Subversion Repositories ALCASAR

Compare Revisions

No changes between revisions

Ignore whitespace Rev 475 → Rev 476

/alcasar.sh
928,14 → 928,12
fi
groupadd -f havp
useradd -g havp havp
# création de la partition de stockage temporaire (100Mo)
dd if=/dev/zero of=/tmp/havp-disk bs=1024k count=30
mkfs.ext4 -qF /tmp/havp-disk
# création de la zone de travail temporaire (50Mo) en mémoire
mkdir -p /var/tmp/havp /var/log/havp
chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
echo "# Entry for havp tmp files scan partition" >> /etc/fstab
echo "/tmp/havp-disk /var/tmp/havp ext4 loop,mand,noatime,async" >> /etc/fstab
echo "tmpfs /var/tmp/havp tmpfs mand,noatime,size=50m,nosuid,noexec 0 0" >> /etc/fstab
$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
mkdir -p /var/tmp/havp /var/log/havp
chown -R havp /var/log/havp /var/run/havp
# configuration d'HAVP
[ -e /etc/havp/havp.config.default ] || cp /etc/havp/havp.config /etc/havp/havp.config.default
$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
962,7 → 960,6
## Fonction firewall ##
## - adaptation des scripts du parefeu ##
## - mise en place des règles et sauvegarde pour un lancement automatique ##
## - configuration Ulogd ##
##################################################################################
firewall ()
{
971,12 → 968,6
$SED "s?^PRIVATE_NETWORK_MASK=.*?PRIVATE_NETWORK_MASK=\"$PRIVATE_NETWORK_MASK\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
[ -d /var/log/firewall ] || mkdir -p /var/log/firewall
[ -e /var/log/firewall/firewall.log ] || touch /var/log/firewall/firewall.log
chown -R root:apache /var/log/firewall
chmod 750 /var/log/firewall
chmod 640 /var/log/firewall/firewall.log
$SED "s?^file=\"/var/log/ulogd.syslogemu\"?file=\"/var/log/firewall/firewall.log\"?g" /etc/ulogd.conf
# création du fichier d'exception au filtrage
touch /usr/local/etc/alcasar-filter-exceptions
sh $DIR_DEST_BIN/alcasar-iptables.sh
983,6 → 974,44
} # End of firewall ()
 
##################################################################################
## param_ulogd function ##
## - Ulog config for multi-log files ##
##################################################################################
param_ulogd ()
{
# Three instances of ulogd (three different logfiles)
[ -d /var/log/firewall ] || mkdir -p /var/log/firewall
[ -e /var/log/firewall/tracability.log ] || touch /var/log/firewall/tracability.log
[ -e /var/log/firewall/ssh.log ] || touch /var/log/firewall/ssh.log
[ -e /var/log/firewall/ext-access.log ] || touch /var/log/firewall/ext-access.log
chown -R root:apache /var/log/firewall
chmod 750 /var/log/firewall
chmod 640 /var/log/firewall/*
cat <<EOF > /etc/ulogd-tracability.conf
# ulogd configuration for ALCASAR
[global]
nlgroup=1
logfile="/var/log/ulogd.log"
loglevel=5
rmem=131071
bufsize=150000
plugin="/usr/lib/ulogd/ulogd_BASE.so"
plugin="/usr/lib/ulogd/ulogd_LOGEMU.so"
[LOGEMU]
file="/var/log/firewall/tracability.log"
sync=1
EOF
cp -f /etc/ulogd-tracability.conf /etc/ulogd-ssh.conf
$SED "s?^nlgroup=.*?nlgroup=2?g" /etc/ulogd-ssh.conf
$SED "s?^file=\"/var/log/firewall/.*?file=\"/var/log/firewall/ssh.log\"?g" /etc/ulogd-ssh.conf
cp -f /etc/ulogd-tracability.conf /etc/ulogd-ext-access.conf
$SED "s?^nlgroup=.*?nlgroup=3?g" /etc/ulogd-ext-access.conf
$SED "s?^file=\"/var/log/firewall/.*?file=\"/var/log/firewall/ext-access.log\"?g" /etc/ulogd-ext-access.conf
[ -e /etc/init.d/ulogd.default ] || cp /etc/init.d/ulogd /etc/init.d/ulogd.default
cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
} # End of param_ulogd ()
 
##################################################################################
## Fonction param_awstats ##
## - configuration de l'interface des logs de consultation WEB (AWSTAT) ##
##################################################################################
1355,7 → 1384,7
else
mode="install"
fi
for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus firewall param_awstats param_dnsmasq BL cron post_install
for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus firewall param_ulogd param_awstats param_dnsmasq BL cron post_install
 
do
$func
/conf/logrotate.d/ulogd
1,4 → 1,4
/var/log/firewall/firewall.log {
/var/log/firewall/tracability.log {
missingok
rotate 52
weekly
8,3 → 8,23
/etc/init.d/ulogd restart
endscript
}
/var/log/firewall/ssh.log {
missingok
rotate 52
weekly
dateext
sharedscripts
postrotate
/etc/init.d/ulogd restart
endscript
}
/var/log/firewall/ext-access.log {
missingok
rotate 52
weekly
dateext
sharedscripts
postrotate
/etc/init.d/ulogd restart
endscript
}
/conf/ulogd-init
0,0 → 1,64
#!/bin/sh
#
# chkconfig: 345 81 19
# description: ulogd is the userspace logging daemon for netfilter/iptables
#
 
 
. /etc/rc.d/init.d/functions
 
 
function start()
{
printf "Starting %s: " "ulogd"
for i in `ls /etc/ulogd-*`
do
daemon /usr/sbin/ulogd -d -c $i
done
echo
touch /var/lock/subsys/ulogd
}
 
 
function stop()
{
printf "Stopping %s: " "ulogd"
killproc ulogd
echo
rm -f /var/lock/subsys/ulogd
}
 
 
function reload()
{
pid=`pidof ulogd`
if [ "x$pid" != "x" ]; then
kill -HUP $pid 2>/dev/null
fi
touch /var/lock/subsys/ulogd
}
 
 
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
reload)
reload
;;
status)
status ulogd
;;
*)
printf "Usage: %s {start|stop|status|restart|reload}\n" "ulogd"
exit 1
esac
 
exit 0
Property changes:
Added: svn:executable
+*
\ No newline at end of property
/CHANGELOG
2,7 → 2,11
 
************ CHANGELOG ***********
---- 2.1a ----
-
- installation à partir d'un mandriva 2010.2
- travail d'HAVP en mémoire plutôt que sur le disque
- distinction des fichiers de log (traçabilité - ssh - accès exterieur)
- sécurisation de la base "digest"
- amélioration du processus de mise à jour
---- 2.0.1 ----
- simplification du processus de mise à jour (prise en compte mdv 2010.2)
- déplacement du répertoire 'digest' vers /usr/local/etc/
/scripts/alcasar-iptables.sh
2,14 → 2,7
# $Id$
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
# Rexy - 3abtux - CPN
# version 2.0 (10/2010)
# changelog :
# + déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh
# + prise en compte d'un fichier firewall 'local' dans /usr/local/sbin/alcasar-iptables-local.sh
# + prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)
# + suppression log vers syslog
# + suppression des broadcast sur EXTIF et INTIF
# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"
# there are three channels for log : 1 (default) for tracability, 2 for secure admin (ssh), 3 for exterior access attempts,
 
IPTABLES="/sbin/iptables"
FILTERING="yes"
19,7 → 12,7
PRIVATE_NETWORK_MASK="192.168.182.0/24"
PRIVATE_IP="192.168.182.1"
 
# On vide (flush) toutes les règles existantes
# Flush all existing rules
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
27,7 → 20,7
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
 
# On indique les politiques par défaut
# Default policies
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
35,19 → 28,19
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
 
# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat
# Flush non default rules on filter and nat tables
$IPTABLES -X
$IPTABLES -t nat -X
 
# On autorise tout sur loopback
# accept all on loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
 
#############################
# INTIF rules #
#############################
# on autorise les requêtes dhcp
# accept dhcp
$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
# On ferme INTIF (tout passe par TUNIF)
# INTIF is closed (all by TUNIF)
$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "
$IPTABLES -A INPUT -i $INTIF -j REJECT
 
54,37 → 47,39
#############################
# Local protection rules #
#############################
# On drop les scans XMAS et NULL
# Drop XMAS & NULLscans
$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# On drop le broadcast et le multicast sur les interfaces
# Drop broadcast & multicast
$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
# Règles d'antispoofing (avec log)
# Antispoofing rules with log
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP
# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN
# Allow ping (icmp N°0 & 8) from LAN
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
 
# On ajoute ici les règles locales (ssh via Internet par ex.)
# Here, we add local rules (i.e. ssh from Internet)
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
. /usr/local/etc/alcasar-iptables-local.sh
fi
 
# On interdit le DNS en FORWARD (bloque les changements de serveurs DNS une fois authentifié ...)
# Deny forward DNS (even for authenticated users ...)
$IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset
 
# On autorise en FORWARD les connexions déjà établies
# Conntrack on forward
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Si filtrage de protocoles réseau
#####################################
# If protocols filter is activate #
#####################################
if [ $FILTERING = "yes" ]; then
# On traite les IP en exception
# Compute exception IP
nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions | cut -d" " -f1`
if [ $nb_exceptions != "0" ]
then
95,7 → 90,7
$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ACCEPT
done < /usr/local/etc/alcasar-filter-exceptions
fi
# On autorise les protoles non commentés
# Allow non comment protocols
while read svc_line
do
svc_on=`echo $svc_line|cut -b1`
112,58 → 107,61
fi
fi
done < /usr/local/etc/alcasar-services
#tout le reste est bloqué
# reject the others
$IPTABLES -A FORWARD -i $TUNIF -p tcp -j ULOG --ulog-prefix "RULE F_filter -- REJECT "
$IPTABLES -A FORWARD -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT
fi
# On autorise les demandes de connexions sortantes (avec log)
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "
# Allow forward connections with log
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE F_all -- ACCEPT "
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT
 
# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT
####################################################################################
# Imput from local network (dns, ntp, https, http, ssh and 3990 (user disconnect) #
####################################################################################
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport https -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport http -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-nlgroup 2 --ulog-prefix "RULE ssh-from-LAN -- ACCEPT"
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport 3990 -j ACCEPT
 
# On autorise le retour des connexions entrantes déjà acceptées
# Conntrack on INPUT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# On interdit les connexions directes sur le port de DansGuardian (8080)
# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)
# Deny direct connections on DansGuardian port (8080)
# The concerned paquets are marked by a pre-routing rule (see further)
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP
# On autorise les connexions sur DansGuardian
# Allow connections for DansGuardian
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
 
# On log les requêtes HTTP sortantes (demande de connexion seulement)
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "
# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")
# Log HTTP requests (only syn)
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE F_http -- ACCEPT "
# Redirect HTTP request in DansGuardian (transparent proxy)
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080
# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)
# Mark the dansguardian bypass attempts
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
 
# On interdit et on log le reste sur l'interface interne
$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
# Deny and log on INPUT from the LAN
$IPTABLES -A INPUT -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
$IPTABLES -A INPUT -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
# Pour EXTIF, étudier l'utilité de logger dans un autre fichier (avec l'option --limit pour éviter les denis de service)
# $IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "
# On drop le reste sur l'interface externe
# On EXTIF, the access attempts are log in channel 2 (we should test --limit option to avoid deny of service)
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -j ULOG --ulog-nlgroup 3 --ulog-qthreshold 10 --ulog-prefix "RULE rej-ext -- DROP"
# Drop on EXTIF
$IPTABLES -A INPUT -i $EXTIF -j DROP
 
# On active le masquage d'adresse par translation (NAT)
# Dynamic NAT on EXTIF
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE
 
# On sauvegarde les règles
# Save all rules
/etc/init.d/iptables save
 
# On ne log pas les Log_martians (pour la mdv 2009 seulement)
# no martians log (for mdv2009 only)
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
 
# Fin du script des règles du parefeu
# End of script
 
/scripts/alcasar-urpmi.sh
7,7 → 7,7
# + vérifie que la version actuelle du système est compatible
# + remplace les médias puis met à jour
 
VERSION="2010.1"
VERSION="2010.2"
ARCH="i586"
# extract the current Mandriva version and hardware architecture (i586 ou X64)
fic=`cat /etc/product.id`
/scripts/etc/alcasar-iptables-local.sh
14,7 → 14,7
#$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
 
# Règles permettant d'autoriser l'administration à distance ( modifier également /etc/ssh/sshd_config et /etc/hosts.allow )
#$IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -s $Admin_from_IP -m state --state NEW --syn -j ULOG --ulog-prefix "RULE AdminSSH-ACCEPT"
#$IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -s $Admin_from_IP -m state --state NEW --syn -j ULOG --ulog-nlgroup 2 --ulog-prefix "RULE ssh-from-WAN -- ACCEPT"
#$IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -s $Admin_from_IP -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
/scripts/sbin/alcasar-uninstall.sh
103,20 → 103,13
sleep 1
 
#antivirus
echo -en "\n- antivirus(5) : "
echo -en "\n- antivirus(3) : "
if [ -e /etc/init.d/havp ]
then
if [ `mount|grep 'havp-disk'|wc -l` -eq "1" ]
then
umount /var/tmp/havp && echo -n "1, "
sleep 1
fi
rm -rf /var/tmp/havp && echo -n "2, "
rm -f /tmp/havp-disk && echo -n "3, "
$SED "/^# Entry for havp/d" /etc/fstab
$SED "/^\/tmp\/havp-disk/d" /etc/fstab && echo -n "4, "
[ -e /etc/havp/havp.config.default ] && mv /etc/havp/havp.config.default /etc/havp/havp.config && echo -n "5"
userdel -r havp
$SED "/^\/tmp\/havp-disk/d" /etc/fstab && echo -n "1, "
[ -e /etc/havp/havp.config.default ] && mv /etc/havp/havp.config.default /etc/havp/havp.config && echo -n "2, "
userdel -r havp && echo -n "3"
else echo -n "non installé"
fi
sleep 1
125,6 → 118,16
[ -e /etc/sysconfig/iptables ] && rm -f /etc/sysconfig/iptables && echo -n "1"
sleep 1
 
#param_ulogd
echo -en "\n- ulogd(2) : "
if [ -e /etc/init.d/ulogd.default ]
then
mv -f /etc/init.d/ulogd.default /etc/init.d/ulogd && echo -n "1, "
rm -f /etc/ulogd-* && echo -n "2"
else echo -n "sans modification"
fi
sleep 1
 
#awstats
echo -en "\n- awstats(1) : "
[ -e /etc/awstats/awstats.conf.default ] && mv /etc/awstats/awstats.conf.default /etc/awstats/awstats.conf && echo -n "1"