Subversion Repositories ALCASAR

Rev

Rev 68 | Rev 71 | Go to most recent revision | Details | Compare with Previous | Last modification | View Log

Rev Author Line No. Line
1 root 1
#!/bin/sh
57 franck 2
#  $Id: alcasar.sh 70 2010-04-14 20:01:09Z franck $ 
1 root 3
 
4
# alcasar.sh
5
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
6
# This script is distributed under the Gnu General Public License (GPL)
7
 
8
# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
9
# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
10
 
11
# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
12
# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
5 franck 13
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, dialupadmin, awstat, ntpd, dhcpd, openssl bind and firewalleyes
1 root 14
 
15
# Options :
5 franck 16
#       -install
17
#       -uninstall
1 root 18
 
19
# Funtions :
29 richard 20
#	testing		: Tests de connectivité et de téléchargement avant installation
1 root 21
#	init		: Installation des RPM et des scripts
22
#	network		: Paramètrage du réseau
23
#	gestion		: Installation de l'interface de gestion
24
#	AC		: Initialisation de l'autorité de certification. Création des certificats
25
#	init_db		: Création de la base 'radius' sur le serveur MySql
26
#	param_radius	: Configuration du serveur d'authentification FreeRadius
27
#	param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
28
#	param_chilli	: Configuration du daemon 'coova-chilli' et de la page d'authentification
29
#	param_squid	: Configuration du proxy squid en mode 'cache'
30
#	param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
31
#	firewall	: Mise en place des règles du parefeu et de l'interface WEB FirewallEyes
32
#	param_awstats	: Configuration de l'interface des statistiques de consultation WEB
33
#	bind		: Configuration du serveur de noms
34
#	cron		: Mise en place des exports de logs (+ chiffrement)
35
 
36
 
37
VERSION="1.9a"
5 franck 38
MDV_NEEDED="2010.0"
1 root 39
DATE=`date '+%d %B %Y - %Hh%M'`
40
DATE_SHORT=`date '+%d/%m/%Y'`
41
# ******* Files parameters - paramètres fichiers *********
42
DIR_INSTALL=`pwd`				# répertoire d'installation
43
DIR_GESTION="$DIR_INSTALL/gestion"		# répertoire d'installation contenant l'interface de gestion
44
DIR_CONF="$DIR_INSTALL/conf"			# répertoire d'installation contenant les fichiers de configuration
45
DIR_SCRIPTS="$DIR_INSTALL/scripts"		# répertoire d'installation contenant les scripts
46
DIR_SAVE="/var/Save"				# répertoire de sauvegarde (ISO, backup, etc.)
47
DIR_WEB="/var/www/html"				# répertoire du centre de gestion
48
DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts
49
DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin
50
DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf
51
FIC_PARAM="/root/ALCASAR-parameters.txt"	# fichier texte résumant les paramètres d'installation
52
FIC_PASSWD="/root/ALCASAR-passwords.txt"	# fichier texte contenant les mots de passe et secrets partagés 
53
# ******* DBMS parameters - paramètres SGBD ********
54
DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius
55
DB_USER="radius"				# nom de l'utilisateur de la base de données
56
# ******* Network parameters - paramètres réseau *******
57
DOMAIN="localdomain"				# domaine local
58
EXTIF="eth0"					# ETH0 est l'interface connectée à Internet (Box FAI)
59
INTIF="eth1"					# ETH1 est l'interface connectée au réseau local de consultation
60
CUSTOM_PRIVATE_NETWORK_MASK="192.168.182.0/24"	# adresse du réseau de consultation proposée par défaut
61
SQUID_PORT="3128"				# Port d'écoute du proxy Squid
62
UAMPORT="3990"
63
# ****** Paths - chemin des commandes *******
64
SED="/bin/sed -i"
65
# ****** Alcasar needed RPMS - paquetages nécessaires au fonctionnement d'Alcasar ******
59 richard 66
PACKAGES="freeradius freeradius-mysql freeradius-ldap freeradius-web apache-mpm-prefork apache-mod_ssl apache-mod_php squid dansguardian postfix MySQL logwatch ntp awstats mondo cdrecord buffer vim-enhanced bind-utils wget arpscan ulogd dhcp-server openssh-server php-xml coova-chilli pam_ccreds rng-utils lsb-release bind clamav"
1 root 67
# ****************** End of global parameters *********************
68
 
69
header_install ()
70
{
71
	clear
72
	echo "-----------------------------------------------------------------------------"
73
	echo "                     Installation d'ALCASAR V$VERSION"
74
	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
75
	echo "-----------------------------------------------------------------------------"
76
} # End of header_install ()
77
 
78
##################################################################
29 richard 79
##			Fonction TESTING			##
80
## - Test de la connectivité Internet				##
81
## - Test la mise à jour système				##
82
## - Test l'installation des RPM additionnels			##
83
##################################################################
84
testing ()
85
{
86
	echo -n "Tests des paramètres réseau : "
87
# On teste l'état du lien des interfaces réseau
88
	for i in $EXTIF $INTIF
89
	do
90
		/sbin/ifconfig $i up
91
		sleep 2
92
		if [ "`/usr/sbin/ethtool $i|grep Link|cut -d' ' -f3`" != "yes" ]
93
			then
94
			echo "Échec"
95
			echo "Le lien réseau de la carte $i n'est pas actif."
96
			echo "Réglez ce problème avant de poursuivre l'installation d'ALCASAR."
97
			exit 0
98
		fi
99
	done
100
# On teste la présence d'un routeur par défaut (Box FAI)
101
	if [ `/sbin/route -n|grep -c ^0.0.0.0` -ne "1" ] ; then
102
		echo "Échec"
103
		echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
104
		echo "Réglez ce problème avant de poursuivre."
105
		exit 0
106
	fi
107
# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certains BIOS et sur VirtualBox)
108
	if [ `/sbin/route -n|grep ^0.0.0.0|grep -c eth1` -eq "1" ] ; then
109
		echo "Échec. La configuration des cartes réseau va être corrigée."
110
		/etc/init.d/network stop
111
		mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
112
		$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
113
		/etc/init.d/network start
114
		echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
115
		sleep 2
116
		echo "Configuration corrigée"
117
		sleep 2
118
		echo "Vous pouvez relancer ce script (sh alcasar.sh -install)."
119
		exit 0
120
	fi
121
# On teste la connectivité Internet
122
	rm -rf /tmp/con_ok.html
123
	/usr/bin/curl www.google.fr -# -o /tmp/con_ok.html
124
	if [ ! -e /tmp/con_ok.html ]
125
	then
126
		echo "La tentative de connexion vers Internet a échoué (google.fr)."
127
		echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
128
		echo "Vérifiez la validité des adresses DNS."
129
		exit 0
130
	fi
131
	echo "Tests de connectivité Internet corrects"
132
	rm -rf /tmp/con_ok.html
133
# On configure les dépots et on les teste 
134
	echo "Configuration des dépots de paquetages Internet (repository)"
135
	chmod u+x $DIR_SCRIPTS/alcasar-urpmi.sh
136
	$DIR_SCRIPTS/alcasar-urpmi.sh >/dev/null
137
	if [ "$?" != "0" ]
138
	then
139
		echo
140
		echo "Une erreur s'est produite lors de la synchronisation avec les dépots Internet"
141
		echo "Relancez l'installationi ultérieurement."
142
	       echo "Si vous rencontrez de nouveau ce problème, changez de dépot en modifiant le fichier 'scripts/alcasar-urpmi.sh'"
143
		exit 0
144
	fi
145
# On test la mise à jour du système
146
	echo "Récupération des paquetages de mise à jour. Veullez patienter ..."
147
	urpmi --auto --auto-update --quiet --test
148
	if [ "$?" != "0" ]
149
	then
150
		echo
151
		echo "Une erreur  a été détectée lors de la récupération des paquetages de mise à jour"
152
		echo "Relancez l'installationi ultérieurement."
153
	       echo "Si vous rencontrez de nouveau ce problème, changez de dépot en modifiant le fichier 'scripts/alcasar-urpmi.sh'"
154
		exit 0
155
	fi
156
# On test l'installation des paquetages complémentaires
157
	echo "Récupération des paquetages complémentaires. Veullez patienter ..."
158
	urpmi --auto $PACKAGES --quiet --test
159
	if [ "$?" != "0" ]
160
	then
161
		echo
162
		echo "Une erreur  a été détectée lors de la récupération des paquetages complémentaires"
163
		echo "Relancez l'installationi ultérieurement."
164
	       echo "Si vous rencontrez de nouveau ce problème, changez de dépot en modifiant le fichier 'scripts/alcasar-urpmi.sh'"
165
		exit 0
166
	fi
167
} # end of testing
168
 
169
##################################################################
1 root 170
##			Fonction INIT				##
171
## - Création du fichier "/root/ALCASAR_parametres.txt"		##
172
## - Installation et modification des scripts du portail	##
29 richard 173
## - Mise à jour système					##
1 root 174
## - Installation des paquetages complémentaires		##
175
##################################################################
176
init ()
177
{
5 franck 178
	if [ ! "$mode" = "update" ]
1 root 179
	then
180
		header_install
5 franck 181
# On affecte le nom d'organisme
1 root 182
		header_install
183
		ORGANISME=!
184
		PTN='^[a-zA-Z1-9-]*$'
185
		until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
186
                do
187
			echo -n "Entrez le nom de votre organisme : "
188
                        read ORGANISME
189
                        if [ "$ORGANISME" = "" ]
190
                                then
191
                                ORGANISME=!
192
                        fi
193
                done
5 franck 194
	fi
29 richard 195
# On mets à jour le système
196
	urpmi --auto --auto-update 
197
# On installe les paquetages complémentaires
198
	urpmi --auto $PACKAGES 
5 franck 199
# On supprime les paquetages et les services inutiles
200
	for rm_rpm in avahi mandi shorewall-common shorewall 
201
	do
202
		/usr/sbin/urpme --auto $rm_rpm
203
	done
204
	for svc in alsa sound dm atd memcached dc_server
205
	do
206
		/sbin/chkconfig --del $svc
207
	done
29 richard 208
# On installe les mises à jour spécifiques
1 root 209
	urpmi --no-verify --auto $DIR_CONF/rpms-update/*.rpm
210
# On supprime les paquetages orphelins
211
	/usr/sbin/urpme --auto-orphans --auto
29 richard 212
# On vide le répertoire temporaire
213
	urpmi --clean
1 root 214
# On crée aléatoirement les mots de passe et les secrets partagés
215
	rm -f $FIC_PASSWD
59 richard 216
	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub
217
	echo -n "mot de passe de protection du menu de démarrage (GRUB) : " > $FIC_PASSWD
218
	echo "$grubpwd" >> $FIC_PASSWD
219
	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
220
	sed -i "/^password.*/d" /boot/grub/menu.lst
221
	sed -i "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
1 root 222
	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld
59 richard 223
	echo -n "compte et mot de passe de l'administrateur Mysqld : " >> $FIC_PASSWD
1 root 224
	echo "root / $mysqlpwd" >> $FIC_PASSWD
225
	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
226
	echo -n "compte et mot de passe de l'utilisateur Mysqld : " >> $FIC_PASSWD
227
	echo "$DB_USER / $radiuspwd" >> $FIC_PASSWD
228
	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli
229
	echo -n "secret partagé entre le script 'intercept.php' et coova-chilli : " >> $FIC_PASSWD
230
	echo "$secretuam" >> $FIC_PASSWD
231
	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius
232
	echo -n "secret partagé entre coova-chilli et FreeRadius : " >> $FIC_PASSWD
233
	echo "$secretradius" >> $FIC_PASSWD
234
	chmod 640 $FIC_PASSWD
235
# On installe et on modifie les scripts d'Alcasar
5 franck 236
	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
237
	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
238
	cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
1 root 239
	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
240
	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
5 franck 241
	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
242
	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
1 root 243
# On génère le début du fichier récapitulatif
244
	cat <<EOF > $FIC_PARAM
245
########################################################
246
##                                                    ##
247
##   Fichier récapitulatif des paramètres d'ALCASAR   ##
248
##                                                    ##
249
########################################################
250
 
251
- Date d'installation : $DATE
252
- Version istallée : $VERSION
253
- Organisme : $ORGANISME
254
EOF
255
	chmod o-rwx $FIC_PARAM
256
} # End of init ()
257
 
258
##################################################################
259
##			Fonction network			##
260
## - Définition du plan d'adressage du réseau de consultation	##
261
##  (merci à Alexandre Trias pour le calcul de masque et RegEx) ##
262
## - Nommage DNS du système (portail + nom d'organisme)		##
263
## - Configuration de l'interface eth1 (réseau de consultation)	##
264
## - Modification du fichier /etc/hosts				##
265
## - Configuration du serveur de temps (NTP)			##
266
## - Renseignement des fichiers hosts.allow et hosts.deny	##
267
##################################################################
268
network ()
269
{
270
	header_install
271
	echo "Par défaut, le plan d'adressage du réseau de consultation est : $CUSTOM_PRIVATE_NETWORK_MASK"
272
	response=0
273
	PTN='^[oOnN]$'
274
	until [[ $(expr $response : $PTN) -gt 0 ]]
275
		do
276
			echo -n "Voulez-vous utiliser ce plan d'adressage (recommandé) (O/n)? : "
277
			read response
278
		done
279
	if [ "$response" = "n" ] || [ "$response" = "N" ]
280
	then
281
		CUSTOM_PRIVATE_NETWORK_MASK="0"
282
		PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'
283
		until [[ $(expr $CUSTOM_PRIVATE_NETWORK_MASK : $PTN) -gt 0 ]]
284
			do
285
				echo -n "Entrez un plan d'adressage au format CIDR (a.b.c.d/xx) : "
286
				read CUSTOM_PRIVATE_NETWORK_MASK
287
 
288
			done
289
	fi
14 richard 290
# Récupération de la config réseau côté "LAN de consultation"
1 root 291
	HOSTNAME=alcasar-$ORGANISME
292
	hostname $HOSTNAME
293
	echo "- Nom du système : $HOSTNAME" >> $FIC_PARAM
294
	PRIVATE_NETWORK=`/bin/ipcalc -n $CUSTOM_PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ réseau de consultation (ex.: 192.168.182.0)
5 franck 295
	private_prefix=`/bin/ipcalc -p $CUSTOM_PRIVATE_NETWORK_MASK |cut -d"=" -f2`		# prefixe du réseau (ex. 24)
1 root 296
	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix					# @ réseau + masque (x.0.0.0/8 ou x.y.0.0/16 ou x.y.z.0/24)
297
	classe=$((private_prefix/8));								# classe de réseau (ex.: 2=classe B, 3=classe C)
298
	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.			# @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
299
	PRIVATE_MASK=`/bin/ipcalc -m $PRIVATE_NETWORK_MASK | cut -d"=" -f2`			# masque réseau de consultation (ex.: 255.255.255.0)
300
	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ broadcast réseau de consultation (ex.: 192.168.182.255)
301
	TMP_MASK=`echo $PRIVATE_NETWORK_MASK|cut -d"/" -f2`; HALF_MASK=`expr $TMP_MASK + 1`	# masque du 1/2 réseau de consultation (ex.: 25)
302
	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$HALF_MASK						# plage des adresses statiques (ex.: 192.168.182.0/25)
303
	PRIVATE_STAT_MASK=`/bin/ipcalc -m $PRIVATE_STAT_IP/$HALF_MASK | cut -d"=" -f2`		# masque des adresses statiques (ex.: 255.255.255.128)
304
	classe_sup=`expr $classe + 1`
305
	classe_sup_sup=`expr $classe + 2`
306
	private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`
307
	private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`
308
	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
309
	private_half_plage=`expr $private_plage / 2`
310
	private_dyn=`expr $private_half_plage + $private_network_ending`
311
	private_dyn_ip_network=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup_sup-5`
312
	PRIVATE_DYN_IP=`echo $private_dyn_ip_network | cut -d"." -f1-4`/$HALF_MASK		# plage des adresses dynamiques (ex.: 192.168.182.128/25)
313
	PRIVATE_DYN_MASK=`/bin/ipcalc -m $PRIVATE_DYN_IP/$HALF_MASK | cut -d"=" -f2`		# masque des adresses dynamiques (ex.: 255.255.255.128)
314
	private_dyn_ip_network=`echo $PRIVATE_DYN_IP | cut -d"/" -f1`				# plage des adresses dynamiques sans le masque (ex.: 192.168.182.0)
315
	private_dyn_ip_end=`echo $private_dyn_ip_network | cut -d"." -f4`			# dernier octet de la plage des adresses dynamiques (ex.: 128)
316
	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network | cut -d"." -f1-3`"."`expr $private_dyn_ip_end + 1`	# 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
317
	private_broadcast_end=`echo $PRIVATE_BROADCAST | cut -d"." -f4`
318
	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_end - 1`	# dernière adresse de la plage dynamique (ex.: 192.168.182.254)
14 richard 319
	PRIVATE_IP=`echo $PRIVATE_NETWORK | cut -d"." -f1-3`"."`expr $private_network_end + 1`	# @ip du portail (côté réseau de consultation)
320
# Récupération de la config réseau côté "Internet"
321
	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
322
	EXT_IP=`grep IPADDR /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip du portail (côté Internet)
1 root 323
	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default
14 richard 324
	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 1er DNS
325
	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 2ème DNS
70 franck 326
	DNS1=${DNS1:=208.67.220.220}
327
	DNS2=${DNS2:=208.67.222.222}
14 richard 328
	EXT_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
329
	EXT_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
330
	echo "- Adresse IP 'côté Internet' ($EXTIF) : $EXT_IP / $EXT_NETMASK" >> $FIC_PARAM
331
	echo "- Serveurs DNS renseignés : $DNS1 et $DNS2" >> $FIC_PARAM
332
	echo "- Routeur de sortie : $EXT_GATEWAY" >> $FIC_PARAM
333
# Configuration réseau
1 root 334
	cat <<EOF > /etc/sysconfig/network
335
NETWORKING=yes
336
HOSTNAME="$HOSTNAME"
337
FORWARD_IPV4=true
338
EOF
339
# On supprime les log_martians
340
	$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/security.conf
341
# Modif /etc/hosts
342
	[ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default
343
	cat <<EOF > /etc/hosts
344
127.0.0.1	$HOSTNAME localhost.localdomain localhost
345
$PRIVATE_IP	$HOSTNAME alcasar portail
346
EOF
14 richard 347
	echo "- Adresse IP 'côté réseau de consultation' ($INTIF) : $PRIVATE_IP / $PRIVATE_NETWORK_MASK" >> $FIC_PARAM
348
	echo "    - plage d'adresses statiques : $PRIVATE_STAT_IP" >> $FIC_PARAM
349
	echo "    - plage d'adresses dynamiques (via DHCP) : $PRIVATE_DYN_IP" >> $FIC_PARAM
350
# Configuration de l'interface eth0 (Internet)
351
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
352
DEVICE=$EXTIF
353
BOOTPROTO=static
354
IPADDR=$EXT_IP
355
NETMASK=$EXT_NETMASK
356
GATEWAY=$EXT_GATEWAY
357
DNS1=127.0.0.1
358
ONBOOT=yes
359
METRIC=10
360
NOZEROCONF=yes
361
MII_NOT_SUPPORTED=yes
362
IPV6INIT=no
363
IPV6TO4INIT=no
364
ACCOUNTING=no
365
USERCTL=no
366
EOF
1 root 367
# Configuration de l'interface eth1 (réseau de consultation)
368
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
369
DEVICE=$INTIF
370
BOOTPROTO=static
371
IPADDR=$PRIVATE_IP
372
NETMASK=$PRIVATE_MASK
373
ONBOOT=yes
374
METRIC=10
375
NOZEROCONF=yes
376
MII_NOT_SUPPORTED=yes
14 richard 377
IPV6INIT=no
378
IPV6TO4INIT=no
379
ACCOUNTING=no
380
USERCTL=no
1 root 381
EOF
382
# Configuration du serveur de temps
383
	echo "synchronisation horaire ..."
384
	[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
385
	cat <<EOF > /etc/ntp.conf
386
server 0.fr.pool.ntp.org
387
server 1.fr.pool.ntp.org
388
server 2.fr.pool.ntp.org
389
restrict default nomodify notrap noquery
390
restrict $PRIVATE_NETWORK mask $PRIVATE_MASK
391
restrict 127.0.0.1
392
driftfile /etc/ntp/drift
393
logfile /var/log/ntp.log
394
EOF
395
	chown -R ntp:ntp /etc/ntp
29 richard 396
ntpd -q -g &
1 root 397
# Configuration du serveur dhcpd de secours (mode bypass)
398
	[ -e /etc/dhcpd.conf.default ] || cp /etc/dhcpd.conf /etc/dhcpd.conf.default 2> /dev/null
399
	cat <<EOF > /etc/dhcpd.conf
400
ddns-update-style interim;
401
subnet $PRIVATE_NETWORK netmask $PRIVATE_MASK {
402
option routers $PRIVATE_IP;
403
option subnet-mask $PRIVATE_MASK;
404
option domain-name-servers $DNS1;
405
range dynamic-bootp $PRIVATE_DYN_LAST_IP $PRIVATE_DYN_FIRST_IP;
406
default-lease-time 21600;
407
max-lease-time 43200;
408
}
409
EOF
410
# écoute côté LAN seulement
411
	[ -e /etc/sysconfig/dhcpd.default ] || cp /etc/sysconfig/dhcpd /etc/sysconfig/dhcpd.default 2> /dev/null
412
	$SED "s?^#INTERFACES=.*?INTERFACES=\"$INTIF\"?g" /etc/sysconfig/dhcpd
413
	/sbin/chkconfig --level 345 dhcpd off
414
# Renseignement des fichiers hosts.allow et hosts.deny
415
	[ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default
416
	cat <<EOF > /etc/hosts.allow
417
ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
418
sshd: $PRIVATE_NETWORK_SHORT
419
ntpd: $PRIVATE_NETWORK_SHORT
420
EOF
421
	[ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default
422
	cat <<EOF > /etc/hosts.deny
423
ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
424
EOF
425
} # End of network ()
426
 
427
##################################################################
428
##			Fonction gestion			##
429
## - installation du centre de gestion				##
430
## - configuration du serveur web (Apache)			##
431
## - définition du 1er comptes de gestion 			##
432
## - sécurisation des accès					##
433
##################################################################
434
gestion()
435
{
436
# Suppression des CGI et des pages WEB installés par défaut
437
	rm -rf /var/www/cgi-bin/*
438
	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
439
	mkdir $DIR_WEB
440
# Copie et configuration des fichiers du centre de gestion
441
	cp -rf $DIR_GESTION/* $DIR_WEB/
442
	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
443
	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_WEB/menu.php
444
	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_WEB/phpsysinfo/includes/xml/portail.php
445
	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_WEB/phpsysinfo/includes/xml/portail.php
446
	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_WEB/phpsysinfo/includes/xml/portail.php
447
	chmod 640 $DIR_WEB/phpsysinfo/includes/xml/portail.php
5 franck 448
	chown -R apache:apache $DIR_WEB/*
1 root 449
	for i in ISO base logs/firewall logs/httpd logs/squid ;
450
	do
451
		[ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i
452
	done
5 franck 453
	chown -R root:apache $DIR_SAVE
1 root 454
# Configuration php
455
	$SED "s?^upload_max_filesize.*?upload_max_filesize = 20M?g" /etc/php.ini
456
	$SED "s?^post_max_size.*?post_max_size = 20M?g" /etc/php.ini
457
# Configuration Apache
458
	[ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
459
	$SED "s?^#ServerName.*?ServerName $PRIVATE_IP?g" /etc/httpd/conf/httpd.conf
460
	$SED "s?^Listen.*?#Listen 127.0.0.1:80?g" /etc/httpd/conf/httpd.conf
461
	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
462
	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
463
	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
464
	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
465
	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
466
	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
467
	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
468
	cat <<EOF > /var/www/error/include/bottom.html
469
</body>
470
</html>
471
EOF
472
	echo "- URL d'accès au centre de gestion : https://$PRIVATE_IP" >> $FIC_PARAM
473
# Définition du premier compte lié au profil 'admin'
474
	if [ "$mode" = "install" ]
475
	then
476
		header_install
477
		echo "Pour administrer Alcasar via le centre de gestion WEB, trois profils de comptes ont été définis :"
478
		echo " - le profil 'admin' capable de réaliser toutes les opérations"
479
		echo " - le profil 'backup' lié uniquement aux fonctions d'archivage"
480
		echo " - le profil 'manager' lié uniquement aux fonctions de gestion des usagers"
481
		echo ""
482
		echo "Définissez le premier compte du profil 'admin' :"
483
		echo
484
		echo -n "Nom : "
485
		read admin_portail
486
		echo "- Nom du premier compte lié au profil 'admin' : $admin_portail" >> $FIC_PARAM
487
# Création du fichier de clés de ce compte dans le profil "admin"
488
		[ -d $DIR_WEB/digest ] && rm -rf $DIR_WEB/digest
489
		mkdir -p $DIR_WEB/digest
490
		chmod 755 $DIR_WEB/digest
491
		until [ -s $DIR_WEB/digest/key_admin ]
492
			do
493
				/usr/sbin/htdigest -c $DIR_WEB/digest/key_admin $HOSTNAME $admin_portail
494
			done
495
# Création des fichiers de clés des deux autres profils (backup + manager) contenant ce compte
496
		$DIR_DEST_SBIN/alcasar-profil.sh -list
497
	fi
498
# Sécurisation du centre
499
	rm -f /etc/httpd/conf/webapps.d/*
500
	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
501
<Directory $DIR_WEB/digest>
502
	AllowOverride none
503
	Order deny,allow
504
	Deny from all
505
</Directory>
506
<Directory $DIR_WEB/admin>
507
	SSLRequireSSL
508
	AllowOverride None
509
	Order deny,allow
510
	Deny from all
511
	Allow from 127.0.0.1
512
	Allow from $PRIVATE_NETWORK_MASK
513
	require valid-user
514
	AuthType digest
515
	AuthName $HOSTNAME
516
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
517
	AuthUserFile $DIR_WEB/digest/key_admin
518
	ErrorDocument 404 https://$PRIVATE_IP/
519
</Directory>
520
<Directory $DIR_WEB/manager/htdocs>
521
	SSLRequireSSL
522
	AllowOverride None
523
	Order deny,allow
524
	Deny from all
525
	Allow from 127.0.0.1
526
	Allow from $PRIVATE_NETWORK_MASK
527
	require valid-user
528
	AuthType digest
529
	AuthName $HOSTNAME
530
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
531
	AuthUserFile $DIR_WEB/digest/key_manager
532
	ErrorDocument 404 https://$PRIVATE_IP/
533
</Directory>
534
<Directory $DIR_WEB/manager/html>
535
	SSLRequireSSL
536
	AllowOverride None
537
	Order deny,allow
538
	Deny from all
539
	Allow from 127.0.0.1
540
	Allow from $PRIVATE_NETWORK_MASK
541
	require valid-user
542
	AuthType digest
543
	AuthName $HOSTNAME
544
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
545
	AuthUserFile $DIR_WEB/digest/key_manager
546
	ErrorDocument 404 https://$PRIVATE_IP/
547
</Directory>
548
<Directory $DIR_WEB/backup>
549
	SSLRequireSSL
550
	AllowOverride None
551
	Order deny,allow
552
	Deny from all
553
	Allow from 127.0.0.1
554
	Allow from $PRIVATE_NETWORK_MASK
555
	require valid-user
556
	AuthType digest
557
	AuthName $HOSTNAME
558
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
559
	AuthUserFile $DIR_WEB/digest/key_backup
560
	ErrorDocument 404 https://$PRIVATE_IP/
561
</Directory>
562
Alias /save/ "$DIR_SAVE/"
563
<Directory $DIR_SAVE>
564
	SSLRequireSSL
565
	Options Indexes
566
	Order deny,allow
567
	Deny from all
568
	Allow from 127.0.0.1
569
	Allow from $PRIVATE_NETWORK_MASK
570
	require valid-user
571
	AuthType digest
572
	AuthName $HOSTNAME
573
	AuthUserFile $DIR_WEB/digest/key_backup
574
	ErrorDocument 404 https://$PRIVATE_IP/
575
	ReadmeName	/readmeSave.html
576
</Directory>
577
EOF
578
} # End of gestion ()
579
 
580
##########################################################################################
581
##				Fonction AC()						##
582
## - Création d'une Autorité de Certification et du certificat serveur pour apache 	##
583
##########################################################################################
584
AC ()
585
{
586
	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
587
	$DIR_DEST_BIN/alcasar-CA.sh $mode
588
	MOD_SSL=`find /etc/httpd/conf -type f -name *default_ssl*`
589
	$SED "s?localhost.crt?alcasar.crt?g" $MOD_SSL
590
	$SED "s?localhost.key?alcasar.key?g" $MOD_SSL
5 franck 591
	chown -R root:apache /etc/pki
1 root 592
	chmod -R 750 /etc/pki
593
} # End AC ()
594
 
595
##########################################################################################
596
##			Fonction init_db()						##
597
## - Initialisation de la base Mysql							##
598
## - Affectation du mot de passe de l'administrateur (root)				##
599
## - Suppression des bases et des utilisateurs superflus				##
600
## - Création de la base 'radius'							##
601
## - Installation du schéma de cette base						##
602
## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)	##
603
##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)		##
604
##########################################################################################
605
init_db ()
606
{
607
	mkdir -p /var/lib/mysql/.tmp
608
	chown mysql:mysql /var/lib/mysql/.tmp
609
	[ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default
610
	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
611
	/etc/init.d/mysqld start
612
	sleep 4
613
	mysqladmin -u root password $mysqlpwd
614
	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
615
# On supprime les tables d'exemple
616
	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;" 
617
	# On crée la base 'radius'
618
	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
619
	FICSQL_LIBFREERADIUS=`find /etc/raddb/sql/mysql -type f -name schema.sql`
620
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $FICSQL_LIBFREERADIUS
621
	$MYSQL="connect $DB_RADIUS;ALTER table radpostauth DROP column pass;" 
622
# Ajout des tables de comptabilité journalière et mensuelle (accounting)
623
	DIRSQL_FREERADIUS=`find /usr/share/doc/freeradius-web* -type d -name mysql`
624
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/mtotacct.sql
625
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/totacct.sql
626
# correction d'un bug sur la table 'userinfo' avant import
627
	$SED "s?^  id int(10).*?  id int(10) NOT NULL auto_increment,?g" $DIRSQL_FREERADIUS/userinfo.sql
628
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/userinfo.sql
629
# correction d'un bug sur la table 'badusers' avant import (elle reste inutilisée par Alcasar pour l'instant)
630
	#$SED "s?^  id int(10).*?  id int(10) NOT NULL auto_increment,?g" $DIRSQL_FREERADIUS/badusers.sql
631
	#mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/badusers.sql
632
} # End init_db ()
633
 
634
##########################################################################
635
##			Fonction param_radius				##
636
## - Paramètrage des fichiers de configuration FreeRadius		##
637
## - Affectation du secret partagé entre coova-chilli et freeradius	##
638
## - Modification de fichier de conf pour l'accès à Mysql		##
639
##########################################################################
640
param_radius ()
641
{
642
	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
643
	chown -R radius:radius /etc/raddb
644
	[ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
645
# paramètrage radius.conf
646
	$SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf
647
	$SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf
648
	$SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf
649
# suppression de la fonction proxy
650
	$SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf
651
	$SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
652
# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
653
	$SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
654
# prise en compte du module SQL et des compteurs SQL
655
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
656
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
657
	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
658
# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
659
	rm -f /etc/raddb/sites-enabled/*
660
       	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
661
	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
662
	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
663
	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
664
	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
665
	# Inutile dans notre fonctionnement mais les liens sont recrés par un update de radius ... donc là forcé en tant que fichier
666
	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
667
# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
668
	[ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
669
	cat << EOF > /etc/raddb/clients.conf
670
client 127.0.0.1 {
671
	secret = $secretradius
672
	shortname = localhost
673
}
674
client $PRIVATE_NETWORK_MASK {
675
	secret = $secretradius
676
	shortname = localhost
677
}
678
EOF
679
# modif sql.conf
680
	[ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
681
	$SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
682
	$SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
683
	$SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
684
	$SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf
685
# modif dialup.conf
686
	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
687
	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
688
} # End param_radius ()
689
 
690
##########################################################################
691
##			Fonction param_web_radius			##
692
## - Import, modification et paramètrage de l'interface "dialupadmin"	##
693
## - Création du lien vers la page de changement de mot de passe        ##
694
##########################################################################
695
param_web_radius ()
696
{
697
# copie de l'interface d'origine dans la structure Alcasar
698
	# mdv 2009.0 et 2009.1
699
	if [ -d /var/www/freeradius-web ]
700
		then
701
		cp -rf /var/www/freeradius-web/* $DIR_WEB/manager/
702
		chmod a-x /var/www/freeradius-web
703
	else # mdv 2010.0
704
	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_WEB/manager/
705
	fi
706
# copie des fichiers modifiés et suppression des fichiers inutiles
707
	cp -rf $DIR_GESTION/manager/* $DIR_WEB/manager/
708
	rm -f $DIR_WEB/manager/index.html $DIR_WEB/manager/readme 
709
	rm -f $DIR_WEB/manager/htdocs/about.html $DIR_WEB/manager/htdocs/index.html $DIR_WEB/manager/htdocs/content.html
5 franck 710
	chown -R apache:apache $DIR_WEB/manager/
1 root 711
# Modification du fichier de configuration
712
	[ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
5 franck 713
	$SED "s?^general_domain:.*?general_domain: $ORGANISME.$DOMAIN?g" /etc/freeradius-web/admin.conf
1 root 714
	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
715
	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
716
	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
717
	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
718
	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
719
	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
720
	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
721
	cat <<EOF > /etc/freeradius-web/naslist.conf
722
nas1_name: alcasar.%{general_domain}
723
nas1_model: Portail captif
724
nas1_ip: $PRIVATE_IP
725
nas1_port_num: 0
726
nas1_community: public
727
EOF
728
# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
729
	[ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
730
	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
731
# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
732
	[ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
733
	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
734
	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
5 franck 735
	chown -R apache:apache /etc/freeradius-web
1 root 736
# Ajout de l'alias vers la page de "changement de mot de passe usager"
737
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
738
Alias /pass/ "$DIR_WEB/manager/pass/"
739
<Directory $DIR_WEB/manager/pass>
740
	SSLRequireSSL
741
	AllowOverride None
742
	Order deny,allow
743
	Deny from all
744
	Allow from 127.0.0.1
745
	Allow from $PRIVATE_NETWORK_MASK
746
	ErrorDocument 404 https://$PRIVATE_IP
747
</Directory>
748
EOF
749
	echo "- URL pour le changement du mot de passe usager : https://$PRIVATE_IP/pass/" >> $FIC_PARAM
750
} # End of param_web_radius ()
751
 
752
##########################################################################
753
##			Fonction param_chilli				##
754
## - Paramètrage du fichier de configuration de coova-chilli		##
755
## - Paramètrage de la page d'authentification (intercept.php)		##
756
##########################################################################
757
param_chilli ()
758
{
759
# modification du générateur du fichier de conf 
760
	[ -e /etc/chilli/functions.default ] || cp /etc/chilli/functions /etc/chilli/functions.default
761
# suppression du domaine "coova.org" dans la primitive uamallowed
14 richard 762
	$SED "s?www.coova.org,??g" /etc/chilli/functions
1 root 763
# suppression de la primitive "WISPR" (inutilisée par Alcasar)
764
	$SED "s?^HS_WISPRLOGIN=.*??g" /etc/chilli/functions
765
# suppression de la primitive "uamanydns" (les clients ne peuvent utiliser que les serveurs DNS d'Alcasar)
766
	$SED "s?uamanydns??g" /etc/chilli/functions
767
# modification du fichier d'initialisation (suppression du cron et correction de la procédure d'arret)
768
	[ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default
769
	cp -f $DIR_CONF/chilli-init /etc/init.d/chilli
770
# création du fichier de conf
771
	cp /etc/chilli/defaults /etc/chilli/config
772
	$SED "s?^# HS_WANIF=.*?HF_WANIF=$EXTIF?g" /etc/chilli/config
773
	$SED "s?^HS_LANIF=.*?HS_LANIF=$INTIF?g" /etc/chilli/config
774
	$SED "s?^HS_NETWORK=.*?HS_NETWORK=$PRIVATE_NETWORK?g" /etc/chilli/config
775
	$SED "s?^HS_NETMASK=.*?HS_NETMASK=$PRIVATE_MASK?g" /etc/chilli/config
776
	$SED "s?^HS_UAMLISTEN=.*?HS_UAMLISTEN=$PRIVATE_IP?g" /etc/chilli/config
777
	$SED "s?^HS_UAMPORT=.*?HS_UAMPORT=$UAMPORT?g" /etc/chilli/config
778
	$SED "s?^# HS_DYNIP=.*?HS_DYNIP=$PRIVATE_DYN_IP?g" /etc/chilli/config
779
	$SED "s?^# HS_DYNIP_MASK=.*?HS_DYNIP_MASK=$PRIVATE_DYN_MASK?g" /etc/chilli/config
780
	$SED "s?^# HS_STATIP=.*?HS_STATIP=$PRIVATE_STAT_IP?g" /etc/chilli/config
781
	$SED "s?^# HS_STATIP_MASK.*?HS_STATIP_MASK=$PRIVATE_STAT_MASK?g" /etc/chilli/config
782
	$SED "s?^# HS_DNS_DOMAIN=.*?HS_DNS_DOMAIN=$DOMAIN?g" /etc/chilli/config
5 franck 783
	$SED "s?^HS_DNS1=.*?HS_DNS1=$PRIVATE_IP?g" /etc/chilli/config
784
	$SED "s?^HS_DNS2=.*?HS_DNS2=$PRIVATE_IP?g" /etc/chilli/config
1 root 785
	$SED "s?^HS_UAMSECRET=.*?HS_UAMSECRET=$secretuam?g" /etc/chilli/config
786
	$SED "s?^HS_RADIUS=.*?HS_RADIUS=127.0.0.1?g" /etc/chilli/config
787
	$SED "s?^HS_RADIUS2=.*?HS_RADIUS2=127.0.0.1?g" /etc/chilli/config
788
	$SED "s?^HS_RADSECRET=.*?HS_RADSECRET=$secretradius?g" /etc/chilli/config
789
	$SED "s?^HS_UAMALLOW=.*?# HS_UAMALLOW?g" /etc/chilli/config
790
	$SED "s?^HS_UAMSERVER=.*?HS_UAMSERVER=$PRIVATE_IP?g" /etc/chilli/config
791
	$SED "s?^HS_UAMFORMAT=.*?HS_UAMFORMAT=https://\$HS_UAMSERVER/intercept.php?g" /etc/chilli/config
792
	$SED "s?^HS_UAMHOMEPAGE=.*?HS_UAMHOMEPAGE=?g" /etc/chilli/config
793
	$SED "s?^HS_UAMSERVICE=.*?# HS_UAMSERVICE?g" /etc/chilli/config
794
	$SED "s?^# HS_ANYIP=.*?HS_ANYIP=on?g" /etc/chilli/config
795
	$SED "s?^# HS_DNSPARANOIA=.*?HS_DNSPARANOIA=on?g" /etc/chilli/config
796
	$SED "s?^HS_LOC_NAME=.*?HS_LOC_NAME=\"$HOSTNAME\"?g" /etc/chilli/config
797
	$SED "s?^HS_WWWDIR.*?# HS_WWWDIR?g" /etc/chilli/config
798
	$SED "s?^HS_WWWBIN.*?# HS_WWWBIN?g" /etc/chilli/config
799
	$SED "s?^HS_PROVIDER_LINK.*?HS_PROVIDER_LINK=https://\$HS_UAMSERVER/?g" /etc/chilli/config
800
	echo "HS_COAPORT=3799" >> /etc/chilli/config
801
# création des fichiers de sites, d'urls et d'adresses MAC de confiance
802
	echo -e "HS_UAMALLOW=\"\"" > /etc/chilli/alcasar-uamallowed
803
	echo -e "HS_UAMDOMAINS=\"\"" > /etc/chilli/alcasar-uamdomain
804
	$SED "s?^# HS_MACAUTHMODE=.*?HS_MACAUTHMODE=local?g" /etc/chilli/config
805
	echo -e "HS_MACALLOW=\"\"" >> /etc/chilli/alcasar-macallowed
806
	chown root:apache /etc/chilli/alcasar-*
807
	chmod 660 /etc/chilli/alcasar-*
808
	echo ". /etc/chilli/alcasar-uamallowed" >> /etc/chilli/config
809
	echo ". /etc/chilli/alcasar-uamdomain" >> /etc/chilli/config
810
	echo ". /etc/chilli/alcasar-macallowed" >> /etc/chilli/config
811
	echo "- URL de deconnexion du portail : http://$PRIVATE_IP:$UAMPORT/logoff" >> $FIC_PARAM
812
# Définition du secret partagé entre coova-chilli et la page d'authentification (intercept.php)
813
	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
814
	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
815
	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php
816
# Suppression des modifications "iptables" effectuées lors du lancement du daemon coova
817
	$SED "s?^    iptables \$opt \$\*?#   iptables \$opt \$\*?g" /etc/chilli/up.sh
818
}  # End of param_chilli ()
819
 
820
##########################################################
821
##			Fonction param_squid		##
822
## - Paramètrage du proxy 'squid' en mode 'cache'	##
823
## - Initialisation de la base de données  		##
824
##########################################################
825
param_squid ()
826
{
827
# paramètrage de Squid (connecté en série derrière Dansguardian)
828
	[ -e /etc/squid/squid.conf.default  ] || cp /etc/squid/squid.conf /etc/squid/squid.conf.default
829
# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
830
	$SED "/^acl localnet/d" /etc/squid/squid.conf
831
	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
832
	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
833
	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
834
	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
835
	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
836
# mode 'proxy transparent local'
837
	$SED "s?^http_port.*?http_port 127.0.0.1:$SQUID_PORT transparent?g" /etc/squid/squid.conf
838
# compatibilité des logs avec awstats
839
	$SED "s?^# emulate_httpd_log.*?emulate_httpd_log on?g" /etc/squid/squid.conf
840
	$SED "s?^access_log.*?access_log /var/log/squid/access.log?g" /etc/squid/squid.conf
841
# Initialisation du cache de Squid
842
	/usr/sbin/squid -z
843
}  # End of param_squid ()
844
 
845
##################################################################
846
##		Fonction param_dansguardian			##
847
## - Paramètrage du gestionnaire de contenu Dansguardian	##
848
## - Copie de la blacklist de toulouse  			##
849
##################################################################
850
param_dansguardian ()
851
{
852
# modification du fichier d'initialisation (correction de la procédure d'arret)
853
	[ -e /etc/init.d/dansguardian.default ] || cp /etc/init.d/dansguardian /etc/init.d/dansguardian.default
854
	cp -f $DIR_CONF/dansguardian-init /etc/init.d/dansguardian
855
	mkdir /var/dansguardian
856
	chown dansguardian /var/dansguardian
857
	[ -e /etc/dansguardian/dansguardian.conf.default ] || cp /etc/dansguardian/dansguardian.conf /etc/dansguardian/dansguardian.conf.default
858
# par défaut, le filtrage WEB est désactivé
859
	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" /etc/dansguardian/dansguardian.conf
860
# la page d'interception est en français
861
	$SED "s?^language =.*?language = french?g" /etc/dansguardian/dansguardian.conf
862
# on limite l'écoute de Dansguardian côté LAN
863
	$SED "s?^filterip =.*?filterip = $PRIVATE_IP?g" /etc/dansguardian/dansguardian.conf
864
# on remplace la page d'interception (template)
865
	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
866
	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
867
# on ne loggue que les deny (pour le reste, on a squid)
868
	$SED "s?^loglevel =.*?loglevel = 1?g" /etc/dansguardian/dansguardian.conf
869
# on désactive par défaut le controle de contenu des pages html
870
	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" /etc/dansguardian/dansguardian.conf
871
	cp /etc/dansguardian/lists/bannedphraselist /etc/dansguardian/lists/bannedphraselist.default
872
	$SED "s?^[^#]?#&?g" /etc/dansguardian/lists/bannedphraselist # (on commente ce qui ne l'est pas)
873
# on désactive par défaut le contrôle d'URL par expressions régulières
874
	cp /etc/dansguardian/lists/bannedregexpurllist /etc/dansguardian/lists/bannedregexpurllist.default
875
	$SED "s?^[^#]?#&?g" /etc/dansguardian/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
876
# on désactive par défaut le contrôle de téléchargement de fichiers
877
	[ -e /etc/dansguardian/dansguardianf1.conf.default ] || cp /etc/dansguardian/dansguardianf1.conf /etc/dansguardian/dansguardianf1.conf.default
878
	$SED "s?^blockdownloads =.*?blockdownloads = off?g" /etc/dansguardian/dansguardianf1.conf
879
	[ -e /etc/dansguardian/lists/bannedextensionlist.default ] || mv /etc/dansguardian/lists/bannedextensionlist /etc/dansguardian/lists/bannedextensionlist.default
880
	[ -e /etc/dansguardian/lists/bannedmimetypelist.default ] || mv /etc/dansguardian/lists/bannedmimetypelist /etc/dansguardian/lists/bannedmimetypelist.default
881
	touch /etc/dansguardian/lists/bannedextensionlist
882
	touch /etc/dansguardian/lists/bannedmimetypelist
883
# on vide la liste des @IP du Lan ne subissant pas le filtrage WEB
884
	[ -e /etc/dansguardian/lists/exceptioniplist.default ] || mv /etc/dansguardian/lists/exceptioniplist /etc/dansguardian/lists/exceptioniplist.default
885
	touch /etc/dansguardian/lists/exceptioniplist
886
# on copie les fichiers de la BL de toulouse
887
	[ -d /etc/dansguardian/lists/blacklists ] && mv /etc/dansguardian/lists/blacklists /etc/dansguardian/lists/blacklists.default
888
	tar zxvf $DIR_CONF/blacklists.tar.gz --directory=/etc/dansguardian/lists/ 2>&1 >/dev/null
889
	cp -f $DIR_CONF/VERSION-BL $DIR_WEB/
890
	chown apache:apache $DIR_WEB/VERSION-BL
891
# on crée la BL secondaire
892
	mkdir /etc/dansguardian/lists/blacklists/ossi
893
	touch /etc/dansguardian/lists/blacklists/ossi/domains
894
	touch /etc/dansguardian/lists/blacklists/ossi/urls
895
# On crée une WhiteList vide
896
	[ -e /etc/dansguardian/lists/exceptionsitelist.default ] || mv /etc/dansguardian/lists/exceptionsitelist  /etc/dansguardian/lists/exceptionsitelist.default
897
	[ -e /etc/dansguardian/lists/exceptionurllist.default ] || mv /etc/dansguardian/lists/exceptionurllist  /etc/dansguardian/lists/exceptionurllist.default
898
	touch /etc/dansguardian/lists/exceptionsitelist
899
	touch /etc/dansguardian/lists/exceptionurllist
900
# on configure le filtrage de site
901
	[ -e /etc/dansguardian/lists/bannedsitelist.default ] || cp /etc/dansguardian/lists/bannedsitelist /etc/dansguardian/lists/bannedsitelist.default
902
	$SED "s?^[^#]?#&?g" /etc/dansguardian/lists/bannedsitelist # (on commente ce qui ne l'est pas)
903
# on bloque les sites ne possédant pas de nom de domaine (ex: http://12.13.14.15)
904
	$SED "s?^#\*ip?\*ip?g" /etc/dansguardian/lists/bannedsitelist
905
# on bloque le ssl sur port 80
906
	$SED "s?^#\*\*s?\*\*s?g" /etc/dansguardian/lists/bannedsitelist
907
# on configure la BL de toulouse
908
	cat $DIR_CONF/bannedsitelist >> /etc/dansguardian/lists/bannedsitelist
909
[ -e /etc/dansguardian/lists/bannedurllist.default ] || cp /etc/dansguardian/lists/bannedurllist /etc/dansguardian/lists/bannedurllist.default
910
	$SED "s?^[^#]?#&?g" /etc/dansguardian/lists/bannedurllist # (on commente ce qui ne l'est pas)
911
	cat $DIR_CONF/bannedurllist >> /etc/dansguardian/lists/bannedurllist
5 franck 912
	chown -R dansguardian:apache /etc/dansguardian/
1 root 913
	chmod -R g+rw /etc/dansguardian
914
} # End of param_dansguardian ()
915
 
916
##################################################################################
917
##				Fonction firewall				##
918
## - adaptation des scripts du parefeu						##
919
## - mise en place des règles et sauvegarde pour un lancement automatique	##
920
## - configuration Ulogd							##
921
##################################################################################
922
firewall ()
923
{
924
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
925
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
926
	$SED "s?^PRIVATE_NETWORK_MASK=.*?PRIVATE_NETWORK_MASK=\"$PRIVATE_NETWORK_MASK\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
927
	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
928
	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
929
	[ -d /var/log/firewall ] || mkdir -p /var/log/firewall
930
	[ -e /var/log/firewall/firewall.log ] || touch /var/log/firewall/firewall.log
5 franck 931
	chown -R root:apache /var/log/firewall
1 root 932
	chmod 750 /var/log/firewall
933
	chmod 640 /var/log/firewall/firewall.log
934
 	$SED "s?^file=\"/var/log/ulogd.syslogemu\"?file=\"/var/log/firewall/firewall.log\"?g" /etc/ulogd.conf
935
	sh $DIR_DEST_BIN/alcasar-iptables.sh
936
}  # End of firewall ()
937
 
938
##################################################################################
939
##				Fonction param_awstats				##
940
## - configuration de l'interface des logs de consultation WEB (AWSTAT)		##
941
##################################################################################
942
param_awstats()
943
{
944
	ln -s /var/www/awstats $DIR_WEB/awstats
945
	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
946
	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
947
	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
948
	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
949
	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
950
	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
951
	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf	# corrige le fichier de config awstats natif ...
952
	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
953
	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
59 richard 954
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
1 root 955
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
956
<Directory $DIR_WEB/awstats>
957
	SSLRequireSSL
958
	Options ExecCGI
959
	AddHandler cgi-script .pl
960
	DirectoryIndex awstats.pl
961
	Order deny,allow
962
	Deny from all
963
	Allow from 127.0.0.1
964
	Allow from $PRIVATE_NETWORK_MASK
965
	require valid-user
966
	AuthType digest
967
	AuthName $HOSTNAME
968
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
969
	AuthUserFile $DIR_WEB/digest/key_admin
970
	ErrorDocument 404 https://$PRIVATE_IP/
971
</Directory>
972
SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
973
EOF
974
} # End of param_awstats ()
975
 
976
##########################################################
977
##		Fonction bind				##
978
## - Mise en place des différents fichiers de bind	##
979
##########################################################
980
param_bind ()
981
{
5 franck 982
	ln -sf /var/lib/named/etc/trusted_networks_acl.conf /etc/
983
	ln -sf /var/lib/named/etc/named.conf /etc/
984
	ln -sf /var/lib/named/var/named /var/
985
	ln -sf /var/lib/named/var/log/ /var/log/named
1 root 986
	[ -e /var/lib/named/etc/trusted_networks_acl.conf.default  ] || cp /var/lib/named/etc/trusted_networks_acl.conf /var/lib/named/etc/trusted_networks_acl.conf.default
987
	[ -e /var/lib/named/etc/named.conf.default  ] || cp /var/lib/named/etc/named.conf /var/lib/named/etc/named.conf.default
988
	[ -e /var/lib/named/var/named/master/localdomain.zone.default  ] || cp /var/lib/named/var/named/master/localdomain.zone /var/lib/named/var/named/master/localdomain.zone.default
5 franck 989
	$SED "s?127.0.0.1;.*?127.0.0.1; $CUSTOM_PRIVATE_NETWORK_MASK;?g" /var/lib/named/etc/trusted_networks_acl.conf
990
	$SED "s?listen-on.*?listen-on port 53 \{ 127.0.0.1; $PRIVATE_IP; \};?g" /var/lib/named/etc/named.conf
70 franck 991
	$SED "s?^\/\/[ ]*forwarders.*?    forward only; forwarders { $DNS1; $DNS2; };?g" /var/lib/named/etc/named.conf
8 franck 992
#	$SED "s?^\/\/ include \"\/etc\/bogon_acl.conf\";.*?include \"\/etc\/bogon_acl.conf\";?g" /var/lib/named/etc/named.conf
5 franck 993
# On crée l'entrée pour le reverse
994
	for i in $(seq $classe -1 1)
995
	do
8 franck 996
		echo -n `echo $PRIVATE_NETWORK|cut -d"." -f$i`. >> /tmp/rev.txt
5 franck 997
	done
998
	echo "in-addr.arpa" >> /tmp/rev.txt
999
	reverse_addr=`cat /tmp/rev.txt`
1000
	rm -f /tmp/rev.txt
1001
cat << EOF >> /var/lib/named/etc/named.conf
1002
zone "$reverse_addr" IN {
1003
	type master;
1004
	file "reverse/localdomain.rev";
1005
	allow-update { none; };
1006
};
1007
EOF
1008
	cp -f $DIR_CONF/localdomain.zone /var/lib/named/var/named/master/localdomain.zone
1009
	echo "$HOSTNAME	IN A $PRIVATE_IP" >> /var/lib/named/var/named/master/localdomain.zone
1010
	echo "alcasar	IN CNAME $HOSTNAME" >> /var/lib/named/var/named/master/localdomain.zone
1011
	cp -f $DIR_CONF/localdomain.rev /var/lib/named/var/named/reverse/localdomain.rev
1012
	echo "1 	IN PTR alcasar." >> /var/lib/named/var/named/reverse/localdomain.rev
1 root 1013
# fichier de blacklistage de named dans  ... a venir
1014
}
1015
 
1016
##########################################################
1017
##		Fonction cron				##
1018
## - Mise en place des différents fichiers de cron	##
1019
##########################################################
1020
cron ()
1021
{
1022
# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
1023
	[ -e /etc/crontab.default ] || cp /etc/crontab /etc/crontab.default
1024
	cat <<EOF > /etc/crontab
1025
SHELL=/bin/bash
1026
PATH=/sbin:/bin:/usr/sbin:/usr/bin
1027
MAILTO=root
1028
HOME=/
1029
 
1030
# run-parts
1031
01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
1032
02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
1033
22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
1034
42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
1035
EOF
1036
	[ -e /etc/anacrontab.default ] || cp /etc/anacrontab /etc/anacrontab.default
1037
	cat <<EOF >> /etc/anacrontab
1038
7       10      cron.logExport          nice /etc/cron.d/export_log
1039
7       15      cron.logClean           nice /etc/cron.d/clean_log
1040
EOF
1041
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1042
	cat <<EOF > /etc/cron.d/clean_log
1043
30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
1044
EOF
1045
# export de la base des usagers (tous les lundi à 4h45)
1046
	cat <<EOF > /etc/cron.d/mysql
1047
45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh -dump
1048
EOF
1049
# export des log squid, firewall et apache (tous les lundi à 5h00)
1050
	cat <<EOF > /etc/cron.d/export_log
1051
#!/bin/sh
1052
00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
1053
EOF
1054
# mise à jour des stats de consultation WEB toutes les 30'  ## existe en double pour le daily sans l'@IP
1055
# sans mèl ( > /dev/null 2>&1)
1056
	cat << EOF > /etc/cron.d/awstats
1057
*/30 * * * * root /var/www/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1058
EOF
1059
# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
1060
# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
1061
# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct') 
1062
# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
1063
# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
1064
# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
1065
	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
1066
	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
1067
	rm -f /etc/cron.daily/freeradius-web
1068
	rm -f /etc/cron.monthly/freeradius-web
1069
	cat << EOF > /etc/cron.d/freeradius-web
1070
1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
1071
5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
1072
10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
1073
15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
1074
EOF
1075
# réécriture du fichier cron de coova-chilli pour être cohérent avec l'architecture Alcasar (/etc/crond au lieu de /var/spool/cron/root).
1076
# sans mèl ( > /dev/null 2>&1)
1077
	rm -f /var/spool/cron/root
1078
	cat << EOF > /etc/cron.d/coova
1079
*/60 * * * * root /etc/init.d/chilli radconfig > /dev/null 2>&1
1080
*/10 * * * * root /etc/init.d/chilli checkrunning > /dev/null 2>&1
1081
EOF
1082
# activation du "chien de garde" (watchdog) toutes les 3' afin de déconnecter les usagers authentifiés dont la station est usurpée ou ne répond plus
1083
	cat << EOF > /etc/cron.d/watchdog
1084
*/3 * * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
1085
EOF
1086
} # End cron
1087
 
1088
##################################################################
1089
##			Fonction post_install			##
1090
## - Modification des bannières (locales et ssh) et des prompts ##
1091
## - Installation de la structure de chiffrement pour root	##
1092
## - Mise en place du sudoers et de la sécurité sur les fichiers##
1093
## - Mise en place du la rotation des logs			##
5 franck 1094
## - Configuration dans le cas d'une mise à jour		##
1 root 1095
##################################################################
1096
post_install()
1097
{
1098
# adaptation du script "chien de garde" (watchdog)
1099
	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1100
# création de la bannière locale
1101
	[ -e /etc/mandriva-release.default ]  || cp /etc/mandriva-release /etc/mandriva-release.default
1102
cat <<EOF > /etc/mandriva-release
1103
 Bienvenue sur $HOSTNAME
1104
 
1105
EOF
1106
# création de la bannière SSH
1107
	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
5 franck 1108
	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1 root 1109
	[ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
1110
	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1111
	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1112
# sshd écoute côté LAN
1113
	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
1114
# sshd n'est pas lancé automatiquement au démarrage
1115
	/sbin/chkconfig --del sshd
1116
# Coloration des prompts
1117
	[ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default
5 franck 1118
	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
1 root 1119
# Droits d'exécution pour utilisateur apache et sysadmin
1120
	[ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default
5 franck 1121
	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
1 root 1122
	$SED "s?^Host_Alias.*?Host_Alias	LAN_ORG=$PRIVATE_NETWORK_MASK,localhost		#réseau de l'organisme?g" /etc/sudoers
1123
# prise en compte de la rotation des logs sur 1 an (concerne mysql, htttpd, dansguardian, squid, radiusd, ulogd)
1124
	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
1125
	chmod 644 /etc/logrotate.d/*
1126
# processus lancés par défaut au démarrage
5 franck 1127
	for i in netfs ntpd iptables ulogd squid chilli httpd radiusd mysqld dansguardian named
1 root 1128
	do
1129
		/sbin/chkconfig --add $i
1130
	done
1131
# On mets en place la sécurité sur les fichiers
1132
# des modif par rapport à radius update
1133
	cat <<EOF > /etc/security/msec/perm.local
1134
/var/log/firewall/			root.apache	750
1135
/var/log/firewall/*			root.apache	640
1136
/etc/security/msec/perm.local		root.root	640
1137
/etc/security/msec/level.local		root.root	640
1138
/etc/freeradius-web			root.apache	750
1139
/etc/freeradius-web/admin.conf		root.apache	640
1140
/etc/freeradius-web/config.php		root.apache	640
1141
/etc/raddb/dictionnary			root.radius	640
1142
/etc/raddb/ldap.attrmap			root.radius	640
1143
/etc/raddb/hints			root.radius	640
1144
/etc/raddb/huntgroups			root.radius	640
1145
/etc/raddb/attrs.access_reject		root.radius	640
1146
/etc/raddb/attrs.accounting_response	root.radius	640
1147
/etc/raddb/acct_users			root.radius	640
1148
/etc/raddb/preproxy_users		root.radius	640
1149
/etc/raddb/modules/ldap			radius.apache	660
1150
/etc/raddb/sites-available/alcasar	radius.apache	660
1151
/etc/pki/*				root.apache	750
1152
EOF
1153
	/usr/sbin/msec
59 richard 1154
# modification /etc/inittab
1155
	[ -e /etc/inittab.default ] || cp /etc/inittab /etc/inittab.default
60 richard 1156
# On ne garde que 3 terminaux
59 richard 1157
	$SED "s?^4.*?#&?g" /etc/inittab
1158
	$SED "s?^5.*?#&?g" /etc/inittab
1159
	$SED "s?^6.*?#&?g" /etc/inittab
1160
# on charge la conf d'un version précédente
5 franck 1161
if [ "$mode" = "update" ]
1162
then
1163
	$DIR_DEST_BIN/alcasar-conf.sh -load
1164
fi
1 root 1165
	cd $DIR_INSTALL
5 franck 1166
	echo ""
1 root 1167
	echo "#############################################################################"
1168
	echo "#                        Fin d'installation d'ALCASAR                       #"
1169
	echo "#                                                                           #"
1170
	echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1171
	echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1172
	echo "#                                                                           #"
1173
	echo "#############################################################################"
1174
	echo
1175
	echo "- ALCASAR sera fonctionnel après redémarrage du système"
1176
	echo
1177
	echo "- Lisez attentivement la documentation d'exploitation"
1178
	echo
1179
	echo "- L'interface de gestion est consultable à partir de n'importe quel poste"
1180
	echo "	situé sur le réseau de consultation à l'URL https://$PRIVATE_IP "
1181
	echo
1182
	echo "                   Appuyez sur 'Entrée' pour continuer"
1183
	read a
1184
	clear
1185
	reboot
1186
} # End post_install ()
1187
 
1188
#################################
1189
#  Boucle principale du script  #
1190
#################################
5 franck 1191
usage="Usage: alcasar.sh -install | -uninstall"
1 root 1192
nb_args=$#
1193
args=$1
1194
if [ $nb_args -eq 0 ]
1195
then
1196
	nb_args=1
1197
	args="-h"
1198
fi
1199
case $args in
1200
	-\? | -h* | --h*)
1201
		echo "$usage"
1202
		exit 0
1203
		;;
29 richard 1204
	-install)
5 franck 1205
		header_install
29 richard 1206
		testing
5 franck 1207
# On teste la présence d'une version déjà installée
29 richard 1208
		header_install
5 franck 1209
		if [ -e $DIR_WEB/VERSION ]
1 root 1210
		then
5 franck 1211
			echo -n "La version "; echo -n `cat $DIR_WEB/VERSION`; echo " d'ALCASAR est déjà installée";
1212
			response=0
1213
			PTN='^[oOnN]$'
1214
			until [[ $(expr $response : $PTN) -gt 0 ]]
1215
			do
1216
				echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
1217
				read response
1218
			done
1219
			if [ "$response" = "o" ] || [ "$response" = "O" ]
1220
			then
1221
# On crée le fichier de conf de la version actuelle
1222
				chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
1223
				$DIR_SCRIPTS/alcasar-conf.sh -create
1224
			fi
1225
# On désinstalle la version actuelle
65 richard 1226
		$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1 root 1227
		fi
29 richard 1228
# On teste la version du système
1229
		fic=`cat /etc/product.id`
1230
		old="$IFS"
1231
		IFS=","
1232
		set $fic
1233
		for i in $*
1234
		do
1235
			if [ "`echo $i|grep version|cut -d'=' -f1`" == "version" ]
1236
			then 
1237
				version=`echo $i|cut -d"=" -f2`
1238
			fi
1239
		done
1240
		IFS="$old"
1241
		if [ ! "$version" = "$MDV_NEEDED" ]
1242
		then
1243
			echo "Vous devez installer une des versions suivantes de Linux Mandriva ($MDV_NEEDED)"
1244
			echo "'/tmp'alcasar-conf.tar.gz' est le fichier de configuration de la version actuelle d'ALCASAR. Récupérez ce fichier et recopiez-le dans le répertoire '/tmp' après installation du nouveau système"
1245
			exit 0
1246
		fi
5 franck 1247
		if [ -e /tmp/alcasar-conf.tar.gz ]
1 root 1248
		then
14 richard 1249
		echo "#### Installation avec mise à jour ####"
5 franck 1250
# On récupère le nom d'organisme à partir de fichier de conf
1251
			tar -xvf /tmp/alcasar-conf.tar.gz conf/hostname 
1252
			ORGANISME=`cat $DIR_CONF/hostname|cut -b 9-`
1253
			hostname `cat $DIR_CONF/hostname`
1254
			mode="update"
1255
		else
1256
			mode="install"
1 root 1257
		fi
14 richard 1258
		for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian firewall param_awstats param_bind cron post_install
5 franck 1259
		do
1260
			$func
1261
# echo "*** 'debug' : end of function $func ***"; read a
14 richard 1262
		done
5 franck 1263
		;;
1264
	-uninstall)
1265
		if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1 root 1266
		then
5 franck 1267
			echo "Aucune version d'ALCASAR n'a été trouvée.";
1 root 1268
			exit 0
1269
		fi
5 franck 1270
		response=0
1271
		PTN='^[oOnN]$'
1272
		until [[ $(expr $response : $PTN) -gt 0 ]]
1273
		do
1274
			echo -n "Voulez-vous créer le fichier de conf de la version actuelle (0/n)? "
1275
			read response
1276
		done
1277
		if [ "$reponse" = "o" ] || [ "$reponse" = "O" ]
1 root 1278
		then
5 franck 1279
			$DIR_SCRIPT/alcasar-conf.sh -create
1 root 1280
		fi
5 franck 1281
# On désinstalle la version actuelle
65 richard 1282
		$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1 root 1283
		;;
1284
	*)
1285
		echo "Argument inconnu :$1";
1286
		echo "$usage"
1287
		exit 1
1288
		;;
1289
esac
10 franck 1290
# end of script