Line 1... |
Line 1... |
1 |
#!/bin/sh
|
1 |
#!/bin/sh
|
2 |
# $Id: alcasar.sh 490 2011-02-13 20:26:03Z richard $
|
2 |
# $Id: alcasar.sh 497 2011-02-17 21:36:20Z richard $
|
3 |
|
3 |
|
4 |
# alcasar.sh
|
4 |
# alcasar.sh
|
5 |
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
|
5 |
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
|
6 |
# This script is distributed under the Gnu General Public License (GPL)
|
6 |
# This script is distributed under the Gnu General Public License (GPL)
|
7 |
|
7 |
|
Line 873... |
Line 873... |
873 |
## - Paramètrage du gestionnaire de contenu Dansguardian ##
|
873 |
## - Paramètrage du gestionnaire de contenu Dansguardian ##
|
874 |
## - Copie de la blacklist de toulouse ##
|
874 |
## - Copie de la blacklist de toulouse ##
|
875 |
##################################################################
|
875 |
##################################################################
|
876 |
param_dansguardian ()
|
876 |
param_dansguardian ()
|
877 |
{
|
877 |
{
|
- |
|
878 |
DIR_DG="/etc/dansguardian"
|
878 |
mkdir /var/dansguardian
|
879 |
mkdir /var/dansguardian
|
879 |
chown dansguardian /var/dansguardian
|
880 |
chown dansguardian /var/dansguardian
|
880 |
[ -e /etc/dansguardian/dansguardian.conf.default ] || cp /etc/dansguardian/dansguardian.conf /etc/dansguardian/dansguardian.conf.default
|
881 |
[ -e $DIR_DG/dansguardian.conf.default ] || cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
|
881 |
# Le filtrage est désactivé par défaut
|
882 |
# Le filtrage est désactivé par défaut
|
882 |
$SED "s/^reportinglevel =.*/reportinglevel = -1/g" /etc/dansguardian/dansguardian.conf
|
883 |
$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
|
883 |
# la page d'interception est en français
|
884 |
# la page d'interception est en français
|
884 |
$SED "s?^language =.*?language = french?g" /etc/dansguardian/dansguardian.conf
|
885 |
$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
|
885 |
# on limite l'écoute de Dansguardian côté LAN
|
886 |
# on limite l'écoute de Dansguardian côté LAN
|
886 |
$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" /etc/dansguardian/dansguardian.conf
|
887 |
$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
|
887 |
# on chaîne Dansguardian au proxy antivirus HAVP
|
888 |
# on chaîne Dansguardian au proxy antivirus HAVP
|
888 |
$SED "s?^proxyport.*?proxyport = 8090?g" /etc/dansguardian/dansguardian.conf
|
889 |
$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
|
889 |
# on remplace la page d'interception (template)
|
890 |
# on remplace la page d'interception (template)
|
890 |
cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
|
891 |
cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
|
891 |
cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
|
892 |
cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
|
892 |
# on ne loggue que les deny (pour le reste, on a squid)
|
893 |
# on ne loggue que les deny (pour le reste, on a squid)
|
893 |
$SED "s?^loglevel =.*?loglevel = 1?g" /etc/dansguardian/dansguardian.conf
|
894 |
$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
|
894 |
# on désactive par défaut le controle de contenu des pages html
|
895 |
# on désactive par défaut le controle de contenu des pages html
|
895 |
$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" /etc/dansguardian/dansguardian.conf
|
896 |
$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
|
896 |
cp /etc/dansguardian/lists/bannedphraselist /etc/dansguardian/lists/bannedphraselist.default
|
897 |
cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
|
897 |
$SED "s?^[^#]?#&?g" /etc/dansguardian/lists/bannedphraselist # (on commente ce qui ne l'est pas)
|
898 |
$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
|
898 |
# on désactive par défaut le contrôle d'URL par expressions régulières
|
899 |
# on désactive par défaut le contrôle d'URL par expressions régulières
|
899 |
cp /etc/dansguardian/lists/bannedregexpurllist /etc/dansguardian/lists/bannedregexpurllist.default
|
900 |
cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
|
900 |
$SED "s?^[^#]?#&?g" /etc/dansguardian/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
|
901 |
$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
|
901 |
# on désactive par défaut le contrôle de téléchargement de fichiers
|
902 |
# on désactive par défaut le contrôle de téléchargement de fichiers
|
902 |
[ -e /etc/dansguardian/dansguardianf1.conf.default ] || cp /etc/dansguardian/dansguardianf1.conf /etc/dansguardian/dansguardianf1.conf.default
|
903 |
[ -e $DIR_DG/dansguardianf1.conf.default ] || cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
|
903 |
$SED "s?^blockdownloads =.*?blockdownloads = off?g" /etc/dansguardian/dansguardianf1.conf
|
904 |
$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
|
904 |
[ -e /etc/dansguardian/lists/bannedextensionlist.default ] || mv /etc/dansguardian/lists/bannedextensionlist /etc/dansguardian/lists/bannedextensionlist.default
|
905 |
[ -e $DIR_DG/lists/bannedextensionlist.default ] || mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
|
905 |
[ -e /etc/dansguardian/lists/bannedmimetypelist.default ] || mv /etc/dansguardian/lists/bannedmimetypelist /etc/dansguardian/lists/bannedmimetypelist.default
|
906 |
[ -e $DIR_DG/lists/bannedmimetypelist.default ] || mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
|
906 |
touch /etc/dansguardian/lists/bannedextensionlist
|
907 |
touch $DIR_DG/lists/bannedextensionlist
|
907 |
touch /etc/dansguardian/lists/bannedmimetypelist
|
908 |
touch $DIR_DG/lists/bannedmimetypelist
|
- |
|
909 |
# 'Safesearch' regex actualisation
|
- |
|
910 |
$SED "s?images?search?g" /etc/
|
908 |
# on vide la liste des @IP du Lan ne subissant pas le filtrage WEB
|
911 |
# empty LAN IP list that won't be WEB filtered
|
909 |
[ -e /etc/dansguardian/lists/exceptioniplist.default ] || mv /etc/dansguardian/lists/exceptioniplist /etc/dansguardian/lists/exceptioniplist.default
|
912 |
[ -e $DIR_DG/lists/exceptioniplist.default ] || mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
|
910 |
touch /etc/dansguardian/lists/exceptioniplist
|
913 |
touch $DIR_DG/lists/exceptioniplist
|
911 |
# on garde une copie des fichiers de configuration du filtrage d'URL et de domaine
|
914 |
# Keep a copy of URL & domain filter configuration files
|
912 |
[ -e /etc/dansguardian/lists/bannedsitelist.default ] || mv /etc/dansguardian/lists/bannedsitelist /etc/dansguardian/lists/bannedsitelist.default
|
915 |
[ -e $DIR_DG/lists/bannedsitelist.default ] || mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
|
913 |
[ -e /etc/dansguardian/lists/bannedurllist.default ] || mv /etc/dansguardian/lists/bannedurllist /etc/dansguardian/lists/bannedurllist.default
|
916 |
[ -e $DIR_DG/lists/bannedurllist.default ] || mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
|
914 |
} # End of param_dansguardian ()
|
917 |
} # End of param_dansguardian ()
|
915 |
|
918 |
|
916 |
##################################################################
|
919 |
##################################################################
|
917 |
## Fonction antivirus ##
|
920 |
## Fonction antivirus ##
|
918 |
## - configuration havp + libclamav ##
|
921 |
## - configuration havp + libclamav ##
|
Line 959... |
Line 962... |
959 |
{
|
962 |
{
|
960 |
$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
|
963 |
$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
|
961 |
$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
|
964 |
$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
|
962 |
$SED "s?^PRIVATE_NETWORK_MASK=.*?PRIVATE_NETWORK_MASK=\"$PRIVATE_NETWORK_MASK\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
|
965 |
$SED "s?^PRIVATE_NETWORK_MASK=.*?PRIVATE_NETWORK_MASK=\"$PRIVATE_NETWORK_MASK\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
|
963 |
$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
|
966 |
$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
|
- |
|
967 |
$SED "s?^DNSSERVERS=.*?PRIVATE_IP=\"$DNS1,$DNS2\"?g" $DIR_DEST_BIN/alcasar-iptables.sh
|
964 |
chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
|
968 |
chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
|
965 |
# création du fichier d'exception au filtrage
|
969 |
# création du fichier d'exception au filtrage
|
966 |
touch /usr/local/etc/alcasar-filter-exceptions
|
970 |
touch /usr/local/etc/alcasar-filter-exceptions
|
967 |
# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
|
971 |
# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
|
968 |
} # End of firewall ()
|
972 |
} # End of firewall ()
|
Line 1240... |
Line 1244... |
1240 |
do
|
1244 |
do
|
1241 |
/sbin/chkconfig --add $i
|
1245 |
/sbin/chkconfig --add $i
|
1242 |
done
|
1246 |
done
|
1243 |
# pour éviter les alertes de dépendance avec le service 'netfs'.
|
1247 |
# pour éviter les alertes de dépendance avec le service 'netfs'.
|
1244 |
$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
|
1248 |
$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
|
1245 |
$SED "s?^# Required-Stop.*?# Required-Stop: $local_fs $network?g" /etc/init.d/mysqld
|
1249 |
$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
|
1246 |
# On affecte le niveau de sécurité du système : type "fileserver"
|
1250 |
# On affecte le niveau de sécurité du système : type "fileserver"
|
1247 |
$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
|
1251 |
$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
|
1248 |
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
|
1252 |
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
|
1249 |
$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
|
1253 |
$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
|
1250 |
# On supprime les log_martians
|
1254 |
# On supprime les log_martians
|
Line 1304... |
Line 1308... |
1304 |
echo "- ALCASAR sera fonctionnel après redémarrage du système"
|
1308 |
echo "- ALCASAR sera fonctionnel après redémarrage du système"
|
1305 |
echo
|
1309 |
echo
|
1306 |
echo "- Lisez attentivement la documentation d'exploitation"
|
1310 |
echo "- Lisez attentivement la documentation d'exploitation"
|
1307 |
echo
|
1311 |
echo
|
1308 |
echo "- L'interface de gestion est consultable à partir de n'importe quel poste"
|
1312 |
echo "- L'interface de gestion est consultable à partir de n'importe quel poste"
|
1309 |
echo " situé sur le réseau de consultation à l'URL https://$PRIVATE_IP "
|
1313 |
echo " situé sur le réseau de consultation à l'URL http://alcasar"
|
1310 |
echo " ou à l'URL https://alcasar "
|
1314 |
echo " ou à l'URL http://$PRIVATE_IP"
|
1311 |
echo
|
1315 |
echo
|
1312 |
echo " Appuyez sur 'Entrée' pour continuer"
|
1316 |
echo " Appuyez sur 'Entrée' pour continuer"
|
1313 |
read a
|
1317 |
read a
|
1314 |
# On applique les règles de filtrage (et on les sauvegarde)
|
1318 |
# On applique les règles de filtrage (et on les sauvegarde)
|
1315 |
sh $DIR_DEST_BIN/alcasar-iptables.sh
|
1319 |
sh $DIR_DEST_BIN/alcasar-iptables.sh
|