Subversion Repositories ALCASAR

Rev

Rev 958 | Rev 967 | Go to most recent revision | Details | Compare with Previous | Last modification | View Log

Rev Author Line No. Line
672 richard 1
#!/bin/bash
57 franck 2
#  $Id: alcasar.sh 959 2012-07-26 12:49:22Z franck $ 
1 root 3
 
4
# alcasar.sh
959 franck 5
 
6
# ALCASAR - Portail captif d'accès à l'Internet -  Copyright (C) [2005] [ALcasar team - Rexy - 3abtux - ...] 
7
# Ce programme est un logiciel libre ; vous pouvez le redistribuer et/ou le modifier au titre des clauses de la Licence Publique Générale GNU, 
8
# elle que publiée par la Free Software Foundation ; soit la version 3 de la Licence. 
9
# Ce programme est distribué dans l'espoir qu'il sera utile, mais SANS AUCUNE GARANTIE ; 
10
# sans même une garantie implicite de COMMERCIABILITE ou DE CONFORMITE A UNE UTILISATION PARTICULIERE. 
11
# Voir la Licence Publique Générale GNU pour plus de détails. 
12
# Vous devriez avoir reçu un exemplaire de la Licence Publique Générale GNU avec ce programme ; 
13
# si ce n’est pas le cas, consultez :   <http://www.gnu.org/licenses/>.
14
 
15
#  @mail de la team d'ALCASAR
16
 
1 root 17
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
18
# This script is distributed under the Gnu General Public License (GPL)
19
 
672 richard 20
# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
21
# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
1 root 22
# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
23
# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
672 richard 24
#
806 richard 25
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, awstat, ntpd, openssl, dnsmasq, havp, libclamav  and firewalleyes
1 root 26
 
27
# Options :
376 franck 28
#       -i or --install
29
#       -u or --uninstall
1 root 30
 
376 franck 31
# Functions :
29 richard 32
#	testing		: Tests de connectivité et de téléchargement avant installation
1 root 33
#	init		: Installation des RPM et des scripts
34
#	network		: Paramètrage du réseau
35
#	gestion		: Installation de l'interface de gestion
36
#	AC		: Initialisation de l'autorité de certification. Création des certificats
37
#	init_db		: Création de la base 'radius' sur le serveur MySql
38
#	param_radius	: Configuration du serveur d'authentification FreeRadius
39
#	param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
40
#	param_chilli	: Configuration du daemon 'coova-chilli' et de la page d'authentification
41
#	param_squid	: Configuration du proxy squid en mode 'cache'
42
#	param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
479 richard 43
#	antivirus	: Installation havp + libclamav
1 root 44
#	param_awstats	: Configuration de l'interface des statistiques de consultation WEB
297 richard 45
#	dnsmasq		: Configuration du serveur de noms et du serveur dhcp de secours
308 richard 46
#	BL		: Configuration de la BlackList
1 root 47
#	cron		: Mise en place des exports de logs (+ chiffrement)
532 richard 48
#	post_install	: Finalisation environnement ( sécurité, bannières, rotation logs, ...)
1 root 49
 
50
DATE=`date '+%d %B %Y - %Hh%M'`
51
DATE_SHORT=`date '+%d/%m/%Y'`
595 richard 52
Lang=`echo $LANG|cut -c 1-2`
1 root 53
# ******* Files parameters - paramètres fichiers *********
832 richard 54
DIR_INSTALL=`pwd`				# install directory 
1 root 55
DIR_CONF="$DIR_INSTALL/conf"			# répertoire d'installation contenant les fichiers de configuration
56
DIR_SCRIPTS="$DIR_INSTALL/scripts"		# répertoire d'installation contenant les scripts
806 richard 57
DIR_SAVE="/var/Save"				# répertoire de sauvegarde (system_backup, user_db_backup, logs)
316 richard 58
DIR_WEB="/var/www/html"				# répertoire racine APACHE
648 richard 59
DIR_DG="/etc/dansguardian"			# répertoire de config de DansGuardian
316 richard 60
DIR_ACC="$DIR_WEB/acc"				# répertoire du centre de gestion 'ALCASAR Control Center'
1 root 61
DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts
62
DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin
63
DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf
628 richard 64
CONF_FILE="$DIR_DEST_ETC/alcasar.conf"		# fichier de conf d'alcasar
65
PASSWD_FILE="/root/ALCASAR-passwords.txt"	# fichier texte contenant les mots de passe et secrets partagés 
1 root 66
# ******* DBMS parameters - paramètres SGBD ********
67
DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius
68
DB_USER="radius"				# nom de l'utilisateur de la base de données
69
# ******* Network parameters - paramètres réseau *******
503 richard 70
HOSTNAME="alcasar"				# 
1 root 71
DOMAIN="localdomain"				# domaine local
72
EXTIF="eth0"					# ETH0 est l'interface connectée à Internet (Box FAI)
73
INTIF="eth1"					# ETH1 est l'interface connectée au réseau local de consultation
597 richard 74
DEFAULT_PRIVATE_IP_MASK="192.168.182.1/24"	# adresse d'ALCASAR (+masque) proposée par défaut sur le réseau de consultation
1 root 75
# ****** Paths - chemin des commandes *******
76
SED="/bin/sed -i"
77
# ****************** End of global parameters *********************
78
 
959 franck 79
license ()
80
{
81
	if [ $Lang == "fr" ]
82
	then cat $DIR_INSTALL/gpl-3.0.fr.txt
83
	else cat $DIR_INSTALL/gpl-3.0.txt
84
	fi
85
	read a
86
}
87
 
1 root 88
header_install ()
89
{
90
	clear
91
	echo "-----------------------------------------------------------------------------"
460 richard 92
	echo "                     ALCASAR V$VERSION Installation"
1 root 93
	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
94
	echo "-----------------------------------------------------------------------------"
95
} # End of header_install ()
96
 
97
##################################################################
29 richard 98
##			Fonction TESTING			##
99
## - Test de la connectivité Internet				##
100
##################################################################
101
testing ()
102
{
595 richard 103
	if [ $Lang == "fr" ]
784 richard 104
		then echo -n "Tests des paramètres réseau : "
595 richard 105
		else echo -n "Network parameters tests : "
106
	fi
784 richard 107
# We test eth0 config files
108
	PUBLIC_IP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
109
	PUBLIC_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`
110
	if [ `echo $PUBLIC_IP|wc -c` -lt 7 ] || [ `echo $PUBLIC_GATEWAY|wc -c` -lt 7 ]
111
		then
112
		if [ $Lang == "fr" ]
113
		then 
114
			echo "Échec"
115
			echo "La carte réseau connectée à Internet ($EXTIF) n'est pas correctement configurée."
116
			echo "Renseignez les champs suivants dans le fichier '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
830 richard 117
			echo "Appliquez les changements : 'service network restart'"
784 richard 118
		else
119
			echo "Failed"
120
			echo "The Internet connected network card ($EXTIF) isn't well configured."
121
			echo "The folowing parametres must be set in the file '/etc/sysconfig/network-scripts/ifcfg-$EXTIF' :"
830 richard 122
			echo "Apply the new configuration 'service network restart'"
784 richard 123
		fi
830 richard 124
		echo "DEVICE=$EXTIF"
784 richard 125
		echo "IPADDR="
126
		echo "NETMASK="
127
		echo "GATEWAY="
128
		echo "DNS1="
129
		echo "DNS2="
830 richard 130
		echo "ONBOOT=yes"
784 richard 131
		exit 0
132
	fi
133
	echo -n "."
460 richard 134
# We test the Ethernet links state
29 richard 135
	for i in $EXTIF $INTIF
136
	do
294 richard 137
		/sbin/ip link set $i up
306 richard 138
		sleep 3
808 franck 139
		CMD=`/usr/sbin/ethtool $i |grep Link | awk '{print $NF}'`
140
		CMD2=`/sbin/mii-tool $i | grep -i link | awk '{print $NF}'`
141
		if [ $CMD != "yes" ] && [ $CMD2 != "ok" ]
29 richard 142
			then
595 richard 143
			if [ $Lang == "fr" ]
144
			then 
145
				echo "Échec"
146
				echo "Le lien réseau de la carte $i n'est pas actif."
147
				echo "Réglez ce problème puis relancez ce script."
148
			else
149
				echo "Failed"
150
				echo "The link state of $i interface id down."
151
				echo "Resolv this problem, then restart this script."
152
			fi
29 richard 153
			exit 0
154
		fi
308 richard 155
	echo -n "."
29 richard 156
	done
157
# On teste la présence d'un routeur par défaut (Box FAI)
784 richard 158
	if [ `ip route list|grep -c ^default` -ne "1" ] ; then
595 richard 159
		if [ $Lang == "fr" ]
160
		then 
161
			echo "Échec"
162
			echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
163
			echo "Réglez ce problème puis relancez ce script."
164
		else
165
			echo "Failed"
166
			echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
167
			echo "Resolv this problem, then restart this script."
168
		fi
29 richard 169
		exit 0
170
	fi
308 richard 171
	echo -n "."
172
# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
784 richard 173
	if [ `ip route list|grep ^default|grep -c eth1` -eq "1" ] ; then
595 richard 174
		if [ $Lang == "fr" ]
175
			then echo "La configuration des cartes réseau va être corrigée."
176
			else echo "The Ethernet card configuration will be corrected."
177
		fi
29 richard 178
		/etc/init.d/network stop
179
		mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
180
		$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
181
		/etc/init.d/network start
182
		echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
183
		sleep 2
595 richard 184
		if [ $Lang == "fr" ]
185
			then echo "Configuration corrigée"
186
			else echo "Configuration updated"
187
		fi
29 richard 188
		sleep 2
595 richard 189
		if [ $Lang == "fr" ]
190
			then echo "Vous pouvez relancer ce script."
191
			else echo "You can restart this script."
192
		fi
29 richard 193
		exit 0
194
	fi
308 richard 195
	echo -n "."
196
# On test le lien vers le routeur par default
197
	IP_GW=`ip route list|grep ^default|cut -d" " -f3`
198
	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW|grep response|cut -d" " -f2`
527 richard 199
	if [ $(expr $arp_reply) -eq 0 ]
308 richard 200
	       	then
595 richard 201
		if [ $Lang == "fr" ]
202
		then 
203
			echo "Échec"
204
			echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
205
			echo "Réglez ce problème puis relancez ce script."
206
		else
207
			echo "Failed"
208
			echo "The Internet gateway doesn't answered"
209
			echo "Resolv this problem, then restart this script."
210
		fi
308 richard 211
		exit 0
212
	fi
213
	echo -n "."
421 franck 214
# On teste la connectivité Internet
29 richard 215
	rm -rf /tmp/con_ok.html
308 richard 216
	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
29 richard 217
	if [ ! -e /tmp/con_ok.html ]
218
	then
595 richard 219
		if [ $Lang == "fr" ]
220
		then 
221
			echo "La tentative de connexion vers Internet a échoué (google.fr)."
222
			echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
223
			echo "Vérifiez la validité des adresses IP des DNS."
224
		else
225
			echo "The Internet connection try failed (google.fr)."
226
			echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
227
			echo "Verify the DNS IP addresses"
228
		fi
29 richard 229
		exit 0
230
	fi
231
	rm -rf /tmp/con_ok.html
308 richard 232
	echo ". : ok"
302 richard 233
} # end of testing
234
 
235
##################################################################
236
##			Fonction INIT				##
237
## - Création du fichier "/root/ALCASAR_parametres.txt"		##
238
## - Installation et modification des scripts du portail	##
239
##################################################################
240
init ()
241
{
527 richard 242
	if [ "$mode" != "update" ]
302 richard 243
	then
244
# On affecte le nom d'organisme
597 richard 245
		header_install
302 richard 246
		ORGANISME=!
247
		PTN='^[a-zA-Z0-9-]*$'
580 richard 248
		until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
302 richard 249
                do
595 richard 250
			if [ $Lang == "fr" ]
597 richard 251
			       	then echo -n "Entrez le nom de votre organisme : "
252
				else echo -n "Enter the name of your organism : "
595 richard 253
			fi
330 franck 254
			read ORGANISME
613 richard 255
			if [ "$ORGANISME" == "" ]
330 franck 256
				then
257
				ORGANISME=!
258
			fi
259
		done
302 richard 260
	fi
1 root 261
# On crée aléatoirement les mots de passe et les secrets partagés
628 richard 262
	rm -f $PASSWD_FILE
59 richard 263
	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub
628 richard 264
	echo -n "Password to protect the boot menu (GRUB) : " > $PASSWD_FILE
265
	echo "$grubpwd" >> $PASSWD_FILE
59 richard 266
	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
384 richard 267
	$SED "/^password.*/d" /boot/grub/menu.lst
268
	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1 root 269
	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld
628 richard 270
	echo -n "Name and password of MYSQL administrator : " >> $PASSWD_FILE
271
	echo "root / $mysqlpwd" >> $PASSWD_FILE
1 root 272
	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
628 richard 273
	echo -n "Name and password of MYSQL user : " >> $PASSWD_FILE
274
	echo "$DB_USER / $radiuspwd" >> $PASSWD_FILE
1 root 275
	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli
628 richard 276
	echo -n "Shared secret between the script 'intercept.php' and coova-chilli : " >> $PASSWD_FILE
277
	echo "$secretuam" >> $PASSWD_FILE
1 root 278
	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius
628 richard 279
	echo -n "Shared secret between coova-chilli and FreeRadius : " >> $PASSWD_FILE
280
	echo "$secretradius" >> $PASSWD_FILE
281
	chmod 640 $PASSWD_FILE
453 franck 282
# On installe les scripts et fichiers de configuration d'ALCASAR 
865 richard 283
#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log.sh,watchdog.sh}
5 franck 284
	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
453 franck 285
#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
5 franck 286
	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
453 franck 287
#  - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
648 richard 288
	cp -f $DIR_CONF/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1 root 289
	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
290
	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5 franck 291
	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
292
	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
628 richard 293
# generate central conf file
294
	cat <<EOF > $CONF_FILE
612 richard 295
##########################################
296
##                                      ##
297
##          ALCASAR Parameters          ##
298
##                                      ##
299
##########################################
1 root 300
 
612 richard 301
INSTALL_DATE=$DATE
302
VERSION=$VERSION
303
ORGANISM=$ORGANISME
923 franck 304
DOMAIN=$DOMAIN
612 richard 305
EOF
628 richard 306
	chmod o-rwx $CONF_FILE
1 root 307
} # End of init ()
308
 
309
##################################################################
310
##			Fonction network			##
311
## - Définition du plan d'adressage du réseau de consultation	##
595 richard 312
## - Nommage DNS du système 					##
1 root 313
## - Configuration de l'interface eth1 (réseau de consultation)	##
314
## - Modification du fichier /etc/hosts				##
315
## - Configuration du serveur de temps (NTP)			##
316
## - Renseignement des fichiers hosts.allow et hosts.deny	##
317
##################################################################
318
network ()
319
{
320
	header_install
636 richard 321
	if [ "$mode" != "update" ]
322
		then
323
		if [ $Lang == "fr" ]
324
			then echo "Par défaut, l'adresse IP d'ALCASAR sur le réseau de consultation est : $DEFAULT_PRIVATE_IP_MASK"
325
			else echo "The default ALCASAR IP address on consultation network is : $DEFAULT_PRIVATE_IP_MASK"
326
		fi
327
		response=0
328
		PTN='^[oOyYnN]$'
329
		until [[ $(expr $response : $PTN) -gt 0 ]]
1 root 330
		do
595 richard 331
			if [ $Lang == "fr" ]
659 richard 332
				then echo -n "Voulez-vous utiliser cette adresse et ce plan d'adressage (recommandé) (O/n)? : "
618 richard 333
				else echo -n "Do you want to use this IP address and this IP addressing plan (recommanded) (Y/n)? : "
595 richard 334
			fi
1 root 335
			read response
336
		done
636 richard 337
		if [ "$response" = "n" ] || [ "$response" = "N" ]
338
		then
339
			PRIVATE_IP_MASK="0"
340
			PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'
341
			until [[ $(expr $PRIVATE_IP_MASK : $PTN) -gt 0 ]]
1 root 342
			do
595 richard 343
				if [ $Lang == "fr" ]
597 richard 344
					then echo -n "Entrez l'adresse IP d'ALCASAR au format CIDR (a.b.c.d/xx) : "
345
					else echo -n "Enter ALCASAR IP address in CIDR format (a.b.c.d/xx) : "
595 richard 346
				fi
597 richard 347
				read PRIVATE_IP_MASK
1 root 348
			done
636 richard 349
		else
350
       			PRIVATE_IP_MASK=$DEFAULT_PRIVATE_IP_MASK
351
		fi
595 richard 352
	else
637 richard 353
		PRIVATE_IP_MASK=`grep PRIVATE_IP conf/etc/alcasar.conf|cut -d"=" -f2` 
354
		rm -rf conf/etc/alcasar.conf
1 root 355
	fi
861 richard 356
# Define LAN side global parameters
1 root 357
	hostname $HOSTNAME
837 richard 358
	PRIVATE_NETWORK=`/bin/ipcalc -n $PRIVATE_IP_MASK | cut -d"=" -f2`			# private network address (ie.: 192.168.182.0)
359
	PRIVATE_NETMASK=`/bin/ipcalc -m $PRIVATE_IP_MASK | cut -d"=" -f2`			# private network mask (ie.: 255.255.255.0)
360
	PRIVATE_IP=`echo $PRIVATE_IP_MASK | cut -d"/" -f1`					# ALCASAR private ip address (consultation LAN side)
861 richard 361
	PRIVATE_PREFIX=`/bin/ipcalc -p $PRIVATE_IP_MASK |cut -d"=" -f2`				# network prefix (ie. 24)
362
	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$PRIVATE_PREFIX					# ie.: 192.168.182.0/24
363
	classe=$((PRIVATE_PREFIX/8)); classe_sup=`expr $classe + 1`; classe_sup_sup=`expr $classe + 2`		# ie.: 2=classe B, 3=classe C
837 richard 364
	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.			# compatibility with hosts.allow et hosts.deny (ie.: 192.168.182.)
365
	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# private network broadcast (ie.: 192.168.182.255)
366
	private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`		# last octet of LAN address
367
	private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`		# last octet of LAN broadcast
368
	PRIVATE_FIRST_IP=`echo $PRIVATE_NETWORK | cut -d"." -f1-3`"."`expr $private_network_ending + 1`		# First network address (ex.: 192.168.182.1)
369
	PRIVATE_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_ending - 1`	# last network address (ex.: 192.168.182.254)
861 richard 370
 
841 richard 371
# Define Internet parameters
14 richard 372
	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
373
	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 1er DNS
374
	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 2ème DNS
70 franck 375
	DNS1=${DNS1:=208.67.220.220}
376
	DNS2=${DNS2:=208.67.222.222}
597 richard 377
	PUBLIC_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
784 richard 378
	DEFAULT_PUBLIC_NETMASK=`ipcalc -m 192.168.182.2 | cut -d"=" -f2`
379
	PUBLIC_NETMASK=${PUBLIC_NETMASK:=$DEFAULT_PUBLIC_NETMASK}
380
	PUBLIC_PREFIX=`/bin/ipcalc -p 192.168.182.2 $PUBLIC_NETMASK|cut -d"=" -f2`
861 richard 381
 
765 stephane 382
	echo "PUBLIC_IP=$PUBLIC_IP/$PUBLIC_PREFIX" >> $CONF_FILE
383
	echo "PUBLIC_MTU=1500" >> $CONF_FILE
628 richard 384
	echo "GW=$PUBLIC_GATEWAY" >> $CONF_FILE 
385
	echo "DNS1=$DNS1" >> $CONF_FILE
386
	echo "DNS2=$DNS2" >> $CONF_FILE
387
	echo "PRIVATE_IP=$PRIVATE_IP_MASK" >> $CONF_FILE
941 richard 388
	echo "DHCP=full" >> $CONF_FILE
914 franck 389
	echo "EXT_DHCP_IP=none" >> $CONF_FILE
390
	echo "RELAY_DHCP_IP=none" >> $CONF_FILE
391
	echo "RELAY_DHCP_PORT=none" >> $CONF_FILE
597 richard 392
	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default
841 richard 393
# config network
1 root 394
	cat <<EOF > /etc/sysconfig/network
395
NETWORKING=yes
396
HOSTNAME="$HOSTNAME"
397
FORWARD_IPV4=true
398
EOF
841 richard 399
# config /etc/hosts
1 root 400
	[ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default
401
	cat <<EOF > /etc/hosts
503 richard 402
127.0.0.1	localhost
914 franck 403
$PRIVATE_IP	$HOSTNAME $HOSTNAME.$DOMAIN
1 root 404
EOF
841 richard 405
# Config eth0 (Internet)
14 richard 406
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
407
DEVICE=$EXTIF
408
BOOTPROTO=static
597 richard 409
IPADDR=$PUBLIC_IP
410
NETMASK=$PUBLIC_NETMASK
411
GATEWAY=$PUBLIC_GATEWAY
14 richard 412
DNS1=127.0.0.1
413
ONBOOT=yes
414
METRIC=10
415
NOZEROCONF=yes
416
MII_NOT_SUPPORTED=yes
417
IPV6INIT=no
418
IPV6TO4INIT=no
419
ACCOUNTING=no
420
USERCTL=no
421
EOF
841 richard 422
# Config eth1 (consultation LAN) in normal mode
423
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
424
DEVICE=$INTIF
425
BOOTPROTO=static
426
ONBOOT=yes
427
NOZEROCONF=yes
428
MII_NOT_SUPPORTED=yes
429
IPV6INIT=no
430
IPV6TO4INIT=no
431
ACCOUNTING=no
432
USERCTL=no
433
EOF
434
# Config of eth1 in bypass mode (see "alcasar-bypass.sh")
793 richard 435
	cat <<EOF > /etc/sysconfig/network-scripts/default-ifcfg-$INTIF
1 root 436
DEVICE=$INTIF
437
BOOTPROTO=static
438
IPADDR=$PRIVATE_IP
604 richard 439
NETMASK=$PRIVATE_NETMASK
1 root 440
ONBOOT=yes
441
METRIC=10
442
NOZEROCONF=yes
443
MII_NOT_SUPPORTED=yes
14 richard 444
IPV6INIT=no
445
IPV6TO4INIT=no
446
ACCOUNTING=no
447
USERCTL=no
1 root 448
EOF
440 franck 449
# Mise à l'heure du serveur
450
	[ -e /etc/ntp/step-tickers.default ] || cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
451
	cat <<EOF > /etc/ntp/step-tickers
455 franck 452
0.fr.pool.ntp.org	# adapt to your country
453
1.fr.pool.ntp.org
454
2.fr.pool.ntp.org
440 franck 455
EOF
456
# Configuration du serveur de temps (sur lui même)
1 root 457
	[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
458
	cat <<EOF > /etc/ntp.conf
456 franck 459
server 0.fr.pool.ntp.org	# adapt to your country
447 franck 460
server 1.fr.pool.ntp.org
461
server 2.fr.pool.ntp.org
462
server 127.127.1.0   		# local clock si NTP internet indisponible ...
411 richard 463
fudge 127.127.1.0 stratum 10
604 richard 464
restrict $PRIVATE_NETWORK mask $PRIVATE_NETMASK nomodify notrap
1 root 465
restrict 127.0.0.1
310 richard 466
driftfile /var/lib/ntp/drift
1 root 467
logfile /var/log/ntp.log
468
EOF
440 franck 469
 
310 richard 470
	chown -R ntp:ntp /var/lib/ntp
1 root 471
# Renseignement des fichiers hosts.allow et hosts.deny
472
	[ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default
473
	cat <<EOF > /etc/hosts.allow
474
ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
604 richard 475
sshd: ALL
1 root 476
ntpd: $PRIVATE_NETWORK_SHORT
477
EOF
478
	[ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default
479
	cat <<EOF > /etc/hosts.deny
480
ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
481
EOF
604 richard 482
# Firewall config
790 richard 483
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
484
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
485
	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
860 richard 486
# create the filter exception file and ip_bloqued file
790 richard 487
	touch $DIR_DEST_ETC/alcasar-filter-exceptions
860 richard 488
# create the ip_blocked file with a first line (LAN between ALCASAR and the Internet GW)
489
	echo "#$PUBLIC_IP/$PUBLIC_PREFIX LAN-ALCASAR-BOX" > $DIR_DEST_ETC/alcasar-ip-blocked
790 richard 490
# load conntrack ftp module
491
	[ -e /etc/modprobe.preload.default ] || cp /etc/modprobe.preload /etc/modprobe.preload.default
492
	echo "ip_conntrack_ftp" >>  /etc/modprobe.preload
860 richard 493
# the script "$DIR_DEST_BIN/alcasar-iptables.sh" is launched at the end in order to allow update via ssh
1 root 494
} # End of network ()
495
 
496
##################################################################
497
##			Fonction gestion			##
498
## - installation du centre de gestion				##
499
## - configuration du serveur web (Apache)			##
500
## - définition du 1er comptes de gestion 			##
501
## - sécurisation des accès					##
502
##################################################################
503
gestion()
504
{
505
	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
506
	mkdir $DIR_WEB
507
# Copie et configuration des fichiers du centre de gestion
316 richard 508
	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
1 root 509
	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
316 richard 510
	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
511
	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
512
	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
513
	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
498 richard 514
	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
316 richard 515
	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
5 franck 516
	chown -R apache:apache $DIR_WEB/*
840 richard 517
	for i in system_backup base logs/firewall logs/httpd logs/squid logs/security;
1 root 518
	do
519
		[ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i
520
	done
5 franck 521
	chown -R root:apache $DIR_SAVE
71 richard 522
# Configuration et sécurisation php
523
	[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default
534 richard 524
	timezone=`cat /etc/sysconfig/clock|grep ZONE|cut -d"=" -f2`
525
	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
411 richard 526
	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
527
	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
71 richard 528
	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
529
	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
530
# Configuration et sécurisation Apache
790 richard 531
	rm -rf /var/www/cgi-bin/* /var/www/perl/* /var/www/icons/README* /var/www/error/README*
1 root 532
	[ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
580 richard 533
	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
303 richard 534
	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
1 root 535
	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
536
	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
537
	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
790 richard 538
	$SED "s?^LoadModule authn_anon_module.*?#LoadModule authn_anon_module modules/mod_authn_anon.so?g" /etc/httpd/conf/httpd.conf
539
	$SED "s?^LoadModule status_module.*?#LoadModule status_module modules/mod_status.so?g" /etc/httpd/conf/httpd.conf
540
	$SED "s?^LoadModule autoindex_module.*?#LoadModule autoindex_module modules/mod_autoindex.so?g" /etc/httpd/conf/httpd.conf
541
	$SED "s?^LoadModule info_module.*?#LoadModule info_module modules/mod_info.so?g" /etc/httpd/conf/httpd.conf
542
	$SED "s?^LoadModule imagemap_module.*?#LoadModule imagemap_module modules/mod_imagemap.so?g" /etc/httpd/conf/httpd.conf
543
	$SED "s?^LoadModule rewrite_module.*?#LoadModule rewrite_module modules/mod_rewrite.so?g" /etc/httpd/conf/httpd.conf
1 root 544
	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
545
	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
546
	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
547
	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
548
	cat <<EOF > /var/www/error/include/bottom.html
549
</body>
550
</html>
551
EOF
552
# Définition du premier compte lié au profil 'admin'
509 richard 553
	header_install
510 richard 554
	if [ "$mode" = "install" ]
555
	then
613 richard 556
		admin_portal=!
557
		PTN='^[a-zA-Z0-9-]*$'
558
		until [[ $(expr $admin_portal : $PTN) -gt 0 ]]
559
                	do
560
			header_install
561
			if [ $Lang == "fr" ]
562
			then 
563
				echo ""
564
				echo "Définissez un premier compte d'administration du portail :"
565
				echo
566
				echo -n "Nom : "
567
			else
568
				echo ""
569
				echo "Define the first account allow to administrate the portal :"
570
				echo
571
				echo -n "Account : "
572
			fi
573
			read admin_portal
574
			if [ "$admin_portal" == "" ]
575
				then
576
				admin_portal=!
577
			fi
578
			done
1 root 579
# Création du fichier de clés de ce compte dans le profil "admin"
510 richard 580
		[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
581
		mkdir -p $DIR_DEST_ETC/digest
582
		chmod 755 $DIR_DEST_ETC/digest
583
		until [ -s $DIR_DEST_ETC/digest/key_admin ]
584
			do
613 richard 585
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510 richard 586
			done
587
		$DIR_DEST_SBIN/alcasar-profil.sh --list
595 richard 588
	else   # mise à jour des versions < 2.1
510 richard 589
		if ([ $MAJ_RUNNING_VERSION -lt 2 ] || ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
590
			then
613 richard 591
			if [ $Lang == "fr" ]
592
			then 
593
				echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
594
				echo
595
				echo -n "Nom : "
596
			else
597
				echo "This update need to redefine the first admin account"
598
				echo
599
				echo -n "Account : "
600
			fi
601
			read admin_portal
510 richard 602
			[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
603
			mkdir -p $DIR_DEST_ETC/digest
604
			chmod 755 $DIR_DEST_ETC/digest
605
			until [ -s $DIR_DEST_ETC/digest/key_admin ]
606
			do
613 richard 607
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portal
510 richard 608
			done
609
			$DIR_DEST_SBIN/alcasar-profil.sh --list
610
		fi
611
	fi
434 richard 612
# synchronisation horaire
613
	ntpd -q -g &
1 root 614
# Sécurisation du centre
615
	rm -f /etc/httpd/conf/webapps.d/*
616
	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
316 richard 617
<Directory $DIR_ACC>
1 root 618
	SSLRequireSSL
619
	AllowOverride None
620
	Order deny,allow
621
	Deny from all
622
	Allow from 127.0.0.1
623
	Allow from $PRIVATE_NETWORK_MASK
624
	require valid-user
625
	AuthType digest
626
	AuthName $HOSTNAME
627
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 628
	AuthUserFile $DIR_DEST_ETC/digest/key_all
580 richard 629
	ErrorDocument 404 https://$HOSTNAME/
1 root 630
</Directory>
316 richard 631
<Directory $DIR_ACC/admin>
1 root 632
	SSLRequireSSL
633
	AllowOverride None
634
	Order deny,allow
635
	Deny from all
636
	Allow from 127.0.0.1
637
	Allow from $PRIVATE_NETWORK_MASK
638
	require valid-user
639
	AuthType digest
640
	AuthName $HOSTNAME
641
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 642
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580 richard 643
	ErrorDocument 404 https://$HOSTNAME/
1 root 644
</Directory>
344 richard 645
<Directory $DIR_ACC/manager>
1 root 646
	SSLRequireSSL
647
	AllowOverride None
648
	Order deny,allow
649
	Deny from all
650
	Allow from 127.0.0.1
651
	Allow from $PRIVATE_NETWORK_MASK
652
	require valid-user
653
	AuthType digest
654
	AuthName $HOSTNAME
655
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 656
	AuthUserFile $DIR_DEST_ETC/digest/key_manager
580 richard 657
	ErrorDocument 404 https://$HOSTNAME/
1 root 658
</Directory>
316 richard 659
<Directory $DIR_ACC/backup>
660
	SSLRequireSSL
661
	AllowOverride None
662
	Order deny,allow
663
	Deny from all
664
	Allow from 127.0.0.1
665
	Allow from $PRIVATE_NETWORK_MASK
666
	require valid-user
667
	AuthType digest
668
	AuthName $HOSTNAME
669
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 670
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
580 richard 671
	ErrorDocument 404 https://$HOSTNAME/
316 richard 672
</Directory>
811 richard 673
Alias /save/ "$DIR_SAVE/"
674
<Directory $DIR_SAVE>
675
	SSLRequireSSL
676
	Options Indexes
677
	Order deny,allow
678
	Deny from all
679
	Allow from 127.0.0.1
680
	Allow from $PRIVATE_NETWORK_MASK
681
	require valid-user
682
	AuthType digest
683
	AuthName $HOSTNAME
684
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
685
	ErrorDocument 404 https://$HOSTNAME/
686
</Directory>
1 root 687
EOF
688
} # End of gestion ()
689
 
690
##########################################################################################
691
##				Fonction AC()						##
692
## - Création d'une Autorité de Certification et du certificat serveur pour apache 	##
693
##########################################################################################
694
AC ()
695
{
696
	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
510 richard 697
	$DIR_DEST_BIN/alcasar-CA.sh
800 richard 698
	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl_vhost.conf`
303 richard 699
	[ -e /etc/httpd/conf/vhosts-ssl.default ]  || cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
700
	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
701
	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
679 richard 702
	$SED "s?^#SSLCertificateChainFile.*?SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt?" $FIC_VIRTUAL_SSL
5 franck 703
	chown -R root:apache /etc/pki
1 root 704
	chmod -R 750 /etc/pki
705
} # End AC ()
706
 
707
##########################################################################################
708
##			Fonction init_db()						##
709
## - Initialisation de la base Mysql							##
710
## - Affectation du mot de passe de l'administrateur (root)				##
711
## - Suppression des bases et des utilisateurs superflus				##
712
## - Création de la base 'radius'							##
713
## - Installation du schéma de cette base						##
714
## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)	##
715
##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)		##
716
##########################################################################################
717
init_db ()
718
{
719
	mkdir -p /var/lib/mysql/.tmp
720
	chown mysql:mysql /var/lib/mysql/.tmp
227 franck 721
	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf		# prend en compte les migrations de MySQL
1 root 722
	[ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default
723
	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
724
	/etc/init.d/mysqld start
725
	sleep 4
726
	mysqladmin -u root password $mysqlpwd
727
	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615 richard 728
# Delete exemple databases if exist
1 root 729
	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;" 
615 richard 730
# Create 'radius' database
1 root 731
	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
615 richard 732
# Add an empty radius database structure
364 franck 733
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
615 richard 734
# modify the start script in order to close accounting connexion when the system is comming down or up
735
	[ -e /etc/init.d/mysqld.default ] || cp /etc/init.d/mysqld /etc/init.d/mysqld.default
736
	$SED "/wait_for_pid created/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
737
	$SED "/'stop')/a echo \"Flush ALCASAR open accounting sessions\"; /usr/local/sbin/alcasar-mysql.sh -acct_stop" /etc/init.d/mysqld
1 root 738
} # End init_db ()
739
 
740
##########################################################################
741
##			Fonction param_radius				##
742
## - Paramètrage des fichiers de configuration FreeRadius		##
743
## - Affectation du secret partagé entre coova-chilli et freeradius	##
744
## - Modification de fichier de conf pour l'accès à Mysql		##
745
##########################################################################
746
param_radius ()
747
{
748
	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
749
	chown -R radius:radius /etc/raddb
750
	[ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
751
# paramètrage radius.conf
752
	$SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf
753
	$SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf
754
	$SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf
755
# suppression de la fonction proxy
756
	$SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf
757
	$SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
654 richard 758
# suppression du module EAP
759
	$SED "s?^[\t ]*\$INCLUDE eap.conf.*?#\$INCLUDE eap.conf?g" /etc/raddb/radiusd.conf
1 root 760
# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
761
	$SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
762
# prise en compte du module SQL et des compteurs SQL
763
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
764
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
765
	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
766
# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
767
	rm -f /etc/raddb/sites-enabled/*
768
       	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
769
	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
770
	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
771
	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
772
	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
384 richard 773
# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
1 root 774
	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
775
# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
776
	[ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
777
	cat << EOF > /etc/raddb/clients.conf
778
client 127.0.0.1 {
779
	secret = $secretradius
780
	shortname = localhost
781
}
782
EOF
783
# modif sql.conf
784
	[ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
785
	$SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
786
	$SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
787
	$SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
788
	$SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf
789
# modif dialup.conf
790
	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
791
	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
792
} # End param_radius ()
793
 
794
##########################################################################
795
##			Fonction param_web_radius			##
796
## - Import, modification et paramètrage de l'interface "dialupadmin"	##
797
## - Création du lien vers la page de changement de mot de passe        ##
798
##########################################################################
799
param_web_radius ()
800
{
801
# copie de l'interface d'origine dans la structure Alcasar
316 richard 802
	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
803
	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme 
804
	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
344 richard 805
# copie des fichiers modifiés
806
	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
316 richard 807
	chown -R apache:apache $DIR_ACC/manager/
344 richard 808
# Modification des fichiers de configuration
1 root 809
	[ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
503 richard 810
	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
1 root 811
	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
812
	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
813
	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
814
	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
815
	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
816
	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
817
	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
946 richard 818
	$SED "s?^general_charset.*?general_charset: utf-8?g" /etc/freeradius-web/admin.conf
344 richard 819
	[ -e /etc/freeradius-web/config.php.default ] || cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
820
	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
131 richard 821
	cat <<EOF > /etc/freeradius-web/naslist.conf
632 richard 822
nas1_name: alcasar-$ORGANISME
1 root 823
nas1_model: Portail captif
824
nas1_ip: $PRIVATE_IP
825
nas1_port_num: 0
826
nas1_community: public
827
EOF
828
# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
829
	[ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
830
	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
114 richard 831
# Ajout du mappage des attributs chillispot
832
	[ -e /etc/freeradius-web/sql.attrmap.default ] || mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
833
	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
1 root 834
# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
835
	[ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
836
	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
837
	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5 franck 838
	chown -R apache:apache /etc/freeradius-web
1 root 839
# Ajout de l'alias vers la page de "changement de mot de passe usager"
840
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
344 richard 841
<Directory $DIR_WEB/pass>
1 root 842
	SSLRequireSSL
843
	AllowOverride None
844
	Order deny,allow
845
	Deny from all
846
	Allow from 127.0.0.1
847
	Allow from $PRIVATE_NETWORK_MASK
580 richard 848
	ErrorDocument 404 https://$HOSTNAME
1 root 849
</Directory>
850
EOF
851
} # End of param_web_radius ()
852
 
799 richard 853
##################################################################################
854
##			Fonction param_chilli					##
855
## - Création du fichier d'initialisation et de configuration de coova-chilli	##
856
## - Paramètrage de la page d'authentification (intercept.php)			##
857
##################################################################################
1 root 858
param_chilli ()
859
{
799 richard 860
# init file creation
461 richard 861
	[ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default
799 richard 862
	cat <<EOF > /etc/init.d/chilli
863
#!/bin/sh
864
#
865
# chilli CoovaChilli init
866
#
867
# chkconfig: 2345 65 35
868
# description: CoovaChilli
869
### BEGIN INIT INFO
870
# Provides:       chilli
871
# Required-Start: network 
872
# Should-Start: 
873
# Required-Stop:  network
874
# Should-Stop: 
875
# Default-Start:  2 3 5
876
# Default-Stop:
877
# Description:    CoovaChilli access controller
878
### END INIT INFO
879
 
880
[ -f /usr/sbin/chilli ] || exit 0
881
. /etc/init.d/functions
882
CONFIG=/etc/chilli.conf
883
pidfile=/var/run/chilli.pid
884
[ -f \$CONFIG ] || {
885
    echo "\$CONFIG Not found"
886
    exit 0
887
}
888
RETVAL=0
889
prog="chilli"
890
case \$1 in
891
    start)
892
	if [ -f \$pidfile ] ; then 
893
		gprintf "chilli is already running"
894
	else
895
        	gprintf "Starting \$prog: "
896
		rm -f /var/run/chilli* # cleaning
897
        	/sbin/modprobe tun >/dev/null 2>&1
898
        	echo 1 > /proc/sys/net/ipv4/ip_forward
899
		[ -e /dev/net/tun ] || {
900
	    	(cd /dev; 
901
			mkdir net; 
902
			cd net; 
903
			mknod tun c 10 200)
904
		}
905
		ifconfig eth1 0.0.0.0
906
		daemon /usr/sbin/chilli -c \$CONFIG --pidfile=\$pidfile &
907
        	RETVAL=$?
908
	fi
909
	;;
910
 
911
    reload)
912
	killall -HUP chilli
913
	;;
914
 
915
    restart)
916
	\$0 stop
917
        sleep 2
918
	\$0 start
919
	;;
920
 
921
    status)
922
        status chilli
923
        RETVAL=0
924
        ;;
925
 
926
    stop)
927
	if [ -f \$pidfile ] ; then  
928
        	gprintf "Shutting down \$prog: "
929
		killproc /usr/sbin/chilli
930
		RETVAL=\$?
931
		[ \$RETVAL = 0 ] && rm -f $pidfile
932
	else	
933
        	gprintf "chilli is not running"
934
	fi
935
	;;
936
 
937
    *)
938
        echo "Usage: \$0 {start|stop|restart|reload|status}"
939
        exit 1
940
esac
941
echo
942
EOF
943
 
944
# conf file creation
346 richard 945
	[ -e /etc/chilli.conf.default ] || cp /etc/chilli.conf /etc/chilli.conf.default
946
	cat <<EOF > /etc/chilli.conf
947
# coova config for ALCASAR
948
cmdsocket	/var/run/chilli.sock
949
unixipc		chilli.eth1.ipc
950
pidfile		/var/run/chilli.eth1.pid
951
net		$PRIVATE_NETWORK_MASK
595 richard 952
dhcpif		$INTIF
841 richard 953
ethers		$DIR_DEST_ETC/alcasar-ethers
861 richard 954
#nodynip
865 richard 955
#statip
956
dynip		$PRIVATE_NETWORK_MASK
346 richard 957
domain		localdomain
355 richard 958
dns1		$PRIVATE_IP
959
dns2		$PRIVATE_IP
346 richard 960
uamlisten	$PRIVATE_IP
503 richard 961
uamport		3990
837 richard 962
macauth
963
macpasswd	password
346 richard 964
locationname	$HOSTNAME
965
radiusserver1	127.0.0.1
966
radiusserver2	127.0.0.1
967
radiussecret	$secretradius
968
radiusauthport	1812
969
radiusacctport	1813
467 richard 970
uamserver	https://$HOSTNAME/intercept.php
346 richard 971
radiusnasid	$HOSTNAME
972
uamsecret	$secretuam
793 richard 973
uamallowed	alcasar
346 richard 974
coaport		3799
503 richard 975
include		$DIR_DEST_ETC/alcasar-uamallowed
976
include		$DIR_DEST_ETC/alcasar-uamdomain
917 franck 977
#dhcpgateway
978
#dhcprelayagent
979
#dhcpgatewayport
346 richard 980
EOF
605 richard 981
# création du fichier d'allocation d'adresses IP statiques
982
	touch $DIR_DEST_ETC/alcasar-ethers
840 richard 983
# create files for trusted domains and urls
984
	touch $DIR_DEST_ETC/alcasar-uamallowed $DIR_DEST_ETC/alcasar-uamdomain
503 richard 985
	chown root:apache $DIR_DEST_ETC/alcasar-*
986
	chmod 660 $DIR_DEST_ETC/alcasar-*
847 richard 987
# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli)
526 stephane 988
	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
989
	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
796 richard 990
# user 'chilli' creation (in order to run conup/off and up/down scripts
991
	chilli_exist=`grep chilli /etc/passwd|wc -l`
992
	if [ "$chilli_exist" == "1" ]
993
	then
994
	      userdel -r chilli 2>/dev/null
995
	fi
996
	groupadd -f chilli
997
	useradd -r -g chilli -s /bin/false -c "system user for coova-chilli" chilli
1 root 998
}  # End of param_chilli ()
999
 
1000
##########################################################
1001
##			Fonction param_squid		##
1002
## - Paramètrage du proxy 'squid' en mode 'cache'	##
1003
## - Initialisation de la base de données  		##
1004
##########################################################
1005
param_squid ()
1006
{
1007
# paramètrage de Squid (connecté en série derrière Dansguardian)
1008
	[ -e /etc/squid/squid.conf.default  ] || cp /etc/squid/squid.conf /etc/squid/squid.conf.default
1009
# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
1010
	$SED "/^acl localnet/d" /etc/squid/squid.conf
1011
	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
1012
	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
1013
	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
1014
	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
1015
	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
1016
# mode 'proxy transparent local'
595 richard 1017
	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
726 franck 1018
# Configuration du cache local
749 franck 1019
	$SED "s?^#cache_dir.*?cache_dir ufs \/var\/spool\/squid 256 16 256?g" /etc/squid/squid.conf
405 franck 1020
# emplacement et formatage standard des logs
419 franck 1021
	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
749 franck 1022
	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh' >> /etc/squid/squid.conf
405 franck 1023
        echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
1 root 1024
# compatibilité des logs avec awstats
315 richard 1025
	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
749 franck 1026
	echo "half_closed_clients off" >> /etc/squid/squid.conf
1027
	echo "server_persistent_connections off" >> /etc/squid/squid.conf
1028
	echo "client_persistent_connections on" >> /etc/squid/squid.conf
1029
	echo "client_lifetime 1440 minutes" >> /etc/squid/squid.conf
1030
	echo "request_timeout 5 minutes" >> /etc/squid/squid.conf
1031
	echo "persistent_request_timeout 2 minutes" >> /etc/squid/squid.conf
726 franck 1032
	echo "cache_mem 256 MB" >> /etc/squid/squid.conf
749 franck 1033
	echo "maximum_object_size_in_memory 4096 KB" >> /etc/squid/squid.conf
1034
	echo "maximum_object_size     4096 KB" >> /etc/squid/squid.conf
835 richard 1035
# anonymisation of squid version
813 richard 1036
	echo "via off" >> /etc/squid/squid.conf
835 richard 1037
# remove the 'X_forwarded' http option
812 richard 1038
	echo "forwarded_for delete" >> /etc/squid/squid.conf
835 richard 1039
# linked squid output in HAVP input
1040
	echo "cache_peer 127.0.0.1 parent 8090 0 no-query default" >> /etc/squid/squid.conf
1041
	echo "never_direct allow all" >> /etc/squid/squid.conf
1042
# avoid error messages on network interfaces state changes
313 richard 1043
	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
894 richard 1044
# reduce squid shutdown time (100 to 50)
1045
	$SED "s?^SQUID_SHUTDOWN_TIMEOUT.*?SQUID_SHUTDOWN_TIMEOUT=50?g" /etc/sysconfig/squid
1046
 
835 richard 1047
# Squid cache init
1 root 1048
	/usr/sbin/squid -z
1049
}  # End of param_squid ()
1050
 
1051
##################################################################
1052
##		Fonction param_dansguardian			##
1053
## - Paramètrage du gestionnaire de contenu Dansguardian	##
1054
##################################################################
1055
param_dansguardian ()
1056
{
1057
	mkdir /var/dansguardian
1058
	chown dansguardian /var/dansguardian
497 richard 1059
	[ -e $DIR_DG/dansguardian.conf.default ] || cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
307 richard 1060
# Le filtrage est désactivé par défaut 
497 richard 1061
	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
1 root 1062
# la page d'interception est en français
497 richard 1063
	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
1 root 1064
# on limite l'écoute de Dansguardian côté LAN
497 richard 1065
	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
835 richard 1066
# on chaîne Dansguardian au proxy cache SQUID
1067
	$SED "s?^proxyport.*?proxyport = 3128?g" $DIR_DG/dansguardian.conf
1 root 1068
# on remplace la page d'interception (template)
1069
	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
1070
	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
1071
# on ne loggue que les deny (pour le reste, on a squid)
497 richard 1072
	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
659 richard 1073
# lauch of 10 daemons (20 in largest server)
1074
	$SED "s?^minchildren =.*?minchildren = 10?g" $DIR_DG/dansguardian.conf
1 root 1075
# on désactive par défaut le controle de contenu des pages html
497 richard 1076
	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
1077
	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
1078
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
1 root 1079
# on désactive par défaut le contrôle d'URL par expressions régulières
497 richard 1080
	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
1081
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
1 root 1082
# on désactive par défaut le contrôle de téléchargement de fichiers
497 richard 1083
	[ -e $DIR_DG/dansguardianf1.conf.default ] || cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
1084
	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
1085
	[ -e $DIR_DG/lists/bannedextensionlist.default ] || mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
1086
	[ -e $DIR_DG/lists/bannedmimetypelist.default ] || mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
1087
	touch $DIR_DG/lists/bannedextensionlist
1088
	touch $DIR_DG/lists/bannedmimetypelist
1089
# 'Safesearch' regex actualisation
498 richard 1090
	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
497 richard 1091
# empty LAN IP list that won't be WEB filtered
1092
	[ -e $DIR_DG/lists/exceptioniplist.default ] || mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
1093
	touch $DIR_DG/lists/exceptioniplist
1094
# Keep a copy of URL & domain filter configuration files
1095
	[ -e $DIR_DG/lists/bannedsitelist.default ] || mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
1096
	[ -e $DIR_DG/lists/bannedurllist.default ] || mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
1 root 1097
} # End of param_dansguardian ()
1098
 
71 richard 1099
##################################################################
1100
##			Fonction antivirus			##
479 richard 1101
## - configuration havp + libclamav				##
71 richard 1102
##################################################################
1103
antivirus ()		
1104
{
288 richard 1105
# création de l'usager 'havp'
1106
	havp_exist=`grep havp /etc/passwd|wc -l`
307 richard 1107
	if [ "$havp_exist" == "1" ]
288 richard 1108
	then
478 richard 1109
	      userdel -r havp 2>/dev/null
894 richard 1110
	      groupdel havp 2>/dev/null
288 richard 1111
	fi
307 richard 1112
	groupadd -f havp
796 richard 1113
	useradd -r -g havp -s /bin/false -c "system user for havp" havp
476 richard 1114
	mkdir -p /var/tmp/havp /var/log/havp
1115
	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
307 richard 1116
	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
109 richard 1117
# configuration d'HAVP
1118
	[ -e /etc/havp/havp.config.default ] || cp /etc/havp/havp.config /etc/havp/havp.config.default
1119
	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
631 richard 1120
	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config				# datas come on 8090			
1121
	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config	# we listen only on loopback
1122
	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config		# active libclamav AV
1123
	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config			# log only when malware matches
659 richard 1124
	$SED "s?^# SERVERNUMBER.*?SERVERNUMBER 10?g" /etc/havp/havp.config		# 10 daemons are started simultaneously
835 richard 1125
	$SED "s?^# SCANIMAGES.*?SCANIMAGES false?g" /etc/havp/havp.config		# doesn't scan image files
1126
	$SED "s?^# SKIPMIME.*?SKIPMIME image\/\* video\/\* audio\/\*?g" /etc/havp/havp.config # doesn't scan some multimedia files
481 franck 1127
# remplacement du fichier d'initialisation
335 richard 1128
	[ -e /etc/init.d/havp.default ] || cp /etc/init.d/havp /etc/init.d/havp.default
481 franck 1129
	cp -f $DIR_CONF/havp-init /etc/init.d/havp
340 richard 1130
# on remplace la page d'interception (template)
1131
	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
1132
	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
489 richard 1133
# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
1134
	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
1135
	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
734 richard 1136
# Virus database update
1137
	rm -f /var/lib/clamav/*.cld # in case of old database scheme
1138
	[ -e /var/lib/clamav/main.cvd ] || /usr/bin/freshclam
71 richard 1139
}
1140
 
1 root 1141
##################################################################################
476 richard 1142
##			param_ulogd function					##
1143
## - Ulog config for multi-log files 						##
1144
##################################################################################
1145
param_ulogd ()
1146
{
1147
# Three instances of ulogd (three different logfiles)
1148
	[ -d /var/log/firewall ] || mkdir -p /var/log/firewall
478 richard 1149
	nl=1
1150
	for log_type in tracability ssh ext-access
1151
	do
1152
		[ -e /var/log/firewall/$log_type.log ] || touch /var/log/firewall/$log_type.log
1153
		cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
1154
		$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf 
1155
		$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
1156
		cat << EOF >> /etc/ulogd-$log_type.conf
1157
[LOGEMU]
1158
file="/var/log/firewall/$log_type.log"
1159
sync=1
1160
EOF
1161
		nl=`expr $nl + 1`
1162
	done
476 richard 1163
	chown -R root:apache /var/log/firewall
1164
	chmod 750 /var/log/firewall
1165
	chmod 640 /var/log/firewall/*
1166
	[ -e /etc/init.d/ulogd.default ] || cp /etc/init.d/ulogd /etc/init.d/ulogd.default
1167
	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
1168
}  # End of param_ulogd ()
1169
 
1170
##################################################################################
1 root 1171
##				Fonction param_awstats				##
1172
## - configuration de l'interface des logs de consultation WEB (AWSTAT)		##
1173
##################################################################################
1174
param_awstats()
1175
{
316 richard 1176
	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
1177
	chown -R apache:apache $DIR_ACC/awstats
1 root 1178
	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
1179
	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
1180
	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
1181
	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
1182
	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
1183
	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
344 richard 1184
	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
1185
	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
1 root 1186
	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
1187
	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59 richard 1188
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
580 richard 1189
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1190
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1191
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
1192
	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
1193
	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
1194
	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
1195
	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
1196
	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
1197
	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
1198
	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
1199
	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
1200
	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
1201
	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
1202
	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
1203
	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
1204
 
1 root 1205
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
316 richard 1206
<Directory $DIR_ACC/awstats>
1 root 1207
	SSLRequireSSL
1208
	Options ExecCGI
1209
	AddHandler cgi-script .pl
1210
	DirectoryIndex awstats.pl
1211
	Order deny,allow
1212
	Deny from all
1213
	Allow from 127.0.0.1
1214
	Allow from $PRIVATE_NETWORK_MASK
1215
	require valid-user
1216
	AuthType digest
1217
	AuthName $HOSTNAME
1218
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
434 richard 1219
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
580 richard 1220
	ErrorDocument 404 https://$HOSTNAME/
1 root 1221
</Directory>
1222
SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
1223
EOF
1224
} # End of param_awstats ()
1225
 
1226
##########################################################
235 richard 1227
##		Fonction param_dnsmasq			##
1 root 1228
##########################################################
219 jeremy 1229
param_dnsmasq ()
1230
{
1231
	[ -d /var/log/dnsmasq ] || mkdir /var/log/dnsmasq
259 richard 1232
	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
503 richard 1233
	[ -e /etc/dnsmasq.conf.default ] || cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
520 richard 1234
# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
503 richard 1235
	cat << EOF > /etc/dnsmasq.conf 
520 richard 1236
# Configuration file for "dnsmasq in forward mode"
503 richard 1237
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
259 richard 1238
listen-address=$PRIVATE_IP
1239
listen-address=127.0.0.1
286 richard 1240
no-dhcp-interface=$INTIF
259 richard 1241
bind-interfaces
1242
cache-size=256
1243
domain=$DOMAIN
1244
domain-needed
1245
expand-hosts
1246
bogus-priv
1247
filterwin2k
1248
server=$DNS1
1249
server=$DNS2
498 richard 1250
# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
865 richard 1251
dhcp-range=$PRIVATE_FIRST_IP,$PRIVATE_LAST_IP,$PRIVATE_NETMASK,12h
632 richard 1252
dhcp-option=option:router,$PRIVATE_IP
259 richard 1253
#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
1254
 
291 franck 1255
# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
420 franck 1256
#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
259 richard 1257
EOF
520 richard 1258
# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
1259
	cat << EOF > /etc/dnsmasq-blackhole.conf 
1260
	# Configuration file for "dnsmasq with blackhole"
1261
# Inclusion de la blacklist <domains> de Toulouse dans la configuration
1262
conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
503 richard 1263
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
498 richard 1264
listen-address=$PRIVATE_IP
1265
port=54
1266
no-dhcp-interface=$INTIF
1267
bind-interfaces
1268
cache-size=256
1269
domain=$DOMAIN
1270
domain-needed
1271
expand-hosts
1272
bogus-priv
1273
filterwin2k
1274
server=$DNS1
1275
server=$DNS2
1276
EOF
718 franck 1277
 
800 richard 1278
# Init file modification
503 richard 1279
[ -e /etc/init.d/dnsmasq.default ] || cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
800 richard 1280
# Start and stop a 2nd process for the "DNS blackhole"
520 richard 1281
$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
503 richard 1282
$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
800 richard 1283
# Start after chilli (65) which create tun0
1284
$SED "s?^# chkconfig:.*?# chkconfig: 2345 99 40?g" /etc/init.d/dnsmasq
933 franck 1285
# Optionnellement on pré-active les logs DNS des clients
786 richard 1286
[ -e /etc/sysconfig/dnsmasq.default ] || cp /etc/sysconfig/dnsmasq /etc/sysconfig/dnsmasq.default
933 franck 1287
$SED "s?log-facility?#OPTIONS=\"-q --log-facility=/var/log/dnsmasq/queries.log\"?g"  /etc/sysconfig/dnsmasq
1288
# Optionnellement, exemple de configuration avec un A.D.
1289
echo '#OPTIONS="$OPTIONS --server=/your-domain/192.168.182.2"' >> /etc/sysconfig/dnsmasq
308 richard 1290
} # End dnsmasq
1291
 
1292
##########################################################
1293
##		Fonction BL (BlackList)			##
1294
##########################################################
1295
BL ()
1296
{
1297
# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
648 richard 1298
	rm -rf $DIR_DG/lists/blacklists
1299
	tar zxf $DIR_CONF/blacklists.tar.gz --directory=$DIR_DG/lists/ > /dev/null 2>&1
878 richard 1300
# on crée le répertoire ossi (noms de domaine et URLs ajoutés à la BL)
1301
	mkdir $DIR_DG/lists/blacklists/ossi
1302
	touch $DIR_DG/lists/blacklists/ossi/domains
1303
	touch $DIR_DG/lists/blacklists/ossi/urls
309 richard 1304
# On crée les fichiers vides de sites ou d'URL réhabilités
648 richard 1305
	[ -e $DIR_DG/lists/exceptionsitelist.default ] || mv $DIR_DG/lists/exceptionsitelist $DIR_DG/lists/exceptionsitelist.default
673 richard 1306
	[ -e $DIR_DG/lists/exceptionurllist.default ] || mv $DIR_DG/lists/exceptionurllist $DIR_DG/lists/exceptionurllist.default
648 richard 1307
	touch $DIR_DG/lists/exceptionsitelist
1308
	touch $DIR_DG/lists/exceptionurllist
311 richard 1309
# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
648 richard 1310
	cat <<EOF > $DIR_DG/lists/bannedurllist
311 richard 1311
# Dansguardian filter config for ALCASAR
1312
EOF
648 richard 1313
	cat <<EOF > $DIR_DG/lists/bannedsitelist
311 richard 1314
# Dansguardian domain filter config for ALCASAR
1315
# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
1316
#**
1317
# block all SSL and CONNECT tunnels
1318
**s
1319
# block all SSL and CONNECT tunnels specified only as an IP
1320
*ips
1321
# block all sites specified only by an IP
1322
*ip
1323
EOF
878 richard 1324
# On ajoute Bing et Youtube à la récriture d'URL liée au contrôle scolaire/parental
1325
	cat <<EOF >> $DIR_DG/lists/urlregexplist
1326
# Bing - add 'adlt=strict'
1327
#"(^http://[0-9a-z]+\.bing\.[a-z]+[-/%.0-9a-z]*\?)(.*)"->"\1\2&adlt=strict"
1328
# Youtube - add 'edufilter=your_ID' 
885 richard 1329
#"(^http://[0-9a-z]+\.youtube\.[a-z]+[-/%.0-9a-z]*\?)(.*)"->"\1\2&edufilter=ABCD1234567890abcdef"
878 richard 1330
EOF
648 richard 1331
	chown -R dansguardian:apache $DIR_DG
1332
	chmod -R g+rw $DIR_DG
304 richard 1333
# On crée la structure du DNS-blackhole :
503 richard 1334
  	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1335
	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1336
	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
786 richard 1337
# On adapte la BL de Toulouse à notre structure
654 richard 1338
	if [ "$mode" != "update" ]; then
1339
		$DIR_DEST_SBIN/alcasar-bl.sh --adapt
1340
	fi
308 richard 1341
}
219 jeremy 1342
 
1 root 1343
##########################################################
1344
##		Fonction cron				##
1345
## - Mise en place des différents fichiers de cron	##
1346
##########################################################
1347
cron ()
1348
{
1349
# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
1350
	[ -e /etc/crontab.default ] || cp /etc/crontab /etc/crontab.default
1351
	cat <<EOF > /etc/crontab
1352
SHELL=/bin/bash
1353
PATH=/sbin:/bin:/usr/sbin:/usr/bin
1354
MAILTO=root
1355
HOME=/
1356
 
1357
# run-parts
1358
01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
1359
02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
1360
22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
1361
42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
1362
EOF
1363
	[ -e /etc/anacrontab.default ] || cp /etc/anacrontab /etc/anacrontab.default
1364
	cat <<EOF >> /etc/anacrontab
667 franck 1365
7       8       cron.MysqlDump          nice /etc/cron.d/alcasar-mysql
1366
7       10      cron.logExport          nice /etc/cron.d/alcasar-export_log
1367
7       15      cron.logClean           nice /etc/cron.d/alcasar-clean_log
1368
7	20	cron.importClean	nice /etc/cron.d/alcasar-clean_import
1 root 1369
EOF
667 franck 1370
	cat <<EOF > /etc/cron.d/alcasar-clean_log
713 franck 1371
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
865 richard 1372
30 4 * * 1 root $DIR_DEST_BIN/alcasar-log.sh --clean
1 root 1373
EOF
811 richard 1374
	cat <<EOF > /etc/cron.d/alcasar-mysql
868 richard 1375
# Contrôle, réparation et export de la base des usagers (tous les lundi à 4h45)
955 richard 1376
45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh --dump
905 franck 1377
# Nettoyage des utilisateurs dont la date d'expiration du compte est supérieure à 7 jours
917 franck 1378
40 4 * * * root /usr/local/sbin/alcasar-mysql.sh --expire_user 2>&1 >/dev/null
1 root 1379
EOF
667 franck 1380
	cat <<EOF > /etc/cron.d/alcasar-export_log
713 franck 1381
# export des log squid, firewall et apache (tous les lundi à 5h00)
865 richard 1382
00 5 * * 1 root $DIR_DEST_BIN/alcasar-log.sh --export
1 root 1383
EOF
952 franck 1384
	cat <<EOF > /etc/cron.d/alcasar-archive
1385
# Archive des logs et de la base de données (tous les lundi à 5h35)
1386
35 5 * * 1 root $DIR_DEST_BIN/alcasar-archive.sh --now
1387
EOF
1 root 1388
	cat << EOF > /etc/cron.d/awstats
713 franck 1389
# mise à jour des stats de consultation WEB toutes les 30'
419 franck 1390
*/30 * * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1 root 1391
EOF
667 franck 1392
	cat << EOF > /etc/cron.d/alcasar-clean_import
713 franck 1393
# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
503 richard 1394
30 * * * *  root $DIR_DEST_BIN/alcasar-import-clean.sh
168 franck 1395
EOF
722 franck 1396
	cat << EOF > /etc/cron.d/alcasar-distrib-updates
1397
# mise à jour automatique de la distribution tous les jours 3h30
762 franck 1398
30 3 * * *  root /usr/sbin/urpmi --auto-update --auto 2>&1
722 franck 1399
EOF
1 root 1400
# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
1401
# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
1402
# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct') 
1403
# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
1404
# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
1405
# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
1406
	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
1407
	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
1408
	rm -f /etc/cron.daily/freeradius-web
1409
	rm -f /etc/cron.monthly/freeradius-web
1410
	cat << EOF > /etc/cron.d/freeradius-web
1411
1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
1412
5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
1413
10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
1414
15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
1415
EOF
671 franck 1416
	cat << EOF > /etc/cron.d/alcasar-watchdog
713 franck 1417
# activation du "chien de garde" (watchdog) toutes les 3'
1 root 1418
*/3 * * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
1419
EOF
808 franck 1420
# activation du "chien de garde des services" (watchdog) toutes les 18'
1421
	cat << EOF > /etc/cron.d/alcasar-daemon-watchdog
1422
# activation du "chien de garde" (daemon-watchdog) toutes les 18'
1423
*/18 * * * * root $DIR_DEST_BIN/alcasar-daemon.sh > /dev/null 2>&1
1424
EOF
522 richard 1425
# suppression des crons usagers
1426
	rm -f /var/spool/cron/*
1 root 1427
} # End cron
1428
 
1429
##################################################################
1430
##			Fonction post_install			##
1431
## - Modification des bannières (locales et ssh) et des prompts ##
1432
## - Installation de la structure de chiffrement pour root	##
1433
## - Mise en place du sudoers et de la sécurité sur les fichiers##
1434
## - Mise en place du la rotation des logs			##
5 franck 1435
## - Configuration dans le cas d'une mise à jour		##
1 root 1436
##################################################################
1437
post_install()
1438
{
1439
# adaptation du script "chien de garde" (watchdog)
376 franck 1440
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1441
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1 root 1442
# création de la bannière locale
1443
	[ -e /etc/mandriva-release.default ]  || cp /etc/mandriva-release /etc/mandriva-release.default
589 richard 1444
	cp -f $DIR_CONF/banner /etc/mandriva-release
1445
	echo " V$VERSION" >> /etc/mandriva-release
1 root 1446
# création de la bannière SSH
1447
	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5 franck 1448
	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1 root 1449
	[ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
1450
	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1451
	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
793 richard 1452
# postfix banner anonymisation
1453
	$SED "s?^smtpd_banner =.*?smtpd_banner = $myhostname ESMTP?g" /etc/postfix/main.cf
604 richard 1454
# sshd écoute côté LAN et WAN
1 root 1455
	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
604 richard 1456
	$SED "/^ListenAddress $PRIVATE_IP/a\ListenAddress $PUBLIC_IP" /etc/ssh/sshd_config 
860 richard 1457
	# Put the default value in conf file (sshd, QOS and protocols/dns/ are off)(web antivirus is on)
1 root 1458
	/sbin/chkconfig --del sshd
628 richard 1459
	echo "SSH=off" >> $CONF_FILE
694 franck 1460
	echo 'Admin_from_IP="0.0.0.0/0.0.0.0"' >> $CONF_FILE
628 richard 1461
	echo "QOS=off" >> $CONF_FILE
1462
	echo "LDAP=off" >> $CONF_FILE
786 richard 1463
	echo "LDAP_IP=0.0.0.0/0.0.0.0" >> $CONF_FILE
885 richard 1464
	echo "WEB_ANTIVIRUS=on" >> $CONF_FILE
628 richard 1465
	echo "PROTOCOLS_FILTERING=off" >> $CONF_FILE
1466
	echo "DNS_FILTERING=off" >> $CONF_FILE
885 richard 1467
	echo "YOUTUBE_ID=ABCD1234567890abcdef" >> $CONF_FILE
1 root 1468
# Coloration des prompts
1469
	[ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default
5 franck 1470
	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
630 franck 1471
	$SED "s?^ORGANISME.*?ORGANISME=$ORGANISME?g" /etc/bashrc
1 root 1472
# Droits d'exécution pour utilisateur apache et sysadmin
1473
	[ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default
5 franck 1474
	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
629 richard 1475
	$SED "s?^Host_Alias.*?Host_Alias	LAN_ORG=$PRIVATE_NETWORK/$PRIVATE_NETMASK,localhost		#réseau de l'organisme?g" /etc/sudoers
132 franck 1476
# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1 root 1477
	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
1478
	chmod 644 /etc/logrotate.d/*
714 franck 1479
# rectification sur versions précédentes de la compression des logs
706 franck 1480
	$SED "s?^delaycompress.*?#&?g" /etc/logrotate.conf
1481
# actualisation des fichiers logs compressés
714 franck 1482
	for dir in firewall squid dansguardian httpd
706 franck 1483
	do
714 franck 1484
	      find /var/log/$dir -type f -name *.log-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9] -exec gzip {} \;
706 franck 1485
	done
1486
# export des logs en 'retard' dans /var/Save/logs
865 richard 1487
	/usr/local/bin/alcasar-log.sh --export
1 root 1488
# processus lancés par défaut au démarrage
796 richard 1489
	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd netfs mysqld dansguardian havp freshclam
1 root 1490
	do
1491
		/sbin/chkconfig --add $i
1492
	done
953 franck 1493
# On rajoute une tempo pour relancer radius après le redémarrage de mysqld (bug en cours d'analyse)
1494
	cat << EOF > /etc/rc.local
1495
#!/bin/sh
1496
#
1497
### BEGIN INIT INFO
1498
# Provides: rc.local
1499
# X-Mandriva-Compat-Mode
1500
# Default-Start: 2 3 4 5
1501
# Short-Description: Local initialization script
1502
# Description: This script will be executed *after* all the other init scripts.
1503
#              You can put your own initialization stuff in here if you don't
1504
#              want to do the full Sys V style init stuff.
1505
### END INIT INFO
1506
 
1507
/etc/init.d/mysqld restart
1508
sleep 1
1509
/etc/init.d/radiusd restart
1510
 
1511
touch /var/lock/subsys/local
1512
EOF
595 richard 1513
# pour éviter les alertes de dépendance entre service.
384 richard 1514
	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
497 richard 1515
	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
595 richard 1516
	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
1517
	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
306 richard 1518
# On affecte le niveau de sécurité du système : type "fileserver"
235 richard 1519
	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
306 richard 1520
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
235 richard 1521
	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
568 richard 1522
# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
1523
# Apply French Security Agency rules (sysctl + msec when possible)
1524
# ignorer les broadcast ICMP. (attaque smurf) 
1525
$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
1526
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
1527
# ignorer les erreurs ICMP bogus
1528
$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
1529
sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
595 richard 1530
# désactiver l'envoi et la réponse aux ICMP redirects
679 richard 1531
sysctl -w net.ipv4.conf.all.accept_redirects=0
568 richard 1532
accept_redirect=`grep accept_redirect /etc/sysctl.conf|wc -l`
1533
	if [ "$accept_redirect" == "0" ]
1534
	then
679 richard 1535
		echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
1536
	else
1537
		$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
568 richard 1538
	fi
679 richard 1539
sysctl -w net.ipv4.conf.all.send_redirects=0
568 richard 1540
send_redirect=`grep send_redirect /etc/sysctl.conf|wc -l`
1541
	if [ "$send_redirect" == "0" ]
1542
	then
679 richard 1543
		echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
1544
	else
1545
		$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
568 richard 1546
	fi
1547
# activer les SYN Cookies (attaque syn flood)
679 richard 1548
sysctl -w net.ipv4.tcp_syncookies=1
568 richard 1549
tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf|wc -l`
1550
	if [ "$tcp_syncookies" == "0" ]
1551
	then
679 richard 1552
		echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
1553
	else
1554
		$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
568 richard 1555
	fi
595 richard 1556
# activer l'antispoofing niveau Noyau
568 richard 1557
$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
1558
sysctl -w net.ipv4.conf.all.rp_filter=1
1559
# ignorer le source routing
679 richard 1560
sysctl -w net.ipv4.conf.all.accept_source_route=0
568 richard 1561
accept_source_route=`grep accept_source_route /etc/sysctl.conf|wc -l`
1562
	if [ "$accept_source_route" == "0" ]
1563
	then
679 richard 1564
		echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
1565
	else
1566
		$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
568 richard 1567
	fi
679 richard 1568
# réglage du timer de maintien de suivi de session à 1h (3600s) au lieu de 5 semaines
1569
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
1570
timeout_established=`grep timeout_established /etc/sysctl.conf|wc -l`
1571
	if [ "$timeout_established" == "0" ]
1572
	then
1573
		echo "net.netfilter.nf_conntrack_tcp_timeout_established = 3600" >> /etc/sysctl.conf
1574
	else
793 richard 1575
		$SED "s?timeout_established.*?timeout_established = 3600?g" /etc/sysctl.conf
679 richard 1576
	fi
1577
# suppression des log_martians (ALCASAR est souvent entre deux réseaux en adressage privée) 
568 richard 1578
sysctl -w net.ipv4.conf.all.log_martians=0
1579
$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
1580
 
793 richard 1581
 
306 richard 1582
# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
1583
	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1 root 1584
# On mets en place la sécurité sur les fichiers
1585
# des modif par rapport à radius update
1586
	cat <<EOF > /etc/security/msec/perm.local
1587
/var/log/firewall/			root.apache	750
1588
/var/log/firewall/*			root.apache	640
1589
/etc/security/msec/perm.local		root.root	640
1590
/etc/security/msec/level.local		root.root	640
1591
/etc/freeradius-web			root.apache	750
1592
/etc/freeradius-web/admin.conf		root.apache	640
1593
/etc/freeradius-web/config.php		root.apache	640
1594
/etc/raddb/dictionnary			root.radius	640
1595
/etc/raddb/ldap.attrmap			root.radius	640
1596
/etc/raddb/hints			root.radius	640
1597
/etc/raddb/huntgroups			root.radius	640
1598
/etc/raddb/attrs.access_reject		root.radius	640
1599
/etc/raddb/attrs.accounting_response	root.radius	640
1600
/etc/raddb/acct_users			root.radius	640
1601
/etc/raddb/preproxy_users		root.radius	640
1602
/etc/raddb/modules/ldap			radius.apache	660
1603
/etc/raddb/sites-available/alcasar	radius.apache	660
1604
/etc/pki/*				root.apache	750
1605
EOF
1606
	/usr/sbin/msec
59 richard 1607
# modification /etc/inittab
1608
	[ -e /etc/inittab.default ] || cp /etc/inittab /etc/inittab.default
60 richard 1609
# On ne garde que 3 terminaux
59 richard 1610
	$SED "s?^4.*?#&?g" /etc/inittab
1611
	$SED "s?^5.*?#&?g" /etc/inittab
1612
	$SED "s?^6.*?#&?g" /etc/inittab
470 richard 1613
# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
1614
$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
1615
$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
532 richard 1616
# On supprime les services et les utilisateurs inutiles
793 richard 1617
for svc in alsa sound dm atd bootlogd stop-bootlogd
532 richard 1618
do
1619
	/sbin/chkconfig --del $svc
1620
done
1621
for rm_users in avahi-autoipd avahi icapd
1622
do
1623
	user=`cat /etc/passwd|grep $rm_users|cut -d":" -f1`
1624
	if [ "$user" == "$rm_users" ]
1625
	then
1626
		/usr/sbin/userdel -f $rm_users
1627
	fi
1628
done
628 richard 1629
# Load and update the previous conf file
5 franck 1630
if [ "$mode" = "update" ]
1631
then
389 franck 1632
	$DIR_DEST_BIN/alcasar-conf.sh --load
628 richard 1633
	$SED "s?^INSTALL_DATE=.*?INSTALL_DATE=$DATE?g" $CONF_FILE
1634
	$SED "s?^VERSION=.*?VERSION=$VERSION?g" $CONF_FILE
5 franck 1635
fi
595 richard 1636
rm -f /tmp/alcasar-conf*
434 richard 1637
chown -R root:apache $DIR_DEST_ETC/*
512 richard 1638
chmod -R 660 $DIR_DEST_ETC/*
434 richard 1639
chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1 root 1640
	cd $DIR_INSTALL
5 franck 1641
	echo ""
1 root 1642
	echo "#############################################################################"
638 richard 1643
	if [ $Lang == "fr" ]
1644
		then
1645
		echo "#                        Fin d'installation d'ALCASAR                       #"
1646
		echo "#                                                                           #"
1647
		echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1648
		echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1649
		echo "#                                                                           #"
1650
		echo "#############################################################################"
1651
		echo
1652
		echo "- ALCASAR sera fonctionnel après redémarrage du système"
1653
		echo
1654
		echo "- Lisez attentivement la documentation d'exploitation"
1655
		echo
1656
		echo "- Le centre de controle d'ALCASAR (ACC) est à l'adresse http://alcasar"
1657
		echo
1658
		echo "                   Appuyez sur 'Entrée' pour continuer"
1659
	else	
1660
		echo "#                        Enf of ALCASAR install process                     #"
1661
		echo "#                                                                           #"
1662
		echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1663
		echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1664
		echo "#                                                                           #"
1665
		echo "#############################################################################"
1666
		echo
1667
		echo "- The system will be rebooted in order to operate ALCASAR"
1668
		echo
1669
		echo "- Read the exploitation documentation"
1670
		echo
1671
		echo "- The ALCASAR Control Center (ACC) is at http://alcasar"
1672
		echo
1673
		echo "                   Hit 'Enter' to continue"
1674
	fi
815 richard 1675
	sleep 2
1676
	if [ "$mode" != "update" ]
820 richard 1677
	then
815 richard 1678
		read a
1679
	fi
774 richard 1680
	clear
1681
# Apply and save the firewall rules
490 richard 1682
 	sh $DIR_DEST_BIN/alcasar-iptables.sh
1683
	sleep 2
1 root 1684
	reboot
1685
} # End post_install ()
1686
 
1687
#################################
1688
#  Boucle principale du script  #
1689
#################################
832 richard 1690
dir_exec=`dirname "$0"`
1691
if [ $dir_exec != "." ]
1692
then
1693
	echo "Lancez ce programme depuis le répertoire de l'archive d'ALCASAR"
1694
	echo "Launch this program from the ALCASAR archive directory"
1695
	exit 0
1696
fi
1697
VERSION=`cat $DIR_INSTALL/VERSION`
291 franck 1698
usage="Usage: alcasar.sh {-i or --install} | {-u or --uninstall}"
1 root 1699
nb_args=$#
1700
args=$1
1701
if [ $nb_args -eq 0 ]
1702
then
1703
	nb_args=1
1704
	args="-h"
1705
fi
1706
case $args in
1707
	-\? | -h* | --h*)
1708
		echo "$usage"
1709
		exit 0
1710
		;;
291 franck 1711
	-i | --install)
959 franck 1712
		license
5 franck 1713
		header_install
29 richard 1714
		testing
597 richard 1715
# Test if ALCASAR is already installed
5 franck 1716
		if [ -e $DIR_WEB/VERSION ]
1 root 1717
		then
460 richard 1718
			actual_version=`cat $DIR_WEB/VERSION`
595 richard 1719
			if [ $Lang == "fr" ]
1720
				then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
1721
				else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
1722
			fi
5 franck 1723
			response=0
460 richard 1724
			PTN='^[oOnNyY]$'
580 richard 1725
			until [[ $(expr $response : $PTN) -gt 0 ]]
5 franck 1726
			do
595 richard 1727
				if [ $Lang == "fr" ]
1728
					then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
1729
					else echo -n "Do you want to update (Y/n)?";
1730
				 fi
5 franck 1731
				read response
1732
			done
597 richard 1733
			if [ "$response" = "n" ] || [ "$response" = "N" ] 
5 franck 1734
			then
597 richard 1735
				rm -f /tmp/alcasar-conf*
1736
			else
510 richard 1737
				RUNNING_VERSION=`cat $DIR_WEB/VERSION|cut -d" " -f1`
1738
				MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f1`
1739
				MIN_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f2|cut -c1`
1740
				UPD_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f3`
636 richard 1741
# Create a backup of running version importants files
5 franck 1742
				chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
389 franck 1743
				$DIR_SCRIPTS/alcasar-conf.sh --create
532 richard 1744
				mode="update"
5 franck 1745
			fi
1 root 1746
		fi
595 richard 1747
# RPMs install
1748
		$DIR_SCRIPTS/alcasar-urpmi.sh
1749
		if [ "$?" != "0" ]
1 root 1750
		then
595 richard 1751
			exit 0
1752
		fi
1753
		if [ -e $DIR_WEB/VERSION ]
1754
		then
597 richard 1755
# Uninstall the running version
532 richard 1756
			$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
595 richard 1757
		fi
636 richard 1758
# Test if manual update	
597 richard 1759
		if [ -e /tmp/alcasar-conf.tar.gz ] && [ "$mode" != "update" ]
595 richard 1760
		then
636 richard 1761
			header_install
595 richard 1762
			if [ $Lang == "fr" ]
636 richard 1763
				then echo "Le fichier de configuration d'une ancienne version a été trouvé";
1764
				else echo "The configuration file of an old version has been found";
595 richard 1765
			fi
597 richard 1766
			response=0
1767
			PTN='^[oOnNyY]$'
1768
			until [[ $(expr $response : $PTN) -gt 0 ]]
1769
			do
1770
				if [ $Lang == "fr" ]
1771
					then echo -n "Voulez-vous l'utiliser (O/n)? ";
1772
					else echo -n "Do you want to use it (Y/n)?";
1773
				 fi
1774
				read response
1775
				if [ "$response" = "n" ] || [ "$response" = "N" ] 
1776
				then rm -f /tmp/alcasar-conf*
1777
				fi
1778
			done
1779
		fi
636 richard 1780
# Test if update
597 richard 1781
		if [ -e /tmp/alcasar-conf.tar.gz ] 
1782
		then
1783
			if [ $Lang == "fr" ]
1784
				then echo "#### Installation avec mise à jour ####";
1785
				else echo "#### Installation with update     ####";
1786
			fi
636 richard 1787
# Extract the central configuration file
637 richard 1788
			tar -xf /tmp/alcasar-conf.tar.gz conf/etc/alcasar.conf 
1789
			ORGANISME=`grep ORGANISM conf/etc/alcasar.conf|cut -d"=" -f2`
5 franck 1790
			mode="update"
1791
		else
1792
			mode="install"
1 root 1793
		fi
604 richard 1794
		for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus param_ulogd param_awstats param_dnsmasq BL cron post_install
5 franck 1795
		do
1796
			$func
735 richard 1797
# echo "*** 'debug' : end of function $func ***"; read a
14 richard 1798
		done
5 franck 1799
		;;
291 franck 1800
	-u | --uninstall)
5 franck 1801
		if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1 root 1802
		then
597 richard 1803
			if [ $Lang == "fr" ]
1804
				then echo "ALCASAR n'est pas installé!";
1805
				else echo "ALCASAR isn't installed!";
1806
			fi
1 root 1807
			exit 0
1808
		fi
5 franck 1809
		response=0
1810
		PTN='^[oOnN]$'
580 richard 1811
		until [[ $(expr $response : $PTN) -gt 0 ]]
5 franck 1812
		do
597 richard 1813
			if [ $Lang == "fr" ]
1814
				then echo -n "Voulez-vous créer le fichier de configuration de la version actuelle (0/n)? ";
854 richard 1815
				else echo -n "Do you want to create the running version configuration file (Y/n)? ";
597 richard 1816
			fi
5 franck 1817
			read response
1818
		done
597 richard 1819
		if [ "$reponse" = "o" ] || [ "$reponse" = "O" ] || [ "$response" = "Y" ] || [ "$response" = "y" ]
1 root 1820
		then
389 franck 1821
			$DIR_SCRIPT/alcasar-conf.sh --create
498 richard 1822
		else	
1823
			rm -f /tmp/alcasar-conf*
1 root 1824
		fi
597 richard 1825
# Uninstall the running version
65 richard 1826
		$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1 root 1827
		;;
1828
	*)
1829
		echo "Argument inconnu :$1";
460 richard 1830
		echo "Unknown argument :$1";
1 root 1831
		echo "$usage"
1832
		exit 1
1833
		;;
1834
esac
10 franck 1835
# end of script
366 franck 1836