Subversion Repositories ALCASAR

Rev

Rev 568 | Rev 582 | Go to most recent revision | Only display areas with differences | Ignore whitespace | Details | Blame | Last modification | View Log

Rev 568 Rev 580
1
#!/bin/sh
1
#!/bin/sh
2
#  $Id: alcasar.sh 568 2011-04-10 21:11:27Z richard $ 
2
#  $Id: alcasar.sh 580 2011-04-21 16:39:56Z richard $ 
3
 
3
 
4
# alcasar.sh
4
# alcasar.sh
5
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
5
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
6
# This script is distributed under the Gnu General Public License (GPL)
6
# This script is distributed under the Gnu General Public License (GPL)
7
 
7
 
8
# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
8
# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
9
# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
9
# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
10
 
10
 
11
# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
11
# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
12
# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
12
# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
13
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, dialupadmin, awstat, ntpd, openssl, dnsmasq, havp, libclamav  and firewalleyes
13
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, dialupadmin, awstat, ntpd, openssl, dnsmasq, havp, libclamav  and firewalleyes
14
 
14
 
15
# Options :
15
# Options :
16
#       -i or --install
16
#       -i or --install
17
#       -u or --uninstall
17
#       -u or --uninstall
18
 
18
 
19
# Functions :
19
# Functions :
20
#	testing		: Tests de connectivité et de téléchargement avant installation
20
#	testing		: Tests de connectivité et de téléchargement avant installation
21
#	init		: Installation des RPM et des scripts
21
#	init		: Installation des RPM et des scripts
22
#	network		: Paramètrage du réseau
22
#	network		: Paramètrage du réseau
23
#	gestion		: Installation de l'interface de gestion
23
#	gestion		: Installation de l'interface de gestion
24
#	AC		: Initialisation de l'autorité de certification. Création des certificats
24
#	AC		: Initialisation de l'autorité de certification. Création des certificats
25
#	init_db		: Création de la base 'radius' sur le serveur MySql
25
#	init_db		: Création de la base 'radius' sur le serveur MySql
26
#	param_radius	: Configuration du serveur d'authentification FreeRadius
26
#	param_radius	: Configuration du serveur d'authentification FreeRadius
27
#	param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
27
#	param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
28
#	param_chilli	: Configuration du daemon 'coova-chilli' et de la page d'authentification
28
#	param_chilli	: Configuration du daemon 'coova-chilli' et de la page d'authentification
29
#	param_squid	: Configuration du proxy squid en mode 'cache'
29
#	param_squid	: Configuration du proxy squid en mode 'cache'
30
#	param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
30
#	param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
31
#	antivirus	: Installation havp + libclamav
31
#	antivirus	: Installation havp + libclamav
32
#	firewall	: Mise en place des règles du parefeu et de l'interface WEB FirewallEyes
32
#	firewall	: Mise en place des règles du parefeu et de l'interface WEB FirewallEyes
33
#	param_awstats	: Configuration de l'interface des statistiques de consultation WEB
33
#	param_awstats	: Configuration de l'interface des statistiques de consultation WEB
34
#	dnsmasq		: Configuration du serveur de noms et du serveur dhcp de secours
34
#	dnsmasq		: Configuration du serveur de noms et du serveur dhcp de secours
35
#	BL		: Configuration de la BlackList
35
#	BL		: Configuration de la BlackList
36
#	cron		: Mise en place des exports de logs (+ chiffrement)
36
#	cron		: Mise en place des exports de logs (+ chiffrement)
37
#	post_install	: Finalisation environnement ( sécurité, bannières, rotation logs, ...)
37
#	post_install	: Finalisation environnement ( sécurité, bannières, rotation logs, ...)
38
 
38
 
39
VERSION=`cat VERSION`
39
VERSION=`cat VERSION`
40
DATE=`date '+%d %B %Y - %Hh%M'`
40
DATE=`date '+%d %B %Y - %Hh%M'`
41
DATE_SHORT=`date '+%d/%m/%Y'`
41
DATE_SHORT=`date '+%d/%m/%Y'`
42
# ******* Files parameters - paramètres fichiers *********
42
# ******* Files parameters - paramètres fichiers *********
43
DIR_INSTALL=`pwd`				# répertoire d'installation
43
DIR_INSTALL=`pwd`				# répertoire d'installation
44
DIR_CONF="$DIR_INSTALL/conf"			# répertoire d'installation contenant les fichiers de configuration
44
DIR_CONF="$DIR_INSTALL/conf"			# répertoire d'installation contenant les fichiers de configuration
45
DIR_SCRIPTS="$DIR_INSTALL/scripts"		# répertoire d'installation contenant les scripts
45
DIR_SCRIPTS="$DIR_INSTALL/scripts"		# répertoire d'installation contenant les scripts
46
DIR_SAVE="/var/Save"				# répertoire de sauvegarde (ISO, backup, etc.)
46
DIR_SAVE="/var/Save"				# répertoire de sauvegarde (ISO, backup, etc.)
47
DIR_WEB="/var/www/html"				# répertoire racine APACHE
47
DIR_WEB="/var/www/html"				# répertoire racine APACHE
48
DIR_ACC="$DIR_WEB/acc"				# répertoire du centre de gestion 'ALCASAR Control Center'
48
DIR_ACC="$DIR_WEB/acc"				# répertoire du centre de gestion 'ALCASAR Control Center'
49
DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts
49
DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts
50
DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin
50
DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin
51
DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf
51
DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf
52
FIC_PARAM="/root/ALCASAR-parameters.txt"	# fichier texte résumant les paramètres d'installation
52
FIC_PARAM="/root/ALCASAR-parameters.txt"	# fichier texte résumant les paramètres d'installation
53
FIC_PASSWD="/root/ALCASAR-passwords.txt"	# fichier texte contenant les mots de passe et secrets partagés 
53
FIC_PASSWD="/root/ALCASAR-passwords.txt"	# fichier texte contenant les mots de passe et secrets partagés 
54
# ******* DBMS parameters - paramètres SGBD ********
54
# ******* DBMS parameters - paramètres SGBD ********
55
DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius
55
DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius
56
DB_USER="radius"				# nom de l'utilisateur de la base de données
56
DB_USER="radius"				# nom de l'utilisateur de la base de données
57
# ******* Network parameters - paramètres réseau *******
57
# ******* Network parameters - paramètres réseau *******
58
HOSTNAME="alcasar"				# 
58
HOSTNAME="alcasar"				# 
59
DOMAIN="localdomain"				# domaine local
59
DOMAIN="localdomain"				# domaine local
60
EXTIF="eth0"					# ETH0 est l'interface connectée à Internet (Box FAI)
60
EXTIF="eth0"					# ETH0 est l'interface connectée à Internet (Box FAI)
61
INTIF="eth1"					# ETH1 est l'interface connectée au réseau local de consultation
61
INTIF="eth1"					# ETH1 est l'interface connectée au réseau local de consultation
62
CUSTOM_PRIVATE_NETWORK_MASK="192.168.182.0/24"	# adresse du réseau de consultation proposée par défaut
62
CUSTOM_PRIVATE_NETWORK_MASK="192.168.182.0/24"	# adresse du réseau de consultation proposée par défaut
63
SQUID_PORT="3128"				# Port d'écoute du proxy Squid
63
SQUID_PORT="3128"				# Port d'écoute du proxy Squid
64
# ****** Paths - chemin des commandes *******
64
# ****** Paths - chemin des commandes *******
65
SED="/bin/sed -i"
65
SED="/bin/sed -i"
66
# ****************** End of global parameters *********************
66
# ****************** End of global parameters *********************
67
 
67
 
68
header_install ()
68
header_install ()
69
{
69
{
70
	clear
70
	clear
71
	echo "-----------------------------------------------------------------------------"
71
	echo "-----------------------------------------------------------------------------"
72
	echo "                     ALCASAR V$VERSION Installation"
72
	echo "                     ALCASAR V$VERSION Installation"
73
	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
73
	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
74
	echo "-----------------------------------------------------------------------------"
74
	echo "-----------------------------------------------------------------------------"
75
} # End of header_install ()
75
} # End of header_install ()
76
 
76
 
77
##################################################################
77
##################################################################
78
##			Fonction TESTING			##
78
##			Fonction TESTING			##
79
## - Test de la connectivité Internet				##
79
## - Test de la connectivité Internet				##
80
##################################################################
80
##################################################################
81
testing ()
81
testing ()
82
{
82
{
83
	echo "Tests des paramètres réseau."
83
	echo "Tests des paramètres réseau."
84
	echo -n "Network parameters tests : "
84
	echo -n "Network parameters tests : "
85
# We test the Ethernet links state
85
# We test the Ethernet links state
86
	for i in $EXTIF $INTIF
86
	for i in $EXTIF $INTIF
87
	do
87
	do
88
		/sbin/ip link set $i up
88
		/sbin/ip link set $i up
89
		sleep 3
89
		sleep 3
90
		if [ "`/usr/sbin/ethtool $i|grep Link|cut -d' ' -f3`" != "yes" ]
90
		if [ "`/usr/sbin/ethtool $i|grep Link|cut -d' ' -f3`" != "yes" ]
91
			then
91
			then
92
			echo "Échec"
92
			echo "Échec"
93
			echo "Le lien réseau de la carte $i n'est pas actif."
93
			echo "Le lien réseau de la carte $i n'est pas actif."
94
			echo "Réglez ce problème puis relancez ce script."
94
			echo "Réglez ce problème puis relancez ce script."
95
			echo "Failed"
95
			echo "Failed"
96
			echo "The link state of $i interface id down."
96
			echo "The link state of $i interface id down."
97
			echo "Resolv this problem, then restart this script."
97
			echo "Resolv this problem, then restart this script."
98
			exit 0
98
			exit 0
99
		fi
99
		fi
100
	echo -n "."
100
	echo -n "."
101
	done
101
	done
102
# On teste la présence d'un routeur par défaut (Box FAI)
102
# On teste la présence d'un routeur par défaut (Box FAI)
103
	if [ `/sbin/route -n|grep -c ^0.0.0.0` -ne "1" ] ; then
103
	if [ `/sbin/route -n|grep -c ^0.0.0.0` -ne "1" ] ; then
104
		echo "Échec"
104
		echo "Échec"
105
		echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
105
		echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
106
		echo "Réglez ce problème puis relancez ce script."
106
		echo "Réglez ce problème puis relancez ce script."
107
		echo "Failed"
107
		echo "Failed"
108
		echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
108
		echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
109
		echo "Resolv this problem, then restart this script."
109
		echo "Resolv this problem, then restart this script."
110
		exit 0
110
		exit 0
111
	fi
111
	fi
112
	echo -n "."
112
	echo -n "."
113
# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
113
# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
114
	if [ `/sbin/route -n|grep ^0.0.0.0|grep -c eth1` -eq "1" ] ; then
114
	if [ `/sbin/route -n|grep ^0.0.0.0|grep -c eth1` -eq "1" ] ; then
115
		echo "La configuration des cartes réseau va être corrigée."
115
		echo "La configuration des cartes réseau va être corrigée."
116
		echo "The Ethernet card configuration will be corrected."
116
		echo "The Ethernet card configuration will be corrected."
117
		/etc/init.d/network stop
117
		/etc/init.d/network stop
118
		mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
118
		mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
119
		$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
119
		$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
120
		/etc/init.d/network start
120
		/etc/init.d/network start
121
		echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
121
		echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
122
		sleep 2
122
		sleep 2
123
		echo "Configuration corrigée"
123
		echo "Configuration corrigée"
124
		echo "Configuration updated"
124
		echo "Configuration updated"
125
		sleep 2
125
		sleep 2
126
		echo "Vous pouvez relancer ce script."
126
		echo "Vous pouvez relancer ce script."
127
		echo "You can restart this script."
127
		echo "You can restart this script."
128
		exit 0
128
		exit 0
129
	fi
129
	fi
130
	echo -n "."
130
	echo -n "."
131
# On test le lien vers le routeur par default
131
# On test le lien vers le routeur par default
132
	IP_GW=`ip route list|grep ^default|cut -d" " -f3`
132
	IP_GW=`ip route list|grep ^default|cut -d" " -f3`
133
	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW|grep response|cut -d" " -f2`
133
	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW|grep response|cut -d" " -f2`
134
	if [ $(expr $arp_reply) -eq 0 ]
134
	if [ $(expr $arp_reply) -eq 0 ]
135
	       	then
135
	       	then
136
		echo "Échec"
136
		echo "Échec"
137
		echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
137
		echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
138
		echo "Réglez ce problème puis relancez ce script."
138
		echo "Réglez ce problème puis relancez ce script."
139
		echo "Failed"
139
		echo "Failed"
140
		echo "The Internet gateway doesn't answered"
140
		echo "The Internet gateway doesn't answered"
141
		echo "Resolv this problem, then restart this script."
141
		echo "Resolv this problem, then restart this script."
142
		exit 0
142
		exit 0
143
	fi
143
	fi
144
	echo -n "."
144
	echo -n "."
145
# On teste la connectivité Internet
145
# On teste la connectivité Internet
146
	rm -rf /tmp/con_ok.html
146
	rm -rf /tmp/con_ok.html
147
	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
147
	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
148
	if [ ! -e /tmp/con_ok.html ]
148
	if [ ! -e /tmp/con_ok.html ]
149
	then
149
	then
150
		echo "La tentative de connexion vers Internet a échoué (google.fr)."
150
		echo "La tentative de connexion vers Internet a échoué (google.fr)."
151
		echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
151
		echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
152
		echo "Vérifiez la validité des adresses IP des DNS."
152
		echo "Vérifiez la validité des adresses IP des DNS."
153
		echo "The Internet connection try failed (google.fr)."
153
		echo "The Internet connection try failed (google.fr)."
154
		echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
154
		echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
155
		echo "Verify the DNS IP addresses"
155
		echo "Verify the DNS IP addresses"
156
		exit 0
156
		exit 0
157
	fi
157
	fi
158
	rm -rf /tmp/con_ok.html
158
	rm -rf /tmp/con_ok.html
159
	echo ". : ok"
159
	echo ". : ok"
160
} # end of testing
160
} # end of testing
161
 
161
 
162
##################################################################
162
##################################################################
163
##			Fonction INIT				##
163
##			Fonction INIT				##
164
## - Création du fichier "/root/ALCASAR_parametres.txt"		##
164
## - Création du fichier "/root/ALCASAR_parametres.txt"		##
165
## - Installation et modification des scripts du portail	##
165
## - Installation et modification des scripts du portail	##
166
##################################################################
166
##################################################################
167
init ()
167
init ()
168
{
168
{
169
	if [ "$mode" != "update" ]
169
	if [ "$mode" != "update" ]
170
	then
170
	then
171
# On affecte le nom d'organisme
171
# On affecte le nom d'organisme
172
		ORGANISME=!
172
		ORGANISME=!
173
		PTN='^[a-zA-Z0-9-]*$'
173
		PTN='^[a-zA-Z0-9-]*$'
174
		until [ $(expr $ORGANISME : $PTN) -gt 0 ]
174
		until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
175
                do
175
                do
176
			echo "Entrez le nom de votre organisme : "
176
			echo "Entrez le nom de votre organisme : "
177
			echo -n "Enter the name of your organisation : "
177
			echo -n "Enter the name of your organisation : "
178
			read ORGANISME
178
			read ORGANISME
179
			if [ "$ORGANISME" = "" ]
179
			if [ "$ORGANISME" = "" ]
180
				then
180
				then
181
				ORGANISME=!
181
				ORGANISME=!
182
			fi
182
			fi
183
		done
183
		done
184
	fi
184
	fi
185
# On crée aléatoirement les mots de passe et les secrets partagés
185
# On crée aléatoirement les mots de passe et les secrets partagés
186
	rm -f $FIC_PASSWD
186
	rm -f $FIC_PASSWD
187
	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub
187
	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub
188
	echo -n "mot de passe de protection du menu de démarrage (GRUB) : " > $FIC_PASSWD
188
	echo -n "mot de passe de protection du menu de démarrage (GRUB) : " > $FIC_PASSWD
189
	echo "$grubpwd" >> $FIC_PASSWD
189
	echo "$grubpwd" >> $FIC_PASSWD
190
	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
190
	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
191
	$SED "/^password.*/d" /boot/grub/menu.lst
191
	$SED "/^password.*/d" /boot/grub/menu.lst
192
	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
192
	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
193
	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld
193
	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld
194
	echo -n "compte et mot de passe de l'administrateur Mysqld : " >> $FIC_PASSWD
194
	echo -n "compte et mot de passe de l'administrateur Mysqld : " >> $FIC_PASSWD
195
	echo "root / $mysqlpwd" >> $FIC_PASSWD
195
	echo "root / $mysqlpwd" >> $FIC_PASSWD
196
	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
196
	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
197
	echo -n "compte et mot de passe de l'utilisateur Mysqld : " >> $FIC_PASSWD
197
	echo -n "compte et mot de passe de l'utilisateur Mysqld : " >> $FIC_PASSWD
198
	echo "$DB_USER / $radiuspwd" >> $FIC_PASSWD
198
	echo "$DB_USER / $radiuspwd" >> $FIC_PASSWD
199
	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli
199
	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli
200
	echo -n "secret partagé entre le script 'intercept.php' et coova-chilli : " >> $FIC_PASSWD
200
	echo -n "secret partagé entre le script 'intercept.php' et coova-chilli : " >> $FIC_PASSWD
201
	echo "$secretuam" >> $FIC_PASSWD
201
	echo "$secretuam" >> $FIC_PASSWD
202
	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius
202
	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius
203
	echo -n "secret partagé entre coova-chilli et FreeRadius : " >> $FIC_PASSWD
203
	echo -n "secret partagé entre coova-chilli et FreeRadius : " >> $FIC_PASSWD
204
	echo "$secretradius" >> $FIC_PASSWD
204
	echo "$secretradius" >> $FIC_PASSWD
205
	chmod 640 $FIC_PASSWD
205
	chmod 640 $FIC_PASSWD
206
# On installe les scripts et fichiers de configuration d'ALCASAR 
206
# On installe les scripts et fichiers de configuration d'ALCASAR 
207
#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}
207
#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}
208
	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
208
	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
209
#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
209
#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
210
	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
210
	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
211
#  - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
211
#  - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
212
	cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
212
	cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
213
	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
213
	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
214
	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
214
	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
215
	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
215
	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
216
	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
216
	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
217
# On génère le début du fichier récapitulatif
217
# On génère le début du fichier récapitulatif
218
	cat <<EOF > $FIC_PARAM
218
	cat <<EOF > $FIC_PARAM
219
########################################################
219
########################################################
220
##                                                    ##
220
##                                                    ##
221
##   Fichier récapitulatif des paramètres d'ALCASAR   ##
221
##   Fichier récapitulatif des paramètres d'ALCASAR   ##
222
##                                                    ##
222
##                                                    ##
223
########################################################
223
########################################################
224
 
224
 
225
- Date d'installation : $DATE
225
- Date d'installation : $DATE
226
- Version istallée : $VERSION
226
- Version istallée : $VERSION
227
- Organisme : $ORGANISME
227
- Organisme : $ORGANISME
228
EOF
228
EOF
229
	chmod o-rwx $FIC_PARAM
229
	chmod o-rwx $FIC_PARAM
230
} # End of init ()
230
} # End of init ()
231
 
231
 
232
##################################################################
232
##################################################################
233
##			Fonction network			##
233
##			Fonction network			##
234
## - Définition du plan d'adressage du réseau de consultation	##
234
## - Définition du plan d'adressage du réseau de consultation	##
235
##  (merci à Alexandre Trias pour le calcul de masque et RegEx) ##
235
##  (merci à Alexandre Trias pour le calcul de masque et RegEx) ##
236
## - Nommage DNS du système (portail + nom d'organisme)		##
236
## - Nommage DNS du système (portail + nom d'organisme)		##
237
## - Configuration de l'interface eth1 (réseau de consultation)	##
237
## - Configuration de l'interface eth1 (réseau de consultation)	##
238
## - Modification du fichier /etc/hosts				##
238
## - Modification du fichier /etc/hosts				##
239
## - Configuration du serveur de temps (NTP)			##
239
## - Configuration du serveur de temps (NTP)			##
240
## - Renseignement des fichiers hosts.allow et hosts.deny	##
240
## - Renseignement des fichiers hosts.allow et hosts.deny	##
241
##################################################################
241
##################################################################
242
network ()
242
network ()
243
{
243
{
244
	header_install
244
	header_install
245
	echo "Par défaut, le plan d'adressage du réseau de consultation est : $CUSTOM_PRIVATE_NETWORK_MASK"
245
	echo "Par défaut, le plan d'adressage du réseau de consultation est : $CUSTOM_PRIVATE_NETWORK_MASK"
246
	response=0
246
	response=0
247
	PTN='^[oOnN]$'
247
	PTN='^[oOnN]$'
248
	until [ $(expr $response : $PTN) -gt 0 ]
248
	until [[ $(expr $response : $PTN) -gt 0 ]]
249
		do
249
		do
250
			echo -n "Voulez-vous utiliser ce plan d'adressage (recommandé) (O/n)? : "
250
			echo -n "Voulez-vous utiliser ce plan d'adressage (recommandé) (O/n)? : "
251
			read response
251
			read response
252
		done
252
		done
253
	if [ "$response" = "n" ] || [ "$response" = "N" ]
253
	if [ "$response" = "n" ] || [ "$response" = "N" ]
254
	then
254
	then
255
		CUSTOM_PRIVATE_NETWORK_MASK="0"
255
		CUSTOM_PRIVATE_NETWORK_MASK="0"
256
		PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'
256
		PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'
257
		until [ $(expr $CUSTOM_PRIVATE_NETWORK_MASK : $PTN) -gt 0 ]
257
		until [[ $(expr $CUSTOM_PRIVATE_NETWORK_MASK : $PTN) -gt 0 ]]
258
			do
258
			do
259
				echo -n "Entrez un plan d'adressage au format CIDR (a.b.c.d/xx) : "
259
				echo -n "Entrez un plan d'adressage au format CIDR (a.b.c.d/xx) : "
260
				read CUSTOM_PRIVATE_NETWORK_MASK
260
				read CUSTOM_PRIVATE_NETWORK_MASK
261
 
261
 
262
			done
262
			done
263
	fi
263
	fi
264
# Récupération de la config réseau côté "LAN de consultation"
264
# Récupération de la config réseau côté "LAN de consultation"
265
	hostname $HOSTNAME
265
	hostname $HOSTNAME
266
	echo "- Nom du système : $HOSTNAME" >> $FIC_PARAM
266
	echo "- Nom du système : $HOSTNAME" >> $FIC_PARAM
267
	PRIVATE_NETWORK=`/bin/ipcalc -n $CUSTOM_PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ réseau de consultation (ex.: 192.168.182.0)
267
	PRIVATE_NETWORK=`/bin/ipcalc -n $CUSTOM_PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ réseau de consultation (ex.: 192.168.182.0)
268
	private_prefix=`/bin/ipcalc -p $CUSTOM_PRIVATE_NETWORK_MASK |cut -d"=" -f2`		# prefixe du réseau (ex. 24)
268
	private_prefix=`/bin/ipcalc -p $CUSTOM_PRIVATE_NETWORK_MASK |cut -d"=" -f2`		# prefixe du réseau (ex. 24)
269
	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix					# @ réseau + masque (x.0.0.0/8 ou x.y.0.0/16 ou x.y.z.0/24)
269
	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix					# @ réseau + masque (x.0.0.0/8 ou x.y.0.0/16 ou x.y.z.0/24)
270
	classe=$((private_prefix/8));								# classe de réseau (ex.: 2=classe B, 3=classe C)
270
	classe=$((private_prefix/8));								# classe de réseau (ex.: 2=classe B, 3=classe C)
271
	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.			# @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
271
	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.			# @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
272
	PRIVATE_MASK=`/bin/ipcalc -m $PRIVATE_NETWORK_MASK | cut -d"=" -f2`			# masque réseau de consultation (ex.: 255.255.255.0)
272
	PRIVATE_MASK=`/bin/ipcalc -m $PRIVATE_NETWORK_MASK | cut -d"=" -f2`			# masque réseau de consultation (ex.: 255.255.255.0)
273
	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ broadcast réseau de consultation (ex.: 192.168.182.255)
273
	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# @ broadcast réseau de consultation (ex.: 192.168.182.255)
274
	TMP_MASK=`echo $PRIVATE_NETWORK_MASK|cut -d"/" -f2`; HALF_MASK=`expr $TMP_MASK + 1`	# masque du 1/2 réseau de consultation (ex.: 25)
274
	TMP_MASK=`echo $PRIVATE_NETWORK_MASK|cut -d"/" -f2`; HALF_MASK=`expr $TMP_MASK + 1`	# masque du 1/2 réseau de consultation (ex.: 25)
275
	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$HALF_MASK						# plage des adresses statiques (ex.: 192.168.182.0/25)
275
	PRIVATE_STAT_IP=$PRIVATE_NETWORK/$HALF_MASK						# plage des adresses statiques (ex.: 192.168.182.0/25)
276
	PRIVATE_STAT_MASK=`/bin/ipcalc -m $PRIVATE_STAT_IP/$HALF_MASK | cut -d"=" -f2`		# masque des adresses statiques (ex.: 255.255.255.128)
276
	PRIVATE_STAT_MASK=`/bin/ipcalc -m $PRIVATE_STAT_IP/$HALF_MASK | cut -d"=" -f2`		# masque des adresses statiques (ex.: 255.255.255.128)
277
	classe_sup=`expr $classe + 1`
277
	classe_sup=`expr $classe + 1`
278
	classe_sup_sup=`expr $classe + 2`
278
	classe_sup_sup=`expr $classe + 2`
279
	private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`
279
	private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`
280
	private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`
280
	private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`
281
	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
281
	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`
282
	private_half_plage=`expr $private_plage / 2`
282
	private_half_plage=`expr $private_plage / 2`
283
	private_dyn=`expr $private_half_plage + $private_network_ending`
283
	private_dyn=`expr $private_half_plage + $private_network_ending`
284
	private_dyn_ip_network=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup_sup-5`
284
	private_dyn_ip_network=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup_sup-5`
285
	PRIVATE_DYN_IP=`echo $private_dyn_ip_network | cut -d"." -f1-4`/$HALF_MASK		# plage des adresses dynamiques (ex.: 192.168.182.128/25)
285
	PRIVATE_DYN_IP=`echo $private_dyn_ip_network | cut -d"." -f1-4`/$HALF_MASK		# plage des adresses dynamiques (ex.: 192.168.182.128/25)
286
	PRIVATE_DYN_MASK=`/bin/ipcalc -m $PRIVATE_DYN_IP/$HALF_MASK | cut -d"=" -f2`		# masque des adresses dynamiques (ex.: 255.255.255.128)
286
	PRIVATE_DYN_MASK=`/bin/ipcalc -m $PRIVATE_DYN_IP/$HALF_MASK | cut -d"=" -f2`		# masque des adresses dynamiques (ex.: 255.255.255.128)
287
	private_dyn_ip_network=`echo $PRIVATE_DYN_IP | cut -d"/" -f1`				# plage des adresses dynamiques sans le masque (ex.: 192.168.182.0)
287
	private_dyn_ip_network=`echo $PRIVATE_DYN_IP | cut -d"/" -f1`				# plage des adresses dynamiques sans le masque (ex.: 192.168.182.0)
288
	private_dyn_ip_end=`echo $private_dyn_ip_network | cut -d"." -f4`			# dernier octet de la plage des adresses dynamiques (ex.: 128)
288
	private_dyn_ip_end=`echo $private_dyn_ip_network | cut -d"." -f4`			# dernier octet de la plage des adresses dynamiques (ex.: 128)
289
	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network | cut -d"." -f1-3`"."`expr $private_dyn_ip_end + 1`	# 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
289
	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network | cut -d"." -f1-3`"."`expr $private_dyn_ip_end + 1`	# 1ère adresse de la plage dynamique (ex.: 192.168.182.129)
290
	private_broadcast_end=`echo $PRIVATE_BROADCAST | cut -d"." -f4`
290
	private_broadcast_end=`echo $PRIVATE_BROADCAST | cut -d"." -f4`
291
	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_end - 1`	# dernière adresse de la plage dynamique (ex.: 192.168.182.254)
291
	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_end - 1`	# dernière adresse de la plage dynamique (ex.: 192.168.182.254)
292
	PRIVATE_IP=`echo $PRIVATE_NETWORK | cut -d"." -f1-3`"."`expr $private_network_end + 1`	# @ip du portail (côté réseau de consultation)
292
	PRIVATE_IP=`echo $PRIVATE_NETWORK | cut -d"." -f1-3`"."`expr $private_network_end + 1`	# @ip du portail (côté réseau de consultation)
293
# Récupération de la config réseau côté "Internet"
293
# Récupération de la config réseau côté "Internet"
294
	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
294
	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
295
	EXT_IP=`grep IPADDR /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip du portail (côté Internet)
295
	EXT_IP=`grep IPADDR /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip du portail (côté Internet)
296
	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default
296
	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default
297
	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 1er DNS
297
	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 1er DNS
298
	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 2ème DNS
298
	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 2ème DNS
299
	DNS1=${DNS1:=208.67.220.220}
299
	DNS1=${DNS1:=208.67.220.220}
300
	DNS2=${DNS2:=208.67.222.222}
300
	DNS2=${DNS2:=208.67.222.222}
301
	EXT_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
301
	EXT_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
302
	EXT_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
302
	EXT_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
303
	echo "- Adresse IP 'côté Internet' ($EXTIF) : $EXT_IP / $EXT_NETMASK" >> $FIC_PARAM
303
	echo "- Adresse IP 'côté Internet' ($EXTIF) : $EXT_IP / $EXT_NETMASK" >> $FIC_PARAM
304
	echo "- Serveurs DNS renseignés : $DNS1 et $DNS2" >> $FIC_PARAM
304
	echo "- Serveurs DNS renseignés : $DNS1 et $DNS2" >> $FIC_PARAM
305
	echo "- Routeur de sortie : $EXT_GATEWAY" >> $FIC_PARAM
305
	echo "- Routeur de sortie : $EXT_GATEWAY" >> $FIC_PARAM
306
# Configuration réseau
306
# Configuration réseau
307
	cat <<EOF > /etc/sysconfig/network
307
	cat <<EOF > /etc/sysconfig/network
308
NETWORKING=yes
308
NETWORKING=yes
309
HOSTNAME="$HOSTNAME"
309
HOSTNAME="$HOSTNAME"
310
FORWARD_IPV4=true
310
FORWARD_IPV4=true
311
EOF
311
EOF
312
# Modif /etc/hosts
312
# Modif /etc/hosts
313
	[ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default
313
	[ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default
314
	cat <<EOF > /etc/hosts
314
	cat <<EOF > /etc/hosts
315
127.0.0.1	localhost
315
127.0.0.1	localhost
316
$PRIVATE_IP	$HOSTNAME 
316
$PRIVATE_IP	$HOSTNAME 
317
EOF
317
EOF
318
	echo "- Adresse IP 'côté réseau de consultation' ($INTIF) : $PRIVATE_IP / $PRIVATE_NETWORK_MASK" >> $FIC_PARAM
318
	echo "- Adresse IP 'côté réseau de consultation' ($INTIF) : $PRIVATE_IP / $PRIVATE_NETWORK_MASK" >> $FIC_PARAM
319
	echo "    - plage d'adresses statiques : $PRIVATE_STAT_IP" >> $FIC_PARAM
319
	echo "    - plage d'adresses statiques : $PRIVATE_STAT_IP" >> $FIC_PARAM
320
	echo "    - plage d'adresses dynamiques (via DHCP) : $PRIVATE_DYN_IP" >> $FIC_PARAM
320
	echo "    - plage d'adresses dynamiques (via DHCP) : $PRIVATE_DYN_IP" >> $FIC_PARAM
321
# Configuration de l'interface eth0 (Internet)
321
# Configuration de l'interface eth0 (Internet)
322
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
322
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
323
DEVICE=$EXTIF
323
DEVICE=$EXTIF
324
BOOTPROTO=static
324
BOOTPROTO=static
325
IPADDR=$EXT_IP
325
IPADDR=$EXT_IP
326
NETMASK=$EXT_NETMASK
326
NETMASK=$EXT_NETMASK
327
GATEWAY=$EXT_GATEWAY
327
GATEWAY=$EXT_GATEWAY
328
DNS1=127.0.0.1
328
DNS1=127.0.0.1
329
ONBOOT=yes
329
ONBOOT=yes
330
METRIC=10
330
METRIC=10
331
NOZEROCONF=yes
331
NOZEROCONF=yes
332
MII_NOT_SUPPORTED=yes
332
MII_NOT_SUPPORTED=yes
333
IPV6INIT=no
333
IPV6INIT=no
334
IPV6TO4INIT=no
334
IPV6TO4INIT=no
335
ACCOUNTING=no
335
ACCOUNTING=no
336
USERCTL=no
336
USERCTL=no
337
EOF
337
EOF
338
# Configuration de l'interface eth1 (réseau de consultation)
338
# Configuration de l'interface eth1 (réseau de consultation)
339
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
339
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
340
DEVICE=$INTIF
340
DEVICE=$INTIF
341
BOOTPROTO=static
341
BOOTPROTO=static
342
IPADDR=$PRIVATE_IP
342
IPADDR=$PRIVATE_IP
343
NETMASK=$PRIVATE_MASK
343
NETMASK=$PRIVATE_MASK
344
ONBOOT=yes
344
ONBOOT=yes
345
METRIC=10
345
METRIC=10
346
NOZEROCONF=yes
346
NOZEROCONF=yes
347
MII_NOT_SUPPORTED=yes
347
MII_NOT_SUPPORTED=yes
348
IPV6INIT=no
348
IPV6INIT=no
349
IPV6TO4INIT=no
349
IPV6TO4INIT=no
350
ACCOUNTING=no
350
ACCOUNTING=no
351
USERCTL=no
351
USERCTL=no
352
EOF
352
EOF
353
# Mise à l'heure du serveur
353
# Mise à l'heure du serveur
354
	[ -e /etc/ntp/step-tickers.default ] || cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
354
	[ -e /etc/ntp/step-tickers.default ] || cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
355
	cat <<EOF > /etc/ntp/step-tickers
355
	cat <<EOF > /etc/ntp/step-tickers
356
0.fr.pool.ntp.org	# adapt to your country
356
0.fr.pool.ntp.org	# adapt to your country
357
1.fr.pool.ntp.org
357
1.fr.pool.ntp.org
358
2.fr.pool.ntp.org
358
2.fr.pool.ntp.org
359
EOF
359
EOF
360
# Configuration du serveur de temps (sur lui même)
360
# Configuration du serveur de temps (sur lui même)
361
	[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
361
	[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
362
	cat <<EOF > /etc/ntp.conf
362
	cat <<EOF > /etc/ntp.conf
363
server 0.fr.pool.ntp.org	# adapt to your country
363
server 0.fr.pool.ntp.org	# adapt to your country
364
server 1.fr.pool.ntp.org
364
server 1.fr.pool.ntp.org
365
server 2.fr.pool.ntp.org
365
server 2.fr.pool.ntp.org
366
server 127.127.1.0   		# local clock si NTP internet indisponible ...
366
server 127.127.1.0   		# local clock si NTP internet indisponible ...
367
fudge 127.127.1.0 stratum 10
367
fudge 127.127.1.0 stratum 10
368
restrict $PRIVATE_NETWORK mask $PRIVATE_MASK nomodify notrap
368
restrict $PRIVATE_NETWORK mask $PRIVATE_MASK nomodify notrap
369
restrict 127.0.0.1
369
restrict 127.0.0.1
370
driftfile /var/lib/ntp/drift
370
driftfile /var/lib/ntp/drift
371
logfile /var/log/ntp.log
371
logfile /var/log/ntp.log
372
EOF
372
EOF
373
 
373
 
374
	chown -R ntp:ntp /var/lib/ntp
374
	chown -R ntp:ntp /var/lib/ntp
375
# Renseignement des fichiers hosts.allow et hosts.deny
375
# Renseignement des fichiers hosts.allow et hosts.deny
376
	[ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default
376
	[ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default
377
	cat <<EOF > /etc/hosts.allow
377
	cat <<EOF > /etc/hosts.allow
378
ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
378
ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
379
sshd: $PRIVATE_NETWORK_SHORT
379
sshd: $PRIVATE_NETWORK_SHORT
380
ntpd: $PRIVATE_NETWORK_SHORT
380
ntpd: $PRIVATE_NETWORK_SHORT
381
EOF
381
EOF
382
	[ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default
382
	[ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default
383
	cat <<EOF > /etc/hosts.deny
383
	cat <<EOF > /etc/hosts.deny
384
ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
384
ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
385
EOF
385
EOF
386
} # End of network ()
386
} # End of network ()
387
 
387
 
388
##################################################################
388
##################################################################
389
##			Fonction gestion			##
389
##			Fonction gestion			##
390
## - installation du centre de gestion				##
390
## - installation du centre de gestion				##
391
## - configuration du serveur web (Apache)			##
391
## - configuration du serveur web (Apache)			##
392
## - définition du 1er comptes de gestion 			##
392
## - définition du 1er comptes de gestion 			##
393
## - sécurisation des accès					##
393
## - sécurisation des accès					##
394
##################################################################
394
##################################################################
395
gestion()
395
gestion()
396
{
396
{
397
# Suppression des CGI et des pages WEB installés par défaut
397
# Suppression des CGI et des pages WEB installés par défaut
398
	rm -rf /var/www/cgi-bin/*
398
	rm -rf /var/www/cgi-bin/*
399
	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
399
	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
400
	mkdir $DIR_WEB
400
	mkdir $DIR_WEB
401
# Copie et configuration des fichiers du centre de gestion
401
# Copie et configuration des fichiers du centre de gestion
402
	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
402
	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
403
	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
403
	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
404
	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
404
	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
405
	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
405
	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
406
	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
406
	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
407
	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
407
	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
408
	$SED "s?^\$private_ip =.*?\$private_ip = \"$PRIVATE_IP\";?g" $DIR_WEB/index.php
408
	$SED "s?^\$private_ip =.*?\$private_ip = \"$PRIVATE_IP\";?g" $DIR_WEB/index.php
409
	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
409
	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
410
	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
410
	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
411
	chown -R apache:apache $DIR_WEB/*
411
	chown -R apache:apache $DIR_WEB/*
412
	for i in ISO base logs/firewall logs/httpd logs/squid ;
412
	for i in ISO base logs/firewall logs/httpd logs/squid ;
413
	do
413
	do
414
		[ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i
414
		[ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i
415
	done
415
	done
416
	chown -R root:apache $DIR_SAVE
416
	chown -R root:apache $DIR_SAVE
417
# Configuration et sécurisation php
417
# Configuration et sécurisation php
418
	[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default
418
	[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default
419
	timezone=`cat /etc/sysconfig/clock|grep ZONE|cut -d"=" -f2`
419
	timezone=`cat /etc/sysconfig/clock|grep ZONE|cut -d"=" -f2`
420
	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
420
	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
421
	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
421
	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
422
	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
422
	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
423
	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
423
	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
424
	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
424
	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
425
# Configuration et sécurisation Apache
425
# Configuration et sécurisation Apache
426
	[ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
426
	[ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
427
	$SED "s?^#ServerName.*?ServerName $PRIVATE_IP?g" /etc/httpd/conf/httpd.conf
427
	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
428
	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
428
	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
429
	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
429
	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
430
	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
430
	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
431
	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
431
	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
432
	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
432
	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
433
	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
433
	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
434
	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
434
	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
435
	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
435
	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
436
	cat <<EOF > /var/www/error/include/bottom.html
436
	cat <<EOF > /var/www/error/include/bottom.html
437
</body>
437
</body>
438
</html>
438
</html>
439
EOF
439
EOF
440
	echo "- URL d'accès au centre de gestion : https://$PRIVATE_IP" >> $FIC_PARAM
440
	echo "- URL d'accès au centre de gestion : http://$HOSTNAME" >> $FIC_PARAM
441
	echo "                                  ou https://alcasar" >> $FIC_PARAM
-
 
442
# Définition du premier compte lié au profil 'admin'
441
# Définition du premier compte lié au profil 'admin'
443
	header_install
442
	header_install
444
	if [ "$mode" = "install" ]
443
	if [ "$mode" = "install" ]
445
	then
444
	then
446
		header_install
445
		header_install
447
		echo "Pour administrer Alcasar via le centre de gestion WEB, trois profils de comptes ont été définis :"
446
		echo "Pour administrer Alcasar via le centre de gestion WEB, trois profils de comptes ont été définis :"
448
		echo " - le profil 'admin' capable de réaliser toutes les opérations"
447
		echo " - le profil 'admin' capable de réaliser toutes les opérations"
449
		echo " - le profil 'backup' lié uniquement aux fonctions d'archivage"
448
		echo " - le profil 'backup' lié uniquement aux fonctions d'archivage"
450
		echo " - le profil 'manager' lié uniquement aux fonctions de gestion des usagers"
449
		echo " - le profil 'manager' lié uniquement aux fonctions de gestion des usagers"
451
		echo ""
450
		echo ""
452
		echo "Définissez le premier compte du profil 'admin' :"
451
		echo "Définissez le premier compte du profil 'admin' :"
453
		echo
452
		echo
454
		echo -n "Nom : "
453
		echo -n "Nom : "
455
		read admin_portail
454
		read admin_portail
456
		echo "- Nom du premier compte lié au profil 'admin' : $admin_portail" >> $FIC_PARAM
455
		echo "- Nom du premier compte lié au profil 'admin' : $admin_portail" >> $FIC_PARAM
457
# Création du fichier de clés de ce compte dans le profil "admin"
456
# Création du fichier de clés de ce compte dans le profil "admin"
458
		[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
457
		[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
459
		mkdir -p $DIR_DEST_ETC/digest
458
		mkdir -p $DIR_DEST_ETC/digest
460
		chmod 755 $DIR_DEST_ETC/digest
459
		chmod 755 $DIR_DEST_ETC/digest
461
		until [ -s $DIR_DEST_ETC/digest/key_admin ]
460
		until [ -s $DIR_DEST_ETC/digest/key_admin ]
462
			do
461
			do
463
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portail
462
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portail
464
			done
463
			done
465
		$DIR_DEST_SBIN/alcasar-profil.sh --list
464
		$DIR_DEST_SBIN/alcasar-profil.sh --list
466
	else   # version < 2.1
465
	else   # version < 2.1
467
		if ([ $MAJ_RUNNING_VERSION -lt 2 ] || ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
466
		if ([ $MAJ_RUNNING_VERSION -lt 2 ] || ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
468
			then
467
			then
469
			echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
468
			echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
470
			echo
469
			echo
471
			echo -n "Nom : "
470
			echo -n "Nom : "
472
			read admin_portail
471
			read admin_portail
473
			echo "- Nom du premier compte lié au profil 'admin' : $admin_portail" >> $FIC_PARAM
472
			echo "- Nom du premier compte lié au profil 'admin' : $admin_portail" >> $FIC_PARAM
474
			[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
473
			[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
475
			mkdir -p $DIR_DEST_ETC/digest
474
			mkdir -p $DIR_DEST_ETC/digest
476
			chmod 755 $DIR_DEST_ETC/digest
475
			chmod 755 $DIR_DEST_ETC/digest
477
			until [ -s $DIR_DEST_ETC/digest/key_admin ]
476
			until [ -s $DIR_DEST_ETC/digest/key_admin ]
478
			do
477
			do
479
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portail
478
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portail
480
			done
479
			done
481
			$DIR_DEST_SBIN/alcasar-profil.sh --list
480
			$DIR_DEST_SBIN/alcasar-profil.sh --list
482
		fi
481
		fi
483
	fi
482
	fi
484
# synchronisation horaire
483
# synchronisation horaire
485
	ntpd -q -g &
484
	ntpd -q -g &
486
# Sécurisation du centre
485
# Sécurisation du centre
487
	rm -f /etc/httpd/conf/webapps.d/*
486
	rm -f /etc/httpd/conf/webapps.d/*
488
	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
487
	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
489
<Directory $DIR_ACC>
488
<Directory $DIR_ACC>
490
	SSLRequireSSL
489
	SSLRequireSSL
491
	AllowOverride None
490
	AllowOverride None
492
	Order deny,allow
491
	Order deny,allow
493
	Deny from all
492
	Deny from all
494
	Allow from 127.0.0.1
493
	Allow from 127.0.0.1
495
	Allow from $PRIVATE_NETWORK_MASK
494
	Allow from $PRIVATE_NETWORK_MASK
496
#	Allow from $SRC_ADMIN 
495
#	Allow from $SRC_ADMIN 
497
	require valid-user
496
	require valid-user
498
	AuthType digest
497
	AuthType digest
499
	AuthName $HOSTNAME
498
	AuthName $HOSTNAME
500
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
499
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
501
	AuthUserFile $DIR_DEST_ETC/digest/key_all
500
	AuthUserFile $DIR_DEST_ETC/digest/key_all
502
	ErrorDocument 404 https://$PRIVATE_IP/
501
	ErrorDocument 404 https://$HOSTNAME/
503
</Directory>
502
</Directory>
504
<Directory $DIR_ACC/admin>
503
<Directory $DIR_ACC/admin>
505
	SSLRequireSSL
504
	SSLRequireSSL
506
	AllowOverride None
505
	AllowOverride None
507
	Order deny,allow
506
	Order deny,allow
508
	Deny from all
507
	Deny from all
509
	Allow from 127.0.0.1
508
	Allow from 127.0.0.1
510
	Allow from $PRIVATE_NETWORK_MASK
509
	Allow from $PRIVATE_NETWORK_MASK
511
#	Allow from $SRC_ADMIN
510
#	Allow from $SRC_ADMIN
512
	require valid-user
511
	require valid-user
513
	AuthType digest
512
	AuthType digest
514
	AuthName $HOSTNAME
513
	AuthName $HOSTNAME
515
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
514
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
516
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
515
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
517
	ErrorDocument 404 https://$PRIVATE_IP/
516
	ErrorDocument 404 https://$HOSTNAME/
518
</Directory>
517
</Directory>
519
<Directory $DIR_ACC/manager>
518
<Directory $DIR_ACC/manager>
520
	SSLRequireSSL
519
	SSLRequireSSL
521
	AllowOverride None
520
	AllowOverride None
522
	Order deny,allow
521
	Order deny,allow
523
	Deny from all
522
	Deny from all
524
	Allow from 127.0.0.1
523
	Allow from 127.0.0.1
525
	Allow from $PRIVATE_NETWORK_MASK
524
	Allow from $PRIVATE_NETWORK_MASK
526
#	Allow from $SRC_ADMIN
525
#	Allow from $SRC_ADMIN
527
	require valid-user
526
	require valid-user
528
	AuthType digest
527
	AuthType digest
529
	AuthName $HOSTNAME
528
	AuthName $HOSTNAME
530
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
529
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
531
	AuthUserFile $DIR_DEST_ETC/digest/key_manager
530
	AuthUserFile $DIR_DEST_ETC/digest/key_manager
532
	ErrorDocument 404 https://$PRIVATE_IP/
531
	ErrorDocument 404 https://$HOSTNAME/
533
</Directory>
532
</Directory>
534
<Directory $DIR_ACC/backup>
533
<Directory $DIR_ACC/backup>
535
	SSLRequireSSL
534
	SSLRequireSSL
536
	AllowOverride None
535
	AllowOverride None
537
	Order deny,allow
536
	Order deny,allow
538
	Deny from all
537
	Deny from all
539
	Allow from 127.0.0.1
538
	Allow from 127.0.0.1
540
	Allow from $PRIVATE_NETWORK_MASK
539
	Allow from $PRIVATE_NETWORK_MASK
541
#	Allow from $SRC_ADMIN
540
#	Allow from $SRC_ADMIN
542
	require valid-user
541
	require valid-user
543
	AuthType digest
542
	AuthType digest
544
	AuthName $HOSTNAME
543
	AuthName $HOSTNAME
545
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
544
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
546
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
545
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
547
	ErrorDocument 404 https://$PRIVATE_IP/
546
	ErrorDocument 404 https://$HOSTNAME/
548
</Directory>
547
</Directory>
549
Alias /save/ "$DIR_SAVE/"
548
Alias /save/ "$DIR_SAVE/"
550
<Directory $DIR_SAVE>
549
<Directory $DIR_SAVE>
551
	SSLRequireSSL
550
	SSLRequireSSL
552
	Options Indexes
551
	Options Indexes
553
	Order deny,allow
552
	Order deny,allow
554
	Deny from all
553
	Deny from all
555
	Allow from 127.0.0.1
554
	Allow from 127.0.0.1
556
	Allow from $PRIVATE_NETWORK_MASK
555
	Allow from $PRIVATE_NETWORK_MASK
557
#	Allow from $SRC_ADMIN
556
#	Allow from $SRC_ADMIN
558
	require valid-user
557
	require valid-user
559
	AuthType digest
558
	AuthType digest
560
	AuthName $HOSTNAME
559
	AuthName $HOSTNAME
561
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
560
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
562
	ErrorDocument 404 https://$PRIVATE_IP/
561
	ErrorDocument 404 https://$HOSTNAME/
563
	ReadmeName	/readmeSave.html
562
	ReadmeName	/readmeSave.html
564
</Directory>
563
</Directory>
565
EOF
564
EOF
566
} # End of gestion ()
565
} # End of gestion ()
567
 
566
 
568
##########################################################################################
567
##########################################################################################
569
##				Fonction AC()						##
568
##				Fonction AC()						##
570
## - Création d'une Autorité de Certification et du certificat serveur pour apache 	##
569
## - Création d'une Autorité de Certification et du certificat serveur pour apache 	##
571
##########################################################################################
570
##########################################################################################
572
AC ()
571
AC ()
573
{
572
{
574
	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
573
	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
575
	$DIR_DEST_BIN/alcasar-CA.sh
574
	$DIR_DEST_BIN/alcasar-CA.sh
576
	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl*`
575
	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl*`
577
	[ -e /etc/httpd/conf/vhosts-ssl.default ]  || cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
576
	[ -e /etc/httpd/conf/vhosts-ssl.default ]  || cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
578
	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
577
	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
579
	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
578
	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
580
	chown -R root:apache /etc/pki
579
	chown -R root:apache /etc/pki
581
	chmod -R 750 /etc/pki
580
	chmod -R 750 /etc/pki
582
} # End AC ()
581
} # End AC ()
583
 
582
 
584
##########################################################################################
583
##########################################################################################
585
##			Fonction init_db()						##
584
##			Fonction init_db()						##
586
## - Initialisation de la base Mysql							##
585
## - Initialisation de la base Mysql							##
587
## - Affectation du mot de passe de l'administrateur (root)				##
586
## - Affectation du mot de passe de l'administrateur (root)				##
588
## - Suppression des bases et des utilisateurs superflus				##
587
## - Suppression des bases et des utilisateurs superflus				##
589
## - Création de la base 'radius'							##
588
## - Création de la base 'radius'							##
590
## - Installation du schéma de cette base						##
589
## - Installation du schéma de cette base						##
591
## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)	##
590
## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)	##
592
##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)		##
591
##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)		##
593
##########################################################################################
592
##########################################################################################
594
init_db ()
593
init_db ()
595
{
594
{
596
	mkdir -p /var/lib/mysql/.tmp
595
	mkdir -p /var/lib/mysql/.tmp
597
	chown mysql:mysql /var/lib/mysql/.tmp
596
	chown mysql:mysql /var/lib/mysql/.tmp
598
	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf		# prend en compte les migrations de MySQL
597
	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf		# prend en compte les migrations de MySQL
599
	[ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default
598
	[ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default
600
	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
599
	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
601
	/etc/init.d/mysqld start
600
	/etc/init.d/mysqld start
602
	sleep 4
601
	sleep 4
603
	mysqladmin -u root password $mysqlpwd
602
	mysqladmin -u root password $mysqlpwd
604
	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
603
	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
605
# On supprime les tables d'exemple
604
# On supprime les tables d'exemple
606
	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;" 
605
	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;" 
607
	# On crée la base 'radius'
606
	# On crée la base 'radius'
608
	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
607
	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
609
# Ajout d'une base vierge	
608
# Ajout d'une base vierge	
610
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
609
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
611
} # End init_db ()
610
} # End init_db ()
612
 
611
 
613
##########################################################################
612
##########################################################################
614
##			Fonction param_radius				##
613
##			Fonction param_radius				##
615
## - Paramètrage des fichiers de configuration FreeRadius		##
614
## - Paramètrage des fichiers de configuration FreeRadius		##
616
## - Affectation du secret partagé entre coova-chilli et freeradius	##
615
## - Affectation du secret partagé entre coova-chilli et freeradius	##
617
## - Modification de fichier de conf pour l'accès à Mysql		##
616
## - Modification de fichier de conf pour l'accès à Mysql		##
618
##########################################################################
617
##########################################################################
619
param_radius ()
618
param_radius ()
620
{
619
{
621
	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
620
	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
622
	chown -R radius:radius /etc/raddb
621
	chown -R radius:radius /etc/raddb
623
	[ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
622
	[ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
624
# paramètrage radius.conf
623
# paramètrage radius.conf
625
	$SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf
624
	$SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf
626
	$SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf
625
	$SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf
627
	$SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf
626
	$SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf
628
# suppression de la fonction proxy
627
# suppression de la fonction proxy
629
	$SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf
628
	$SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf
630
	$SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
629
	$SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
631
# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
630
# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
632
	$SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
631
	$SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
633
# prise en compte du module SQL et des compteurs SQL
632
# prise en compte du module SQL et des compteurs SQL
634
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
633
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
635
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
634
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
636
	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
635
	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
637
# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
636
# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
638
	rm -f /etc/raddb/sites-enabled/*
637
	rm -f /etc/raddb/sites-enabled/*
639
       	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
638
       	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
640
	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
639
	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
641
	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
640
	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
642
	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
641
	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
643
	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
642
	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
644
# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
643
# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
645
	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
644
	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
646
# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
645
# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
647
	[ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
646
	[ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
648
	cat << EOF > /etc/raddb/clients.conf
647
	cat << EOF > /etc/raddb/clients.conf
649
client 127.0.0.1 {
648
client 127.0.0.1 {
650
	secret = $secretradius
649
	secret = $secretradius
651
	shortname = localhost
650
	shortname = localhost
652
}
651
}
653
EOF
652
EOF
654
# modif sql.conf
653
# modif sql.conf
655
	[ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
654
	[ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
656
	$SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
655
	$SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
657
	$SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
656
	$SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
658
	$SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
657
	$SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
659
	$SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf
658
	$SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf
660
# modif dialup.conf
659
# modif dialup.conf
661
	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
660
	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
662
	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
661
	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
663
} # End param_radius ()
662
} # End param_radius ()
664
 
663
 
665
##########################################################################
664
##########################################################################
666
##			Fonction param_web_radius			##
665
##			Fonction param_web_radius			##
667
## - Import, modification et paramètrage de l'interface "dialupadmin"	##
666
## - Import, modification et paramètrage de l'interface "dialupadmin"	##
668
## - Création du lien vers la page de changement de mot de passe        ##
667
## - Création du lien vers la page de changement de mot de passe        ##
669
##########################################################################
668
##########################################################################
670
param_web_radius ()
669
param_web_radius ()
671
{
670
{
672
# copie de l'interface d'origine dans la structure Alcasar
671
# copie de l'interface d'origine dans la structure Alcasar
673
	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
672
	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
674
	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme 
673
	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme 
675
	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
674
	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
676
# copie des fichiers modifiés
675
# copie des fichiers modifiés
677
	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
676
	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
678
	chown -R apache:apache $DIR_ACC/manager/
677
	chown -R apache:apache $DIR_ACC/manager/
679
# Modification des fichiers de configuration
678
# Modification des fichiers de configuration
680
	[ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
679
	[ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
681
	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
680
	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
682
	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
681
	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
683
	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
682
	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
684
	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
683
	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
685
	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
684
	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
686
	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
685
	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
687
	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
686
	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
688
	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
687
	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
689
	[ -e /etc/freeradius-web/config.php.default ] || cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
688
	[ -e /etc/freeradius-web/config.php.default ] || cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
690
	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
689
	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
691
	cat <<EOF > /etc/freeradius-web/naslist.conf
690
	cat <<EOF > /etc/freeradius-web/naslist.conf
692
nas1_name: alcasar.%{general_domain}
691
nas1_name: alcasar.%{general_domain}
693
nas1_model: Portail captif
692
nas1_model: Portail captif
694
nas1_ip: $PRIVATE_IP
693
nas1_ip: $PRIVATE_IP
695
nas1_port_num: 0
694
nas1_port_num: 0
696
nas1_community: public
695
nas1_community: public
697
EOF
696
EOF
698
# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
697
# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
699
	[ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
698
	[ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
700
	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
699
	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
701
# Ajout du mappage des attributs chillispot
700
# Ajout du mappage des attributs chillispot
702
	[ -e /etc/freeradius-web/sql.attrmap.default ] || mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
701
	[ -e /etc/freeradius-web/sql.attrmap.default ] || mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
703
	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
702
	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
704
# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
703
# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
705
	[ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
704
	[ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
706
	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
705
	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
707
	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
706
	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
708
	chown -R apache:apache /etc/freeradius-web
707
	chown -R apache:apache /etc/freeradius-web
709
# Ajout de l'alias vers la page de "changement de mot de passe usager"
708
# Ajout de l'alias vers la page de "changement de mot de passe usager"
710
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
709
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
711
<Directory $DIR_WEB/pass>
710
<Directory $DIR_WEB/pass>
712
	SSLRequireSSL
711
	SSLRequireSSL
713
	AllowOverride None
712
	AllowOverride None
714
	Order deny,allow
713
	Order deny,allow
715
	Deny from all
714
	Deny from all
716
	Allow from 127.0.0.1
715
	Allow from 127.0.0.1
717
	Allow from $PRIVATE_NETWORK_MASK
716
	Allow from $PRIVATE_NETWORK_MASK
718
	ErrorDocument 404 https://$PRIVATE_IP
717
	ErrorDocument 404 https://$HOSTNAME
719
</Directory>
718
</Directory>
720
EOF
719
EOF
721
	echo "- URL pour le changement du mot de passe usager : https://$PRIVATE_IP/pass/" >> $FIC_PARAM
720
	echo "- URL pour le changement du mot de passe usager : https://$HOSTNAME/pass/" >> $FIC_PARAM
722
} # End of param_web_radius ()
721
} # End of param_web_radius ()
723
 
722
 
724
##########################################################################################
723
##########################################################################################
725
##			Fonction param_chilli						##
724
##			Fonction param_chilli						##
726
## - Paramètrage du fichier d'initialisation et de configuration de coova-chilli	##
725
## - Paramètrage du fichier d'initialisation et de configuration de coova-chilli	##
727
## - Paramètrage de la page d'authentification (intercept.php)				##
726
## - Paramètrage de la page d'authentification (intercept.php)				##
728
##########################################################################################
727
##########################################################################################
729
param_chilli ()
728
param_chilli ()
730
{
729
{
731
# modification du fichier d'initialisation
730
# modification du fichier d'initialisation
732
	[ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default
731
	[ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default
733
	# configuration d'eth1 (utile pour dnsmasq))
732
	# configuration d'eth1 (utile pour dnsmasq))
734
	$SED "s?ifconfig.*?ifconfig \$HS_LANIF $PRIVATE_IP?g" /etc/init.d/chilli
733
	$SED "s?ifconfig.*?ifconfig \$HS_LANIF $PRIVATE_IP?g" /etc/init.d/chilli
735
	# ajout de la fonction 'status' (utile pour la gestion du process)
734
	# ajout de la fonction 'status' (utile pour la gestion du process)
736
	$SED "/^.*functions/i. /etc/init.d/functions" /etc/init.d/chilli
735
	$SED "/^.*functions/i. /etc/init.d/functions" /etc/init.d/chilli
737
	$SED "/^[\t ]*stop)/i\    status)\n        status chilli\n        RETVAL=$?\n        ;;\n" /etc/init.d/chilli
736
	$SED "/^[\t ]*stop)/i\    status)\n        status chilli\n        RETVAL=$?\n        ;;\n" /etc/init.d/chilli
738
	# insertion d'une tempo sur le 'restart' pour permettre à tun0 d'être libérée
737
	# insertion d'une tempo sur le 'restart' pour permettre à tun0 d'être libérée
739
	$SED "/^[\t ]*\$0 start/i\        sleep 2" /etc/init.d/chilli
738
	$SED "/^[\t ]*\$0 start/i\        sleep 2" /etc/init.d/chilli
740
	# suppression des fonctions 'writeconfig' et 'radiusconfig'
739
	# suppression des fonctions 'writeconfig' et 'radiusconfig'
741
	$SED "/writeconfig/d" /etc/init.d/chilli
740
	$SED "/writeconfig/d" /etc/init.d/chilli
742
	$SED "/radiusconfig/d" /etc/init.d/chilli
741
	$SED "/radiusconfig/d" /etc/init.d/chilli
743
	# suppression de warning disgracieux
742
	# suppression de warning disgracieux
744
	$SED "s?which start-stop-daemon?which start-stop-daemon 2>/dev/null?g" /etc/init.d/chilli
743
	$SED "s?which start-stop-daemon?which start-stop-daemon 2>/dev/null?g" /etc/init.d/chilli
745
# création du fichier de conf
744
# création du fichier de conf
746
	[ -e /etc/chilli.conf.default ] || cp /etc/chilli.conf /etc/chilli.conf.default
745
	[ -e /etc/chilli.conf.default ] || cp /etc/chilli.conf /etc/chilli.conf.default
747
	cat <<EOF > /etc/chilli.conf
746
	cat <<EOF > /etc/chilli.conf
748
# coova config for ALCASAR
747
# coova config for ALCASAR
749
cmdsocket	/var/run/chilli.sock
748
cmdsocket	/var/run/chilli.sock
750
unixipc		chilli.eth1.ipc
749
unixipc		chilli.eth1.ipc
751
pidfile		/var/run/chilli.eth1.pid
750
pidfile		/var/run/chilli.eth1.pid
752
net		$PRIVATE_NETWORK_MASK
751
net		$PRIVATE_NETWORK_MASK
753
dynip		$PRIVATE_DYN_IP
752
dynip		$PRIVATE_DYN_IP
754
statip		$PRIVATE_STAT_IP
753
statip		$PRIVATE_STAT_IP
755
domain		localdomain
754
domain		localdomain
756
dns1		$PRIVATE_IP
755
dns1		$PRIVATE_IP
757
dns2		$PRIVATE_IP
756
dns2		$PRIVATE_IP
758
uamlisten	$PRIVATE_IP
757
uamlisten	$PRIVATE_IP
759
uamport		3990
758
uamport		3990
760
dhcpif		$INTIF
759
dhcpif		$INTIF
761
ethers		$DIR_DEST_ETC/alcasar-ethers
760
ethers		$DIR_DEST_ETC/alcasar-ethers
762
macallowlocal
761
macallowlocal
763
locationname	$HOSTNAME
762
locationname	$HOSTNAME
764
radiusserver1	127.0.0.1
763
radiusserver1	127.0.0.1
765
radiusserver2	127.0.0.1
764
radiusserver2	127.0.0.1
766
radiussecret	$secretradius
765
radiussecret	$secretradius
767
radiusauthport	1812
766
radiusauthport	1812
768
radiusacctport	1813
767
radiusacctport	1813
769
uamserver	https://$HOSTNAME/intercept.php
768
uamserver	https://$HOSTNAME/intercept.php
770
radiusnasid	$HOSTNAME
769
radiusnasid	$HOSTNAME
771
uamsecret	$secretuam
770
uamsecret	$secretuam
772
coaport		3799
771
coaport		3799
773
include		$DIR_DEST_ETC/alcasar-uamallowed
772
include		$DIR_DEST_ETC/alcasar-uamallowed
774
include		$DIR_DEST_ETC/alcasar-uamdomain
773
include		$DIR_DEST_ETC/alcasar-uamdomain
775
include		$DIR_DEST_ETC/alcasar-macallowed
774
include		$DIR_DEST_ETC/alcasar-macallowed
776
EOF
775
EOF
777
# Pour la fonctionnalité de DHCP statique, le fichier alcasar-ethers a été copié précédemment dans /usr/local/etc
776
# Pour la fonctionnalité de DHCP statique, le fichier alcasar-ethers a été copié précédemment dans /usr/local/etc
778
# création des fichiers de sites, d'urls et d'adresses MAC de confiance
777
# création des fichiers de sites, d'urls et d'adresses MAC de confiance
779
	echo -e "uamallowed=\"\"" > $DIR_DEST_ETC/alcasar-uamallowed
778
	echo -e "uamallowed=\"\"" > $DIR_DEST_ETC/alcasar-uamallowed
780
	echo -e "uamdomain=\"\"" > $DIR_DEST_ETC/alcasar-uamdomain
779
	echo -e "uamdomain=\"\"" > $DIR_DEST_ETC/alcasar-uamdomain
781
	touch $DIR_DEST_ETC/alcasar-macallowed
780
	touch $DIR_DEST_ETC/alcasar-macallowed
782
	chown root:apache $DIR_DEST_ETC/alcasar-*
781
	chown root:apache $DIR_DEST_ETC/alcasar-*
783
	chmod 660 $DIR_DEST_ETC/alcasar-*
782
	chmod 660 $DIR_DEST_ETC/alcasar-*
784
	echo "- URL de deconnexion du portail : http://alcasar:3990/logoff" >> $FIC_PARAM
783
	echo "- URL de deconnexion du portail : http://alcasar:3990/logoff" >> $FIC_PARAM
785
# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
784
# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
786
	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
785
	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
787
	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
786
	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
788
	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
787
	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
789
}  # End of param_chilli ()
788
}  # End of param_chilli ()
790
 
789
 
791
##########################################################
790
##########################################################
792
##			Fonction param_squid		##
791
##			Fonction param_squid		##
793
## - Paramètrage du proxy 'squid' en mode 'cache'	##
792
## - Paramètrage du proxy 'squid' en mode 'cache'	##
794
## - Initialisation de la base de données  		##
793
## - Initialisation de la base de données  		##
795
##########################################################
794
##########################################################
796
param_squid ()
795
param_squid ()
797
{
796
{
798
# paramètrage de Squid (connecté en série derrière Dansguardian)
797
# paramètrage de Squid (connecté en série derrière Dansguardian)
799
	[ -e /etc/squid/squid.conf.default  ] || cp /etc/squid/squid.conf /etc/squid/squid.conf.default
798
	[ -e /etc/squid/squid.conf.default  ] || cp /etc/squid/squid.conf /etc/squid/squid.conf.default
800
# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
799
# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
801
	$SED "/^acl localnet/d" /etc/squid/squid.conf
800
	$SED "/^acl localnet/d" /etc/squid/squid.conf
802
	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
801
	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
803
	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
802
	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
804
	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
803
	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
805
	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
804
	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
806
	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
805
	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
807
# mode 'proxy transparent local'
806
# mode 'proxy transparent local'
808
	$SED "s?^http_port.*?http_port 127.0.0.1:$SQUID_PORT transparent?g" /etc/squid/squid.conf
807
	$SED "s?^http_port.*?http_port 127.0.0.1:$SQUID_PORT transparent?g" /etc/squid/squid.conf
809
# emplacement et formatage standard des logs
808
# emplacement et formatage standard des logs
810
	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
809
	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
811
	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Ag' >> /etc/squid/squid.conf
810
	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Ag' >> /etc/squid/squid.conf
812
        echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
811
        echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
813
# compatibilité des logs avec awstats
812
# compatibilité des logs avec awstats
814
	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
813
	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
815
# pour éviter les message d'erreur lors des changement d'état des interfaces réseaux
814
# pour éviter les message d'erreur lors des changement d'état des interfaces réseaux
816
	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
815
	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
817
# Initialisation du cache de Squid
816
# Initialisation du cache de Squid
818
	/usr/sbin/squid -z
817
	/usr/sbin/squid -z
819
}  # End of param_squid ()
818
}  # End of param_squid ()
820
	
819
	
821
##################################################################
820
##################################################################
822
##		Fonction param_dansguardian			##
821
##		Fonction param_dansguardian			##
823
## - Paramètrage du gestionnaire de contenu Dansguardian	##
822
## - Paramètrage du gestionnaire de contenu Dansguardian	##
824
## - Copie de la blacklist de toulouse  			##
823
## - Copie de la blacklist de toulouse  			##
825
##################################################################
824
##################################################################
826
param_dansguardian ()
825
param_dansguardian ()
827
{
826
{
828
	DIR_DG="/etc/dansguardian"
827
	DIR_DG="/etc/dansguardian"
829
	mkdir /var/dansguardian
828
	mkdir /var/dansguardian
830
	chown dansguardian /var/dansguardian
829
	chown dansguardian /var/dansguardian
831
	[ -e $DIR_DG/dansguardian.conf.default ] || cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
830
	[ -e $DIR_DG/dansguardian.conf.default ] || cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
832
# Le filtrage est désactivé par défaut 
831
# Le filtrage est désactivé par défaut 
833
	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
832
	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
834
# la page d'interception est en français
833
# la page d'interception est en français
835
	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
834
	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
836
# on limite l'écoute de Dansguardian côté LAN
835
# on limite l'écoute de Dansguardian côté LAN
837
	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
836
	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
838
# on chaîne Dansguardian au proxy antivirus HAVP
837
# on chaîne Dansguardian au proxy antivirus HAVP
839
	$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
838
	$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
840
# on remplace la page d'interception (template)
839
# on remplace la page d'interception (template)
841
	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
840
	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
842
	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
841
	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
843
# on ne loggue que les deny (pour le reste, on a squid)
842
# on ne loggue que les deny (pour le reste, on a squid)
844
	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
843
	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
845
# on désactive par défaut le controle de contenu des pages html
844
# on désactive par défaut le controle de contenu des pages html
846
	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
845
	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
847
	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
846
	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
848
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
847
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
849
# on désactive par défaut le contrôle d'URL par expressions régulières
848
# on désactive par défaut le contrôle d'URL par expressions régulières
850
	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
849
	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
851
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
850
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
852
# on désactive par défaut le contrôle de téléchargement de fichiers
851
# on désactive par défaut le contrôle de téléchargement de fichiers
853
	[ -e $DIR_DG/dansguardianf1.conf.default ] || cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
852
	[ -e $DIR_DG/dansguardianf1.conf.default ] || cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
854
	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
853
	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
855
	[ -e $DIR_DG/lists/bannedextensionlist.default ] || mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
854
	[ -e $DIR_DG/lists/bannedextensionlist.default ] || mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
856
	[ -e $DIR_DG/lists/bannedmimetypelist.default ] || mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
855
	[ -e $DIR_DG/lists/bannedmimetypelist.default ] || mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
857
	touch $DIR_DG/lists/bannedextensionlist
856
	touch $DIR_DG/lists/bannedextensionlist
858
	touch $DIR_DG/lists/bannedmimetypelist
857
	touch $DIR_DG/lists/bannedmimetypelist
859
# 'Safesearch' regex actualisation
858
# 'Safesearch' regex actualisation
860
	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
859
	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
861
# empty LAN IP list that won't be WEB filtered
860
# empty LAN IP list that won't be WEB filtered
862
	[ -e $DIR_DG/lists/exceptioniplist.default ] || mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
861
	[ -e $DIR_DG/lists/exceptioniplist.default ] || mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
863
	touch $DIR_DG/lists/exceptioniplist
862
	touch $DIR_DG/lists/exceptioniplist
864
# Keep a copy of URL & domain filter configuration files
863
# Keep a copy of URL & domain filter configuration files
865
	[ -e $DIR_DG/lists/bannedsitelist.default ] || mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
864
	[ -e $DIR_DG/lists/bannedsitelist.default ] || mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
866
	[ -e $DIR_DG/lists/bannedurllist.default ] || mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
865
	[ -e $DIR_DG/lists/bannedurllist.default ] || mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
867
} # End of param_dansguardian ()
866
} # End of param_dansguardian ()
868
 
867
 
869
##################################################################
868
##################################################################
870
##			Fonction antivirus			##
869
##			Fonction antivirus			##
871
## - configuration havp + libclamav				##
870
## - configuration havp + libclamav				##
872
##################################################################
871
##################################################################
873
antivirus ()		
872
antivirus ()		
874
{
873
{
875
# création de l'usager 'havp'
874
# création de l'usager 'havp'
876
	havp_exist=`grep havp /etc/passwd|wc -l`
875
	havp_exist=`grep havp /etc/passwd|wc -l`
877
	if [ "$havp_exist" == "1" ]
876
	if [ "$havp_exist" == "1" ]
878
	then
877
	then
879
	      userdel -r havp 2>/dev/null
878
	      userdel -r havp 2>/dev/null
880
	fi
879
	fi
881
	groupadd -f havp
880
	groupadd -f havp
882
	useradd -M -g havp havp
881
	useradd -M -g havp havp
883
	mkdir -p /var/tmp/havp /var/log/havp
882
	mkdir -p /var/tmp/havp /var/log/havp
884
	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
883
	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
885
	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
884
	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
886
# configuration d'HAVP
885
# configuration d'HAVP
887
	[ -e /etc/havp/havp.config.default ] || cp /etc/havp/havp.config /etc/havp/havp.config.default
886
	[ -e /etc/havp/havp.config.default ] || cp /etc/havp/havp.config /etc/havp/havp.config.default
888
	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
887
	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
889
	$SED "s?^# PARENTPROXY.*?PARENTPROXY 127.0.0.1?g" /etc/havp/havp.config
888
	$SED "s?^# PARENTPROXY.*?PARENTPROXY 127.0.0.1?g" /etc/havp/havp.config
890
	$SED "s?^# PARENTPORT.*?PARENTPORT 3128?g" /etc/havp/havp.config
889
	$SED "s?^# PARENTPORT.*?PARENTPORT 3128?g" /etc/havp/havp.config
891
	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config
890
	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config
892
	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config
891
	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config
893
	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config
892
	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config
894
	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config
893
	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config
895
# remplacement du fichier d'initialisation
894
# remplacement du fichier d'initialisation
896
	[ -e /etc/init.d/havp.default ] || cp /etc/init.d/havp /etc/init.d/havp.default
895
	[ -e /etc/init.d/havp.default ] || cp /etc/init.d/havp /etc/init.d/havp.default
897
	cp -f $DIR_CONF/havp-init /etc/init.d/havp
896
	cp -f $DIR_CONF/havp-init /etc/init.d/havp
898
# on remplace la page d'interception (template)
897
# on remplace la page d'interception (template)
899
	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
898
	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
900
	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
899
	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
901
# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
900
# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
902
	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
901
	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
903
	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
902
	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
904
# on supprime le fichier 'main.cld' si 'main.cvd' existe (cas d'une mise à jour)
903
# on supprime le fichier 'main.cld' si 'main.cvd' existe (cas d'une mise à jour)
905
	if ([ -e /var/lib/clamav/main.cld ] && [ -e /var/lib/clamav/main.cvd ])
904
	if ([ -e /var/lib/clamav/main.cld ] && [ -e /var/lib/clamav/main.cvd ])
906
	then
905
	then
907
		rm -f /var/lib/clamav/main.cld
906
		rm -f /var/lib/clamav/main.cld
908
	fi
907
	fi
909
}
908
}
910
 
909
 
911
##################################################################################
910
##################################################################################
912
##				Fonction firewall				##
911
##				Fonction firewall				##
913
## - adaptation des scripts du parefeu						##
912
## - adaptation des scripts du parefeu						##
914
## - mise en place des règles et sauvegarde pour un lancement automatique	##
913
## - mise en place des règles et sauvegarde pour un lancement automatique	##
915
##################################################################################
914
##################################################################################
916
firewall ()
915
firewall ()
917
{
916
{
918
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
917
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
919
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
918
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
920
	$SED "s?^PRIVATE_NETWORK_MASK=.*?PRIVATE_NETWORK_MASK=\"$PRIVATE_NETWORK_MASK\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
919
	$SED "s?^PRIVATE_NETWORK_MASK=.*?PRIVATE_NETWORK_MASK=\"$PRIVATE_NETWORK_MASK\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
921
	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
920
	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
922
	$SED "s?^DNSSERVERS=.*?DNSSERVERS=\"$DNS1,$DNS2\"?g" $DIR_DEST_BIN/alcasar-iptables.sh
921
	$SED "s?^DNSSERVERS=.*?DNSSERVERS=\"$DNS1,$DNS2\"?g" $DIR_DEST_BIN/alcasar-iptables.sh
923
	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
922
	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
924
# création du fichier d'exception au filtrage
923
# création du fichier d'exception au filtrage
925
	touch $DIR_DEST_ETC/alcasar-filter-exceptions
924
	touch $DIR_DEST_ETC/alcasar-filter-exceptions
926
# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
925
# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
927
}  # End of firewall ()
926
}  # End of firewall ()
928
 
927
 
929
##################################################################################
928
##################################################################################
930
##			param_ulogd function					##
929
##			param_ulogd function					##
931
## - Ulog config for multi-log files 						##
930
## - Ulog config for multi-log files 						##
932
##################################################################################
931
##################################################################################
933
param_ulogd ()
932
param_ulogd ()
934
{
933
{
935
# Three instances of ulogd (three different logfiles)
934
# Three instances of ulogd (three different logfiles)
936
	[ -d /var/log/firewall ] || mkdir -p /var/log/firewall
935
	[ -d /var/log/firewall ] || mkdir -p /var/log/firewall
937
	nl=1
936
	nl=1
938
	for log_type in tracability ssh ext-access
937
	for log_type in tracability ssh ext-access
939
	do
938
	do
940
		[ -e /var/log/firewall/$log_type.log ] || touch /var/log/firewall/$log_type.log
939
		[ -e /var/log/firewall/$log_type.log ] || touch /var/log/firewall/$log_type.log
941
		cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
940
		cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
942
		$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf 
941
		$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf 
943
		$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
942
		$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
944
		cat << EOF >> /etc/ulogd-$log_type.conf
943
		cat << EOF >> /etc/ulogd-$log_type.conf
945
[LOGEMU]
944
[LOGEMU]
946
file="/var/log/firewall/$log_type.log"
945
file="/var/log/firewall/$log_type.log"
947
sync=1
946
sync=1
948
EOF
947
EOF
949
		nl=`expr $nl + 1`
948
		nl=`expr $nl + 1`
950
	done
949
	done
951
	chown -R root:apache /var/log/firewall
950
	chown -R root:apache /var/log/firewall
952
	chmod 750 /var/log/firewall
951
	chmod 750 /var/log/firewall
953
	chmod 640 /var/log/firewall/*
952
	chmod 640 /var/log/firewall/*
954
	[ -e /etc/init.d/ulogd.default ] || cp /etc/init.d/ulogd /etc/init.d/ulogd.default
953
	[ -e /etc/init.d/ulogd.default ] || cp /etc/init.d/ulogd /etc/init.d/ulogd.default
955
	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
954
	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
956
}  # End of param_ulogd ()
955
}  # End of param_ulogd ()
957
 
956
 
958
##################################################################################
957
##################################################################################
959
##				Fonction param_awstats				##
958
##				Fonction param_awstats				##
960
## - configuration de l'interface des logs de consultation WEB (AWSTAT)		##
959
## - configuration de l'interface des logs de consultation WEB (AWSTAT)		##
961
##################################################################################
960
##################################################################################
962
param_awstats()
961
param_awstats()
963
{
962
{
964
	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
963
	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
965
	chown -R apache:apache $DIR_ACC/awstats
964
	chown -R apache:apache $DIR_ACC/awstats
966
	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
965
	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
967
	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
966
	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
968
	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
967
	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
969
	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
968
	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
970
	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
969
	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
971
	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
970
	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
972
	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
971
	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
973
	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
972
	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
974
	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
973
	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
975
	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
974
	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
976
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
975
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
-
 
976
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
-
 
977
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
-
 
978
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
-
 
979
	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
-
 
980
	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
-
 
981
	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
-
 
982
	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
-
 
983
	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
-
 
984
	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
-
 
985
	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
-
 
986
	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
-
 
987
	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
-
 
988
	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
-
 
989
	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
-
 
990
	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
-
 
991
 
977
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
992
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
978
<Directory $DIR_ACC/awstats>
993
<Directory $DIR_ACC/awstats>
979
	SSLRequireSSL
994
	SSLRequireSSL
980
	Options ExecCGI
995
	Options ExecCGI
981
	AddHandler cgi-script .pl
996
	AddHandler cgi-script .pl
982
	DirectoryIndex awstats.pl
997
	DirectoryIndex awstats.pl
983
	Order deny,allow
998
	Order deny,allow
984
	Deny from all
999
	Deny from all
985
	Allow from 127.0.0.1
1000
	Allow from 127.0.0.1
986
	Allow from $PRIVATE_NETWORK_MASK
1001
	Allow from $PRIVATE_NETWORK_MASK
987
	require valid-user
1002
	require valid-user
988
	AuthType digest
1003
	AuthType digest
989
	AuthName $HOSTNAME
1004
	AuthName $HOSTNAME
990
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
1005
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
991
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
1006
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
992
	ErrorDocument 404 https://$PRIVATE_IP/
1007
	ErrorDocument 404 https://$HOSTNAME/
993
</Directory>
1008
</Directory>
994
SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
1009
SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
995
EOF
1010
EOF
996
} # End of param_awstats ()
1011
} # End of param_awstats ()
997
 
1012
 
998
##########################################################
1013
##########################################################
999
##		Fonction param_dnsmasq			##
1014
##		Fonction param_dnsmasq			##
1000
##########################################################
1015
##########################################################
1001
param_dnsmasq ()
1016
param_dnsmasq ()
1002
{
1017
{
1003
	[ -d /var/log/dnsmasq ] || mkdir /var/log/dnsmasq
1018
	[ -d /var/log/dnsmasq ] || mkdir /var/log/dnsmasq
1004
	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
1019
	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
1005
	[ -e /etc/dnsmasq.conf.default ] || cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
1020
	[ -e /etc/dnsmasq.conf.default ] || cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
1006
# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
1021
# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
1007
	cat << EOF > /etc/dnsmasq.conf 
1022
	cat << EOF > /etc/dnsmasq.conf 
1008
# Configuration file for "dnsmasq in forward mode"
1023
# Configuration file for "dnsmasq in forward mode"
1009
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
1024
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
1010
listen-address=$PRIVATE_IP
1025
listen-address=$PRIVATE_IP
1011
listen-address=127.0.0.1
1026
listen-address=127.0.0.1
1012
no-dhcp-interface=$INTIF
1027
no-dhcp-interface=$INTIF
1013
bind-interfaces
1028
bind-interfaces
1014
cache-size=256
1029
cache-size=256
1015
domain=$DOMAIN
1030
domain=$DOMAIN
1016
domain-needed
1031
domain-needed
1017
expand-hosts
1032
expand-hosts
1018
bogus-priv
1033
bogus-priv
1019
filterwin2k
1034
filterwin2k
1020
server=$DNS1
1035
server=$DNS1
1021
server=$DNS2
1036
server=$DNS2
1022
# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
1037
# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
1023
dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_MASK,12h
1038
dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_MASK,12h
1024
#dhcp-option=3,1.2.3.4
1039
#dhcp-option=3,1.2.3.4
1025
#dhcp-option=option:router,1.2.3.4
1040
#dhcp-option=option:router,1.2.3.4
1026
#dhcp-option=42,0.0.0.0
1041
#dhcp-option=42,0.0.0.0
1027
#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
1042
#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
1028
 
1043
 
1029
# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
1044
# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
1030
#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
1045
#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
1031
EOF
1046
EOF
1032
# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
1047
# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
1033
	cat << EOF > /etc/dnsmasq-blackhole.conf 
1048
	cat << EOF > /etc/dnsmasq-blackhole.conf 
1034
	# Configuration file for "dnsmasq with blackhole"
1049
	# Configuration file for "dnsmasq with blackhole"
1035
# Inclusion de la blacklist <domains> de Toulouse dans la configuration
1050
# Inclusion de la blacklist <domains> de Toulouse dans la configuration
1036
conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
1051
conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
1037
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
1052
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
1038
listen-address=$PRIVATE_IP
1053
listen-address=$PRIVATE_IP
1039
port=54
1054
port=54
1040
no-dhcp-interface=$INTIF
1055
no-dhcp-interface=$INTIF
1041
bind-interfaces
1056
bind-interfaces
1042
cache-size=256
1057
cache-size=256
1043
domain=$DOMAIN
1058
domain=$DOMAIN
1044
domain-needed
1059
domain-needed
1045
expand-hosts
1060
expand-hosts
1046
bogus-priv
1061
bogus-priv
1047
filterwin2k
1062
filterwin2k
1048
server=$DNS1
1063
server=$DNS1
1049
server=$DNS2
1064
server=$DNS2
1050
EOF
1065
EOF
1051
# On crée le fichier de résolution locale
1066
# On crée le fichier de résolution locale
1052
cat << EOF > $DIR_DEST_ETC/alcasar-dns-name
1067
cat << EOF > $DIR_DEST_ETC/alcasar-dns-name
1053
# Here you can define your local domain name
1068
# Here you can define your local domain name
1054
# use the /etc/hosts file to define your hosts name
1069
# use the /etc/hosts file to define your hosts name
1055
local=/$DOMAIN/
1070
local=/$DOMAIN/
1056
EOF
1071
EOF
1057
# On modifie le fichier d'initialisattion (lancement et arret de la deuxième instance)
1072
# On modifie le fichier d'initialisattion (lancement et arret de la deuxième instance)
1058
[ -e /etc/init.d/dnsmasq.default ] || cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
1073
[ -e /etc/init.d/dnsmasq.default ] || cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
1059
$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
1074
$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
1060
$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
1075
$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
1061
} # End dnsmasq
1076
} # End dnsmasq
1062
 
1077
 
1063
##########################################################
1078
##########################################################
1064
##		Fonction BL (BlackList)			##
1079
##		Fonction BL (BlackList)			##
1065
##########################################################
1080
##########################################################
1066
BL ()
1081
BL ()
1067
{
1082
{
1068
# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
1083
# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
1069
	rm -rf /etc/dansguardian/lists/blacklists
1084
	rm -rf /etc/dansguardian/lists/blacklists
1070
	tar zxf $DIR_CONF/blacklists.tar.gz --directory=/etc/dansguardian/lists/ 2>&1 >/dev/null
1085
	tar zxf $DIR_CONF/blacklists.tar.gz --directory=/etc/dansguardian/lists/ 2>&1 >/dev/null
1071
	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
1086
	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
1072
	chown apache:apache $DIR_ACC/VERSION-BL
1087
	chown apache:apache $DIR_ACC/VERSION-BL
1073
# on crée le répertoire de la BL secondaire
1088
# on crée le répertoire de la BL secondaire
1074
	mkdir /etc/dansguardian/lists/blacklists/ossi
1089
	mkdir /etc/dansguardian/lists/blacklists/ossi
1075
	touch /etc/dansguardian/lists/blacklists/ossi/domains
1090
	touch /etc/dansguardian/lists/blacklists/ossi/domains
1076
	touch /etc/dansguardian/lists/blacklists/ossi/urls
1091
	touch /etc/dansguardian/lists/blacklists/ossi/urls
1077
# On crée les fichiers vides de sites ou d'URL réhabilités
1092
# On crée les fichiers vides de sites ou d'URL réhabilités
1078
	[ -e /etc/dansguardian/lists/exceptionsitelist.default ] || mv /etc/dansguardian/lists/exceptionsitelist  /etc/dansguardian/lists/exceptionsitelist.default
1093
	[ -e /etc/dansguardian/lists/exceptionsitelist.default ] || mv /etc/dansguardian/lists/exceptionsitelist  /etc/dansguardian/lists/exceptionsitelist.default
1079
	[ -e /etc/dansguardian/lists/exceptionurllist.default ] || mv /etc/dansguardian/lists/exceptionurllist  /etc/dansguardian/lists/exceptionurllist.default
1094
	[ -e /etc/dansguardian/lists/exceptionurllist.default ] || mv /etc/dansguardian/lists/exceptionurllist  /etc/dansguardian/lists/exceptionurllist.default
1080
	touch /etc/dansguardian/lists/exceptionsitelist
1095
	touch /etc/dansguardian/lists/exceptionsitelist
1081
	touch /etc/dansguardian/lists/exceptionurllist
1096
	touch /etc/dansguardian/lists/exceptionurllist
1082
# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
1097
# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
1083
	cat <<EOF > /etc/dansguardian/lists/bannedurllist
1098
	cat <<EOF > /etc/dansguardian/lists/bannedurllist
1084
# Dansguardian filter config for ALCASAR
1099
# Dansguardian filter config for ALCASAR
1085
EOF
1100
EOF
1086
	cat <<EOF > /etc/dansguardian/lists/bannedsitelist
1101
	cat <<EOF > /etc/dansguardian/lists/bannedsitelist
1087
# Dansguardian domain filter config for ALCASAR
1102
# Dansguardian domain filter config for ALCASAR
1088
# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
1103
# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
1089
#**
1104
#**
1090
# block all SSL and CONNECT tunnels
1105
# block all SSL and CONNECT tunnels
1091
**s
1106
**s
1092
# block all SSL and CONNECT tunnels specified only as an IP
1107
# block all SSL and CONNECT tunnels specified only as an IP
1093
*ips
1108
*ips
1094
# block all sites specified only by an IP
1109
# block all sites specified only by an IP
1095
*ip
1110
*ip
1096
EOF
1111
EOF
1097
	chown -R dansguardian:apache /etc/dansguardian/
1112
	chown -R dansguardian:apache /etc/dansguardian/
1098
	chmod -R g+rw /etc/dansguardian
1113
	chmod -R g+rw /etc/dansguardian
1099
# On crée la structure du DNS-blackhole :
1114
# On crée la structure du DNS-blackhole :
1100
  	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1115
  	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1101
	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1116
	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1102
	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1117
	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
1103
# On fait pointer le black-hole sur une page interne
1118
# On fait pointer le black-hole sur une page interne
1104
	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
1119
	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
1105
# On récupère la dernière version de la BL Toulouse
1120
# On récupère la dernière version de la BL Toulouse
1106
	$DIR_DEST_SBIN/alcasar-bl.sh --download
1121
	$DIR_DEST_SBIN/alcasar-bl.sh --download
1107
}
1122
}
1108
 
1123
 
1109
##########################################################
1124
##########################################################
1110
##		Fonction cron				##
1125
##		Fonction cron				##
1111
## - Mise en place des différents fichiers de cron	##
1126
## - Mise en place des différents fichiers de cron	##
1112
##########################################################
1127
##########################################################
1113
cron ()
1128
cron ()
1114
{
1129
{
1115
# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
1130
# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
1116
	[ -e /etc/crontab.default ] || cp /etc/crontab /etc/crontab.default
1131
	[ -e /etc/crontab.default ] || cp /etc/crontab /etc/crontab.default
1117
	cat <<EOF > /etc/crontab
1132
	cat <<EOF > /etc/crontab
1118
SHELL=/bin/bash
1133
SHELL=/bin/bash
1119
PATH=/sbin:/bin:/usr/sbin:/usr/bin
1134
PATH=/sbin:/bin:/usr/sbin:/usr/bin
1120
MAILTO=root
1135
MAILTO=root
1121
HOME=/
1136
HOME=/
1122
 
1137
 
1123
# run-parts
1138
# run-parts
1124
01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
1139
01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
1125
02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
1140
02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
1126
22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
1141
22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
1127
42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
1142
42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
1128
EOF
1143
EOF
1129
	[ -e /etc/anacrontab.default ] || cp /etc/anacrontab /etc/anacrontab.default
1144
	[ -e /etc/anacrontab.default ] || cp /etc/anacrontab /etc/anacrontab.default
1130
	cat <<EOF >> /etc/anacrontab
1145
	cat <<EOF >> /etc/anacrontab
1131
7       10      cron.logExport          nice /etc/cron.d/export_log
1146
7       10      cron.logExport          nice /etc/cron.d/export_log
1132
7       15      cron.logClean           nice /etc/cron.d/clean_log
1147
7       15      cron.logClean           nice /etc/cron.d/clean_log
1133
7	20	cron.importClean	nice /etc/cron.d/clean_import
1148
7	20	cron.importClean	nice /etc/cron.d/clean_import
1134
EOF
1149
EOF
1135
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1150
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
1136
	cat <<EOF > /etc/cron.d/clean_log
1151
	cat <<EOF > /etc/cron.d/clean_log
1137
30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
1152
30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
1138
EOF
1153
EOF
1139
# export de la base des usagers (tous les lundi à 4h45)
1154
# export de la base des usagers (tous les lundi à 4h45)
1140
	cat <<EOF > /etc/cron.d/mysql
1155
	cat <<EOF > /etc/cron.d/mysql
1141
45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh -dump
1156
45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh -dump
1142
EOF
1157
EOF
1143
# export des log squid, firewall et apache (tous les lundi à 5h00)
1158
# export des log squid, firewall et apache (tous les lundi à 5h00)
1144
	cat <<EOF > /etc/cron.d/export_log
1159
	cat <<EOF > /etc/cron.d/export_log
1145
#!/bin/sh
1160
#!/bin/sh
1146
00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
1161
00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
1147
EOF
1162
EOF
1148
# mise à jour des stats de consultation WEB toutes les 30'  ## existe en double pour le daily sans l'@IP
1163
# mise à jour des stats de consultation WEB toutes les 30'  ## existe en double pour le daily sans l'@IP
1149
# sans mèl ( > /dev/null 2>&1)
1164
# sans mèl ( > /dev/null 2>&1)
1150
	cat << EOF > /etc/cron.d/awstats
1165
	cat << EOF > /etc/cron.d/awstats
1151
*/30 * * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1166
*/30 * * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
1152
EOF
1167
EOF
1153
# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
1168
# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
1154
	cat << EOF > /etc/cron.d/clean_import
1169
	cat << EOF > /etc/cron.d/clean_import
1155
30 * * * *  root $DIR_DEST_BIN/alcasar-import-clean.sh
1170
30 * * * *  root $DIR_DEST_BIN/alcasar-import-clean.sh
1156
EOF
1171
EOF
1157
# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
1172
# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
1158
# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
1173
# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
1159
# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct') 
1174
# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct') 
1160
# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
1175
# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
1161
# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
1176
# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
1162
# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
1177
# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
1163
	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
1178
	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
1164
	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
1179
	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
1165
	rm -f /etc/cron.daily/freeradius-web
1180
	rm -f /etc/cron.daily/freeradius-web
1166
	rm -f /etc/cron.monthly/freeradius-web
1181
	rm -f /etc/cron.monthly/freeradius-web
1167
	cat << EOF > /etc/cron.d/freeradius-web
1182
	cat << EOF > /etc/cron.d/freeradius-web
1168
1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
1183
1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
1169
5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
1184
5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
1170
10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
1185
10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
1171
15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
1186
15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
1172
EOF
1187
EOF
1173
# activation du "chien de garde" (watchdog) toutes les 3'
1188
# activation du "chien de garde" (watchdog) toutes les 3'
1174
	cat << EOF > /etc/cron.d/watchdog
1189
	cat << EOF > /etc/cron.d/watchdog
1175
*/3 * * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
1190
*/3 * * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
1176
EOF
1191
EOF
1177
# suppression des crons usagers
1192
# suppression des crons usagers
1178
	rm -f /var/spool/cron/*
1193
	rm -f /var/spool/cron/*
1179
} # End cron
1194
} # End cron
1180
 
1195
 
1181
##################################################################
1196
##################################################################
1182
##			Fonction post_install			##
1197
##			Fonction post_install			##
1183
## - Modification des bannières (locales et ssh) et des prompts ##
1198
## - Modification des bannières (locales et ssh) et des prompts ##
1184
## - Installation de la structure de chiffrement pour root	##
1199
## - Installation de la structure de chiffrement pour root	##
1185
## - Mise en place du sudoers et de la sécurité sur les fichiers##
1200
## - Mise en place du sudoers et de la sécurité sur les fichiers##
1186
## - Mise en place du la rotation des logs			##
1201
## - Mise en place du la rotation des logs			##
1187
## - Configuration dans le cas d'une mise à jour		##
1202
## - Configuration dans le cas d'une mise à jour		##
1188
##################################################################
1203
##################################################################
1189
post_install()
1204
post_install()
1190
{
1205
{
1191
# adaptation du script "chien de garde" (watchdog)
1206
# adaptation du script "chien de garde" (watchdog)
1192
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1207
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1193
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1208
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1194
	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1209
	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
1195
# création de la bannière locale
1210
# création de la bannière locale
1196
	[ -e /etc/mandriva-release.default ]  || cp /etc/mandriva-release /etc/mandriva-release.default
1211
	[ -e /etc/mandriva-release.default ]  || cp /etc/mandriva-release /etc/mandriva-release.default
1197
cat <<EOF > /etc/mandriva-release
1212
cat <<EOF > /etc/mandriva-release
1198
 Bienvenue sur $HOSTNAME
1213
 Bienvenue sur $HOSTNAME
1199
 
1214
 
1200
EOF
1215
EOF
1201
# création de la bannière SSH
1216
# création de la bannière SSH
1202
	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
1217
	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
1203
	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1218
	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
1204
	[ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
1219
	[ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
1205
	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1220
	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1206
	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1221
	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
1207
# sshd écoute côté LAN
1222
# sshd écoute côté LAN
1208
	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
1223
	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
1209
# sshd n'est pas lancé automatiquement au démarrage
1224
# sshd n'est pas lancé automatiquement au démarrage
1210
	/sbin/chkconfig --del sshd
1225
	/sbin/chkconfig --del sshd
1211
# Coloration des prompts
1226
# Coloration des prompts
1212
	[ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default
1227
	[ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default
1213
	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
1228
	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
1214
# Droits d'exécution pour utilisateur apache et sysadmin
1229
# Droits d'exécution pour utilisateur apache et sysadmin
1215
	[ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default
1230
	[ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default
1216
	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
1231
	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
1217
	$SED "s?^Host_Alias.*?Host_Alias	LAN_ORG=$PRIVATE_NETWORK_MASK,localhost		#réseau de l'organisme?g" /etc/sudoers
1232
	$SED "s?^Host_Alias.*?Host_Alias	LAN_ORG=$PRIVATE_NETWORK_MASK,localhost		#réseau de l'organisme?g" /etc/sudoers
1218
# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1233
# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
1219
	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
1234
	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
1220
	chmod 644 /etc/logrotate.d/*
1235
	chmod 644 /etc/logrotate.d/*
1221
# processus lancés par défaut au démarrage
1236
# processus lancés par défaut au démarrage
1222
	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd mysqld dansguardian havp freshclam
1237
	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd mysqld dansguardian havp freshclam
1223
	do
1238
	do
1224
		/sbin/chkconfig --add $i
1239
		/sbin/chkconfig --add $i
1225
	done
1240
	done
1226
# pour éviter les alertes de dépendance avec le service 'netfs'.
1241
# pour éviter les alertes de dépendance avec le service 'netfs'.
1227
	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
1242
	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
1228
	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
1243
	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
1229
# On affecte le niveau de sécurité du système : type "fileserver"
1244
# On affecte le niveau de sécurité du système : type "fileserver"
1230
	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
1245
	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
1231
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
1246
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
1232
	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
1247
	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
1233
 
1248
 
1234
# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
1249
# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
1235
# Apply French Security Agency rules (sysctl + msec when possible)
1250
# Apply French Security Agency rules (sysctl + msec when possible)
1236
# ignorer les broadcast ICMP. (attaque smurf) 
1251
# ignorer les broadcast ICMP. (attaque smurf) 
1237
$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
1252
$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
1238
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
1253
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
1239
# ignorer les erreurs ICMP bogus
1254
# ignorer les erreurs ICMP bogus
1240
$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
1255
$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
1241
sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
1256
sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
1242
# désactiver l’envoi et la réponse aux ICMP redirects
1257
# désactiver l’envoi et la réponse aux ICMP redirects
1243
accept_redirect=`grep accept_redirect /etc/sysctl.conf|wc -l`
1258
accept_redirect=`grep accept_redirect /etc/sysctl.conf|wc -l`
1244
	if [ "$accept_redirect" == "0" ]
1259
	if [ "$accept_redirect" == "0" ]
1245
	then
1260
	then
1246
	      echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
1261
	      echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
1247
	fi
1262
	fi
1248
send_redirect=`grep send_redirect /etc/sysctl.conf|wc -l`
1263
send_redirect=`grep send_redirect /etc/sysctl.conf|wc -l`
1249
	if [ "$send_redirect" == "0" ]
1264
	if [ "$send_redirect" == "0" ]
1250
	then
1265
	then
1251
	      echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
1266
	      echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
1252
	fi
1267
	fi
1253
$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
1268
$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
1254
$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
1269
$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
1255
sysctl -w net.ipv4.conf.all.accept_redirects=0
1270
sysctl -w net.ipv4.conf.all.accept_redirects=0
1256
sysctl -w net.ipv4.conf.all.send_redirects=0
1271
sysctl -w net.ipv4.conf.all.send_redirects=0
1257
# activer les SYN Cookies (attaque syn flood)
1272
# activer les SYN Cookies (attaque syn flood)
1258
tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf|wc -l`
1273
tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf|wc -l`
1259
	if [ "$tcp_syncookies" == "0" ]
1274
	if [ "$tcp_syncookies" == "0" ]
1260
	then
1275
	then
1261
	      echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
1276
	      echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
1262
	fi
1277
	fi
1263
$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
1278
$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
1264
sysctl -w net.ipv4.tcp_syncookies=1
1279
sysctl -w net.ipv4.tcp_syncookies=1
1265
# activer l’antispoofing niveau Noyau
1280
# activer l’antispoofing niveau Noyau
1266
$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
1281
$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
1267
sysctl -w net.ipv4.conf.all.rp_filter=1
1282
sysctl -w net.ipv4.conf.all.rp_filter=1
1268
# ignorer le source routing
1283
# ignorer le source routing
1269
accept_source_route=`grep accept_source_route /etc/sysctl.conf|wc -l`
1284
accept_source_route=`grep accept_source_route /etc/sysctl.conf|wc -l`
1270
	if [ "$accept_source_route" == "0" ]
1285
	if [ "$accept_source_route" == "0" ]
1271
	then
1286
	then
1272
	      echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
1287
	      echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
1273
	fi
1288
	fi
1274
$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
1289
$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
1275
sysctl -w net.ipv4.conf.all.accept_source_route=0
1290
sysctl -w net.ipv4.conf.all.accept_source_route=0
1276
# On supprime les log_martians (ALCASAR est souvent entre deux réseaux dont les plans d'adressage sont de type 'privée') 
1291
# On supprime les log_martians (ALCASAR est souvent entre deux réseaux dont les plans d'adressage sont de type 'privée') 
1277
sysctl -w net.ipv4.conf.all.log_martians=0
1292
sysctl -w net.ipv4.conf.all.log_martians=0
1278
$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
1293
$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
1279
 
1294
 
1280
# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
1295
# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
1281
	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1296
	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
1282
# On mets en place la sécurité sur les fichiers
1297
# On mets en place la sécurité sur les fichiers
1283
# des modif par rapport à radius update
1298
# des modif par rapport à radius update
1284
	cat <<EOF > /etc/security/msec/perm.local
1299
	cat <<EOF > /etc/security/msec/perm.local
1285
/var/log/firewall/			root.apache	750
1300
/var/log/firewall/			root.apache	750
1286
/var/log/firewall/*			root.apache	640
1301
/var/log/firewall/*			root.apache	640
1287
/etc/security/msec/perm.local		root.root	640
1302
/etc/security/msec/perm.local		root.root	640
1288
/etc/security/msec/level.local		root.root	640
1303
/etc/security/msec/level.local		root.root	640
1289
/etc/freeradius-web			root.apache	750
1304
/etc/freeradius-web			root.apache	750
1290
/etc/freeradius-web/admin.conf		root.apache	640
1305
/etc/freeradius-web/admin.conf		root.apache	640
1291
/etc/freeradius-web/config.php		root.apache	640
1306
/etc/freeradius-web/config.php		root.apache	640
1292
/etc/raddb/dictionnary			root.radius	640
1307
/etc/raddb/dictionnary			root.radius	640
1293
/etc/raddb/ldap.attrmap			root.radius	640
1308
/etc/raddb/ldap.attrmap			root.radius	640
1294
/etc/raddb/hints			root.radius	640
1309
/etc/raddb/hints			root.radius	640
1295
/etc/raddb/huntgroups			root.radius	640
1310
/etc/raddb/huntgroups			root.radius	640
1296
/etc/raddb/attrs.access_reject		root.radius	640
1311
/etc/raddb/attrs.access_reject		root.radius	640
1297
/etc/raddb/attrs.accounting_response	root.radius	640
1312
/etc/raddb/attrs.accounting_response	root.radius	640
1298
/etc/raddb/acct_users			root.radius	640
1313
/etc/raddb/acct_users			root.radius	640
1299
/etc/raddb/preproxy_users		root.radius	640
1314
/etc/raddb/preproxy_users		root.radius	640
1300
/etc/raddb/modules/ldap			radius.apache	660
1315
/etc/raddb/modules/ldap			radius.apache	660
1301
/etc/raddb/sites-available/alcasar	radius.apache	660
1316
/etc/raddb/sites-available/alcasar	radius.apache	660
1302
/etc/pki/*				root.apache	750
1317
/etc/pki/*				root.apache	750
1303
EOF
1318
EOF
1304
	/usr/sbin/msec
1319
	/usr/sbin/msec
1305
# modification /etc/inittab
1320
# modification /etc/inittab
1306
	[ -e /etc/inittab.default ] || cp /etc/inittab /etc/inittab.default
1321
	[ -e /etc/inittab.default ] || cp /etc/inittab /etc/inittab.default
1307
# On ne garde que 3 terminaux
1322
# On ne garde que 3 terminaux
1308
	$SED "s?^4.*?#&?g" /etc/inittab
1323
	$SED "s?^4.*?#&?g" /etc/inittab
1309
	$SED "s?^5.*?#&?g" /etc/inittab
1324
	$SED "s?^5.*?#&?g" /etc/inittab
1310
	$SED "s?^6.*?#&?g" /etc/inittab
1325
	$SED "s?^6.*?#&?g" /etc/inittab
1311
# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
1326
# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
1312
$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
1327
$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
1313
$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
1328
$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
1314
# On supprime les services et les utilisateurs inutiles
1329
# On supprime les services et les utilisateurs inutiles
1315
for svc in alsa sound dm atd netfs bootlogd stop-bootlogd
1330
for svc in alsa sound dm atd netfs bootlogd stop-bootlogd
1316
do
1331
do
1317
	/sbin/chkconfig --del $svc
1332
	/sbin/chkconfig --del $svc
1318
done
1333
done
1319
for rm_users in avahi-autoipd avahi icapd
1334
for rm_users in avahi-autoipd avahi icapd
1320
do
1335
do
1321
	user=`cat /etc/passwd|grep $rm_users|cut -d":" -f1`
1336
	user=`cat /etc/passwd|grep $rm_users|cut -d":" -f1`
1322
	if [ "$user" == "$rm_users" ]
1337
	if [ "$user" == "$rm_users" ]
1323
	then
1338
	then
1324
		/usr/sbin/userdel -f $rm_users
1339
		/usr/sbin/userdel -f $rm_users
1325
	fi
1340
	fi
1326
done
1341
done
1327
# dans le cas d'une mise à jour, on charge la conf d'une version précédente
1342
# dans le cas d'une mise à jour, on charge la conf d'une version précédente
1328
if [ "$mode" = "update" ]
1343
if [ "$mode" = "update" ]
1329
then
1344
then
1330
	$DIR_DEST_BIN/alcasar-conf.sh --load
1345
	$DIR_DEST_BIN/alcasar-conf.sh --load
1331
fi
1346
fi
1332
chown -R root:apache $DIR_DEST_ETC/*
1347
chown -R root:apache $DIR_DEST_ETC/*
1333
chmod -R 660 $DIR_DEST_ETC/*
1348
chmod -R 660 $DIR_DEST_ETC/*
1334
chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1349
chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
1335
	cd $DIR_INSTALL
1350
	cd $DIR_INSTALL
1336
	echo ""
1351
	echo ""
1337
	echo "#############################################################################"
1352
	echo "#############################################################################"
1338
	echo "#                        Fin d'installation d'ALCASAR                       #"
1353
	echo "#                        Fin d'installation d'ALCASAR                       #"
1339
	echo "#                                                                           #"
1354
	echo "#                                                                           #"
1340
	echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1355
	echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
1341
	echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1356
	echo "#                     des Accès au Réseau ( ALCASAR )                       #"
1342
	echo "#                                                                           #"
1357
	echo "#                                                                           #"
1343
	echo "#############################################################################"
1358
	echo "#############################################################################"
1344
	echo
1359
	echo
1345
	echo "- ALCASAR sera fonctionnel après redémarrage du système"
1360
	echo "- ALCASAR sera fonctionnel après redémarrage du système"
1346
	echo
1361
	echo
1347
	echo "- Lisez attentivement la documentation d'exploitation"
1362
	echo "- Lisez attentivement la documentation d'exploitation"
1348
	echo
1363
	echo
1349
	echo "- L'interface de gestion est consultable à partir de n'importe quel poste"
1364
	echo "- L'interface de gestion est consultable à partir de n'importe quel poste"
1350
	echo "	situé sur le réseau de consultation à l'URL http://alcasar"
1365
	echo "	situé sur le réseau de consultation à l'URL http://alcasar"
1351
	echo "					 ou à l'URL http://$PRIVATE_IP"
-
 
1352
	echo
1366
	echo
1353
	echo "                   Appuyez sur 'Entrée' pour continuer"
1367
	echo "                   Appuyez sur 'Entrée' pour continuer"
1354
	read a
1368
	read a
1355
# On applique les règles de filtrage (et on les sauvegarde)
1369
# On applique les règles de filtrage (et on les sauvegarde)
1356
 	sh $DIR_DEST_BIN/alcasar-iptables.sh
1370
 	sh $DIR_DEST_BIN/alcasar-iptables.sh
1357
	sleep 2
1371
	sleep 2
1358
	clear
1372
	clear
1359
	reboot
1373
	reboot
1360
} # End post_install ()
1374
} # End post_install ()
1361
 
1375
 
1362
#################################
1376
#################################
1363
#  Boucle principale du script  #
1377
#  Boucle principale du script  #
1364
#################################
1378
#################################
1365
usage="Usage: alcasar.sh {-i or --install} | {-u or --uninstall}"
1379
usage="Usage: alcasar.sh {-i or --install} | {-u or --uninstall}"
1366
nb_args=$#
1380
nb_args=$#
1367
args=$1
1381
args=$1
1368
if [ $nb_args -eq 0 ]
1382
if [ $nb_args -eq 0 ]
1369
then
1383
then
1370
	nb_args=1
1384
	nb_args=1
1371
	args="-h"
1385
	args="-h"
1372
fi
1386
fi
1373
case $args in
1387
case $args in
1374
	-\? | -h* | --h*)
1388
	-\? | -h* | --h*)
1375
		echo "$usage"
1389
		echo "$usage"
1376
		exit 0
1390
		exit 0
1377
		;;
1391
		;;
1378
	-i | --install)
1392
	-i | --install)
1379
		header_install
1393
		header_install
1380
		testing
1394
		testing
1381
# On teste la présence d'une version déjà installée
1395
# On teste la présence d'une version déjà installée
1382
		if [ -e $DIR_WEB/VERSION ]
1396
		if [ -e $DIR_WEB/VERSION ]
1383
		then
1397
		then
1384
			actual_version=`cat $DIR_WEB/VERSION`
1398
			actual_version=`cat $DIR_WEB/VERSION`
1385
			echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
1399
			echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
1386
			echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
1400
			echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
1387
			response=0
1401
			response=0
1388
			PTN='^[oOnNyY]$'
1402
			PTN='^[oOnNyY]$'
1389
			until [ $(expr $response : $PTN) -gt 0 ]
1403
			until [[ $(expr $response : $PTN) -gt 0 ]]
1390
			do
1404
			do
1391
				echo "Voulez-vous effectuer une mise à jour (O/n)? ";
1405
				echo "Voulez-vous effectuer une mise à jour (O/n)? ";
1392
				echo -n "Do you want to update (Y/n)?";
1406
				echo -n "Do you want to update (Y/n)?";
1393
				read response
1407
				read response
1394
			done
1408
			done
1395
			if [ "$response" = "o" ] || [ "$response" = "O" ] || [ "$response" = "y" ] || [ "$response" = "Y" ]
1409
			if [ "$response" = "o" ] || [ "$response" = "O" ] || [ "$response" = "y" ] || [ "$response" = "Y" ]
1396
			then
1410
			then
1397
				RUNNING_VERSION=`cat $DIR_WEB/VERSION|cut -d" " -f1`
1411
				RUNNING_VERSION=`cat $DIR_WEB/VERSION|cut -d" " -f1`
1398
				MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f1`
1412
				MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f1`
1399
				MIN_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f2|cut -c1`
1413
				MIN_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f2|cut -c1`
1400
				UPD_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f3`
1414
				UPD_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f3`
1401
# On crée le fichier de conf de la version actuelle
1415
# On crée le fichier de conf de la version actuelle
1402
				chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
1416
				chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
1403
				$DIR_SCRIPTS/alcasar-conf.sh --create
1417
				$DIR_SCRIPTS/alcasar-conf.sh --create
1404
				mode="update"
1418
				mode="update"
1405
			fi
1419
			fi
1406
		fi
1420
		fi
1407
# System update - rpms install
1421
# System update - rpms install
1408
	$DIR_SCRIPTS/alcasar-urpmi.sh
1422
	$DIR_SCRIPTS/alcasar-urpmi.sh
1409
	if [ "$?" != "0" ]
1423
	if [ "$?" != "0" ]
1410
	then
1424
	then
1411
		exit 0
1425
		exit 0
1412
	fi
1426
	fi
1413
	if [ -e /tmp/alcasar-conf.tar.gz ]
1427
	if [ -e /tmp/alcasar-conf.tar.gz ]
1414
		then
1428
		then
1415
			echo "#### Installation avec mise à jour ####"
1429
			echo "#### Installation avec mise à jour ####"
1416
			echo "#### Installation with update     ####"
1430
			echo "#### Installation with update     ####"
1417
# On désinstalle la version actuelle
1431
# On désinstalle la version actuelle
1418
			$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1432
			$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1419
# On récupère le nom d'organisme à partir de fichier de conf
1433
# On récupère le nom d'organisme à partir de fichier de conf
1420
			tar -xvf /tmp/alcasar-conf.tar.gz conf/organisme 
1434
			tar -xvf /tmp/alcasar-conf.tar.gz conf/organisme 
1421
			ORGANISME=`cat $DIR_CONF/organisme`
1435
			ORGANISME=`cat $DIR_CONF/organisme`
1422
			mode="update"
1436
			mode="update"
1423
		else
1437
		else
1424
			mode="install"
1438
			mode="install"
1425
		fi
1439
		fi
1426
		for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus firewall param_ulogd param_awstats param_dnsmasq BL cron post_install
1440
		for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus firewall param_ulogd param_awstats param_dnsmasq BL cron post_install
1427
 
1441
 
1428
		do
1442
		do
1429
			$func
1443
			$func
1430
# echo "*** 'debug' : end of function $func ***"; read a
1444
 # echo "*** 'debug' : end of function $func ***"; read a
1431
		done
1445
		done
1432
		;;
1446
		;;
1433
	-u | --uninstall)
1447
	-u | --uninstall)
1434
		if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1448
		if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
1435
		then
1449
		then
1436
			echo "Aucune version d'ALCASAR n'a été trouvée.";
1450
			echo "Aucune version d'ALCASAR n'a été trouvée.";
1437
			exit 0
1451
			exit 0
1438
		fi
1452
		fi
1439
		response=0
1453
		response=0
1440
		PTN='^[oOnN]$'
1454
		PTN='^[oOnN]$'
1441
		until [ $(expr $response : $PTN) -gt 0 ]
1455
		until [[ $(expr $response : $PTN) -gt 0 ]]
1442
		do
1456
		do
1443
			echo -n "Voulez-vous créer le fichier de conf de la version actuelle (0/n)? "
1457
			echo -n "Voulez-vous créer le fichier de conf de la version actuelle (0/n)? "
1444
			read response
1458
			read response
1445
		done
1459
		done
1446
		if [ "$reponse" = "o" ] || [ "$reponse" = "O" ]
1460
		if [ "$reponse" = "o" ] || [ "$reponse" = "O" ]
1447
		then
1461
		then
1448
			$DIR_SCRIPT/alcasar-conf.sh --create
1462
			$DIR_SCRIPT/alcasar-conf.sh --create
1449
		else	
1463
		else	
1450
			rm -f /tmp/alcasar-conf*
1464
			rm -f /tmp/alcasar-conf*
1451
		fi
1465
		fi
1452
# On désinstalle la version actuelle
1466
# On désinstalle la version actuelle
1453
		$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1467
		$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
1454
		;;
1468
		;;
1455
	*)
1469
	*)
1456
		echo "Argument inconnu :$1";
1470
		echo "Argument inconnu :$1";
1457
		echo "Unknown argument :$1";
1471
		echo "Unknown argument :$1";
1458
		echo "$usage"
1472
		echo "$usage"
1459
		exit 1
1473
		exit 1
1460
		;;
1474
		;;
1461
esac
1475
esac
1462
# end of script
1476
# end of script
1463
 
1477
 
1464
 
1478