat << EOF > /etc/dnsmasq.conf 
1198
	cat << EOF > /etc/dnsmasq.conf 
1196
# Configuration file for "dnsmasq in forward mode"
1199
# Configuration file for "dnsmasq in forward mode"
1197
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
1200
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
1198
listen-address=$PRIVATE_IP
1201
listen-address=$PRIVATE_IP
1199
listen-address=127.0.0.1
1202
listen-address=127.0.0.1
1200
no-dhcp-interface=$INTIF
1203
no-dhcp-interface=$INTIF
1201
bind-interfaces
1204
bind-interfaces
1202
cache-size=256
1205
cache-size=256
1203
domain=$DOMAIN
1206
domain=$DOMAIN
1204
domain-needed
1207
domain-needed
1205
expand-hosts
1208
expand-hosts
1206
bogus-priv
1209
bogus-priv
1207
filterwin2k
1210
filterwin2k
1208
server=$DNS1
1211
server=$DNS1
1209
server=$DNS2
1212
server=$DNS2
1210
# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
1213
# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
1211
dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_NETMASK,12h
1214
dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_NETMASK,12h
1212
dhcp-option=option:router,$PRIVATE_IP
1215
dhcp-option=option:router,$PRIVATE_IP
1213
#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
1216
#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
1214
 
1217
 
1215
# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
1218
# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
1216
#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
1219
#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
1217
EOF
1220
EOF
1218
# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
1221
# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
1219
	cat << EOF > /etc/dnsmasq-blackhole.conf 
1222
	cat << EOF > /etc/dnsmasq-blackhole.conf 
1220
	# Configuration file for "dnsmasq with blackhole"
1223
	# Configuration file for "dnsmasq with blackhole"
1221
# Inclusion de la blacklist <domains> de Toulouse dans la configuration
1224
# Inclusion de la blacklist <domains> de Toulouse dans la configuration
1222
conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
1225
conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
1223
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
1226
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
1224
listen-address=$PRIVATE_IP
1227
listen-address=$PRIVATE_IP
1225
port=54
1228
port=54
1226
no-dhcp-interface=$INTIF
1229
no-dhcp-interface=$INTIF
1227
bind-interfaces
1230
bind-interfaces
1228
cache-size=256
1231
cache-size=256
1229
domain=$DOMAIN
1232
domain=$DOMAIN
1230
domain-needed
1233
domain-needed
1231
expand-hosts
1234
expand-hosts
1232
bogus-priv
1235
bogus-priv
1233
filterwin2k
1236
filterwin2k
1234
server=$DNS1
1237
server=$DNS1
1235
server=$DNS2
1238
server=$DNS2
1236
EOF
1239
EOF
1237
 
1240
 
1238
# Init file modification
1241
# Init file modification
1239
[ -e /etc/init.d/dnsmasq.default ] || cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
1242
[ -e /etc/init.d/dnsmasq.default ] || cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
1240
# Start and stop a 2nd process for the "DNS blackhole"
1243
# Start and stop a 2nd process for the "DNS blackhole"
1241
$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
1244
$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
1242
$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
1245
$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
1243
# Start after chilli (65) which create tun0
1246
# Start after chilli (65) which create tun0
1244
$SED "s?^# chkconfig:.*?# chkconfig: 2345 99 40?g" /etc/init.d/dnsmasq
1247
$SED "s?^# chkconfig:.*?# chkconfig: 2345 99 40?g" /etc/init.d/dnsmasq
1245
# Optionnellement on active les logs DNS des clients
1248
# Optionnellement on active les logs DNS des clients
1246
[ -e /etc/sysconfig/dnsmasq.default ] || cp /etc/sysconfig/dnsmasq /etc/sysconfig/dnsmasq.default
1249
[ -e /etc/sysconfig/dnsmasq.default ] || cp /etc/sysconfig/dnsmasq /etc/sysconfig/dnsmasq.default
1247
$SED "s?^OPTIONS=.*?#OPTIONS=\"-q --log-facility=/var/log/dnsmasq/queries.log\"?g"  /etc/sysconfig/dnsmasq
1250
$SED "s?^OPTIONS=.*?#OPTIONS=\"-q --log-facility=/var/log/dnsmasq/queries.log\"?g"  /etc/sysconfig/dnsmasq
1248
} # End dnsmasq
1251
} # End dnsmasq
1249
 
1252
 
1250
##########################################################
1253
##########################################################
1251
##		Fonction BL (BlackList)			##
1254
##		Fonction BL (BlackList)			##
1252
##########################################################
1255
##########################################################
1253
BL ()
1256
BL ()
1254
{
1257
{
1255
# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
1258
# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
1256
	rm -rf $DIR_DG/lists/blacklists
1259
	rm -rf $DIR_DG/lists/blacklists
1257
	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
1260
	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
1258
	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
1261
	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
1259
	chown apache:apache $DIR_ACC/VERSION-BL
1262
	chown apache:apache $DIR_ACC/VERSION-BL
1260
# on crée le répertoire de la BL secondaire et le répertoire "pureip" (catégorie virtuelle)
1263
# on crée le répertoire de la BL secondaire et le répertoire "pureip" (catégorie virtuelle)
1261
	mkdir $DIR_DG/lists/blacklists/ossi $DIR_DG/lists/blacklists/ip
1264
	mkdir $DIR_DG/lists/blacklists/ossi $DIR_DG/lists/blacklists/ip
1262
	touch $DIR_DG/lists/blacklists/ossi/domains $DIR_DG/lists/blacklists/ip/domains
1265
	touch $DIR_DG/lists/blacklists/ossi/domains $DIR_DG/lists/blacklists/ip/domains
1263
	touch $DIR_DG/lists/blacklists/ossi/urls $DIR_DG/lists/blacklists/ip/urls
1266
	touch $DIR_DG/lists/blacklists/ossi/urls $DIR_DG/lists/blacklists/ip/urls
1264
# On crée les fichiers vides de sites ou d'URL réhabilités
1267
# On crée les fichiers vides de sites ou d'URL réhabilités
1265
	[ -e $DIR_DG/lists/exceptionsitelist.default ] || mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
1268
	[ -e $DIR_DG/lists/exceptionsitelist.default ] || mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
1266
	[ -e $DIR_DG/lists/exceptionurllist.default ] || mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
1269
	[ -e $DIR_DG/lists/exceptionurllist.default ] || mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
1267
	touch $DIR_DG/lists/exceptionsitelist
1270
	touch $DIR_DG/lists/exceptionsitelist
1268
	touch $DIR_DG/lists/exceptionurllist
1271
	touch $DIR_DG/lists/exceptionurllist
1269
# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
1272
# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
1270
	cat <<EOF > $DIR_DG/lists/bannedurllist
1273
	cat <<EOF > $DIR_DG/lists/bannedurllist
1271
# Dansguardian filter config for ALCASAR
1274
# Dansguardian filter config for ALCASAR
1272
EOF
1275
EOF
1273
	cat <<EOF > $DIR_DG/lists/bannedsitelist
1276
	cat <<EOF > $DIR_DG/lists/bannedsitelist
1274
# Dansguardian domain filter config for ALCASAR
1277
# Dansguardian domain filter config for ALCASAR
1275
# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
1278
# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
1276
#**
1279
#**
1277
# block all SSL and CONNECT tunnels
1280
# block all SSL and CONNECT tunnels
1278
**s
1281
**s
1279
# block all SSL and CONNECT tunnels specified only as an IP
1282
# block all SSL and CONNECT tunnels specified only as an IP
1280
*ips
1283
*ips
1281
# block all sites specified only by an IP
1284
# block all sites specified only by an IP
1282
*ip
1285
*ip
1283
EOF
1286
EOF
1284
	chown -R dansguardian:apache $DIR_DG
1287
	chown -R dansguardian:apache $DIR_DG
1285
	chmod -R g+rw $DIR_DG
1288
	chmod -R g+rw $DIR_DG
1286
# On crée la structure du DNS-blackhole :
1289
# On crée la structure du DNS-blackhole :
1287
  	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1290
  	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1288
	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1291
	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1289
	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1292
	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1290
# On fait pointer le black-hole sur une page interne
1293
# On fait pointer le black-hole sur une page interne
1291
	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
1294
	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
1292
# On adapte la BL de Toulouse à notre structure
1295
# On adapte la BL de Toulouse à notre structure
1293
	if [ "$mode" != "update" ]; then
1296
	if [ "$mode" != "update" ]; then
1294
		$DIR_DEST_SBIN/alcasar-bl.sh --adapt
1297
		$DIR_DEST_SBIN/alcasar-bl.sh --adapt
1295
	fi
1298
	fi
1296
}
1299
}
1297
 
1300
 
1298
##########################################################
1301
##########################################################
1299
##		Fonction cron				##
1302
##		Fonction cron				##
1300
## - Mise en place des différents fichiers de cron	##
1303
## - Mise en place des différents fichiers de cron	##
1301
##########################################################
1304
##########################################################
1302
cron ()
1305
cron ()
1303
{
1306
{
1304
# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
1307
# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
1305
	[ -e /etc/crontab.default ] || cp /etc/crontab /etc/crontab.default
1308
	[ -e /etc/crontab.default ] || cp /etc/crontab /etc/crontab.default
1306
	cat <<EOF > /etc/crontab
1309
	cat <<EOF > /etc/crontab
1307
SHELL=/bin/bash
1310
SHELL=/bin/bash
1308
PATH=/sbin:/bin:/usr/sbin:/usr/bin
1311
PATH=/sbin:/bin:/usr/sbin:/usr/bin
1309
MAILTO=root
1312
MAILTO=root
1310
HOME=/
1313
HOME=/
1311
 
1314
 
1312
# run-parts
1315
# run-parts
1313
01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
1316
01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
1314
02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
1317
02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
1315
22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
1318
22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
1316
42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
1319
42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
1317
EOF
1320
EOF
1318
	[ -e /etc/anacrontab.default ] || cp /etc/anacrontab /etc/anacrontab.default
1321
	[ -e /etc/anacrontab.default ] || cp /etc/anacrontab /etc/anacrontab.default
1319
	cat <<EOF >> /etc/anacrontab
1322
	cat <<EOF >> /etc/anacrontab
1320
7       8       cron.MysqlDump          nice /etc/cron.d/alcasar-mysql
1323
7       8       cron.MysqlDump          nice /etc/cron.d/alcasar-mysql
1321
7       10      cron.logExport          nice /etc/cron.d/alcasar-export_log
1324
7       10      cron.logExport          nice /etc/cron.d/alcasar-export_log
1322
7       15      cron.logClean           nice /etc/cron.d/alcasar-clean_log
1325
7       15      cron.logClean           nice /etc/cron.d/alcasar-clean_log
1323
7	20	cron.importClean	nice /etc/cron.d/alcasar-clean_import
1326
7	20	cron.importClean	nice /etc/cron.d/alcasar-clean_import
1324
EOF
1327
EOF
1325
	cat <<EOF > /etc/cron.d/alcasar-clean_log
1328
	cat <<EOF > /etc/cron.d/alcasar-clean_log
1326
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1329
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1327
30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
1330
30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
1328
EOF
1331
EOF
1329
	cat <<EOF > /etc/cron.d/alcasar-mysql
1332
	cat <<EOF > /etc/cron.d/alcasar-mysql
1330
# export de la base des usagers (tous les lundi à 4h45)
1333
# export de la base des usagers (tous les lundi à 4h45)
1331
45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
1334
45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
1332
EOF
1335
EOF
1333
	cat <<EOF > /etc/cron.d/alcasar-export_log
1336
	cat <<EOF > /etc/cron.d/alcasar-export_log
1334
# export des log squid, firewall et apache (tous les lundi à 5h00)
1337
# export des log squid, firewall et apache (tous les lundi à 5h00)
1335
00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
1338
00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
1336
EOF
1339
EOF
1337
	cat << EOF > /etc/cron.d/awstats
1340
	cat << EOF > /etc/cron.d/awstats
1338
# mise à jour des stats de consultation WEB toutes les 30'
1341
# mise à jour des stats de consultation WEB toutes les 30'
1339
*/30 * * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1342
*/30 * * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1340
EOF
1343
EOF
1341
	cat << EOF > /etc/cron.d/alcasar-clean_import
1344
	cat << EOF > /etc/cron.d/alcasar-clean_import
1342
# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
1345
# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
1343
30 * * * *  root $DIR_DEST_BIN/alcasar-import-clean.sh
1346
30 * * * *  root $DIR_DEST_BIN/alcasar-import-clean.sh
1344
EOF
1347
EOF
1345
	cat << EOF > /etc/cron.d/alcasar-distrib-updates
1348
	cat << EOF > /etc/cron.d/alcasar-distrib-updates
1346
# mise à jour automatique de la distribution tous les jours 3h30
1349
# mise à jour automatique de la distribution tous les jours 3h30
1347
30 3 * * *  root /usr/sbin/urpmi --auto-update --auto 2>&1
1350
30 3 * * *  root /usr/sbin/urpmi --auto-update --auto 2>&1
1348
EOF
1351
EOF
1349
# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
1352
# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
1350
# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
1353
# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
1351
# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct') 
1354
# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct') 
1352
# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
1355
# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
1353
# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
1356
# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
1354
# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
1357
# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
1355
	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
1358
	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
1356
	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
1359
	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
1357
	rm -f /etc/cron.daily/freeradius-web
1360
	rm -f /etc/cron.daily/freeradius-web
1358
	rm -f /etc/cron.monthly/freeradius-web
1361
	rm -f /etc/cron.monthly/freeradius-web
1359
	cat << EOF > /etc/cron.d/freeradius-web
1362
	cat << EOF > /etc/cron.d/freeradius-web
1360
1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
1363
1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
1361
5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
1364
5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
1362
10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
1365
10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
1363
15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
1366
15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
1364
EOF
1367
EOF
1365
	cat << EOF > /etc/cron.d/alcasar-watchdog
1368
	cat << EOF > /etc/cron.d/alcasar-watchdog
1366
# activation du "chien de garde" (watchdog) toutes les 3'
1369
# activation du "chien de garde" (watchdog) toutes les 3'
1367
*/3 * * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
1370
*/3 * * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
1368
EOF
1371
EOF
1369
# activation du "chien de garde des services" (watchdog) toutes les 18'
1372
# activation du "chien de garde des services" (watchdog) toutes les 18'
1370
	cat << EOF > /etc/cron.d/alcasar-daemon-watchdog
1373
	cat << EOF > /etc/cron.d/alcasar-daemon-watchdog
1371
# activation du "chien de garde" (daemon-watchdog) toutes les 18'
1374
# activation du "chien de garde" (daemon-watchdog) toutes les 18'
1372
*/18 * * * * root $DIR_DEST_BIN/alcasar-daemon.sh > /dev/null 2>&1
1375
*/18 * * * * root $DIR_DEST_BIN/alcasar-daemon.sh > /dev/null 2>&1
1373
EOF
1376
EOF
1374
# suppression des crons usagers
1377
# suppression des crons usagers
1375
	rm -f /var/spool/cron/*
1378
	rm -f /var/spool/cron/*
1376
} # End cron
1379
} # End cron
1377
 
1380
 
1378
##################################################################
1381
##################################################################
1379
##			Fonction post_install			##
1382
##			Fonction post_install			##
1380
## - Modification des bannières (locales et ssh) et des prompts ##
1383
## - Modification des bannières (locales et ssh) et des prompts ##
1381
## - Installation de la structure de chiffrement pour root	##
1384
## - Installation de la structure de chiffrement pour root	##
1382
## - Mise en place du sudoers et de la sécurité sur les fichiers##
1385
## - Mise en place du sudoers et de la sécurité sur les fichiers##
1383
## - Mise en place du la rotation des logs			##
1386
## - Mise en place du la rotation des logs			##
1384
## - Configuration dans le cas d'une mise à jour		##
1387
## - Configuration dans le cas d'une mise à jour		##
1385
##################################################################
1388
##################################################################
1386
post_install()
1389
post_install()
1387
{
1390
{
1388
# adaptation du script "chien de garde" (watchdog)
1391
# adaptation du script "chien de garde" (watchdog)
1389
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1392
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1390
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1393
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1391
	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1394
	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1392
# création de la bannière locale
1395
# création de la bannière locale
1393
	[ -e /etc/mandriva-release.default ]  || cp /etc/mandriva-release /etc/mandriva-release.default
1396
	[ -e /etc/mandriva-release.default ]  || cp /etc/mandriva-release /etc/mandriva-release.default
1394
	cp -f $DIR_CONF/banner /etc/mandriva-release
1397
	cp -f $DIR_CONF/banner /etc/mandriva-release
1395
	echo " V$VERSION" >> /etc/mandriva-release
1398
	echo " V$VERSION" >> /etc/mandriva-release
1396
# création de la bannière SSH
1399
# création de la bannière SSH
1397
	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
1400
	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
1398
	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1401
	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1399
	[ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
1402
	[ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
1400
	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1403
	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1401
	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1404
	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1402
# postfix banner anonymisation
1405
# postfix banner anonymisation
1403
	$SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf
1406
	$SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf
1404
# sshd écoute côté LAN et WAN
1407
# sshd écoute côté LAN et WAN
1405
	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
1408
	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
1406
	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config 
1409
	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config 
1407
	# Put the default value in conf file (sshd, QOS and protocols/dns/ext_LAN filtering are off)(web antivirus is on)
1410
	# Put the default value in conf file (sshd, QOS and protocols/dns/ext_LAN filtering are off)(web antivirus is on)
1408
	/sbin/chkconfig --del sshd
1411
	/sbin/chkconfig --del sshd
1409
	echo "SSH=off" >> $CONF_FILE
1412
	echo "SSH=off" >> $CONF_FILE
1410
	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
1413
	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
1411
	echo "QOS=off" >> $CONF_FILE
1414
	echo "QOS=off" >> $CONF_FILE
1412
	echo "LDAP=off" >> $CONF_FILE
1415
	echo "LDAP=off" >> $CONF_FILE
1413
	echo "LDAP_IP=0.0.0.0/0.0.0.0" >> $CONF_FILE
1416
	echo "LDAP_IP=0.0.0.0/0.0.0.0" >> $CONF_FILE
1414
	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
1417
	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
1415
	echo "EXT_LAN_FILTERING=off" >> $CONF_FILE
1418
	echo "EXT_LAN_FILTERING=off" >> $CONF_FILE
1416
	echo "DNS_FILTERING=off" >> $CONF_FILE
1419
	echo "DNS_FILTERING=off" >> $CONF_FILE
1417
	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
1420
	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
1418
# Coloration des prompts
1421
# Coloration des prompts
1419
	[ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default
1422
	[ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default
1420
	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
1423
	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
1421
	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1424
	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1422
# Droits d'exécution pour utilisateur apache et sysadmin
1425
# Droits d'exécution pour utilisateur apache et sysadmin
1423
	[ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default
1426
	[ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default
1424
	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
1427
	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
1425
	$SED "s?^Host_Alias.*?Host_Alias	LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost		#réseau de l'organisme?g" /etc/sudoers
1428
	$SED "s?^Host_Alias.*?Host_Alias	LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost		#réseau de l'organisme?g" /etc/sudoers
1426
# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1429
# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1427
	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
1430
	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
1428
	chmod 644 /etc/logrotate.d/*
1431
	chmod 644 /etc/logrotate.d/*
1429
# rectification sur versions précédentes de la compression des logs
1432
# rectification sur versions précédentes de la compression des logs
1430
	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
1433
	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
1431
# actualisation des fichiers logs compressés
1434
# actualisation des fichiers logs compressés
1432
	for dir in firewall squid dansguardian httpd
1435
	for dir in firewall squid dansguardian httpd
1433
	do
1436
	do
1434
	      find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
1437
	      find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
1435
	done
1438
	done
1436
# export des logs en 'retard' dans /var/Save/logs
1439
# export des logs en 'retard' dans /var/Save/logs
1437
	/usr/local/bin/alcasar-log-export.sh
1440
	/usr/local/bin/alcasar-log-export.sh
1438
# processus lancés par défaut au démarrage
1441
# processus lancés par défaut au démarrage
1439
	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd netfs mysqld dansguardian havp freshclam
1442
	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd netfs mysqld dansguardian havp freshclam
1440
	do
1443
	do
1441
		/sbin/chkconfig --add $i
1444
		/sbin/chkconfig --add $i
1442
	done
1445
	done
1443
# pour éviter les alertes de dépendance entre service.
1446
# pour éviter les alertes de dépendance entre service.
1444
	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
1447
	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
1445
	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
1448
	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
1446
	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
1449
	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
1447
	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
1450
	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
1448
# On affecte le niveau de sécurité du système : type "fileserver"
1451
# On affecte le niveau de sécurité du système : type "fileserver"
1449
	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
1452
	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
1450
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
1453
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
1451
	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
1454
	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
1452
# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
1455
# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
1453
# Apply French Security Agency rules (sysctl + msec when possible)
1456
# Apply French Security Agency rules (sysctl + msec when possible)
1454
# ignorer les broadcast ICMP. (attaque smurf) 
1457
# ignorer les broadcast ICMP. (attaque smurf) 
1455
$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
1458
$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
1456
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
1459
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
1457
# ignorer les erreurs ICMP bogus
1460
# ignorer les erreurs ICMP bogus
1458
$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
1461
$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
1459
sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
1462
sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
1460
# désactiver l'envoi et la réponse aux ICMP redirects
1463
# désactiver l'envoi et la réponse aux ICMP redirects
1461
sysctl -w net.ipv4.conf.all.accept_redirects=0
1464
sysctl -w net.ipv4.conf.all.accept_redirects=0
1462
accept_redirect=`grep accept_redirect /etc/sysctl.conf|wc -l`
1465
accept_redirect=`grep accept_redirect /etc/sysctl.conf|wc -l`
1463
	if [ "$accept_redirect" == "0" ]
1466
	if [ "$accept_redirect" == "0" ]
1464
	then
1467
	then
1465
		echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
1468
		echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
1466
	else
1469
	else
1467
		$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
1470
		$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
1468
	fi
1471
	fi
1469
sysctl -w net.ipv4.conf.all.send_redirects=0
1472
sysctl -w net.ipv4.conf.all.send_redirects=0
1470
send_redirect=`grep send_redirect /etc/sysctl.conf|wc -l`
1473
send_redirect=`grep send_redirect /etc/sysctl.conf|wc -l`
1471
	if [ "$send_redirect" == "0" ]
1474
	if [ "$send_redirect" == "0" ]
1472
	then
1475
	then
1473
		echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
1476
		echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
1474
	else
1477
	else
1475
		$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
1478
		$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
1476
	fi
1479
	fi
1477
# activer les SYN Cookies (attaque syn flood)
1480
# activer les SYN Cookies (attaque syn flood)
1478
sysctl -w net.ipv4.tcp_syncookies=1
1481
sysctl -w net.ipv4.tcp_syncookies=1
1479
tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf|wc -l`
1482
tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf|wc -l`
1480
	if [ "$tcp_syncookies" == "0" ]
1483
	if [ "$tcp_syncookies" == "0" ]
1481
	then
1484
	then
1482
		echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
1485
		echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
1483
	else
1486
	else
1484
		$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
1487
		$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
1485
	fi
1488
	fi
1486
# activer l'antispoofing niveau Noyau
1489
# activer l'antispoofing niveau Noyau
1487
$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
1490
$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
1488
sysctl -w net.ipv4.conf.all.rp_filter=1
1491
sysctl -w net.ipv4.conf.all.rp_filter=1
1489
# ignorer le source routing
1492
# ignorer le source routing
1490
sysctl -w net.ipv4.conf.all.accept_source_route=0
1493
sysctl -w net.ipv4.conf.all.accept_source_route=0
1491
accept_source_route=`grep accept_source_route /etc/sysctl.conf|wc -l`
1494
accept_source_route=`grep accept_source_route /etc/sysctl.conf|wc -l`
1492
	if [ "$accept_source_route" == "0" ]
1495
	if [ "$accept_source_route" == "0" ]
1493
	then
1496
	then
1494
		echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
1497
		echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
1495
	else
1498
	else
1496
		$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
1499
		$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
1497
	fi
1500
	fi
1498
# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
1501
# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
1499
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
1502
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
1500
timeout_established=`grep timeout_established /etc/sysctl.conf|wc -l`
1503
timeout_established=`grep timeout_established /etc/sysctl.conf|wc -l`
1501
	if [ "$timeout_established" == "0" ]
1504
	if [ "$timeout_established" == "0" ]
1502
	then
1505
	then
1503
		echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
1506
		echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
1504
	else
1507
	else
1505
		$SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf
1508
		$SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf
1506
	fi
1509
	fi
1507
# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée) 
1510
# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée) 
1508
sysctl -w net.ipv4.conf.all.log_martians=0
1511
sysctl -w net.ipv4.conf.all.log_martians=0
1509
$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
1512
$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
1510
 
1513
 
1511
 
1514
 
1512
# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
1515
# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
1513
	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1516
	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1514
# On mets en place la sécurité sur les fichiers
1517
# On mets en place la sécurité sur les fichiers
1515
# des modif par rapport à radius update
1518
# des modif par rapport à radius update
1516
	cat <<EOF > /etc/security/msec/perm.local
1519
	cat <<EOF > /etc/security/msec/perm.local
1517
/var/log/firewall/			root.apache	750
1520
/var/log/firewall/			root.apache	750
1518
/var/log/firewall/*			root.apache	640
1521
/var/log/firewall/*			root.apache	640
1519
/etc/security/msec/perm.local		root.root	640
1522
/etc/security/msec/perm.local		root.root	640
1520
/etc/security/msec/level.local		root.root	640
1523
/etc/security/msec/level.local		root.root	640
1521
/etc/freeradius-web			root.apache	750
1524
/etc/freeradius-web			root.apache	750
1522
/etc/freeradius-web/admin.conf		root.apache	640
1525
/etc/freeradius-web/admin.conf		root.apache	640
1523
/etc/freeradius-web/config.php		root.apache	640
1526
/etc/freeradius-web/config.php		root.apache	640
1524
/etc/raddb/dictionnary			root.radius	640
1527
/etc/raddb/dictionnary			root.radius	640
1525
/etc/raddb/ldap.attrmap			root.radius	640
1528
/etc/raddb/ldap.attrmap			root.radius	640
1526
/etc/raddb/hints			root.radius	640
1529
/etc/raddb/hints			root.radius	640
1527
/etc/raddb/huntgroups			root.radius	640
1530
/etc/raddb/huntgroups			root.radius	640
1528
/etc/raddb/attrs.access_reject		root.radius	640
1531
/etc/raddb/attrs.access_reject		root.radius	640
1529
/etc/raddb/attrs.accounting_response	root.radius	640
1532
/etc/raddb/attrs.accounting_response	root.radius	640
1530
/etc/raddb/acct_users			root.radius	640
1533
/etc/raddb/acct_users			root.radius	640
1531
/etc/raddb/preproxy_users		root.radius	640
1534
/etc/raddb/preproxy_users		root.radius	640
1532
/etc/raddb/modules/ldap			radius.apache	660
1535
/etc/raddb/modules/ldap			radius.apache	660
1533
/etc/raddb/sites-available/alcasar	radius.apache	660
1536
/etc/raddb/sites-available/alcasar	radius.apache	660
1534
/etc/pki/*				root.apache	750
1537
/etc/pki/*				root.apache	750
1535
EOF
1538
EOF
1536
	/usr/sbin/msec
1539
	/usr/sbin/msec
1537
# modification /etc/inittab
1540
# modification /etc/inittab
1538
	[ -e /etc/inittab.default ] || cp /etc/inittab /etc/inittab.default
1541
	[ -e /etc/inittab.default ] || cp /etc/inittab /etc/inittab.default
1539
# On ne garde que 3 terminaux
1542
# On ne garde que 3 terminaux
1540
	$SED "s?^4.*?#&?g" /etc/inittab
1543
	$SED "s?^4.*?#&?g" /etc/inittab
1541
	$SED "s?^5.*?#&?g" /etc/inittab
1544
	$SED "s?^5.*?#&?g" /etc/inittab
1542
	$SED "s?^6.*?#&?g" /etc/inittab
1545
	$SED "s?^6.*?#&?g" /etc/inittab
1543
# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
1546
# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
1544
$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
1547
$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
1545
$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
1548
$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
1546
# On supprime les services et les utilisateurs inutiles
1549
# On supprime les services et les utilisateurs inutiles
1547
for svc in alsa sound dm atd bootlogd stop-bootlogd
1550
for svc in alsa sound dm atd bootlogd stop-bootlogd
1548
do
1551
do
1549
	/sbin/chkconfig --del $svc
1552
	/sbin/chkconfig --del $svc
1550
done
1553
done
1551
for rm_users in avahi-autoipd avahi icapd
1554
for rm_users in avahi-autoipd avahi icapd
1552
do
1555
do
1553
	user=`cat /etc/passwd|grep $rm_users|cut -d":" -f1`
1556
	user=`cat /etc/passwd|grep $rm_users|cut -d":" -f1`
1554
	if [ "$user" == "$rm_users" ]
1557
	if [ "$user" == "$rm_users" ]
1555
	then
1558
	then
1556
		/usr/sbin/userdel -f $rm_users
1559
		/usr/sbin/userdel -f $rm_users
1557
	fi
1560
	fi
1558
done
1561
done
1559
# Load and update the previous conf file
1562
# Load and update the previous conf file
1560
if [ "$mode" = "update" ]
1563
if [ "$mode" = "update" ]
1561
then
1564
then
1562
	$DIR_DEST_BIN/alcasar-conf.sh --load
1565
	$DIR_DEST_BIN/alcasar-conf.sh --load
1563
	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
1566
	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
1564
	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
1567
	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
1565
fi
1568
fi
1566
rm -f /tmp/alcasar-conf*
1569
rm -f /tmp/alcasar-conf*
1567
chown -R root:apache $DIR_DEST_ETC/*
1570
chown -R root:apache $DIR_DEST_ETC/*
1568
chmod -R 660 $DIR_DEST_ETC/*
1571
chmod -R 660 $DIR_DEST_ETC/*
1569
chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1572
chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1570
	cd $DIR_INSTALL
1573
	cd $DIR_INSTALL
1571
	echo ""
1574
	echo ""
1572
	echo "#############################################################################"
1575
	echo "#############################################################################"
1573
	if [ $Lang == "fr" ]
1576
	if [ $Lang == "fr" ]
1574
		then
1577
		then
1575
		echo "#                        Fin d'installation d'ALCASAR                       #"
1578
		echo "#                        Fin d'installation d'ALCASAR                       #"
1576
		echo "#                                                                           #"
1579
		echo "#                                                                           #"
1577
		echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1580
		echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1578
		echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1581
		echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1579
		echo "#                                                                           #"
1582
		echo "#                                                                           #"
1580
		echo "#############################################################################"
1583
		echo "#############################################################################"
1581
		echo
1584
		echo
1582
		echo "- ALCASAR sera fonctionnel après redémarrage du système"
1585
		echo "- ALCASAR sera fonctionnel après redémarrage du système"
1583
		echo
1586
		echo
1584
		echo "- Lisez attentivement la documentation d'exploitation"
1587
		echo "- Lisez attentivement la documentation d'exploitation"
1585
		echo
1588
		echo
1586
		echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
1589
		echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
1587
		echo
1590
		echo
1588
		echo "                   Appuyez sur 'Entrée' pour continuer"
1591
		echo "                   Appuyez sur 'Entrée' pour continuer"
1589
	else	
1592
	else	
1590
		echo "#                        Enf of ALCASAR install process                     #"
1593
		echo "#                        Enf of ALCASAR install process                     #"
1591
		echo "#                                                                           #"
1594
		echo "#                                                                           #"
1592
		echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1595
		echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1593
		echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1596
		echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1594
		echo "#                                                                           #"
1597
		echo "#                                                                           #"
1595
		echo "#############################################################################"
1598
		echo "#############################################################################"
1596
		echo
1599
		echo
1597
		echo "- The system will be rebooted in order to operate ALCASAR"
1600
		echo "- The system will be rebooted in order to operate ALCASAR"
1598
		echo
1601
		echo
1599
		echo "- Read the exploitation documentation"
1602
		echo "- Read the exploitation documentation"
1600
		echo
1603
		echo
1601
		echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
1604
		echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
1602
		echo
1605
		echo
1603
		echo "                   Hit 'Enter' to continue"
1606
		echo "                   Hit 'Enter' to continue"
1604
	fi
1607
	fi
1605
	sleep 2
1608
	sleep 2
1606
	if [ "$mode" != "update" ]
1609
	if [ "$mode" != "update" ]
1607
	then
1610
	then
1608
		read a
1611
		read a
1609
	fi
1612
	fi
1610
	clear
1613
	clear
1611
# Apply and save the firewall rules
1614
# Apply and save the firewall rules
1612
 	sh $DIR_DEST_BIN/alcasar-iptables.sh
1615
 	sh $DIR_DEST_BIN/alcasar-iptables.sh
1613
	sleep 2
1616
	sleep 2
1614
	reboot
1617
	reboot
1615
} # End post_install ()
1618
} # End post_install ()
1616
 
1619
 
1617
#################################
1620
#################################
1618
#  Boucle principale du script  #
1621
#  Boucle principale du script  #
1619
#################################
1622
#################################
1620
dir_exec=`dirname "$0"`
1623
dir_exec=`dirname "$0"`
1621
if [ $dir_exec != "." ]
1624
if [ $dir_exec != "." ]
1622
then
1625
then
1623
	echo "Lancez ce programme depuis le répertoire de l'archive d'ALCASAR"
1626
	echo "Lancez ce programme depuis le répertoire de l'archive d'ALCASAR"
1624
	echo "Launch this program from the ALCASAR archive directory"
1627
	echo "Launch this program from the ALCASAR archive directory"
1625
	exit 0
1628
	exit 0
1626
fi
1629
fi
1627
VERSION=`cat $DIR_INSTALL/VERSION`
1630
VERSION=`cat $DIR_INSTALL/VERSION`
1628
usage="Usage: alcasar.sh {-i or --install} | {-u or --uninstall}"
1631
usage="Usage: alcasar.sh {-i or --install} | {-u or --uninstall}"
1629
nb_args=$#
1632
nb_args=$#
1630
args=$1
1633
args=$1
1631
if [ $nb_args -eq 0 ]
1634
if [ $nb_args -eq 0 ]
1632
then
1635
then
1633
	nb_args=1
1636
	nb_args=1
1634
	args="-h"
1637
	args="-h"
1635
fi
1638
fi
1636
case $args in
1639
case $args in
1637
	-\? | -h* | --h*)
1640
	-\? | -h* | --h*)
1638
		echo "$usage"
1641
		echo "$usage"
1639
		exit 0
1642
		exit 0
1640
		;;
1643
		;;
1641
	-i | --install)
1644
	-i | --install)
1642
		header_install
1645
		header_install
1643
		testing
1646
		testing
1644
# Test if ALCASAR is already installed
1647
# Test if ALCASAR is already installed
1645
		if [ -e $DIR_WEB/VERSION ]
1648
		if [ -e $DIR_WEB/VERSION ]
1646
		then
1649
		then
1647
			actual_version=`cat $DIR_WEB/VERSION`
1650
			actual_version=`cat $DIR_WEB/VERSION`
1648
			if [ $Lang == "fr" ]
1651
			if [ $Lang == "fr" ]
1649
				then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
1652
				then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
1650
				else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
1653
				else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
1651
			fi
1654
			fi
1652
			response=0
1655
			response=0
1653
			PTN='^[oOnNyY]$'
1656
			PTN='^[oOnNyY]$'
1654
			until [[ $(expr $response : $PTN) -gt 0 ]]
1657
			until [[ $(expr $response : $PTN) -gt 0 ]]
1655
			do
1658
			do
1656
				if [ $Lang == "fr" ]
1659
				if [ $Lang == "fr" ]
1657
					then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
1660
					then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
1658
					else echo -n "Do you want to update (Y/n)?";
1661
					else echo -n "Do you want to update (Y/n)?";
1659
				 fi
1662
				 fi
1660
				read response
1663
				read response
1661
			done
1664
			done
1662
			if [ "$response" = "n" ] || [ "$response" = "N" ] 
1665
			if [ "$response" = "n" ] || [ "$response" = "N" ] 
1663
			then
1666
			then
1664
				rm -f /tmp/alcasar-conf*
1667
				rm -f /tmp/alcasar-conf*
1665
			else
1668
			else
1666
				RUNNING_VERSION=`cat $DIR_WEB/VERSION|cut -d" " -f1`
1669
				RUNNING_VERSION=`cat $DIR_WEB/VERSION|cut -d" " -f1`
1667
				MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f1`
1670
				MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f1`
1668
				MIN_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f2|cut -c1`
1671
				MIN_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f2|cut -c1`
1669
				UPD_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f3`
1672
				UPD_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f3`
1670
# Create a backup of running version importants files
1673
# Create a backup of running version importants files
1671
				chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
1674
				chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
1672
				$DIR_SCRIPTS/alcasar-conf.sh --create
1675
				$DIR_SCRIPTS/alcasar-conf.sh --create
1673
				mode="update"
1676
				mode="update"
1674
			fi
1677
			fi
1675
		fi
1678
		fi
1676
# RPMs install
1679
# RPMs install
1677
		$DIR_SCRIPTS/alcasar-urpmi.sh
1680
		$DIR_SCRIPTS/alcasar-urpmi.sh
1678
		if [ "$?" != "0" ]
1681
		if [ "$?" != "0" ]
1679
		then
1682
		then
1680
			exit 0
1683
			exit 0
1681
		fi
1684
		fi
1682
		if [ -e $DIR_WEB/VERSION ]
1685
		if [ -e $DIR_WEB/VERSION ]
1683
		then
1686
		then
1684
# Uninstall the running version
1687
# Uninstall the running version
1685
			$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1688
			$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1686
		fi
1689
		fi
1687
# Test if manual update	
1690
# Test if manual update	
1688
		if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
1691
		if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
1689
		then
1692
		then
1690
			header_install
1693
			header_install
1691
			if [ $Lang == "fr" ]
1694
			if [ $Lang == "fr" ]
1692
				then echo "Le fichier de configuration d'une ancienne version a été trouvé";
1695
				then echo "Le fichier de configuration d'une ancienne version a été trouvé";
1693
				else echo "The configuration file of an old version has been found";
1696
				else echo "The configuration file of an old version has been found";
1694
			fi
1697
			fi
1695
			response=0
1698
			response=0
1696
			PTN='^[oOnNyY]$'
1699
			PTN='^[oOnNyY]$'
1697
			until [[ $(expr $response : $PTN) -gt 0 ]]
1700
			until [[ $(expr $response : $PTN) -gt 0 ]]
1698
			do
1701
			do
1699
				if [ $Lang == "fr" ]
1702
				if [ $Lang == "fr" ]
1700
					then echo -n "Voulez-vous l'utiliser (O/n)? ";
1703
					then echo -n "Voulez-vous l'utiliser (O/n)? ";
1701
					else echo -n "Do you want to use it (Y/n)?";
1704
					else echo -n "Do you want to use it (Y/n)?";
1702
				 fi
1705
				 fi
1703
				read response
1706
				read response
1704
				if [ "$response" = "n" ] || [ "$response" = "N" ] 
1707
				if [ "$response" = "n" ] || [ "$response" = "N" ] 
1705
				then rm -f /tmp/alcasar-conf*
1708
				then rm -f /tmp/alcasar-conf*
1706
				fi
1709
				fi
1707
			done
1710
			done
1708
		fi
1711
		fi
1709
# Test if update
1712
# Test if update
1710
		if [ -e /tmp/alcasar-conf.tar.gz ] 
1713
		if [ -e /tmp/alcasar-conf.tar.gz ] 
1711
		then
1714
		then
1712
			if [ $Lang == "fr" ]
1715
			if [ $Lang == "fr" ]
1713
				then echo "#### Installation avec mise à jour ####";
1716
				then echo "#### Installation avec mise à jour ####";
1714
				else echo "#### Installation with update     ####";
1717
				else echo "#### Installation with update     ####";
1715
			fi
1718
			fi
1716
# Extract the central configuration file
1719
# Extract the central configuration file
1717
			tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf 
1720
			tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf 
1718
			ORGANISME=`grep ORGANISM conf/etc/alcasar.conf|cut -d"=" -f2`
1721
			ORGANISME=`grep ORGANISM conf/etc/alcasar.conf|cut -d"=" -f2`
1719
			mode="update"
1722
			mode="update"
1720
		else
1723
		else
1721
			mode="install"
1724
			mode="install"
1722
		fi
1725
		fi
1723
		for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
1726
		for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
1724
		do
1727
		do
1725
			$func
1728
			$func
1726
# echo "*** 'debug' : end of function $func ***"; read a
1729
# echo "*** 'debug' : end of function $func ***"; read a
1727
		done
1730
		done
1728
		;;
1731
		;;
1729
	-u | --uninstall)
1732
	-u | --uninstall)
1730
		if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1733
		if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1731
		then
1734
		then
1732
			if [ $Lang == "fr" ]
1735
			if [ $Lang == "fr" ]
1733
				then echo "ALCASAR n'est pas installé!";
1736
				then echo "ALCASAR n'est pas installé!";
1734
				else echo "ALCASAR isn't installed!";
1737
				else echo "ALCASAR isn't installed!";
1735
			fi
1738
			fi
1736
			exit 0
1739
			exit 0
1737
		fi
1740
		fi
1738
		response=0
1741
		response=0
1739
		PTN='^[oOnN]$'
1742
		PTN='^[oOnN]$'
1740
		until [[ $(expr $response : $PTN) -gt 0 ]]
1743
		until [[ $(expr $response : $PTN) -gt 0 ]]
1741
		do
1744
		do
1742
			if [ $Lang == "fr" ]
1745
			if [ $Lang == "fr" ]
1743
				then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
1746
				then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
1744
				else echo -n "Do you want to crate the running version configuration file (Y/n)? ";
1747
				else echo -n "Do you want to crate the running version configuration file (Y/n)? ";
1745
			fi
1748
			fi
1746
			read response
1749
			read response
1747
		done
1750
		done
1748
		if [ "$reponse" = "o" ] || [ "$reponse" = "O" ] || [ "$response" = "Y" ] || [ "$response" = "y" ]
1751
		if [ "$reponse" = "o" ] || [ "$reponse" = "O" ] || [ "$response" = "Y" ] || [ "$response" = "y" ]
1749
		then
1752
		then
1750
			$DIR_SCRIPT/alcasar-conf.sh --create
1753
			$DIR_SCRIPT/alcasar-conf.sh --create
1751
		else	
1754
		else	
1752
			rm -f /tmp/alcasar-conf*
1755
			rm -f /tmp/alcasar-conf*
1753
		fi
1756
		fi
1754
# Uninstall the running version
1757
# Uninstall the running version
1755
		$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1758
		$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1756
		;;
1759
		;;
1757
	*)
1760
	*)
1758
		echo "Argument inconnu :$1";
1761
		echo "Argument inconnu :$1";
1759
		echo "Unknown argument :$1";
1762
		echo "Unknown argument :$1";
1760
		echo "$usage"
1763
		echo "$usage"
1761
		exit 1
1764
		exit 1
1762
		;;
1765
		;;
1763
esac
1766
esac
1764
# end of script
1767
# end of script
1765
 
1768
 
1766
 
1769