Subversion Repositories ALCASAR

Compare Revisions

Ignore whitespace Rev 408 → Rev 411

/alcasar.sh
421,11 → 421,12
# Configuration du serveur de temps
[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
cat <<EOF > /etc/ntp.conf
server 127.127.1.0 # local clock
fudge 127.127.1.0 stratum 10
server 0.fr.pool.ntp.org
server 1.fr.pool.ntp.org
server 2.fr.pool.ntp.org
restrict default nomodify notrap noquery
restrict $PRIVATE_NETWORK mask $PRIVATE_MASK
restrict $PRIVATE_NETWORK mask $PRIVATE_MASK nomodify notrap
restrict 127.0.0.1
driftfile /var/lib/ntp/drift
logfile /var/log/ntp.log
476,8 → 477,8
chown -R root:apache $DIR_SAVE
# Configuration et sécurisation php
[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default
$SED "s?^upload_max_filesize.*?upload_max_filesize = 20M?g" /etc/php.ini
$SED "s?^post_max_size.*?post_max_size = 20M?g" /etc/php.ini
$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
# Configuration et sécurisation Apache
/scripts/alcasar-iptables-bypass.sh
8,6 → 8,7
# + Prise en compte de regles locales
# + prise en compte optionnelle d'un fichier iptables 'personnel' permettant de bloquer certains flux/services
# + suppression du broadcast et du multicast sur les interfaces
# + adaptation dnsmasq
 
IPTABLES="/sbin/iptables"
 
58,16 → 59,14
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
. /usr/local/etc/alcasar-iptables-local.sh
fi
# On interdit le tranfert des requête DNS (sans LOG)
$IPTABLES -A FORWARD -i $INTIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A FORWARD -i $INTIF -p tcp --dport domain -j REJECT --reject-with tcp-reset
 
# On autorise le flux dans les deux sens (avec Log sur les demandes de connexion).
# On autorise en FORWARD les connexions déjà établies
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $INTIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert -- ACCEPT "
$IPTABLES -A FORWARD -j ACCEPT
#$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT
 
# On autorise les demandes de connexions sortantes
$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert -- ACCEPT "
$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT
 
# On autorise les flux entrant ntp, dns et ssh via INTIF
$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
/scripts/alcasar-iptables.sh
12,12 → 12,12
# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"
 
IPTABLES="/sbin/iptables"
FILTERING="no"
FILTERING="yes"
EXTIF="eth0"
INTIF="eth1"
TUNIF="tun0"
PRIVATE_NETWORK_MASK="182.168.182.0/24"
PRIVATE_IP="182.168.182.1"
PRIVATE_NETWORK_MASK="192.168.182.0/24"
PRIVATE_IP="192.168.182.1"
 
# On vide (flush) toutes les règles existantes
$IPTABLES -F
77,7 → 77,7
$IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset
 
# On autorise les connexions déjà établies
# On autorise en FORWARD les connexions déjà établies
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Si filtrage de protocoles réseau
116,9 → 116,9
$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT
fi
# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)
# On autorise les demandes de connexions sortantes (avec log)
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT
 
# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT
/scripts/alcasar-conf.sh
35,7 → 35,7
cp -f /etc/pki/CA/alcasar-ca.crt $DIR_UPDATE
cp -f /etc/pki/CA/private/alcasar-ca.key $DIR_UPDATE
# Sauvegarde de la base des usagers
/usr/local/sbin/alcasar-mysql.sh --dump
/usr/local/sbin/alcasar-mysql.sh -dump
cp /var/Save/base/`ls /var/Save/base|tail -1` $DIR_UPDATE
# Sauvegarde des comptes de gestion
if [ -e $DIR_WEB/digest ]
/web/acc/alcasar-2.0-exploitation.pdf
Cannot display: file marked as a binary type.
svn:mime-type = application/octet-stream
/web/acc/backup/sauvegarde.php
55,7 → 55,6
<FORM action="sauvegarde.php" method=POST><b>
<select name='choix'></b>
<option value="sauvegarde_DB"><?echo "$l_user_db_save";?>
<option value="archivage_logs"><?echo "$l_firewall_log";?>
<option value="image_ISO"><?echo "$l_system_iso";?>
</select>
<input type=submit value="<?echo "$l_execute";?>">
/web/acc/alcasar-2.0-installation.pdf
Cannot display: file marked as a binary type.
svn:mime-type = application/octet-stream
/web/acc/manager/htdocs/import_user.php
104,7 → 104,7
exit();
}
include_once($LIBpath.'functions.php');
if ($config[sql_use_operators] == 'true')
if ($config['sql_use_operators'] == 'true')
{
include($LIBpath."operators.php");
$text = ',op';
111,7 → 111,8
$passwd_op = ",':='";
}
$link = @da_sql_pconnect($config);
$choix = $_POST ['choix'];
if (isset ($_POST ['choix'])) { $choix = $_POST ['choix']; }
else { $choix = ''; }
if ($choix == "raz")
{
exec ("sudo /usr/local/sbin/alcasar-mysql.sh --raz");