/alcasar.sh |
---|
421,11 → 421,12 |
# Configuration du serveur de temps |
[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default |
cat <<EOF > /etc/ntp.conf |
server 127.127.1.0 # local clock |
fudge 127.127.1.0 stratum 10 |
server 0.fr.pool.ntp.org |
server 1.fr.pool.ntp.org |
server 2.fr.pool.ntp.org |
restrict default nomodify notrap noquery |
restrict $PRIVATE_NETWORK mask $PRIVATE_MASK |
restrict $PRIVATE_NETWORK mask $PRIVATE_MASK nomodify notrap |
restrict 127.0.0.1 |
driftfile /var/lib/ntp/drift |
logfile /var/log/ntp.log |
476,8 → 477,8 |
chown -R root:apache $DIR_SAVE |
# Configuration et sécurisation php |
[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default |
$SED "s?^upload_max_filesize.*?upload_max_filesize = 20M?g" /etc/php.ini |
$SED "s?^post_max_size.*?post_max_size = 20M?g" /etc/php.ini |
$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini |
$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini |
$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini |
$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini |
# Configuration et sécurisation Apache |
/scripts/alcasar-iptables-bypass.sh |
---|
8,6 → 8,7 |
# + Prise en compte de regles locales |
# + prise en compte optionnelle d'un fichier iptables 'personnel' permettant de bloquer certains flux/services |
# + suppression du broadcast et du multicast sur les interfaces |
# + adaptation dnsmasq |
IPTABLES="/sbin/iptables" |
58,16 → 59,14 |
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then |
. /usr/local/etc/alcasar-iptables-local.sh |
fi |
# On interdit le tranfert des requête DNS (sans LOG) |
$IPTABLES -A FORWARD -i $INTIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable |
$IPTABLES -A FORWARD -i $INTIF -p tcp --dport domain -j REJECT --reject-with tcp-reset |
# On autorise le flux dans les deux sens (avec Log sur les demandes de connexion). |
# On autorise en FORWARD les connexions déjà établies |
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT |
$IPTABLES -A FORWARD -o $INTIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert -- ACCEPT " |
$IPTABLES -A FORWARD -j ACCEPT |
#$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT |
# On autorise les demandes de connexions sortantes |
$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert -- ACCEPT " |
$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT |
# On autorise les flux entrant ntp, dns et ssh via INTIF |
$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT |
$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT |
/scripts/alcasar-iptables.sh |
---|
12,12 → 12,12 |
# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE" |
IPTABLES="/sbin/iptables" |
FILTERING="no" |
FILTERING="yes" |
EXTIF="eth0" |
INTIF="eth1" |
TUNIF="tun0" |
PRIVATE_NETWORK_MASK="182.168.182.0/24" |
PRIVATE_IP="182.168.182.1" |
PRIVATE_NETWORK_MASK="192.168.182.0/24" |
PRIVATE_IP="192.168.182.1" |
# On vide (flush) toutes les règles existantes |
$IPTABLES -F |
77,7 → 77,7 |
$IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable |
$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset |
# On autorise les connexions déjà établies |
# On autorise en FORWARD les connexions déjà établies |
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT |
# Si filtrage de protocoles réseau |
116,9 → 116,9 |
$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable |
$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT |
fi |
# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes) |
# On autorise les demandes de connexions sortantes (avec log) |
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT " |
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT |
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT |
# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT |
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT |
/scripts/alcasar-conf.sh |
---|
35,7 → 35,7 |
cp -f /etc/pki/CA/alcasar-ca.crt $DIR_UPDATE |
cp -f /etc/pki/CA/private/alcasar-ca.key $DIR_UPDATE |
# Sauvegarde de la base des usagers |
/usr/local/sbin/alcasar-mysql.sh --dump |
/usr/local/sbin/alcasar-mysql.sh -dump |
cp /var/Save/base/`ls /var/Save/base|tail -1` $DIR_UPDATE |
# Sauvegarde des comptes de gestion |
if [ -e $DIR_WEB/digest ] |
/web/acc/alcasar-2.0-exploitation.pdf |
---|
Cannot display: file marked as a binary type. |
svn:mime-type = application/octet-stream |
/web/acc/backup/sauvegarde.php |
---|
55,7 → 55,6 |
<FORM action="sauvegarde.php" method=POST><b> |
<select name='choix'></b> |
<option value="sauvegarde_DB"><?echo "$l_user_db_save";?> |
<option value="archivage_logs"><?echo "$l_firewall_log";?> |
<option value="image_ISO"><?echo "$l_system_iso";?> |
</select> |
<input type=submit value="<?echo "$l_execute";?>"> |
/web/acc/alcasar-2.0-installation.pdf |
---|
Cannot display: file marked as a binary type. |
svn:mime-type = application/octet-stream |
/web/acc/manager/htdocs/import_user.php |
---|
104,7 → 104,7 |
exit(); |
} |
include_once($LIBpath.'functions.php'); |
if ($config[sql_use_operators] == 'true') |
if ($config['sql_use_operators'] == 'true') |
{ |
include($LIBpath."operators.php"); |
$text = ',op'; |
111,7 → 111,8 |
$passwd_op = ",':='"; |
} |
$link = @da_sql_pconnect($config); |
$choix = $_POST ['choix']; |
if (isset ($_POST ['choix'])) { $choix = $_POST ['choix']; } |
else { $choix = ''; } |
if ($choix == "raz") |
{ |
exec ("sudo /usr/local/sbin/alcasar-mysql.sh --raz"); |