Subversion Repositories ALCASAR

#!/bin/sh

#!/bin/sh

# alcasar.sh

# alcasar.sh

# by Franck BOUIJOUX, Pascal LEVANT and Richard REY

# by Franck BOUIJOUX, Pascal LEVANT and Richard REY

# This script is distributed under the Gnu General Public License (GPL)

# This script is distributed under the Gnu General Public License (GPL)

DIR_WEB="/var/www/html"				# répertoire racine APACHE

DIR_WEB="/var/www/html"				# répertoire racine APACHE

DIR_ACC="$DIR_WEB/acc"				# répertoire du centre de gestion 'ALCASAR Control Center'

DIR_ACC="$DIR_WEB/acc"				# répertoire du centre de gestion 'ALCASAR Control Center'

DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts

DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts

DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin

DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin

DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf

DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf

# ******* DBMS parameters - paramètres SGBD ********

# ******* DBMS parameters - paramètres SGBD ********

DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius

DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius

DB_USER="radius"				# nom de l'utilisateur de la base de données

DB_USER="radius"				# nom de l'utilisateur de la base de données

# ******* Network parameters - paramètres réseau *******

# ******* Network parameters - paramètres réseau *******

HOSTNAME="alcasar"				# 

HOSTNAME="alcasar"				# 

				ORGANISME=!

				ORGANISME=!

			fi

			fi

		done

		done

	fi

	fi

# On crée aléatoirement les mots de passe et les secrets partagés

# On crée aléatoirement les mots de passe et les secrets partagés

	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub

	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub

	md5_grubpwd=`/usr/bin/md5pass $grubpwd`

	md5_grubpwd=`/usr/bin/md5pass $grubpwd`

	$SED "/^password.*/d" /boot/grub/menu.lst

	$SED "/^password.*/d" /boot/grub/menu.lst

	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst

	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst

	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld

	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld

	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)

	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)

	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli

	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli

	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius

	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius

# On installe les scripts et fichiers de configuration d'ALCASAR 

# On installe les scripts et fichiers de configuration d'ALCASAR 

#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}

#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}

	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*

	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*

#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}

#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}

	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*

	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*

	cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*

	cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*

	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh

	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh

	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh

	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh

	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh

	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh

	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh

	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh

##########################################

##########################################

##                                      ##

##                                      ##

##          ALCASAR Parameters          ##

##          ALCASAR Parameters          ##

##                                      ##

##                                      ##

##########################################

##########################################

INSTALL_DATE=$DATE

INSTALL_DATE=$DATE

VERSION=$VERSION

VERSION=$VERSION

ORGANISM=$ORGANISME

ORGANISM=$ORGANISME

EOF

EOF

} # End of init ()

} # End of init ()

##################################################################

##################################################################

##			Fonction network			##

##			Fonction network			##

## - Définition du plan d'adressage du réseau de consultation	##

## - Définition du plan d'adressage du réseau de consultation	##

	else

	else

       		PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK

       		PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK

	fi

	fi

# Définition de la config réseau côté "LAN de consultation"

# Définition de la config réseau côté "LAN de consultation"

	hostname $HOSTNAME

	hostname $HOSTNAME

	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK | cut -d"=" -f2`			# @ réseau de consultation (ex.: 192.168.182.0)

	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK | cut -d"=" -f2`			# @ réseau de consultation (ex.: 192.168.182.0)

	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK | cut -d"=" -f2`			# masque réseau de consultation (ex.: 255.255.255.0)

	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK | cut -d"=" -f2`			# masque réseau de consultation (ex.: 255.255.255.0)

	PRIVATE_IP=`echo $PRIVATE_IP_MASK | cut -d"/" -f1`					# @ip du portail (côté réseau de consultation)

	PRIVATE_IP=`echo $PRIVATE_IP_MASK | cut -d"/" -f1`					# @ip du portail (côté réseau de consultation)

	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK |cut -d"=" -f2`				# prefixe du réseau (ex. 24)

	private_prefix=`/bin/ipcalc -p $PRIVATE_IP_MASK |cut -d"=" -f2`				# prefixe du réseau (ex. 24)

	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix					# @ + masque du réseau de consult (192.168.182.0/24)

	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix					# @ + masque du réseau de consult (192.168.182.0/24)

	DNS1=${DNS1:=208.67.220.220}

	DNS1=${DNS1:=208.67.220.220}

	DNS2=${DNS2:=208.67.222.222}

	DNS2=${DNS2:=208.67.222.222}

	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`

	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`

	PUBLIC_PREFIX=`/bin/ipcalc -p $PUBLIC_IP $PUBLIC_NETMASK |cut -d"=" -f2`		# prefixe du réseau (ex. 24)

	PUBLIC_PREFIX=`/bin/ipcalc -p $PUBLIC_IP $PUBLIC_NETMASK |cut -d"=" -f2`		# prefixe du réseau (ex. 24)

	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`

	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`

	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default

	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default

# Configuration réseau

# Configuration réseau

	cat <<EOF > /etc/sysconfig/network

	cat <<EOF > /etc/sysconfig/network

NETWORKING=yes

NETWORKING=yes

HOSTNAME="$HOSTNAME"

HOSTNAME="$HOSTNAME"

	echo "$VERSION du $DATE" > $DIR_WEB/VERSION

	echo "$VERSION du $DATE" > $DIR_WEB/VERSION

	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php

	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php

	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php

	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php

	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php

	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php

	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php

	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php

	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php

	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php

	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php

	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php

	chown -R apache:apache $DIR_WEB/*

	chown -R apache:apache $DIR_WEB/*

	for i in ISO base logs/firewall logs/httpd logs/squid ;

	for i in ISO base logs/firewall logs/httpd logs/squid ;

	do

	do

	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default

	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default

	cat <<EOF > /var/www/error/include/bottom.html

	cat <<EOF > /var/www/error/include/bottom.html

</body>

</body>

</html>

</html>

EOF

EOF

# Définition du premier compte lié au profil 'admin'

# Définition du premier compte lié au profil 'admin'

	header_install

	header_install

	if [ "$mode" = "install" ]

	if [ "$mode" = "install" ]

	then

	then

		admin_portal=!

		admin_portal=!

			if [ "$admin_portal" == "" ]

			if [ "$admin_portal" == "" ]

				then

				then

				admin_portal=!

				admin_portal=!

			fi

			fi

			done

			done

# Création du fichier de clés de ce compte dans le profil "admin"

# Création du fichier de clés de ce compte dans le profil "admin"

		[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest

		[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest

		mkdir -p $DIR_DEST_ETC/digest

		mkdir -p $DIR_DEST_ETC/digest

		chmod 755 $DIR_DEST_ETC/digest

		chmod 755 $DIR_DEST_ETC/digest

		until [ -s $DIR_DEST_ETC/digest/key_admin ]

		until [ -s $DIR_DEST_ETC/digest/key_admin ]

				echo "This update need to redefine the first admin account"

				echo "This update need to redefine the first admin account"

				echo

				echo

				echo -n "Account : "

				echo -n "Account : "

			fi

			fi

			read admin_portal

			read admin_portal

			[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest

			[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest

			mkdir -p $DIR_DEST_ETC/digest

			mkdir -p $DIR_DEST_ETC/digest

			chmod 755 $DIR_DEST_ETC/digest

			chmod 755 $DIR_DEST_ETC/digest

			until [ -s $DIR_DEST_ETC/digest/key_admin ]

			until [ -s $DIR_DEST_ETC/digest/key_admin ]

			do

			do

	Allow from 127.0.0.1

	Allow from 127.0.0.1

	Allow from $PRIVATE_NETWORK_MASK

	Allow from $PRIVATE_NETWORK_MASK

	ErrorDocument 404 https://$HOSTNAME

	ErrorDocument 404 https://$HOSTNAME

</Directory>

</Directory>

EOF

EOF

} # End of param_web_radius ()

} # End of param_web_radius ()

##########################################################################################

##########################################################################################

##			Fonction param_chilli						##

##			Fonction param_chilli						##

## - Paramètrage du fichier d'initialisation et de configuration de coova-chilli	##

## - Paramètrage du fichier d'initialisation et de configuration de coova-chilli	##

	touch $DIR_DEST_ETC/alcasar-ethers

	touch $DIR_DEST_ETC/alcasar-ethers

# création des fichiers de sites, d'urls et d'adresses MAC de confiance

# création des fichiers de sites, d'urls et d'adresses MAC de confiance

	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain

	touch $DIR_DEST_ETC/alcasar-macallowed $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain

	chown root:apache $DIR_DEST_ETC/alcasar-*

	chown root:apache $DIR_DEST_ETC/alcasar-*

	chmod 660 $DIR_DEST_ETC/alcasar-*

	chmod 660 $DIR_DEST_ETC/alcasar-*

# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)

# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)

	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php

	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php

	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php

	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php

	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php

	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php

}  # End of param_chilli ()

}  # End of param_chilli ()

# sshd écoute côté LAN et WAN

# sshd écoute côté LAN et WAN

	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config

	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config

	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config 

	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config 

# Put the default value in conf file (sshd, QOS, protocols filter and dns filter are off)(web antivirus is on)

# Put the default value in conf file (sshd, QOS, protocols filter and dns filter are off)(web antivirus is on)

	/sbin/chkconfig --del sshd

	/sbin/chkconfig --del sshd

# Coloration des prompts

# Coloration des prompts

	[ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default

	[ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default

	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc

	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc

# Droits d'exécution pour utilisateur apache et sysadmin

# Droits d'exécution pour utilisateur apache et sysadmin

	[ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default

	[ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default

	if [ "$user" == "$rm_users" ]

	if [ "$user" == "$rm_users" ]

	then

	then

		/usr/sbin/userdel -f $rm_users

		/usr/sbin/userdel -f $rm_users

	fi

	fi

done

done

if [ "$mode" = "update" ]

if [ "$mode" = "update" ]

then

then

	$DIR_DEST_BIN/alcasar-conf.sh --load

	$DIR_DEST_BIN/alcasar-conf.sh --load

fi

fi

rm -f /tmp/alcasar-conf*

rm -f /tmp/alcasar-conf*

chown -R root:apache $DIR_DEST_ETC/*

chown -R root:apache $DIR_DEST_ETC/*

chmod -R 660 $DIR_DEST_ETC/*

chmod -R 660 $DIR_DEST_ETC/*

chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*

chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*