WebSVN – ALCASAR – Diff – /alcasar.sh


#!/bin/sh
#  $Id: alcasar.sh 595 2011-05-04 21:51:30Z richard $ 
 
# alcasar.sh
# by Franck BOUIJOUX, Pascal LEVANT and Richard REY
# This script is distributed under the Gnu General Public License (GPL)
 
# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)
# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
 
# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :
# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, dialupadmin, awstat, ntpd, openssl, dnsmasq, havp, libclamav  and firewalleyes
 
# Options :
#       -i or --install
#       -u or --uninstall
 
# Functions :
#	testing		: Tests de connectivité et de téléchargement avant installation
#	init		: Installation des RPM et des scripts
#	network		: Paramètrage du réseau
#	gestion		: Installation de l'interface de gestion
#	AC		: Initialisation de l'autorité de certification. Création des certificats
#	init_db		: Création de la base 'radius' sur le serveur MySql
#	param_radius	: Configuration du serveur d'authentification FreeRadius
#	param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)
#	param_chilli	: Configuration du daemon 'coova-chilli' et de la page d'authentification
#	param_squid	: Configuration du proxy squid en mode 'cache'
#	param_dansguardian : Configuration de l'analyseur de contenu DansGuardian
#	antivirus	: Installation havp + libclamav
#	firewall	: Mise en place des règles du parefeu et de l'interface WEB FirewallEyes
#	param_awstats	: Configuration de l'interface des statistiques de consultation WEB
#	dnsmasq		: Configuration du serveur de noms et du serveur dhcp de secours
#	BL		: Configuration de la BlackList
#	cron		: Mise en place des exports de logs (+ chiffrement)
#	post_install	: Finalisation environnement ( sécurité, bannières, rotation logs, ...)
 
VERSION=`cat VERSION`
DATE=`date '+%d %B %Y - %Hh%M'`
DATE_SHORT=`date '+%d/%m/%Y'`
Lang=`echo $LANG|cut -c 1-2`
# ******* Files parameters - paramètres fichiers *********
DIR_INSTALL=`pwd`				# répertoire d'installation
DIR_CONF="$DIR_INSTALL/conf"			# répertoire d'installation contenant les fichiers de configuration
DIR_SCRIPTS="$DIR_INSTALL/scripts"		# répertoire d'installation contenant les scripts
DIR_SAVE="/var/Save"				# répertoire de sauvegarde (ISO, backup, etc.)
DIR_WEB="/var/www/html"				# répertoire racine APACHE
DIR_ACC="$DIR_WEB/acc"				# répertoire du centre de gestion 'ALCASAR Control Center'
DIR_DEST_BIN="/usr/local/bin"			# répertoire des scripts
DIR_DEST_SBIN="/usr/local/sbin"			# répertoire des scripts d'admin
DIR_DEST_ETC="/usr/local/etc"			# répertoire des fichiers de conf
FIC_PARAM="/root/ALCASAR-parameters.txt"	# fichier texte résumant les paramètres d'installation
FIC_PASSWD="/root/ALCASAR-passwords.txt"	# fichier texte contenant les mots de passe et secrets partagés 
# ******* DBMS parameters - paramètres SGBD ********
DB_RADIUS="radius"				# nom de la base de données utilisée par le serveur FreeRadius
DB_USER="radius"				# nom de l'utilisateur de la base de données
# ******* Network parameters - paramètres réseau *******
HOSTNAME="alcasar"				# 
DOMAIN="localdomain"				# domaine local
EXTIF="eth0"					# ETH0 est l'interface connectée à Internet (Box FAI)
INTIF="eth1"					# ETH1 est l'interface connectée au réseau local de consultation
DEFAULT_PRIVATE_NETWORK_MASK="192.168.182.0/24"	# adresse du réseau de consultation proposée par défaut
 
# ****** Paths - chemin des commandes *******
SED="/bin/sed -i"
# ****************** End of global parameters *********************
 
header_install ()
{
	clear
	echo "-----------------------------------------------------------------------------"
	echo "                     ALCASAR V$VERSION Installation"
	echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"
	echo "-----------------------------------------------------------------------------"
} # End of header_install ()
 
##################################################################
##			Fonction TESTING			##
## - Test de la connectivité Internet				##
##################################################################
testing ()
{
	if [ $Lang == "fr" ]
		then echo -n "Tests des paramètres réseau :"
		else echo -n "Network parameters tests : "
	fi
# We test the Ethernet links state
	for i in $EXTIF $INTIF
	do
		/sbin/ip link set $i up
		sleep 3
		if [ "`/usr/sbin/ethtool $i|grep Link|cut -d' ' -f3`" != "yes" ]
			then
			if [ $Lang == "fr" ]
			then 
				echo "Échec"
				echo "Le lien réseau de la carte $i n'est pas actif."
				echo "Réglez ce problème puis relancez ce script."
			else
				echo "Failed"
				echo "The link state of $i interface id down."
				echo "Resolv this problem, then restart this script."
			fi
			exit 0
		fi
	echo -n "."
	done
# On teste la présence d'un routeur par défaut (Box FAI)
	if [ `/sbin/route -n|grep -c ^0.0.0.0` -ne "1" ] ; then
		if [ $Lang == "fr" ]
		then 
			echo "Échec"
			echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."
			echo "Réglez ce problème puis relancez ce script."
		else
			echo "Failed"
			echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"
			echo "Resolv this problem, then restart this script."
		fi
		exit 0
	fi
	echo -n "."
# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)
	if [ `/sbin/route -n|grep ^0.0.0.0|grep -c eth1` -eq "1" ] ; then
		if [ $Lang == "fr" ]
			then echo "La configuration des cartes réseau va être corrigée."
			else echo "The Ethernet card configuration will be corrected."
		fi
		/etc/init.d/network stop
		mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0
		$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0
		/etc/init.d/network start
		echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
		sleep 2
		if [ $Lang == "fr" ]
			then echo "Configuration corrigée"
			else echo "Configuration updated"
		fi
		sleep 2
		if [ $Lang == "fr" ]
			then echo "Vous pouvez relancer ce script."
			else echo "You can restart this script."
		fi
		exit 0
	fi
	echo -n "."
# On test le lien vers le routeur par default
	IP_GW=`ip route list|grep ^default|cut -d" " -f3`
	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW|grep response|cut -d" " -f2`
	if [ $(expr $arp_reply) -eq 0 ]
	       	then
		if [ $Lang == "fr" ]
		then 
			echo "Échec"
			echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."
			echo "Réglez ce problème puis relancez ce script."
		else
			echo "Failed"
			echo "The Internet gateway doesn't answered"
			echo "Resolv this problem, then restart this script."
		fi
		exit 0
	fi
	echo -n "."
# On teste la connectivité Internet
	rm -rf /tmp/con_ok.html
	/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html
	if [ ! -e /tmp/con_ok.html ]
	then
		if [ $Lang == "fr" ]
		then 
			echo "La tentative de connexion vers Internet a échoué (google.fr)."
			echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."
			echo "Vérifiez la validité des adresses IP des DNS."
		else
			echo "The Internet connection try failed (google.fr)."
			echo "Please, verify that the $EXTIF card is connected with the Internet gateway."
			echo "Verify the DNS IP addresses"
		fi
		exit 0
	fi
	rm -rf /tmp/con_ok.html
	echo ". : ok"
} # end of testing
 
##################################################################
##			Fonction INIT				##
## - Création du fichier "/root/ALCASAR_parametres.txt"		##
## - Installation et modification des scripts du portail	##
##################################################################
init ()
{
	if [ "$mode" != "update" ]
	then
# On affecte le nom d'organisme
		ORGANISME=!
		PTN='^[a-zA-Z0-9-]*$'
		until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]
                do
			if [ $Lang == "fr" ]
			       	then echo "Entrez le nom de votre organisme : "
				else echo -n "Enter the name of your organisation : "
			fi
			read ORGANISME
			if [ "$ORGANISME" = "" ]
				then
				ORGANISME=!
			fi
		done
	fi
# On crée aléatoirement les mots de passe et les secrets partagés
	rm -f $FIC_PASSWD
	grubpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de protection du menu Grub
	echo -n "mot de passe de protection du menu de démarrage (GRUB) : " > $FIC_PASSWD
	echo "$grubpwd" >> $FIC_PASSWD
	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
	$SED "/^password.*/d" /boot/grub/menu.lst
	$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst
	mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'administrateur Mysqld
	echo -n "compte et mot de passe de l'administrateur Mysqld : " >> $FIC_PASSWD
	echo "root / $mysqlpwd" >> $FIC_PASSWD
	radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
	echo -n "compte et mot de passe de l'utilisateur Mysqld : " >> $FIC_PASSWD
	echo "$DB_USER / $radiuspwd" >> $FIC_PASSWD
	secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre intercept.php et coova-chilli
	echo -n "secret partagé entre le script 'intercept.php' et coova-chilli : " >> $FIC_PASSWD
	echo "$secretuam" >> $FIC_PASSWD
	secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`	# secret partagé entre coova-chilli et FreeRadius
	echo -n "secret partagé entre coova-chilli et FreeRadius : " >> $FIC_PASSWD
	echo "$secretradius" >> $FIC_PASSWD
	chmod 640 $FIC_PASSWD
# On installe les scripts et fichiers de configuration d'ALCASAR 
#  - dans /usr/local/bin :  alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}
	cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*
#  - dans /usr/local/sbin :  alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}
	cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*
#  - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}
	cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*
	$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh
	$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh
	$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
	$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh
# On génère le début du fichier récapitulatif
	cat <<EOF > $FIC_PARAM
################################################
##                                            ##
##          ALCASAR Paramèters                ##
##                                            ##
################################################
 
- Install date : $DATE
- Version : $VERSION
- Organism : $ORGANISME
EOF
	chmod o-rwx $FIC_PARAM
} # End of init ()
 
##################################################################
##			Fonction network			##
## - Définition du plan d'adressage du réseau de consultation	##
 
## - Nommage DNS du système 					##
## - Configuration de l'interface eth1 (réseau de consultation)	##
## - Modification du fichier /etc/hosts				##
## - Configuration du serveur de temps (NTP)			##
## - Renseignement des fichiers hosts.allow et hosts.deny	##
##################################################################
network ()
{
	header_install
	if [ $Lang == "fr" ]
		then echo "Par défaut, le plan d'adressage IP du réseau de consultation est : $DEFAULT_PRIVATE_NETWORK_MASK"
		else echo "The default consultation network IP address is : $DEFAULT_PRIVATE_NETWORK_MASK"
	fi
	response=0
	PTN='^[oOyYnN]$'
	until [[ $(expr $response : $PTN) -gt 0 ]]
		do
			if [ $Lang == "fr" ]
				then echo -n "Voulez-vous utiliser ce plan d'adressage (recommandé) (O/n)? : "
				else echo -n "Do you want to use it (recommanded) (Y/n)? : "
			fi
			read response
		done
	if [ "$response" = "n" ] || [ "$response" = "N" ]
	then
		PRIVATE_NETWORK_MASK="0"
		PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'
		until [[ $(expr $PRIVATE_NETWORK_MASK : $PTN) -gt 0 ]]
			do
				if [ $Lang == "fr" ]
					then echo -n "Entrez un plan d'adressage IP au format CIDR (a.b.c.d/xx) : "
					else echo -n "Enter a network IP address in CIDR format (a.b.c.d/xx) : "
				fi
				read PRIVATE_NETWORK_MASK
 
			done
	else
       		PRIVATE_NETWORK_MASK=$DEFAULT_PRIVATE_NETWORK_MASK
	fi
# Définition de la config réseau côté "LAN de consultation"
	hostname $HOSTNAME
	echo "- Hostname : $HOSTNAME" >> $FIC_PARAM
	PRIVATE_NETWORK=`/bin/ipcalc -n $DEFAULT_PRIVATE_NETWORK_MASK | cut -d"=" -f2`	# @ réseau de consultation (ex.: 192.168.182.0)
	PRIVATE_PREFIX=`/bin/ipcalc -p $DEFAULT_PRIVATE_NETWORK_MASK |cut -d"=" -f2`	# prefixe du réseau (ex. 24)
	PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$PRIVATE_PREFIX				# @ réseau + masque (x.0.0.0/8 ou x.y.0.0/16 ou x.y.z.0/24)
	classe=$((PRIVATE_PREFIX/8));							# classe de réseau (ex.: 2=classe B, 3=classe C)
 
 
 
 
 
 
	classe_sup=`expr $classe + 1`
 
	private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`
 
 
 
 
 
	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.		# @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
	PRIVATE_MASK=`/bin/ipcalc -m $PRIVATE_NETWORK_MASK | cut -d"=" -f2`		# masque réseau de consultation (ex.: 255.255.255.0)
	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`	# @ broadcast réseau de consultation (ex.: 192.168.182.255)
 
	PRIVATE_IP=`echo $PRIVATE_NETWORK | cut -d"." -f1-3`"."`expr $private_network_ending + 1`	# @ip du portail (côté réseau de consultation)
 
	PRIVATE_DYN_FIRST_IP=`echo $PRIVATE_IP | cut -d"." -f1-3`"."`expr $private_network_ending + 1`	# @ip du portail (côté réseau de consultation)
	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_network_ending - 1`	# @ip du portail (côté réseau de consultation)
# Récupération de la config réseau côté "Internet"
	[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] || cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF
	EXT_IP=`grep IPADDR /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip du portail (côté Internet)
	[ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default
	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 1er DNS
	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2` 	# @ip 2ème DNS
	DNS1=${DNS1:=208.67.220.220}
	DNS2=${DNS2:=208.67.222.222}
	EXT_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
	EXT_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF|cut -d"=" -f2`
	echo "- IP address 'Internet side' ($EXTIF) : $EXT_IP / $EXT_NETMASK" >> $FIC_PARAM
	echo "- Gateway : $EXT_GATEWAY" >> $FIC_PARAM
	echo "- DNS servers : $DNS1 et $DNS2" >> $FIC_PARAM
	echo "- IP address 'LAN side' ($INTIF) : $PRIVATE_IP/$PRIVATE_PREFIX" >> $FIC_PARAM
	echo "- Dynamic IP addresses (DHCP) : from $PRIVATE_DYN_FIRST_IP to $PRIVATE_DYN_LAST_IP" >> $FIC_PARAM
	echo "PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK_MASK" > $DIR_DEST_ETC/alcasar-network 
	echo "PRIVATE_IP=$PRIVATE_IP" >> $DIR_DEST_ETC/alcasar-network 
	echo "DHCP=on" >> $DIR_DEST_ETC/alcasar-network 
# Configuration réseau
	cat <<EOF > /etc/sysconfig/network
NETWORKING=yes
HOSTNAME="$HOSTNAME"
FORWARD_IPV4=true
EOF
# Modif /etc/hosts
	[ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default
	cat <<EOF > /etc/hosts
127.0.0.1	localhost
$PRIVATE_IP	$HOSTNAME 
EOF
 
 
 
# Configuration de l'interface eth0 (Internet)
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF
DEVICE=$EXTIF
BOOTPROTO=static
IPADDR=$EXT_IP
NETMASK=$EXT_NETMASK
GATEWAY=$EXT_GATEWAY
DNS1=127.0.0.1
ONBOOT=yes
METRIC=10
NOZEROCONF=yes
MII_NOT_SUPPORTED=yes
IPV6INIT=no
IPV6TO4INIT=no
ACCOUNTING=no
USERCTL=no
EOF
# Configuration de l'interface eth1 (réseau de consultation)
	cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF
DEVICE=$INTIF
BOOTPROTO=static
IPADDR=$PRIVATE_IP
NETMASK=$PRIVATE_MASK
ONBOOT=yes
METRIC=10
NOZEROCONF=yes
MII_NOT_SUPPORTED=yes
IPV6INIT=no
IPV6TO4INIT=no
ACCOUNTING=no
USERCTL=no
EOF
# Mise à l'heure du serveur
	[ -e /etc/ntp/step-tickers.default ] || cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default
	cat <<EOF > /etc/ntp/step-tickers
0.fr.pool.ntp.org	# adapt to your country
1.fr.pool.ntp.org
2.fr.pool.ntp.org
EOF
# Configuration du serveur de temps (sur lui même)
	[ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default
	cat <<EOF > /etc/ntp.conf
server 0.fr.pool.ntp.org	# adapt to your country
server 1.fr.pool.ntp.org
server 2.fr.pool.ntp.org
server 127.127.1.0   		# local clock si NTP internet indisponible ...
fudge 127.127.1.0 stratum 10
restrict $PRIVATE_NETWORK mask $PRIVATE_MASK nomodify notrap
restrict 127.0.0.1
driftfile /var/lib/ntp/drift
logfile /var/log/ntp.log
EOF
 
	chown -R ntp:ntp /var/lib/ntp
# Renseignement des fichiers hosts.allow et hosts.deny
	[ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default
	cat <<EOF > /etc/hosts.allow
ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP
sshd: $PRIVATE_NETWORK_SHORT
ntpd: $PRIVATE_NETWORK_SHORT
EOF
	[ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default
	cat <<EOF > /etc/hosts.deny
ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &
EOF
} # End of network ()
 
##################################################################
##			Fonction gestion			##
## - installation du centre de gestion				##
## - configuration du serveur web (Apache)			##
## - définition du 1er comptes de gestion 			##
## - sécurisation des accès					##
##################################################################
gestion()
{
# Suppression des CGI et des pages WEB installés par défaut
	rm -rf /var/www/cgi-bin/*
	[ -d $DIR_WEB ] && rm -rf $DIR_WEB
	mkdir $DIR_WEB
# Copie et configuration des fichiers du centre de gestion
	cp -rf $DIR_INSTALL/web/* $DIR_WEB/
	echo "$VERSION du $DATE" > $DIR_WEB/VERSION
	$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php
	$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
	$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
	$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php
	$SED "s?^\$private_ip =.*?\$private_ip = \"$PRIVATE_IP\";?g" $DIR_WEB/index.php
	$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php
	chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php
	chown -R apache:apache $DIR_WEB/*
	for i in ISO base logs/firewall logs/httpd logs/squid ;
	do
		[ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i
	done
	chown -R root:apache $DIR_SAVE
# Configuration et sécurisation php
	[ -e /etc/php.ini.default ] || cp /etc/php.ini /etc/php.ini.default
	timezone=`cat /etc/sysconfig/clock|grep ZONE|cut -d"=" -f2`
	$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini
	$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini
	$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini
	$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini
	$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini
# Configuration et sécurisation Apache
	[ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default
	$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf
	$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf
	$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf
	$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf
	$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf
	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
	$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF
	$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html
	[ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default
	cat <<EOF > /var/www/error/include/bottom.html
</body>
</html>
EOF
	echo "- ALCASAR Control Center URL : http://$HOSTNAME" >> $FIC_PARAM
# Définition du premier compte lié au profil 'admin'
	header_install
	if [ "$mode" = "install" ]
	then
		header_install
		if [ $Lang == "fr" ]
		then 
			echo "Pour administrer Alcasar via le centre de gestion WEB, trois profils de comptes ont été définis :"
			echo " - le profil 'admin' capable de réaliser toutes les opérations"
			echo " - le profil 'backup' lié uniquement aux fonctions d'archivage"
			echo " - le profil 'manager' lié uniquement aux fonctions de gestion des usagers"
			echo ""
			echo "Définissez le premier compte du profil 'admin' :"
			echo
			echo -n "Nom : "
		else
			echo "To manage Alcasar thru the WEB control center, three accounts profiles were defined :"
			echo " - the 'admin profile who can do all operations"
			echo " - the 'backup' profile link to backup functions"
			echo " - the 'manager' profile link to users management"
			echo ""
			echo "Define the first account of the 'admin' profile :"
			echo
			echo -n "Account : "
		fi
		read admin_portail
		echo "- Name of the first account of the admin profile : $admin_portail" >> $FIC_PARAM
# Création du fichier de clés de ce compte dans le profil "admin"
		[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
		mkdir -p $DIR_DEST_ETC/digest
		chmod 755 $DIR_DEST_ETC/digest
		until [ -s $DIR_DEST_ETC/digest/key_admin ]
			do
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portail
			done
		$DIR_DEST_SBIN/alcasar-profil.sh --list
	else   # mise à jour des versions < 2.1
		if ([ $MAJ_RUNNING_VERSION -lt 2 ] || ([ $MAJ_RUNNING_VERSION -eq 2 ] && [ $MIN_RUNNING_VERSION -lt 1 ]))
			then
			echo "Cette mise à jour nécessite de redéfinir le premier compte d'administration du portail"
			echo
			echo -n "Nom : "
			read admin_portail
			echo "- Name of the first user of admin profile : $admin_portail" >> $FIC_PARAM
			[ -d $DIR_DEST_ETC/digest ] && rm -rf $DIR_DEST_ETC/digest
			mkdir -p $DIR_DEST_ETC/digest
			chmod 755 $DIR_DEST_ETC/digest
			until [ -s $DIR_DEST_ETC/digest/key_admin ]
			do
				/usr/sbin/htdigest -c $DIR_DEST_ETC/digest/key_admin $HOSTNAME $admin_portail
			done
			$DIR_DEST_SBIN/alcasar-profil.sh --list
		fi
	fi
# synchronisation horaire
	ntpd -q -g &
# Sécurisation du centre
	rm -f /etc/httpd/conf/webapps.d/*
	cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf
<Directory $DIR_ACC>
	SSLRequireSSL
	AllowOverride None
	Order deny,allow
	Deny from all
	Allow from 127.0.0.1
	Allow from $PRIVATE_NETWORK_MASK
#	Allow from $SRC_ADMIN 
	require valid-user
	AuthType digest
	AuthName $HOSTNAME
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
	AuthUserFile $DIR_DEST_ETC/digest/key_all
	ErrorDocument 404 https://$HOSTNAME/
</Directory>
<Directory $DIR_ACC/admin>
	SSLRequireSSL
	AllowOverride None
	Order deny,allow
	Deny from all
	Allow from 127.0.0.1
	Allow from $PRIVATE_NETWORK_MASK
#	Allow from $SRC_ADMIN
	require valid-user
	AuthType digest
	AuthName $HOSTNAME
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
	ErrorDocument 404 https://$HOSTNAME/
</Directory>
<Directory $DIR_ACC/manager>
	SSLRequireSSL
	AllowOverride None
	Order deny,allow
	Deny from all
	Allow from 127.0.0.1
	Allow from $PRIVATE_NETWORK_MASK
#	Allow from $SRC_ADMIN
	require valid-user
	AuthType digest
	AuthName $HOSTNAME
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
	AuthUserFile $DIR_DEST_ETC/digest/key_manager
	ErrorDocument 404 https://$HOSTNAME/
</Directory>
<Directory $DIR_ACC/backup>
	SSLRequireSSL
	AllowOverride None
	Order deny,allow
	Deny from all
	Allow from 127.0.0.1
	Allow from $PRIVATE_NETWORK_MASK
#	Allow from $SRC_ADMIN
	require valid-user
	AuthType digest
	AuthName $HOSTNAME
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
	ErrorDocument 404 https://$HOSTNAME/
</Directory>
Alias /save/ "$DIR_SAVE/"
<Directory $DIR_SAVE>
	SSLRequireSSL
	Options Indexes
	Order deny,allow
	Deny from all
	Allow from 127.0.0.1
	Allow from $PRIVATE_NETWORK_MASK
#	Allow from $SRC_ADMIN
	require valid-user
	AuthType digest
	AuthName $HOSTNAME
	AuthUserFile $DIR_DEST_ETC/digest/key_backup
	ErrorDocument 404 https://$HOSTNAME/
	ReadmeName	/readmeSave.html
</Directory>
EOF
} # End of gestion ()
 
##########################################################################################
##				Fonction AC()						##
## - Création d'une Autorité de Certification et du certificat serveur pour apache 	##
##########################################################################################
AC ()
{
	$SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh
	$DIR_DEST_BIN/alcasar-CA.sh
	FIC_VIRTUAL_SSL=`find /etc/httpd/conf -type f -name *default_ssl*`
	[ -e /etc/httpd/conf/vhosts-ssl.default ]  || cp $FIC_VIRTUAL_SSL /etc/httpd/conf/vhosts-ssl.default
	$SED "s?localhost.crt?alcasar.crt?g" $FIC_VIRTUAL_SSL
	$SED "s?localhost.key?alcasar.key?g" $FIC_VIRTUAL_SSL
	chown -R root:apache /etc/pki
	chmod -R 750 /etc/pki
} # End AC ()
 
##########################################################################################
##			Fonction init_db()						##
## - Initialisation de la base Mysql							##
## - Affectation du mot de passe de l'administrateur (root)				##
## - Suppression des bases et des utilisateurs superflus				##
## - Création de la base 'radius'							##
## - Installation du schéma de cette base						##
## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)	##
##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)		##
##########################################################################################
init_db ()
{
	mkdir -p /var/lib/mysql/.tmp
	chown mysql:mysql /var/lib/mysql/.tmp
	[ -e /etc/my.cnf.rpmnew ] && mv /etc/my.cnf.rpmnew /etc/my.cnf		# prend en compte les migrations de MySQL
	[ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default
	$SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf
	/etc/init.d/mysqld start
	sleep 4
	mysqladmin -u root password $mysqlpwd
	MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"
# On supprime les tables d'exemple
	$MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;" 
	# On crée la base 'radius'
	$MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"
# Ajout d'une base vierge	
	mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql
} # End init_db ()
 
##########################################################################
##			Fonction param_radius				##
## - Paramètrage des fichiers de configuration FreeRadius		##
## - Affectation du secret partagé entre coova-chilli et freeradius	##
## - Modification de fichier de conf pour l'accès à Mysql		##
##########################################################################
param_radius ()
{
	cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/
	chown -R radius:radius /etc/raddb
	[ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default
# paramètrage radius.conf
	$SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf
	$SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf
	$SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf
# suppression de la fonction proxy
	$SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf
	$SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf
# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)
	$SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf
# prise en compte du module SQL et des compteurs SQL
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf
	$SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf
	$SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf
# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar
	rm -f /etc/raddb/sites-enabled/*
       	cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar
	chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)
	chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap
	chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules
	ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar
# Inutile dans notre fonctionnement mais les liens sont recréés par un update de radius ... donc forcé en tant que fichier à 'vide'
	touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}
# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)
	[ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default
	cat << EOF > /etc/raddb/clients.conf
client 127.0.0.1 {
	secret = $secretradius
	shortname = localhost
}
EOF
# modif sql.conf
	[ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default
	$SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf
	$SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf
	$SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf
	$SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf
# modif dialup.conf
	[ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default
	cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf
} # End param_radius ()
 
##########################################################################
##			Fonction param_web_radius			##
## - Import, modification et paramètrage de l'interface "dialupadmin"	##
## - Création du lien vers la page de changement de mot de passe        ##
##########################################################################
param_web_radius ()
{
# copie de l'interface d'origine dans la structure Alcasar
	[ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_ACC/manager/
	rm -f $DIR_ACC/manager/index.html $DIR_ACC/manager/readme 
	rm -f $DIR_ACC/manager/htdocs/about.html $DIR_ACC/manager/htdocs/index.html $DIR_ACC/manager/htdocs/content.html
# copie des fichiers modifiés
	cp -rf $DIR_INSTALL/web/acc/manager/* $DIR_ACC/manager/
	chown -R apache:apache $DIR_ACC/manager/
# Modification des fichiers de configuration
	[ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default
	$SED "s?^general_domain:.*?general_domain: $DOMAIN?g" /etc/freeradius-web/admin.conf
	$SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf
	$SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf
	$SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf
	$SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf
	$SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf
	$SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf
	$SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf
	$SED "s?^general_charset.*?general_charset: utf8?g" /etc/freeradius-web/admin.conf
	[ -e /etc/freeradius-web/config.php.default ] || cp /etc/freeradius-web/config.php /etc/freeradius-web/config.php.default
	cp -f $DIR_CONF/freeradiusweb-config.php /etc/freeradius-web/config.php
	cat <<EOF > /etc/freeradius-web/naslist.conf
nas1_name: alcasar.%{general_domain}
nas1_model: Portail captif
nas1_ip: $PRIVATE_IP
nas1_port_num: 0
nas1_community: public
EOF
# Modification des attributs visibles lors de la création d'un usager ou d'un groupe
	[ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default
	cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs
# Ajout du mappage des attributs chillispot
	[ -e /etc/freeradius-web/sql.attrmap.default ] || mv /etc/freeradius-web/sql.attrmap /etc/freeradius-web/sql.attrmap.default
	cp -f $DIR_CONF/sql.attrmap /etc/freeradius-web/sql.attrmap
# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)
	[ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default
	$SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs
	$SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs
	chown -R apache:apache /etc/freeradius-web
# Ajout de l'alias vers la page de "changement de mot de passe usager"
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
<Directory $DIR_WEB/pass>
	SSLRequireSSL
	AllowOverride None
	Order deny,allow
	Deny from all
	Allow from 127.0.0.1
	Allow from $PRIVATE_NETWORK_MASK
	ErrorDocument 404 https://$HOSTNAME
</Directory>
EOF
	echo "- User change password URL : https://$HOSTNAME/pass/" >> $FIC_PARAM
} # End of param_web_radius ()
 
##########################################################################################
##			Fonction param_chilli						##
## - Paramètrage du fichier d'initialisation et de configuration de coova-chilli	##
## - Paramètrage de la page d'authentification (intercept.php)				##
##########################################################################################
param_chilli ()
{
# modification du fichier d'initialisation
	[ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default
	# configuration d'eth1 (utile pour dnsmasq))
	$SED "s?ifconfig.*?ifconfig \$HS_LANIF $PRIVATE_IP?g" /etc/init.d/chilli
	# ajout de la fonction 'status' (utile pour la gestion du process)
	$SED "/^.*functions/i. /etc/init.d/functions" /etc/init.d/chilli
	$SED "/^[\t ]*stop)/i\    status)\n        status chilli\n        RETVAL=$?\n        ;;\n" /etc/init.d/chilli
	# insertion d'une tempo sur le 'restart' pour permettre à tun0 d'être libérée
	$SED "/^[\t ]*\$0 start/i\        sleep 2" /etc/init.d/chilli
	# suppression des fonctions 'writeconfig' et 'radiusconfig'
	$SED "/writeconfig/d" /etc/init.d/chilli
	$SED "/radiusconfig/d" /etc/init.d/chilli
	# suppression de warning disgracieux
	$SED "s?which start-stop-daemon?which start-stop-daemon 2>/dev/null?g" /etc/init.d/chilli
# création du fichier de conf
	[ -e /etc/chilli.conf.default ] || cp /etc/chilli.conf /etc/chilli.conf.default
	cat <<EOF > /etc/chilli.conf
# coova config for ALCASAR
cmdsocket	/var/run/chilli.sock
unixipc		chilli.eth1.ipc
pidfile		/var/run/chilli.eth1.pid
net		$PRIVATE_NETWORK_MASK
dhcpif		$INTIF
#nodynip
#statip		$PRIVATE_NETWORK_MASK
ethers		$DIR_DEST_ETC/alcasar-ethers
domain		localdomain
dns1		$PRIVATE_IP
dns2		$PRIVATE_IP
uamlisten	$PRIVATE_IP
uamport		3990
 
 
macallowlocal
locationname	$HOSTNAME
radiusserver1	127.0.0.1
radiusserver2	127.0.0.1
radiussecret	$secretradius
radiusauthport	1812
radiusacctport	1813
uamserver	https://$HOSTNAME/intercept.php
radiusnasid	$HOSTNAME
uamsecret	$secretuam
coaport		3799
include		$DIR_DEST_ETC/alcasar-uamallowed
include		$DIR_DEST_ETC/alcasar-uamdomain
include		$DIR_DEST_ETC/alcasar-macallowed
EOF
# Pour la fonctionnalité de DHCP statique, le fichier alcasar-ethers a été copié précédemment dans /usr/local/etc
# création des fichiers de sites, d'urls et d'adresses MAC de confiance
	echo -e "uamallowed=\"\"" > $DIR_DEST_ETC/alcasar-uamallowed
	echo -e "uamdomain=\"\"" > $DIR_DEST_ETC/alcasar-uamdomain
	touch $DIR_DEST_ETC/alcasar-macallowed
	chown root:apache $DIR_DEST_ETC/alcasar-*
	chmod 660 $DIR_DEST_ETC/alcasar-*
	echo "- Disconnect URL : http://alcasar:3990/logoff" >> $FIC_PARAM
# Configuration des fichier WEB d'interception (secret partagé avec coova-chilli et nom d'organisme)
	$SED "s?^\$uamsecret =.*?\$uamsecret = \"$secretuam\";?g" $DIR_WEB/intercept.php
	$SED "s?^\$userpassword=1.*?\$userpassword=1;?g" $DIR_WEB/intercept.php
	$SED "s?^\$organisme = .*?\$organisme = \"$ORGANISME\";?g" $DIR_WEB/intercept.php $DIR_WEB/status.php
}  # End of param_chilli ()
 
##########################################################
##			Fonction param_squid		##
## - Paramètrage du proxy 'squid' en mode 'cache'	##
## - Initialisation de la base de données  		##
##########################################################
param_squid ()
{
# paramètrage de Squid (connecté en série derrière Dansguardian)
	[ -e /etc/squid/squid.conf.default  ] || cp /etc/squid/squid.conf /etc/squid/squid.conf.default
# suppression des références 'localnet', 'icp', 'htcp' et 'always_direct'
	$SED "/^acl localnet/d" /etc/squid/squid.conf
	$SED "/^icp_access allow localnet/d" /etc/squid/squid.conf
	$SED "/^icp_port 3130/d" /etc/squid/squid.conf
	$SED "/^http_access allow localnet/d" /etc/squid/squid.conf
	$SED "/^htcp_access allow localnet/d" /etc/squid/squid.conf
	$SED "/^always_direct allow localnet/d" /etc/squid/squid.conf
# mode 'proxy transparent local'
	$SED "s?^http_port.*?http_port 127.0.0.1:3128 transparent?g" /etc/squid/squid.conf
# emplacement et formatage standard des logs
	echo '#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh' >> /etc/squid/squid.conf
	echo '#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Ag' >> /etc/squid/squid.conf
        echo "access_log /var/log/squid/access.log" >> /etc/squid/squid.conf
# compatibilité des logs avec awstats
	echo "emulate_httpd_log on" >> /etc/squid/squid.conf
# pour éviter les message d'erreur lors des changement d'état des interfaces réseaux
	$SED "s?^SQUID_AUTO_RELOAD.*?SQUID_AUTO_RELOAD=no?g" /etc/sysconfig/squid
# Initialisation du cache de Squid
	/usr/sbin/squid -z
}  # End of param_squid ()
	
##################################################################
##		Fonction param_dansguardian			##
## - Paramètrage du gestionnaire de contenu Dansguardian	##
##################################################################
param_dansguardian ()
{
	DIR_DG="/etc/dansguardian"
	mkdir /var/dansguardian
	chown dansguardian /var/dansguardian
	[ -e $DIR_DG/dansguardian.conf.default ] || cp $DIR_DG/dansguardian.conf $DIR_DG/dansguardian.conf.default
# Le filtrage est désactivé par défaut 
	$SED "s/^reportinglevel =.*/reportinglevel = -1/g" $DIR_DG/dansguardian.conf
# la page d'interception est en français
	$SED "s?^language =.*?language = french?g" $DIR_DG/dansguardian.conf
# on limite l'écoute de Dansguardian côté LAN
	$SED "s?^filterip.*?filterip = $PRIVATE_IP?g" $DIR_DG/dansguardian.conf
# on chaîne Dansguardian au proxy antivirus HAVP
	$SED "s?^proxyport.*?proxyport = 8090?g" $DIR_DG/dansguardian.conf
# on remplace la page d'interception (template)
	cp -f $DIR_CONF/template.html /usr/share/dansguardian/languages/ukenglish/
	cp -f $DIR_CONF/template-fr.html /usr/share/dansguardian/languages/french/template.html
# on ne loggue que les deny (pour le reste, on a squid)
	$SED "s?^loglevel =.*?loglevel = 1?g" $DIR_DG/dansguardian.conf
# on désactive par défaut le controle de contenu des pages html
	$SED "s?^weightedphrasemode =.*?weightedphrasemode = 0?g" $DIR_DG/dansguardian.conf
	cp $DIR_DG/lists/bannedphraselist $DIR_DG/lists/bannedphraselist.default
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedphraselist # (on commente ce qui ne l'est pas)
# on désactive par défaut le contrôle d'URL par expressions régulières
	cp $DIR_DG/lists/bannedregexpurllist $DIR_DG/lists/bannedregexpurllist.default
	$SED "s?^[^#]?#&?g" $DIR_DG/lists/bannedregexpurllist # (on commente ce qui ne l'est pas)
# on désactive par défaut le contrôle de téléchargement de fichiers
	[ -e $DIR_DG/dansguardianf1.conf.default ] || cp $DIR_DG/dansguardianf1.conf $DIR_DG/dansguardianf1.conf.default
	$SED "s?^blockdownloads =.*?blockdownloads = off?g" $DIR_DG/dansguardianf1.conf
	[ -e $DIR_DG/lists/bannedextensionlist.default ] || mv $DIR_DG/lists/bannedextensionlist $DIR_DG/lists/bannedextensionlist.default
	[ -e $DIR_DG/lists/bannedmimetypelist.default ] || mv $DIR_DG/lists/bannedmimetypelist $DIR_DG/lists/bannedmimetypelist.default
	touch $DIR_DG/lists/bannedextensionlist
	touch $DIR_DG/lists/bannedmimetypelist
# 'Safesearch' regex actualisation
	$SED "s?images?search?g" $DIR_DG/lists/urlregexplist
# empty LAN IP list that won't be WEB filtered
	[ -e $DIR_DG/lists/exceptioniplist.default ] || mv $DIR_DG/lists/exceptioniplist $DIR_DG/lists/exceptioniplist.default
	touch $DIR_DG/lists/exceptioniplist
# Keep a copy of URL & domain filter configuration files
	[ -e $DIR_DG/lists/bannedsitelist.default ] || mv $DIR_DG/lists/bannedsitelist $DIR_DG/lists/bannedsitelist.default
	[ -e $DIR_DG/lists/bannedurllist.default ] || mv $DIR_DG/lists/bannedurllist $DIR_DG/lists/bannedurllist.default
} # End of param_dansguardian ()
 
##################################################################
##			Fonction antivirus			##
## - configuration havp + libclamav				##
##################################################################
antivirus ()		
{
# création de l'usager 'havp'
	havp_exist=`grep havp /etc/passwd|wc -l`
	if [ "$havp_exist" == "1" ]
	then
	      userdel -r havp 2>/dev/null
	fi
	groupadd -f havp
	useradd -M -g havp havp
	mkdir -p /var/tmp/havp /var/log/havp
	chown -R havp /var/tmp/havp /var/log/havp /var/run/havp
	$SED "/$HAVP_BIN -c $HAVP_CONFIG/i chown -R havp:havp \/var\/tmp\/havp" /etc/init.d/havp
# configuration d'HAVP
	[ -e /etc/havp/havp.config.default ] || cp /etc/havp/havp.config /etc/havp/havp.config.default
	$SED "/^REMOVETHISLINE/d" /etc/havp/havp.config
	$SED "s?^# PARENTPROXY.*?PARENTPROXY 127.0.0.1?g" /etc/havp/havp.config
	$SED "s?^# PARENTPORT.*?PARENTPORT 3128?g" /etc/havp/havp.config
	$SED "s?^# PORT.*?PORT 8090?g" /etc/havp/havp.config
	$SED "s?^# BIND_ADDRESS.*?BIND_ADDRESS 127.0.0.1?g" /etc/havp/havp.config
	$SED "s?^ENABLECLAMLIB.*?ENABLECLAMLIB true?g" /etc/havp/havp.config
	$SED "s?^# LOG_OKS.*?LOG_OKS false?g" /etc/havp/havp.config
# remplacement du fichier d'initialisation
	[ -e /etc/init.d/havp.default ] || cp /etc/init.d/havp /etc/init.d/havp.default
	cp -f $DIR_CONF/havp-init /etc/init.d/havp
# on remplace la page d'interception (template)
	cp -f $DIR_CONF/virus-fr.html /etc/havp/templates/fr/virus.html
	cp -f $DIR_CONF/virus-en.html /etc/havp/templates/en/virus.html
# automatisation de la mise à jour de la base antivirale (toutes les 2 heures)
	$SED "s?^Checks.*?Checks 12?g" /etc/freshclam.conf
	$SED "s?^NotifyClamd.*?# NotifyClamd /etc/clamd.conf?g" /etc/freshclam.conf
# on supprime les fichiers '*.cld' (cas d'une mise à jour)
	rm -f /var/lib/clamav/*.cld
}
 
##################################################################################
##				Fonction firewall				##
## - adaptation des scripts du parefeu						##
## - mise en place des règles et sauvegarde pour un lancement automatique	##
##################################################################################
firewall ()
{
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
	$SED "s?^PRIVATE_NETWORK_MASK=.*?PRIVATE_NETWORK_MASK=\"$PRIVATE_NETWORK_MASK\"?g" $DIR_DEST_BIN/alcasar-iptables.sh  $DIR_DEST_BIN/alcasar-iptables-bypass.sh
	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-iptables.sh $DIR_DEST_BIN/alcasar-iptables-bypass.sh
	$SED "s?^DNSSERVERS=.*?DNSSERVERS=\"$DNS1,$DNS2\"?g" $DIR_DEST_BIN/alcasar-iptables.sh
	chmod o+r $DIR_DEST_BIN/alcasar-iptables.sh #lecture possible pour apache (interface php du filtrage réseau)
# création du fichier d'exception au filtrage
	touch $DIR_DEST_ETC/alcasar-filter-exceptions
# le script $DIR_DEST_BIN/alcasar-iptables.sh est lancé à la fin (pour ne pas perturber une mise à jour via ssh)
}  # End of firewall ()
 
##################################################################################
##			param_ulogd function					##
## - Ulog config for multi-log files 						##
##################################################################################
param_ulogd ()
{
# Three instances of ulogd (three different logfiles)
	[ -d /var/log/firewall ] || mkdir -p /var/log/firewall
	nl=1
	for log_type in tracability ssh ext-access
	do
		[ -e /var/log/firewall/$log_type.log ] || touch /var/log/firewall/$log_type.log
		cp -f /etc/ulogd.conf /etc/ulogd-$log_type.conf
		$SED "s?^nlgroup=.*?nlgroup=$nl?g" /etc/ulogd-$log_type.conf 
		$SED '/OPRINT/,$d' /etc/ulogd-$log_type.conf
		cat << EOF >> /etc/ulogd-$log_type.conf
[LOGEMU]
file="/var/log/firewall/$log_type.log"
sync=1
EOF
		nl=`expr $nl + 1`
	done
	chown -R root:apache /var/log/firewall
	chmod 750 /var/log/firewall
	chmod 640 /var/log/firewall/*
	[ -e /etc/init.d/ulogd.default ] || cp /etc/init.d/ulogd /etc/init.d/ulogd.default
	cp -f $DIR_CONF/ulogd-init /etc/init.d/ulogd
}  # End of param_ulogd ()
 
##################################################################################
##				Fonction param_awstats				##
## - configuration de l'interface des logs de consultation WEB (AWSTAT)		##
##################################################################################
param_awstats()
{
	cp -rf /usr/share/awstats/www/ $DIR_ACC/awstats/
	chown -R apache:apache $DIR_ACC/awstats
	cp /etc/awstats/awstats.conf /etc/awstats/awstats.conf.default
	$SED "s?^LogFile=.*?LogFile=\"/var/log/squid/access.log\"?g" /etc/awstats/awstats.conf
	$SED "s?^LogFormat=.*?LogFormat=4?g" /etc/awstats/awstats.conf
	$SED "s?^SiteDomain=.*?SiteDomain=\"$HOSTNAME\"?g" /etc/awstats/awstats.conf
	$SED "s?^HostAliases=.*?HostAliases=\"$PRIVATE_IP\"?g" /etc/awstats/awstats.conf
	$SED "s?^DNSLookup=.*?DNSLookup=0?g" /etc/awstats/awstats.conf
	$SED "s?^DirData=.*?DirData=\"/var/lib/awstats\"?g" /etc/awstats/awstats.conf
	$SED "s?^DirIcons=.*?DirIcons=\"/acc/awstats/icon\"?g" /etc/awstats/awstats.conf
	$SED "s?^StyleSheet=.*?StyleSheet=\"/css/style.css\"?g" /etc/awstats/awstats.conf
	$SED "s?^BuildReportFormat=.*?BuildReportFormat=xhtml?g" /etc/awstats/awstats.conf
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
	$SED "s?^UseFramesWhenCGI=.*?UseFramesWhenCGI=0?g" /etc/awstats/awstats.conf
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
	$SED "s?^ShowSummary=.*?ShowSummary=VPHB?g" /etc/awstats/awstats.conf
	$SED "s?^ShowMonthStats=.*?ShowMonthStats=VPHB?g" /etc/awstats/awstats.conf
	$SED "s?^ShowDaysOfMonthStats=.*?ShowDaysOfMonthStats=PHB?g" /etc/awstats/awstats.conf
	$SED "s?^ShowDaysOfWeekStats=.*?ShowDaysOfWeekStats=PHB?g" /etc/awstats/awstats.conf
	$SED "s?^ShowHoursStats=.*?ShowHoursStats=PHB?g" /etc/awstats/awstats.conf
	$SED "s?^ShowDomainsStats=.*?ShowDomainsStats=0?g" /etc/awstats/awstats.conf
	$SED "s?^ShowHostsStats=.*?ShowHostsStats=0?g" /etc/awstats/awstats.conf
	$SED "s?^ShowAuthenticatedUsers=.*?ShowAuthenticatedUsers=0?g" /etc/awstats/awstats.conf
	$SED "s?^ShowRobotsStats=.*?ShowRobotsStats=0?g" /etc/awstats/awstats.conf
	$SED "s?^ShowFileTypesStats=.*?ShowFileTypesStats=0?g" /etc/awstats/awstats.conf
	$SED "s?^ShowFileSizesStats=.*?ShowFileSizesStats=0?g" /etc/awstats/awstats.conf
	$SED "s?^ShowOSStats=.*?ShowOSStats=0?g" /etc/awstats/awstats.conf
	$SED "s?^ShowScreenSizeStats=.*?ShowScreenSizeStats=0?g" /etc/awstats/awstats.conf
 
	cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf
<Directory $DIR_ACC/awstats>
	SSLRequireSSL
	Options ExecCGI
	AddHandler cgi-script .pl
	DirectoryIndex awstats.pl
	Order deny,allow
	Deny from all
	Allow from 127.0.0.1
	Allow from $PRIVATE_NETWORK_MASK
	require valid-user
	AuthType digest
	AuthName $HOSTNAME
	BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
	AuthUserFile $DIR_DEST_ETC/digest/key_admin
	ErrorDocument 404 https://$HOSTNAME/
</Directory>
SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
EOF
} # End of param_awstats ()
 
##########################################################
##		Fonction param_dnsmasq			##
##########################################################
param_dnsmasq ()
{
	[ -d /var/log/dnsmasq ] || mkdir /var/log/dnsmasq
	$SED "s?^DHCP_LEASE=.*?DHCP_LEASE=/var/log/dnsmasq/lease.log?g" /etc/sysconfig/dnsmasq # fichier contenant les baux
	[ -e /etc/dnsmasq.conf.default ] || cp /etc/dnsmasq.conf /etc/dnsmasq.conf.default
# 1st dnsmasq listen on udp 53 ("dnsmasq - forward"). It's used as dhcp server only if bypass is on.
	cat << EOF > /etc/dnsmasq.conf 
# Configuration file for "dnsmasq in forward mode"
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
listen-address=$PRIVATE_IP
listen-address=127.0.0.1
no-dhcp-interface=$INTIF
bind-interfaces
cache-size=256
domain=$DOMAIN
domain-needed
expand-hosts
bogus-priv
filterwin2k
server=$DNS1
server=$DNS2
# le servive DHCP est configuré mais n'est exploité que pour le "bypass"
dhcp-range=$PRIVATE_DYN_FIRST_IP,$PRIVATE_DYN_LAST_IP,$PRIVATE_MASK,12h
#dhcp-option=3,1.2.3.4
#dhcp-option=option:router,1.2.3.4
#dhcp-option=42,0.0.0.0
#dhcp-option=option:ntp-server,192.168.0.4,10.10.0.5
 
# Exemple de configuration statique : <@MAC>,<name>,<@IP>,<MASK>,<ttl bail>
#dhcp-host=11:22:33:44:55:66,ssic-test,192.168.182.20,255.255.255.0,45m
EOF
# 2nd dnsmasq listen on udp 54 ("dnsmasq with blackhole")
	cat << EOF > /etc/dnsmasq-blackhole.conf 
	# Configuration file for "dnsmasq with blackhole"
# Inclusion de la blacklist <domains> de Toulouse dans la configuration
conf-dir=$DIR_DEST_ETC/alcasar-dnsfilter-enabled
conf-file=$DIR_DEST_ETC/alcasar-dns-name	# zone de definition de noms DNS locaux
listen-address=$PRIVATE_IP
port=54
no-dhcp-interface=$INTIF
bind-interfaces
cache-size=256
domain=$DOMAIN
domain-needed
expand-hosts
bogus-priv
filterwin2k
server=$DNS1
server=$DNS2
EOF
# On crée le fichier de résolution locale
cat << EOF > $DIR_DEST_ETC/alcasar-dns-name
# Here you can define your local domain name
# use the /etc/hosts file to define your hosts name
local=/$DOMAIN/
EOF
# On modifie le fichier d'initialisattion (lancement et arret de la deuxième instance)
[ -e /etc/init.d/dnsmasq.default ] || cp /etc/init.d/dnsmasq /etc/init.d/dnsmasq.default
$SED "/daemon/a \$dnsmasq -C /etc/dnsmasq-blackhole.conf \$OPTIONS" /etc/init.d/dnsmasq
$SED "/killproc \$DAEMON_NAME/a killproc \$DAEMON_NAME" /etc/init.d/dnsmasq
} # End dnsmasq
 
##########################################################
##		Fonction BL (BlackList)			##
##########################################################
BL ()
{
# on copie par défaut la BL de toulouse embarqués dans l'archive d'ALCASAR
	rm -rf /etc/dansguardian/lists/blacklists
	tar zxf $DIR_CONF/blacklists.tar.gz --directory=/etc/dansguardian/lists/ 2>&1 >/dev/null
	cp -f $DIR_CONF/VERSION-BL $DIR_ACC/
	chown apache:apache $DIR_ACC/VERSION-BL
# on crée le répertoire de la BL secondaire
	mkdir /etc/dansguardian/lists/blacklists/ossi
	touch /etc/dansguardian/lists/blacklists/ossi/domains
	touch /etc/dansguardian/lists/blacklists/ossi/urls
# On crée les fichiers vides de sites ou d'URL réhabilités
	[ -e /etc/dansguardian/lists/exceptionsitelist.default ] || mv /etc/dansguardian/lists/exceptionsitelist  /etc/dansguardian/lists/exceptionsitelist.default
	[ -e /etc/dansguardian/lists/exceptionurllist.default ] || mv /etc/dansguardian/lists/exceptionurllist  /etc/dansguardian/lists/exceptionurllist.default
	touch /etc/dansguardian/lists/exceptionsitelist
	touch /etc/dansguardian/lists/exceptionurllist
# On crée la configuration de base du filtrage de domaine et d'URL pour Dansguardian
	cat <<EOF > /etc/dansguardian/lists/bannedurllist
# Dansguardian filter config for ALCASAR
EOF
	cat <<EOF > /etc/dansguardian/lists/bannedsitelist
# Dansguardian domain filter config for ALCASAR
# block all sites except those in the exceptionsitelist --> liste blanche (désactivée)
#**
# block all SSL and CONNECT tunnels
**s
# block all SSL and CONNECT tunnels specified only as an IP
*ips
# block all sites specified only by an IP
*ip
EOF
	chown -R dansguardian:apache /etc/dansguardian/
	chmod -R g+rw /etc/dansguardian
# On crée la structure du DNS-blackhole :
  	mkdir $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
	chown -R 770 $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
	chown -R root:apache $DIR_DEST_ETC/{alcasar-dnsfilter-available,alcasar-dnsfilter-enabled}
# On fait pointer le black-hole sur une page interne
	$SED "s?^IP_RETOUR=.*?IP_RETOUR=\"$PRIVATE_IP\"?g" $DIR_DEST_SBIN/alcasar-bl.sh
# On récupère la dernière version de la BL Toulouse
	$DIR_DEST_SBIN/alcasar-bl.sh --download
}
 
##########################################################
##		Fonction cron				##
## - Mise en place des différents fichiers de cron	##
##########################################################
cron ()
{
# Modif du fichier 'crontab' pour passer les cron à minuit au lieu de 04h00
	[ -e /etc/crontab.default ] || cp /etc/crontab /etc/crontab.default
	cat <<EOF > /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
 
# run-parts
01 * * * * root nice -n 19 run-parts --report /etc/cron.hourly
02 0 * * * root nice -n 19 run-parts --report /etc/cron.daily
22 0 * * 0 root nice -n 19 run-parts --report /etc/cron.weekly
42 0 1 * * root nice -n 19 run-parts --report /etc/cron.monthly
EOF
	[ -e /etc/anacrontab.default ] || cp /etc/anacrontab /etc/anacrontab.default
	cat <<EOF >> /etc/anacrontab
7       10      cron.logExport          nice /etc/cron.d/export_log
7       15      cron.logClean           nice /etc/cron.d/clean_log
7	20	cron.importClean	nice /etc/cron.d/clean_import
EOF
# suppression des fichiers de logs de plus d'un an (tous les lundi à 4h30)
	cat <<EOF > /etc/cron.d/clean_log
30 4 * * 1 root $DIR_DEST_BIN/alcasar-log-clean.sh
EOF
# export de la base des usagers (tous les lundi à 4h45)
	cat <<EOF > /etc/cron.d/mysql
45 4 * * 1 root $DIR_DEST_SBIN/alcasar-mysql.sh -dump
EOF
# export des log squid, firewall et apache (tous les lundi à 5h00)
	cat <<EOF > /etc/cron.d/export_log
#!/bin/sh
00 5 * * 1 root $DIR_DEST_BIN/alcasar-log-export.sh
EOF
# mise à jour des stats de consultation WEB toutes les 30'  ## existe en double pour le daily sans l'@IP
# sans mèl ( > /dev/null 2>&1)
	cat << EOF > /etc/cron.d/awstats
*/30 * * * * root $DIR_ACC/awstats/awstats.pl -config=localhost -update >/dev/null 2>&1
EOF
# suppression des fichiers de mots de passe lors d'imports massifs par fichier de plus de 24h
	cat << EOF > /etc/cron.d/clean_import
30 * * * *  root $DIR_DEST_BIN/alcasar-import-clean.sh
EOF
# mise à jour des stats de connexion (accounting). Scripts provenant de "dialupadmin" (rpm freeradius-web) (cf. wiki.freeradius.org/Dialup_admin).
# on écrase le crontab d'origine installé par le RPM "freeradius-web" (bug remonté à qa.mandriva.com : 46739).
# 'tot_stats' (tout les jours à 01h01) : aggrégat des connexions journalières par usager (renseigne la table 'totacct') 
# 'monthly_tot_stat' (tous les jours à 01h05) : aggrégat des connexions mensuelles par usager (renseigne la table 'mtotacct')
# 'truncate_raddact' (tous les 1er du mois à 01h10) : supprime les entrées journalisées plus vieilles que '$back_days' jours (défini ci-après)
# 'clean_radacct' (tous les 1er du mois à 01h15) : ferme les session ouvertes de plus de '$back_days' jours (défini ci-après)
	$SED "s?^\$back_days.*?\$back_days = 365;?g" /usr/bin/truncate_radacct
	$SED "s?^\$back_days.*?\$back_days = 30;?g" /usr/bin/clean_radacct
	rm -f /etc/cron.daily/freeradius-web
	rm -f /etc/cron.monthly/freeradius-web
	cat << EOF > /etc/cron.d/freeradius-web
1 1 * * * root /usr/bin/tot_stats > /dev/null 2>&1
5 1 * * * root /usr/bin/monthly_tot_stats > /dev/null 2>&1
10 1 1 * * root /usr/bin/truncate_radacct > /dev/null 2>&1
15 1 1 * * root /usr/bin/clean_radacct > /dev/null 2>&1
EOF
# activation du "chien de garde" (watchdog) toutes les 3'
	cat << EOF > /etc/cron.d/watchdog
*/3 * * * * root $DIR_DEST_BIN/alcasar-watchdog.sh > /dev/null 2>&1
EOF
# suppression des crons usagers
	rm -f /var/spool/cron/*
} # End cron
 
##################################################################
##			Fonction post_install			##
## - Modification des bannières (locales et ssh) et des prompts ##
## - Installation de la structure de chiffrement pour root	##
## - Mise en place du sudoers et de la sécurité sur les fichiers##
## - Mise en place du la rotation des logs			##
## - Configuration dans le cas d'une mise à jour		##
##################################################################
post_install()
{
# adaptation du script "chien de garde" (watchdog)
	$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
	$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
	$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
# création de la bannière locale
	[ -e /etc/mandriva-release.default ]  || cp /etc/mandriva-release /etc/mandriva-release.default
	cp -f $DIR_CONF/banner /etc/mandriva-release
	echo " V$VERSION" >> /etc/mandriva-release
# création de la bannière SSH
	cp /etc/mandriva-release /etc/ssh/alcasar-banner-ssh
	chmod 644 /etc/ssh/alcasar-banner-ssh ; chown root:root /etc/ssh/alcasar-banner-ssh
	[ -e /etc/ssh/sshd_config.default ] || cp /etc/ssh/sshd_config /etc/ssh/sshd_config.default
	$SED "s?^Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
	$SED "s?^#Banner.*?Banner /etc/ssh/alcasar-banner-ssh?g" /etc/ssh/sshd_config
# sshd écoute côté LAN
	$SED "s?^#ListenAddress 0\.0\.0\.0?ListenAddress $PRIVATE_IP?g" /etc/ssh/sshd_config
# sshd n'est pas lancé automatiquement au démarrage
	/sbin/chkconfig --del sshd
	echo "SSH=off" >> $DIR_DEST_ETC/alcasar-network 
# Coloration des prompts
	[ -e /etc/bashrc.default ]  || cp /etc/bashrc /etc/bashrc.default
	cp -f $DIR_CONF/bashrc /etc/. ; chmod 644 /etc/bashrc ; chown root:root /etc/bashrc
# Droits d'exécution pour utilisateur apache et sysadmin
	[ -e /etc/sudoers.default ]  || cp /etc/sudoers /etc/sudoers.default
	cp -f $DIR_CONF/sudoers /etc/. ; chmod 440 /etc/sudoers ; chown root:root /etc/sudoers
	$SED "s?^Host_Alias.*?Host_Alias	LAN_ORG=$PRIVATE_NETWORK_MASK,localhost		#réseau de l'organisme?g" /etc/sudoers
# prise en compte de la rotation des logs sur 1 an (concerne mysql, httpd, dansguardian, squid, radiusd, ulogd)
	cp -f $DIR_CONF/logrotate.d/* /etc/logrotate.d/
	chmod 644 /etc/logrotate.d/*
# processus lancés par défaut au démarrage
	for i in ntpd iptables ulogd dnsmasq squid chilli httpd radiusd mysqld dansguardian havp freshclam
	do
		/sbin/chkconfig --add $i
	done
# pour éviter les alertes de dépendance entre service.
	$SED "s?^# Required-Start.*?# Required-Start: \$local_fs \$network?g" /etc/init.d/mysqld
	$SED "s?^# Required-Stop.*?# Required-Stop: \$local_fs \$network?g" /etc/init.d/mysqld
	$SED "s?^# Should-Start.*?# Should-Start: radiusd ldap?g" /etc/init.d/httpd
	$SED "s?^# Should-Stop.*?# Should-Stop: radiusd ldap?g" /etc/init.d/httpd
# On affecte le niveau de sécurité du système : type "fileserver"
	$SED "s?BASE_LEVEL=.*?BASE_LEVEL=fileserver?g" /etc/security/msec/security.conf
# On supprime la vérification du mode promiscious des interfaces réseaux ( nombreuses alertes sur eth1 dûes à Tun0 )
	$SED "s?CHECK_PROMISC=.*?CHECK_PROMISC=no?g" /etc/security/msec/level.fileserver
 
# On applique les préconisations ANSSI (sysctl + msec quand c'est possible)
# Apply French Security Agency rules (sysctl + msec when possible)
# ignorer les broadcast ICMP. (attaque smurf) 
$SED "s?^ACCEPT_BROADCASTED_ICMP_ECHO=.*?ACCEPT_BROADCASTED_ICMP_ECHO=no?g" /etc/security/msec/level.fileserver
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
# ignorer les erreurs ICMP bogus
$SED "s?^ACCEPT_BOGUS_ERROR_RESPONSES=.*?ACCEPT_BOGUS_ERROR_RESPONSES=no?g" /etc/security/msec/level.fileserver
sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
# désactiver l'envoi et la réponse aux ICMP redirects
accept_redirect=`grep accept_redirect /etc/sysctl.conf|wc -l`
	if [ "$accept_redirect" == "0" ]
	then
	      echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
	fi
send_redirect=`grep send_redirect /etc/sysctl.conf|wc -l`
	if [ "$send_redirect" == "0" ]
	then
	      echo "net.ipv4.conf.all.send_redirects = 0" >> /etc/sysctl.conf
	fi
$SED "s?accept_redirects.*?accept_redirects = 0?g" /etc/sysctl.conf
$SED "s?send_redirects.*?send_redirects = 0?g" /etc/sysctl.conf
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.all.send_redirects=0
# activer les SYN Cookies (attaque syn flood)
tcp_syncookies=`grep tcp_syncookies /etc/sysctl.conf|wc -l`
	if [ "$tcp_syncookies" == "0" ]
	then
	      echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
	fi
$SED "s?tcp_syncookies.*?tcp_syncookies = 1?g" /etc/sysctl.conf
sysctl -w net.ipv4.tcp_syncookies=1
# activer l'antispoofing niveau Noyau
$SED "s?^ENABLE_IP_SPOOFING_PROTECTION.*?ENABLE_IP_SPOOFING_PROTECTION=yes?g" /etc/security/msec/level.fileserver
sysctl -w net.ipv4.conf.all.rp_filter=1
# ignorer le source routing
accept_source_route=`grep accept_source_route /etc/sysctl.conf|wc -l`
	if [ "$accept_source_route" == "0" ]
	then
	      echo "net.ipv4.conf.all.accept_source_route = 0" >> /etc/sysctl.conf
	fi
$SED "s?accept_source_route.*?accept_source_route = 0?g" /etc/sysctl.conf
sysctl -w net.ipv4.conf.all.accept_source_route=0
# On supprime les log_martians (ALCASAR est souvent entre deux réseaux dont les plans d'adressage sont de type 'privée') 
sysctl -w net.ipv4.conf.all.log_martians=0
$SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/level.fileserver
 
# On supprime la gestion du <CTRL>+<ALT>+<SUPPR> et des Magic SysReq Keys
	$SED "s?^ALLOW_REBOOT=.*?ALLOW_REBOOT=no?g" /etc/security/msec/level.fileserver
# On mets en place la sécurité sur les fichiers
# des modif par rapport à radius update
	cat <<EOF > /etc/security/msec/perm.local
/var/log/firewall/			root.apache	750
/var/log/firewall/*			root.apache	640
/etc/security/msec/perm.local		root.root	640
/etc/security/msec/level.local		root.root	640
/etc/freeradius-web			root.apache	750
/etc/freeradius-web/admin.conf		root.apache	640
/etc/freeradius-web/config.php		root.apache	640
/etc/raddb/dictionnary			root.radius	640
/etc/raddb/ldap.attrmap			root.radius	640
/etc/raddb/hints			root.radius	640
/etc/raddb/huntgroups			root.radius	640
/etc/raddb/attrs.access_reject		root.radius	640
/etc/raddb/attrs.accounting_response	root.radius	640
/etc/raddb/acct_users			root.radius	640
/etc/raddb/preproxy_users		root.radius	640
/etc/raddb/modules/ldap			radius.apache	660
/etc/raddb/sites-available/alcasar	radius.apache	660
/etc/pki/*				root.apache	750
EOF
	/usr/sbin/msec
# modification /etc/inittab
	[ -e /etc/inittab.default ] || cp /etc/inittab /etc/inittab.default
# On ne garde que 3 terminaux
	$SED "s?^4.*?#&?g" /etc/inittab
	$SED "s?^5.*?#&?g" /etc/inittab
	$SED "s?^6.*?#&?g" /etc/inittab
# On limite le temps d'attente de grub (3s) et on change la résolution d'écran
$SED "s?^timeout.*?timeout 3?g" /boot/grub/menu.lst
$SED "s?^kernel.*?& vga=791?g" /boot/grub/menu.lst
# On supprime les services et les utilisateurs inutiles
for svc in alsa sound dm atd netfs bootlogd stop-bootlogd
do
	/sbin/chkconfig --del $svc
done
for rm_users in avahi-autoipd avahi icapd
do
	user=`cat /etc/passwd|grep $rm_users|cut -d":" -f1`
	if [ "$user" == "$rm_users" ]
	then
		/usr/sbin/userdel -f $rm_users
	fi
done
# dans le cas d'une mise à jour, on charge la conf d'une version précédente
if [ "$mode" = "update" ]
then
	$DIR_DEST_BIN/alcasar-conf.sh --load
fi
rm -f /tmp/alcasar-conf*
chown -R root:apache $DIR_DEST_ETC/*
chmod -R 660 $DIR_DEST_ETC/*
chmod ug+x $DIR_DEST_ETC/digest $DIR_DEST_ETC/alcasar-dnsfilter*
	cd $DIR_INSTALL
	echo ""
	echo "#############################################################################"
	echo "#                        Fin d'installation d'ALCASAR                       #"
	echo "#                                                                           #"
	echo "#         Application Libre pour le Contrôle Authentifié et Sécurisé        #"
	echo "#                     des Accès au Réseau ( ALCASAR )                       #"
	echo "#                                                                           #"
	echo "#############################################################################"
	echo
	echo "- ALCASAR sera fonctionnel après redémarrage du système"
	echo
	echo "- Lisez attentivement la documentation d'exploitation"
	echo
	echo "- L'interface de gestion est consultable à partir de n'importe quel poste"
	echo "	situé sur le réseau de consultation à l'URL http://alcasar"
	echo
	echo "                   Appuyez sur 'Entrée' pour continuer"
	read a
# On applique les règles de filtrage (et on les sauvegarde)
 	sh $DIR_DEST_BIN/alcasar-iptables.sh
	sleep 2
	clear
	reboot
} # End post_install ()
 
#################################
#  Boucle principale du script  #
#################################
usage="Usage: alcasar.sh {-i or --install} | {-u or --uninstall}"
nb_args=$#
args=$1
if [ $nb_args -eq 0 ]
then
	nb_args=1
	args="-h"
fi
case $args in
	-\? | -h* | --h*)
		echo "$usage"
		exit 0
		;;
	-i | --install)
		header_install
		testing
# On teste la présence d'une version déjà installée
		if [ -e $DIR_WEB/VERSION ]
		then
			actual_version=`cat $DIR_WEB/VERSION`
			if [ $Lang == "fr" ]
				then echo -n "La version "; echo -n $actual_version ; echo " d'ALCASAR est déjà installée";
				else echo -n "ALCASAR Version "; echo -n $actual_version ; echo " is already installed";
			fi
			response=0
			PTN='^[oOnNyY]$'
			until [[ $(expr $response : $PTN) -gt 0 ]]
			do
				if [ $Lang == "fr" ]
					then echo -n "Voulez-vous effectuer une mise à jour (O/n)? ";
					else echo -n "Do you want to update (Y/n)?";
				 fi
				read response
			done
			if [ "$response" = "o" ] || [ "$response" = "O" ] || [ "$response" = "y" ] || [ "$response" = "Y" ]
			then
				RUNNING_VERSION=`cat $DIR_WEB/VERSION|cut -d" " -f1`
				MAJ_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f1`
				MIN_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f2|cut -c1`
				UPD_RUNNING_VERSION=`echo $RUNNING_VERSION|cut -d"." -f3`
# On crée le fichier de conf de la version actuelle
				chmod u+x $DIR_SCRIPTS/alcasar-conf.sh
				$DIR_SCRIPTS/alcasar-conf.sh --create
				mode="update"
			fi
		fi
# RPMs install
		$DIR_SCRIPTS/alcasar-urpmi.sh
		if [ "$?" != "0" ]
		then
			exit 0
		fi
		if [ -e $DIR_WEB/VERSION ]
		then
 
 
# On désinstalle la version actuelle
			$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
		fi
		if [ -e /tmp/alcasar-conf.tar.gz ]
		then
			if [ $Lang == "fr" ]
				then echo "#### Installation avec mise à jour ####"
				else echo "#### Installation with update     ####"
			fi
# On récupère le nom d'organisme à partir de fichier de conf
			tar -xvf /tmp/alcasar-conf.tar.gz conf/organisme 
			ORGANISME=`cat $DIR_CONF/organisme`
			mode="update"
		else
			mode="install"
		fi
		for func in init network gestion AC init_db param_radius param_web_radius param_chilli param_squid param_dansguardian antivirus firewall param_ulogd param_awstats param_dnsmasq BL cron post_install
 
		do
			$func
 echo "*** 'debug' : end of function $func ***"; read a
		done
		;;
	-u | --uninstall)
		if [ ! -e $DIR_DEST_SBIN/alcasar-uninstall.sh ]
		then
			echo "Aucune version d'ALCASAR n'a été trouvée.";
			exit 0
		fi
		response=0
		PTN='^[oOnN]$'
		until [[ $(expr $response : $PTN) -gt 0 ]]
		do
			echo -n "Voulez-vous créer le fichier de conf de la version actuelle (0/n)? "
			read response
		done
		if [ "$reponse" = "o" ] || [ "$reponse" = "O" ]
		then
			$DIR_SCRIPT/alcasar-conf.sh --create
		else	
			rm -f /tmp/alcasar-conf*
		fi
# On désinstalle la version actuelle
		$DIR_SCRIPTS/sbin/alcasar-uninstall.sh
		;;
	*)
		echo "Argument inconnu :$1";
		echo "Unknown argument :$1";
		echo "$usage"
		exit 1
		;;
esac
# end of script
 
 

Rev 589	Rev 595
1	`#!/bin/sh`	1	`#!/bin/sh`
2	`# $Id: alcasar.sh 589 2011-04-26 20:08:21Z richard $`	2	`# $Id: alcasar.sh 595 2011-05-04 21:51:30Z richard $`
3		3
4	`# alcasar.sh`	4	`# alcasar.sh`
5	`# by Franck BOUIJOUX, Pascal LEVANT and Richard REY`	5	`# by Franck BOUIJOUX, Pascal LEVANT and Richard REY`
6	`# This script is distributed under the Gnu General Public License (GPL)`	6	`# This script is distributed under the Gnu General Public License (GPL)`
7		7
8	`# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)`	8	`# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)`
9	`# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)`	9	`# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)`
10		10
11	`# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :`	11	`# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :`
12	`# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :`	12	`# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :`
13	`# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, dialupadmin, awstat, ntpd, openssl, dnsmasq, havp, libclamav and firewalleyes`	13	`# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, dialupadmin, awstat, ntpd, openssl, dnsmasq, havp, libclamav and firewalleyes`
14		14
15	`# Options :`	15	`# Options :`
16	`# -i or --install`	16	`# -i or --install`
17	`# -u or --uninstall`	17	`# -u or --uninstall`
18		18
19	`# Functions :`	19	`# Functions :`
20	`# testing : Tests de connectivité et de téléchargement avant installation`	20	`# testing : Tests de connectivité et de téléchargement avant installation`
21	`# init : Installation des RPM et des scripts`	21	`# init : Installation des RPM et des scripts`
22	`# network : Paramètrage du réseau`	22	`# network : Paramètrage du réseau`
23	`# gestion : Installation de l'interface de gestion`	23	`# gestion : Installation de l'interface de gestion`
24	`# AC : Initialisation de l'autorité de certification. Création des certificats`	24	`# AC : Initialisation de l'autorité de certification. Création des certificats`
25	`# init_db : Création de la base 'radius' sur le serveur MySql`	25	`# init_db : Création de la base 'radius' sur le serveur MySql`
26	`# param_radius : Configuration du serveur d'authentification FreeRadius`	26	`# param_radius : Configuration du serveur d'authentification FreeRadius`
27	`# param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)`	27	`# param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)`
28	`# param_chilli : Configuration du daemon 'coova-chilli' et de la page d'authentification`	28	`# param_chilli : Configuration du daemon 'coova-chilli' et de la page d'authentification`
29	`# param_squid : Configuration du proxy squid en mode 'cache'`	29	`# param_squid : Configuration du proxy squid en mode 'cache'`
30	`# param_dansguardian : Configuration de l'analyseur de contenu DansGuardian`	30	`# param_dansguardian : Configuration de l'analyseur de contenu DansGuardian`
31	`# antivirus : Installation havp + libclamav`	31	`# antivirus : Installation havp + libclamav`
32	`# firewall : Mise en place des règles du parefeu et de l'interface WEB FirewallEyes`	32	`# firewall : Mise en place des règles du parefeu et de l'interface WEB FirewallEyes`
33	`# param_awstats : Configuration de l'interface des statistiques de consultation WEB`	33	`# param_awstats : Configuration de l'interface des statistiques de consultation WEB`
34	`# dnsmasq : Configuration du serveur de noms et du serveur dhcp de secours`	34	`# dnsmasq : Configuration du serveur de noms et du serveur dhcp de secours`
35	`# BL : Configuration de la BlackList`	35	`# BL : Configuration de la BlackList`
36	`# cron : Mise en place des exports de logs (+ chiffrement)`	36	`# cron : Mise en place des exports de logs (+ chiffrement)`
37	`# post_install : Finalisation environnement ( sécurité, bannières, rotation logs, ...)`	37	`# post_install : Finalisation environnement ( sécurité, bannières, rotation logs, ...)`
38		38
39	VERSION=`cat VERSION`	39	VERSION=`cat VERSION`
40	DATE=`date '+%d %B %Y - %Hh%M'`	40	DATE=`date '+%d %B %Y - %Hh%M'`
41	DATE_SHORT=`date '+%d/%m/%Y'`	41	DATE_SHORT=`date '+%d/%m/%Y'`
-		42	Lang=`echo $LANG\|cut -c 1-2`
42	`# ***** Files parameters - paramètres fichiers *******`	43	`# ***** Files parameters - paramètres fichiers *******`
43	DIR_INSTALL=`pwd` # répertoire d'installation	44	DIR_INSTALL=`pwd` # répertoire d'installation
44	`DIR_CONF="$DIR_INSTALL/conf" # répertoire d'installation contenant les fichiers de configuration`	45	`DIR_CONF="$DIR_INSTALL/conf" # répertoire d'installation contenant les fichiers de configuration`
45	`DIR_SCRIPTS="$DIR_INSTALL/scripts" # répertoire d'installation contenant les scripts`	46	`DIR_SCRIPTS="$DIR_INSTALL/scripts" # répertoire d'installation contenant les scripts`
46	`DIR_SAVE="/var/Save" # répertoire de sauvegarde (ISO, backup, etc.)`	47	`DIR_SAVE="/var/Save" # répertoire de sauvegarde (ISO, backup, etc.)`
47	`DIR_WEB="/var/www/html" # répertoire racine APACHE`	48	`DIR_WEB="/var/www/html" # répertoire racine APACHE`
48	`DIR_ACC="$DIR_WEB/acc" # répertoire du centre de gestion 'ALCASAR Control Center'`	49	`DIR_ACC="$DIR_WEB/acc" # répertoire du centre de gestion 'ALCASAR Control Center'`
49	`DIR_DEST_BIN="/usr/local/bin" # répertoire des scripts`	50	`DIR_DEST_BIN="/usr/local/bin" # répertoire des scripts`
50	`DIR_DEST_SBIN="/usr/local/sbin" # répertoire des scripts d'admin`	51	`DIR_DEST_SBIN="/usr/local/sbin" # répertoire des scripts d'admin`
51	`DIR_DEST_ETC="/usr/local/etc" # répertoire des fichiers de conf`	52	`DIR_DEST_ETC="/usr/local/etc" # répertoire des fichiers de conf`
52	`FIC_PARAM="/root/ALCASAR-parameters.txt" # fichier texte résumant les paramètres d'installation`	53	`FIC_PARAM="/root/ALCASAR-parameters.txt" # fichier texte résumant les paramètres d'installation`
53	`FIC_PASSWD="/root/ALCASAR-passwords.txt" # fichier texte contenant les mots de passe et secrets partagés`	54	`FIC_PASSWD="/root/ALCASAR-passwords.txt" # fichier texte contenant les mots de passe et secrets partagés`
54	`# ***** DBMS parameters - paramètres SGBD ******`	55	`# ***** DBMS parameters - paramètres SGBD ******`
55	`DB_RADIUS="radius" # nom de la base de données utilisée par le serveur FreeRadius`	56	`DB_RADIUS="radius" # nom de la base de données utilisée par le serveur FreeRadius`
56	`DB_USER="radius" # nom de l'utilisateur de la base de données`	57	`DB_USER="radius" # nom de l'utilisateur de la base de données`
57	`# ***** Network parameters - paramètres réseau *****`	58	`# ***** Network parameters - paramètres réseau *****`
58	`HOSTNAME="alcasar" #`	59	`HOSTNAME="alcasar" #`
59	`DOMAIN="localdomain" # domaine local`	60	`DOMAIN="localdomain" # domaine local`
60	`EXTIF="eth0" # ETH0 est l'interface connectée à Internet (Box FAI)`	61	`EXTIF="eth0" # ETH0 est l'interface connectée à Internet (Box FAI)`
61	`INTIF="eth1" # ETH1 est l'interface connectée au réseau local de consultation`	62	`INTIF="eth1" # ETH1 est l'interface connectée au réseau local de consultation`
62	`CUSTOM_PRIVATE_NETWORK_MASK="192.168.182.0/24" # adresse du réseau de consultation proposée par défaut`	63	`DEFAULT_PRIVATE_NETWORK_MASK="192.168.182.0/24" # adresse du réseau de consultation proposée par défaut`
63	`SQUID_PORT="3128" # Port d'écoute du proxy Squid`	-
64	`# **** Paths - chemin des commandes *****`	64	`# **** Paths - chemin des commandes *****`
65	`SED="/bin/sed -i"`	65	`SED="/bin/sed -i"`
66	`# **************** End of global parameters *******************`	66	`# **************** End of global parameters *******************`
67		67
68	`header_install ()`	68	`header_install ()`
69	`{`	69	`{`
70	`clear`	70	`clear`
71	`echo "-----------------------------------------------------------------------------"`	71	`echo "-----------------------------------------------------------------------------"`
72	`echo " ALCASAR V$VERSION Installation"`	72	`echo " ALCASAR V$VERSION Installation"`
73	`echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"`	73	`echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"`
74	`echo "-----------------------------------------------------------------------------"`	74	`echo "-----------------------------------------------------------------------------"`
75	`} # End of header_install ()`	75	`} # End of header_install ()`
76		76
77	`##################################################################`	77	`##################################################################`
78	`## Fonction TESTING ##`	78	`## Fonction TESTING ##`
79	`## - Test de la connectivité Internet ##`	79	`## - Test de la connectivité Internet ##`
80	`##################################################################`	80	`##################################################################`
81	`testing ()`	81	`testing ()`
82	`{`	82	`{`
-		83	`if [ $Lang == "fr" ]`
83	`echo "Tests des paramètres réseau."`	84	`then echo -n "Tests des paramètres réseau :"`
84	`echo -n "Network parameters tests : "`	85	`else echo -n "Network parameters tests : "`
-		86	`fi`
85	`# We test the Ethernet links state`	87	`# We test the Ethernet links state`
86	`for i in $EXTIF $INTIF`	88	`for i in $EXTIF $INTIF`
87	`do`	89	`do`
88	`/sbin/ip link set $i up`	90	`/sbin/ip link set $i up`
89	`sleep 3`	91	`sleep 3`
90	if [ "`/usr/sbin/ethtool $i\|grep Link\|cut -d' ' -f3`" != "yes" ]	92	if [ "`/usr/sbin/ethtool $i\|grep Link\|cut -d' ' -f3`" != "yes" ]
91	`then`	93	`then`
-		94	`if [ $Lang == "fr" ]`
-		95	`then`
92	`echo "Échec"`	96	`echo "Échec"`
93	`echo "Le lien réseau de la carte $i n'est pas actif."`	97	`echo "Le lien réseau de la carte $i n'est pas actif."`
94	`echo "Réglez ce problème puis relancez ce script."`	98	`echo "Réglez ce problème puis relancez ce script."`
-		99	`else`
95	`echo "Failed"`	100	`echo "Failed"`
96	`echo "The link state of $i interface id down."`	101	`echo "The link state of $i interface id down."`
97	`echo "Resolv this problem, then restart this script."`	102	`echo "Resolv this problem, then restart this script."`
-		103	`fi`
98	`exit 0`	104	`exit 0`
99	`fi`	105	`fi`
100	`echo -n "."`	106	`echo -n "."`
101	`done`	107	`done`
102	`# On teste la présence d'un routeur par défaut (Box FAI)`	108	`# On teste la présence d'un routeur par défaut (Box FAI)`
103	if [ `/sbin/route -n\|grep -c ^0.0.0.0` -ne "1" ] ; then	109	if [ `/sbin/route -n\|grep -c ^0.0.0.0` -ne "1" ] ; then
-		110	`if [ $Lang == "fr" ]`
-		111	`then`
104	`echo "Échec"`	112	`echo "Échec"`
105	`echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."`	113	`echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."`
106	`echo "Réglez ce problème puis relancez ce script."`	114	`echo "Réglez ce problème puis relancez ce script."`
-		115	`else`
107	`echo "Failed"`	116	`echo "Failed"`
108	`echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"`	117	`echo "You haven't configured Internet access or Internet link is on the wrong Ethernet card"`
109	`echo "Resolv this problem, then restart this script."`	118	`echo "Resolv this problem, then restart this script."`
-		119	`fi`
110	`exit 0`	120	`exit 0`
111	`fi`	121	`fi`
112	`echo -n "."`	122	`echo -n "."`
113	`# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)`	123	`# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certaines version de BIOS et de VirtualBox)`
114	if [ `/sbin/route -n\|grep ^0.0.0.0\|grep -c eth1` -eq "1" ] ; then	124	if [ `/sbin/route -n\|grep ^0.0.0.0\|grep -c eth1` -eq "1" ] ; then
-		125	`if [ $Lang == "fr" ]`
115	`echo "La configuration des cartes réseau va être corrigée."`	126	`then echo "La configuration des cartes réseau va être corrigée."`
116	`echo "The Ethernet card configuration will be corrected."`	127	`else echo "The Ethernet card configuration will be corrected."`
-		128	`fi`
117	`/etc/init.d/network stop`	129	`/etc/init.d/network stop`
118	`mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0`	130	`mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0`
119	`$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0`	131	`$SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0`
120	`/etc/init.d/network start`	132	`/etc/init.d/network start`
121	`echo 0 > /proc/sys/net/ipv4/conf/all/log_martians`	133	`echo 0 > /proc/sys/net/ipv4/conf/all/log_martians`
122	`sleep 2`	134	`sleep 2`
-		135	`if [ $Lang == "fr" ]`
123	`echo "Configuration corrigée"`	136	`then echo "Configuration corrigée"`
124	`echo "Configuration updated"`	137	`else echo "Configuration updated"`
-		138	`fi`
125	`sleep 2`	139	`sleep 2`
-		140	`if [ $Lang == "fr" ]`
126	`echo "Vous pouvez relancer ce script."`	141	`then echo "Vous pouvez relancer ce script."`
127	`echo "You can restart this script."`	142	`else echo "You can restart this script."`
-		143	`fi`
128	`exit 0`	144	`exit 0`
129	`fi`	145	`fi`
130	`echo -n "."`	146	`echo -n "."`
131	`# On test le lien vers le routeur par default`	147	`# On test le lien vers le routeur par default`
132	IP_GW=`ip route list\|grep ^default\|cut -d" " -f3`	148	IP_GW=`ip route list\|grep ^default\|cut -d" " -f3`
133	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW\|grep response\|cut -d" " -f2`	149	arp_reply=`/usr/sbin/arping -b -I$EXTIF -c1 -w2 $IP_GW\|grep response\|cut -d" " -f2`
134	`if [ $(expr $arp_reply) -eq 0 ]`	150	`if [ $(expr $arp_reply) -eq 0 ]`
135	`then`	151	`then`
-		152	`if [ $Lang == "fr" ]`
-		153	`then`
136	`echo "Échec"`	154	`echo "Échec"`
137	`echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."`	155	`echo "Le routeur de site ou la Box Internet ($IP_GW) ne répond pas."`
138	`echo "Réglez ce problème puis relancez ce script."`	156	`echo "Réglez ce problème puis relancez ce script."`
-		157	`else`
139	`echo "Failed"`	158	`echo "Failed"`
140	`echo "The Internet gateway doesn't answered"`	159	`echo "The Internet gateway doesn't answered"`
141	`echo "Resolv this problem, then restart this script."`	160	`echo "Resolv this problem, then restart this script."`
-		161	`fi`
142	`exit 0`	162	`exit 0`
143	`fi`	163	`fi`
144	`echo -n "."`	164	`echo -n "."`
145	`# On teste la connectivité Internet`	165	`# On teste la connectivité Internet`
146	`rm -rf /tmp/con_ok.html`	166	`rm -rf /tmp/con_ok.html`
147	`/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html`	167	`/usr/bin/curl www.google.fr -s -o /tmp/con_ok.html`
148	`if [ ! -e /tmp/con_ok.html ]`	168	`if [ ! -e /tmp/con_ok.html ]`
149	`then`	169	`then`
-		170	`if [ $Lang == "fr" ]`
-		171	`then`
150	`echo "La tentative de connexion vers Internet a échoué (google.fr)."`	172	`echo "La tentative de connexion vers Internet a échoué (google.fr)."`
151	`echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."`	173	`echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."`
152	`echo "Vérifiez la validité des adresses IP des DNS."`	174	`echo "Vérifiez la validité des adresses IP des DNS."`
-		175	`else`
153	`echo "The Internet connection try failed (google.fr)."`	176	`echo "The Internet connection try failed (google.fr)."`
154	`echo "Please, verify that the $EXTIF card is connected with the Internet gateway."`	177	`echo "Please, verify that the $EXTIF card is connected with the Internet gateway."`
155	`echo "Verify the DNS IP addresses"`	178	`echo "Verify the DNS IP addresses"`
-		179	`fi`
156	`exit 0`	180	`exit 0`
157	`fi`	181	`fi`
158	`rm -rf /tmp/con_ok.html`	182	`rm -rf /tmp/con_ok.html`
159	`echo ". : ok"`	183	`echo ". : ok"`
160	`} # end of testing`	184	`} # end of testing`
161		185
162	`##################################################################`	186	`##################################################################`
163	`## Fonction INIT ##`	187	`## Fonction INIT ##`
164	`## - Création du fichier "/root/ALCASAR_parametres.txt" ##`	188	`## - Création du fichier "/root/ALCASAR_parametres.txt" ##`
165	`## - Installation et modification des scripts du portail ##`	189	`## - Installation et modification des scripts du portail ##`
166	`##################################################################`	190	`##################################################################`
167	`init ()`	191	`init ()`
168	`{`	192	`{`
169	`if [ "$mode" != "update" ]`	193	`if [ "$mode" != "update" ]`
170	`then`	194	`then`
171	`# On affecte le nom d'organisme`	195	`# On affecte le nom d'organisme`
172	`ORGANISME=!`	196	`ORGANISME=!`
173	`PTN='^[a-zA-Z0-9-]*$'`	197	`PTN='^[a-zA-Z0-9-]*$'`
174	`until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]`	198	`until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]`
175	`do`	199	`do`
-		200	`if [ $Lang == "fr" ]`
176	`echo "Entrez le nom de votre organisme : "`	201	`then echo "Entrez le nom de votre organisme : "`
177	`echo -n "Enter the name of your organisation : "`	202	`else echo -n "Enter the name of your organisation : "`
-		203	`fi`
178	`read ORGANISME`	204	`read ORGANISME`
179	`if [ "$ORGANISME" = "" ]`	205	`if [ "$ORGANISME" = "" ]`
180	`then`	206	`then`
181	`ORGANISME=!`	207	`ORGANISME=!`
182	`fi`	208	`fi`
183	`done`	209	`done`
184	`fi`	210	`fi`
185	`# On crée aléatoirement les mots de passe et les secrets partagés`	211	`# On crée aléatoirement les mots de passe et les secrets partagés`
186	`rm -f $FIC_PASSWD`	212	`rm -f $FIC_PASSWD`
187	grubpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de protection du menu Grub	213	grubpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de protection du menu Grub
188	`echo -n "mot de passe de protection du menu de démarrage (GRUB) : " > $FIC_PASSWD`	214	`echo -n "mot de passe de protection du menu de démarrage (GRUB) : " > $FIC_PASSWD`
189	`echo "$grubpwd" >> $FIC_PASSWD`	215	`echo "$grubpwd" >> $FIC_PASSWD`
190	md5_grubpwd=`/usr/bin/md5pass $grubpwd`	216	md5_grubpwd=`/usr/bin/md5pass $grubpwd`
191	`$SED "/^password.*/d" /boot/grub/menu.lst`	217	`$SED "/^password.*/d" /boot/grub/menu.lst`
192	`$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst`	218	`$SED "1ipassword --md5 $md5_grubpwd" /boot/grub/menu.lst`
193	mysqlpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'administrateur Mysqld	219	mysqlpwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'administrateur Mysqld
194	`echo -n "compte et mot de passe de l'administrateur Mysqld : " >> $FIC_PASSWD`	220	`echo -n "compte et mot de passe de l'administrateur Mysqld : " >> $FIC_PASSWD`
195	`echo "root / $mysqlpwd" >> $FIC_PASSWD`	221	`echo "root / $mysqlpwd" >> $FIC_PASSWD`
196	radiuspwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)	222	radiuspwd=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)
197	`echo -n "compte et mot de passe de l'utilisateur Mysqld : " >> $FIC_PASSWD`	223	`echo -n "compte et mot de passe de l'utilisateur Mysqld : " >> $FIC_PASSWD`
198	`echo "$DB_USER / $radiuspwd" >> $FIC_PASSWD`	224	`echo "$DB_USER / $radiuspwd" >> $FIC_PASSWD`
199	secretuam=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre intercept.php et coova-chilli	225	secretuam=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre intercept.php et coova-chilli
200	`echo -n "secret partagé entre le script 'intercept.php' et coova-chilli : " >> $FIC_PASSWD`	226	`echo -n "secret partagé entre le script 'intercept.php' et coova-chilli : " >> $FIC_PASSWD`
201	`echo "$secretuam" >> $FIC_PASSWD`	227	`echo "$secretuam" >> $FIC_PASSWD`
202	secretradius=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre coova-chilli et FreeRadius	228	secretradius=`cat /dev/urandom \| tr -dc [:alnum:] \| head -c8` # secret partagé entre coova-chilli et FreeRadius
203	`echo -n "secret partagé entre coova-chilli et FreeRadius : " >> $FIC_PASSWD`	229	`echo -n "secret partagé entre coova-chilli et FreeRadius : " >> $FIC_PASSWD`
204	`echo "$secretradius" >> $FIC_PASSWD`	230	`echo "$secretradius" >> $FIC_PASSWD`
205	`chmod 640 $FIC_PASSWD`	231	`chmod 640 $FIC_PASSWD`
206	`# On installe les scripts et fichiers de configuration d'ALCASAR`	232	`# On installe les scripts et fichiers de configuration d'ALCASAR`
207	`# - dans /usr/local/bin : alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}`	233	`# - dans /usr/local/bin : alcasar-{CA.sh,conf.sh,import-clean.sh,iptables-bypass.sh,iptables.sh,log-clean.sh,log-export.sh,mondo.sh,watchdog.sh}`
208	`cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*`	234	`cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root:root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*`
209	`# - dans /usr/local/sbin : alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}`	235	`# - dans /usr/local/sbin : alcasar-{bl.sh,bypass.sh,dateLog.sh,havp.sh,logout.sh,mysql.sh,nf.sh,profil.sh,uninstall.sh,version-list.sh,load-balancing.sh}`
210	`cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*`	236	`cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root:root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*`
211	`# - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}`	237	`# - des fichiers de conf dans /usr/local/etc : alcasar-{bl-categories-enabled,dns-name,ethers,iptables-local.sh,services}`
212	`cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*`	238	`cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root:apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*`
213	`$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh`	239	`$SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh`
214	`$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh`	240	`$SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh`
215	`$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh`	241	`$SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh`
216	`$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh`	242	`$SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh $DIR_DEST_BIN/alcasar-conf.sh`
217	`# On génère le début du fichier récapitulatif`	243	`# On génère le début du fichier récapitulatif`
218	`cat <<EOF > $FIC_PARAM`	244	`cat <<EOF > $FIC_PARAM`
219	`########################################################`	245	`################################################`
220	`## ##`	246	`## ##`
221	`## Fichier récapitulatif des paramètres d'ALCASAR ##`	247	`## ALCASAR Paramèters ##`
222	`## ##`	248	`## ##`
223	`########################################################`	249	`################################################`
224		250
225	`- Date d'installation : $DATE`	251	`- Install date : $DATE`
226	`- Version istallée : $VERSION`	252	`- Version : $VERSION`
227	`- Organisme : $ORGANISME`	253	`- Organism : $ORGANISME`
228	`EOF`	254	`EOF`
229	`chmod o-rwx $FIC_PARAM`	255	`chmod o-rwx $FIC_PARAM`
230	`} # End of init ()`	256	`} # End of init ()`
231		257
232	`##################################################################`	258	`##################################################################`
233	`## Fonction network ##`	259	`## Fonction network ##`
234	`## - Définition du plan d'adressage du réseau de consultation ##`	260	`## - Définition du plan d'adressage du réseau de consultation ##`
235	`## (merci à Alexandre Trias pour le calcul de masque et RegEx) ##`	-
236	`## - Nommage DNS du système (portail + nom d'organisme) ##`	261	`## - Nommage DNS du système ##`
237	`## - Configuration de l'interface eth1 (réseau de consultation) ##`	262	`## - Configuration de l'interface eth1 (réseau de consultation) ##`
238	`## - Modification du fichier /etc/hosts ##`	263	`## - Modification du fichier /etc/hosts ##`
239	`## - Configuration du serveur de temps (NTP) ##`	264	`## - Configuration du serveur de temps (NTP) ##`
240	`## - Renseignement des fichiers hosts.allow et hosts.deny ##`	265	`## - Renseignement des fichiers hosts.allow et hosts.deny ##`
241	`##################################################################`	266	`##################################################################`
242	`network ()`	267	`network ()`
243	`{`	268	`{`
244	`header_install`	269	`header_install`
-		270	`if [ $Lang == "fr" ]`
245	`echo "Par défaut, le plan d'adressage du réseau de consultation est : $CUSTOM_PRIVATE_NETWORK_MASK"`	271	`then echo "Par défaut, le plan d'adressage IP du réseau de consultation est : $DEFAULT_PRIVATE_NETWORK_MASK"`
-		272	`else echo "The default consultation network IP address is : $DEFAULT_PRIVATE_NETWORK_MASK"`
-		273	`fi`
246	`response=0`	274	`response=0`
247	`PTN='^[oOnN]$'`	275	`PTN='^[oOyYnN]$'`
248	`until [[ $(expr $response : $PTN) -gt 0 ]]`	276	`until [[ $(expr $response : $PTN) -gt 0 ]]`
249	`do`	277	`do`
-		278	`if [ $Lang == "fr" ]`
250	`echo -n "Voulez-vous utiliser ce plan d'adressage (recommandé) (O/n)? : "`	279	`then echo -n "Voulez-vous utiliser ce plan d'adressage (recommandé) (O/n)? : "`
-		280	`else echo -n "Do you want to use it (recommanded) (Y/n)? : "`
-		281	`fi`
251	`read response`	282	`read response`
252	`done`	283	`done`
253	`if [ "$response" = "n" ] \|\| [ "$response" = "N" ]`	284	`if [ "$response" = "n" ] \|\| [ "$response" = "N" ]`
254	`then`	285	`then`
255	`CUSTOM_PRIVATE_NETWORK_MASK="0"`	286	`PRIVATE_NETWORK_MASK="0"`
256	`PTN='^\([01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]\)/[012]\?[[:digit:]]$'`	287	`PTN='^\([01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\\|2[0-4][[:digit:]]\\|25[0-5]\)/[012]\?[[:digit:]]$'`
257	`until [[ $(expr $CUSTOM_PRIVATE_NETWORK_MASK : $PTN) -gt 0 ]]`	288	`until [[ $(expr $PRIVATE_NETWORK_MASK : $PTN) -gt 0 ]]`
258	`do`	289	`do`
-		290	`if [ $Lang == "fr" ]`
259	`echo -n "Entrez un plan d'adressage au format CIDR (a.b.c.d/xx) : "`	291	`then echo -n "Entrez un plan d'adressage IP au format CIDR (a.b.c.d/xx) : "`
-		292	`else echo -n "Enter a network IP address in CIDR format (a.b.c.d/xx) : "`
-		293	`fi`
260	`read CUSTOM_PRIVATE_NETWORK_MASK`	294	`read PRIVATE_NETWORK_MASK`
261		295
262	`done`	296	`done`
-		297	`else`
-		298	`PRIVATE_NETWORK_MASK=$DEFAULT_PRIVATE_NETWORK_MASK`
263	`fi`	299	`fi`
264	`# Récupération de la config réseau côté "LAN de consultation"`	300	`# Définition de la config réseau côté "LAN de consultation"`
265	`hostname $HOSTNAME`	301	`hostname $HOSTNAME`
266	`echo "- Nom du système : $HOSTNAME" >> $FIC_PARAM`	302	`echo "- Hostname : $HOSTNAME" >> $FIC_PARAM`
267	PRIVATE_NETWORK=`/bin/ipcalc -n $CUSTOM_PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # @ réseau de consultation (ex.: 192.168.182.0)	303	PRIVATE_NETWORK=`/bin/ipcalc -n $DEFAULT_PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # @ réseau de consultation (ex.: 192.168.182.0)
268	private_prefix=`/bin/ipcalc -p $CUSTOM_PRIVATE_NETWORK_MASK \|cut -d"=" -f2` # prefixe du réseau (ex. 24)	304	PRIVATE_PREFIX=`/bin/ipcalc -p $DEFAULT_PRIVATE_NETWORK_MASK \|cut -d"=" -f2` # prefixe du réseau (ex. 24)
269	`PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix # @ réseau + masque (x.0.0.0/8 ou x.y.0.0/16 ou x.y.z.0/24)`	305	`PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$PRIVATE_PREFIX # @ réseau + masque (x.0.0.0/8 ou x.y.0.0/16 ou x.y.z.0/24)`
270	`classe=$((private_prefix/8)); # classe de réseau (ex.: 2=classe B, 3=classe C)`	306	`classe=$((PRIVATE_PREFIX/8)); # classe de réseau (ex.: 2=classe B, 3=classe C)`
271	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`. # @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)	-
272	PRIVATE_MASK=`/bin/ipcalc -m $PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # masque réseau de consultation (ex.: 255.255.255.0)	-
273	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # @ broadcast réseau de consultation (ex.: 192.168.182.255)	-
274	TMP_MASK=`echo $PRIVATE_NETWORK_MASK\|cut -d"/" -f2`; HALF_MASK=`expr $TMP_MASK + 1` # masque du 1/2 réseau de consultation (ex.: 25)	-
275	`PRIVATE_STAT_IP=$PRIVATE_NETWORK/$HALF_MASK # plage des adresses statiques (ex.: 192.168.182.0/25)`	-
276	PRIVATE_STAT_MASK=`/bin/ipcalc -m $PRIVATE_STAT_IP/$HALF_MASK \| cut -d"=" -f2` # masque des adresses statiques (ex.: 255.255.255.128)	-
277	classe_sup=`expr $classe + 1`	307	classe_sup=`expr $classe + 1`
278	classe_sup_sup=`expr $classe + 2`	-
279	private_network_ending=`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup`	308	private_network_ending=`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup`
280	private_broadcast_ending=`echo $PRIVATE_BROADCAST \| cut -d"." -f$classe_sup`	-
281	private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`	-
282	private_half_plage=`expr $private_plage / 2`	-
283	private_dyn=`expr $private_half_plage + $private_network_ending`	-
284	private_dyn_ip_network=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK \| cut -d"." -f$classe_sup_sup-5`	-
285	PRIVATE_DYN_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-4`/$HALF_MASK # plage des adresses dynamiques (ex.: 192.168.182.128/25)	309	PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK \| cut -d"." -f1-$classe`. # @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)
286	PRIVATE_DYN_MASK=`/bin/ipcalc -m $PRIVATE_DYN_IP/$HALF_MASK \| cut -d"=" -f2` # masque des adresses dynamiques (ex.: 255.255.255.128)	310	PRIVATE_MASK=`/bin/ipcalc -m $PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # masque réseau de consultation (ex.: 255.255.255.0)
287	private_dyn_ip_network=`echo $PRIVATE_DYN_IP \| cut -d"/" -f1` # plage des adresses dynamiques sans le masque (ex.: 192.168.182.0)	311	PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK \| cut -d"=" -f2` # @ broadcast réseau de consultation (ex.: 192.168.182.255)
288	private_dyn_ip_end=`echo $private_dyn_ip_network \| cut -d"." -f4` # dernier octet de la plage des adresses dynamiques (ex.: 128)	-
289	PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network \| cut -d"." -f1-3`"."`expr $private_dyn_ip_end + 1` # 1ère adresse de la plage dynamique (ex.: 192.168.182.129)	312	PRIVATE_IP=`echo $PRIVATE_NETWORK \| cut -d"." -f1-3`"."`expr $private_network_ending + 1` # @ip du portail (côté réseau de consultation)
290	private_broadcast_end=`echo $PRIVATE_BROADCAST \| cut -d"." -f4`	-
291	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST \| cut -d"." -f1-3`"."`expr $private_broadcast_end - 1` # dernière adresse de la plage dynamique (ex.: 192.168.182.254)	313	PRIVATE_DYN_FIRST_IP=`echo $PRIVATE_IP \| cut -d"." -f1-3`"."`expr $private_network_ending + 1` # @ip du portail (côté réseau de consultation)
292	PRIVATE_IP=`echo $PRIVATE_NETWORK \| cut -d"." -f1-3`"."`expr $private_network_end + 1` # @ip du portail (côté réseau de consultation)	314	PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST \| cut -d"." -f1-3`"."`expr $private_network_ending - 1` # @ip du portail (côté réseau de consultation)
293	`# Récupération de la config réseau côté "Internet"`	315	`# Récupération de la config réseau côté "Internet"`
294	`[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] \|\| cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF`	316	`[ -e /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF ] \|\| cp /etc/sysconfig/network-scripts/ifcfg-$EXTIF /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF`
295	EXT_IP=`grep IPADDR /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip du portail (côté Internet)	317	EXT_IP=`grep IPADDR /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip du portail (côté Internet)
296	`[ -e /etc/sysconfig/network.default ] \|\| cp /etc/sysconfig/network /etc/sysconfig/network.default`	318	`[ -e /etc/sysconfig/network.default ] \|\| cp /etc/sysconfig/network /etc/sysconfig/network.default`
297	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 1er DNS	319	DNS1=`grep DNS1 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 1er DNS
298	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 2ème DNS	320	DNS2=`grep DNS2 /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2` # @ip 2ème DNS
299	`DNS1=${DNS1:=208.67.220.220}`	321	`DNS1=${DNS1:=208.67.220.220}`
300	`DNS2=${DNS2:=208.67.222.222}`	322	`DNS2=${DNS2:=208.67.222.222}`
301	EXT_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`	323	EXT_NETMASK=`grep NETMASK /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
302	EXT_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`	324	EXT_GATEWAY=`grep GATEWAY /etc/sysconfig/network-scripts/default-ifcfg-$EXTIF\|cut -d"=" -f2`
303	`echo "- Adresse IP 'côté Internet' ($EXTIF) : $EXT_IP / $EXT_NETMASK" >> $FIC_PARAM`	325	`echo "- IP address 'Internet side' ($EXTIF) : $EXT_IP / $EXT_NETMASK" >> $FIC_PARAM`
-		326	`echo "- Gateway : $EXT_GATEWAY" >> $FIC_PARAM`
304	`echo "- Serveurs DNS renseignés : $DNS1 et $DNS2" >> $FIC_PARAM`	327	`echo "- DNS servers : $DNS1 et $DNS2" >> $FIC_PARAM`
305	`echo "- Routeur de sortie : $EXT_GATEWAY" >> $FIC_PARAM`	328	`echo "- IP address 'LAN side' ($INTIF) : $PRIVATE_IP/$PRIVATE_PREFIX" >> $FIC_PARAM`
-		329	`echo "- Dynamic IP addresses (DHCP) : from $PRIVATE_DYN_FIRST_IP to $PRIVATE_DYN_LAST_IP" >> $FIC_PARAM`
-		330	`echo "PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK_MASK" > $DIR_DEST_ETC/alcasar-network`
-		331	`echo "PRIVATE_IP=$PRIVATE_IP" >> $DIR_DEST_ETC/alcasar-network`
-		332	`echo "DHCP=on" >> $DIR_DEST_ETC/alcasar-network`
306	`# Configuration réseau`	333	`# Configuration réseau`
307	`cat <<EOF > /etc/sysconfig/network`	334	`cat <<EOF > /etc/sysconfig/network`
308	`NETWORKING=yes`	335	`NETWORKING=yes`
309	`HOSTNAME="$HOSTNAME"`	336	`HOSTNAME="$HOSTNAME"`
310	`FORWARD_IPV4=true`	337	`FORWARD_IPV4=true`
311	`EOF`	338	`EOF`
312	`# Modif /etc/hosts`	339	`# Modif /etc/hosts`
313	`[ -e /etc/hosts.default ] \|\| cp /etc/hosts /etc/hosts.default`	340	`[ -e /etc/hosts.default ] \|\| cp /etc/hosts /etc/hosts.default`
314	`cat <<EOF > /etc/hosts`	341	`cat <<EOF > /etc/hosts`
315	`127.0.0.1 localhost`	342	`127.0.0.1 localhost`
316	`$PRIVATE_IP $HOSTNAME`	343	`$PRIVATE_IP $HOSTNAME`
317	`EOF`	344	`EOF`
318	`echo "- Adresse IP 'côté réseau de consultation' ($INTIF) : $PRIVATE_IP / $PRIVATE_NETWORK_MASK" >> $FIC_PARAM`	-
319	`echo " - plage d'adresses statiques : $PRIVATE_STAT_IP" >> $FIC_PARAM`	-
320	`echo " - plage d'adresses dynamiques (via DHCP) : $PRIVATE_DYN_IP" >> $FIC_PARAM`	-
321	`# Configuration de l'interface eth0 (Internet)`	345	`# Configuration de l'interface eth0 (Internet)`
322	`cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF`	346	`cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$EXTIF`
323	`DEVICE=$EXTIF`	347	`DEVICE=$EXTIF`
324	`BOOTPROTO=static`	348	`BOOTPROTO=static`
325	`IPADDR=$EXT_IP`	349	`IPADDR=$EXT_IP`
326	`NETMASK=$EXT_NETMASK`	350	`NETMASK=$EXT_NETMASK`
327	`GATEWAY=$EXT_GATEWAY`	351	`GATEWAY=$EXT_GATEWAY`
328	`DNS1=127.0.0.1`	352	`DNS1=127.0.0.1`
329	`ONBOOT=yes`	353	`ONBOOT=yes`
330	`METRIC=10`	354	`METRIC=10`
331	`NOZEROCONF=yes`	355	`NOZEROCONF=yes`
332	`MII_NOT_SUPPORTED=yes`	356	`MII_NOT_SUPPORTED=yes`
333	`IPV6INIT=no`	357	`IPV6INIT=no`
334	`IPV6TO4INIT=no`	358	`IPV6TO4INIT=no`
335	`ACCOUNTING=no`	359	`ACCOUNTING=no`
336	`USERCTL=no`	360	`USERCTL=no`
337	`EOF`	361	`EOF`
338	`# Configuration de l'interface eth1 (réseau de consultation)`	362	`# Configuration de l'interface eth1 (réseau de consultation)`
339	`cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF`	363	`cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF`
340	`DEVICE=$INTIF`	364	`DEVICE=$INTIF`
341	`BOOTPROTO=static`	365	`BOOTPROTO=static`
342	`IPADDR=$PRIVATE_IP`	366	`IPADDR=$PRIVATE_IP`
343	`NETMASK=$PRIVATE_MASK`	367	`NETMASK=$PRIVATE_MASK`
344	`ONBOOT=yes`	368	`ONBOOT=yes`
345	`METRIC=10`	369	`METRIC=10`
346	`NOZEROCONF=yes`	370	`NOZEROCONF=yes`
347	`MII_NOT_SUPPORTED=yes`	371	`MII_NOT_SUPPORTED=yes`
348	`IPV6INIT=no`	372	`IPV6INIT=no`
349	`IPV6TO4INIT=no`	373	`IPV6TO4INIT=no`
350	`ACCOUNTING=no`	374	`ACCOUNTING=no`
351	`USERCTL=no`	375	`USERCTL=no`
352	`EOF`	376	`EOF`
353	`# Mise à l'heure du serveur`	377	`# Mise à l'heure du serveur`
354	`[ -e /etc/ntp/step-tickers.default ] \|\| cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default`	378	`[ -e /etc/ntp/step-tickers.default ] \|\| cp /etc/ntp/step-tickers /etc/ntp/step-tickers.default`
355	`cat <<EOF > /etc/ntp/step-tickers`	379	`cat <<EOF > /etc/ntp/step-tickers`
356	`0.fr.pool.ntp.org # adapt to your country`	380	`0.fr.pool.ntp.org # adapt to your country`
357	`1.fr.pool.ntp.org`	381	`1.fr.pool.ntp.org`
358	`2.fr.pool.ntp.org`	382	`2.fr.pool.ntp.org`
359	`EOF`	383	`EOF`
360	`# Configuration du serveur de temps (sur lui même)`	384	`# Configuration du serveur de temps (sur lui même)`
361	`[ -e /etc/ntp.conf.default ] \|\| cp /etc/ntp.conf /etc/ntp.conf.default`	385	`[ -e /etc/ntp.conf.default ] \|\| cp /etc/ntp.conf /etc/ntp.conf.default`
362	`cat <<EOF > /etc/ntp.conf`	386	`cat <<EOF > /etc/ntp.conf`
363	`server 0.fr.pool.ntp.org # adapt to your country`	387	`server 0.fr.pool.ntp.org # adapt to your country`
364	`server 1.fr.pool.ntp.org`	388	`server 1.fr.pool.ntp.org`
365	`server 2.fr.pool.ntp.org`	389	`server 2.fr.pool.ntp.org`
366	`server 127.127.1.0 # local clock si NTP internet indisponible ...`	390	`server 127.127.1.0 # local clock si NTP internet indisponible ...`
367	`fudge 127.127.1.0 stratum 10`	391	`fudge 127.127.1.0 stratum 10`
368	`restrict $PRIVATE_NETWORK mask $PRIVATE_MASK nomodify notrap`	392	`restrict $PRIVATE_NETWORK mask $PRIVATE_MASK nomodify notrap`
369	`restrict 127.0.0.1`	393	`restrict 127.0.0.1`
370	`driftfile /var/lib/ntp/drift`	394	`driftfile /var/lib/ntp/drift`
371	`logfile /var/log/ntp.log`	395	`logfile /var/log/ntp.log`
372	`EOF`	396	`EOF`
373		397
374	`chown -R ntp:ntp /var/lib/ntp`	398	`chown -R ntp:ntp /var/lib/ntp`
375	`# Renseignement des fichiers hosts.allow et hosts.deny`	399	`# Renseignement des fichiers hosts.allow et hosts.deny`
376	`[ -e /etc/hosts.allow.default ] \|\| cp /etc/hosts.allow /etc/hosts.allow.default`	400	`[ -e /etc/hosts.allow.default ] \|\| cp /etc/hosts.allow /etc/hosts.allow.default`
377	`cat <<EOF > /etc/hosts.allow`	401	`cat <<EOF > /etc/hosts.allow`
378	`ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP`	402	`ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP`
379	`sshd: $PRIVATE_NETWORK_SHORT`	403	`sshd: $PRIVATE_NETWORK_SHORT`
380	`ntpd: $PRIVATE_NETWORK_SHORT`	404	`ntpd: $PRIVATE_NETWORK_SHORT`
381	`EOF`	405	`EOF`
382	`[ -e /etc/host.deny.default ] \|\| cp /etc/hosts.deny /etc/hosts.deny.default`	406	`[ -e /etc/host.deny.default ] \|\| cp /etc/hosts.deny /etc/hosts.deny.default`
383	`cat <<EOF > /etc/hosts.deny`	407	`cat <<EOF > /etc/hosts.deny`
384	`ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" \| /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &`	408	`ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" \| /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &`
385	`EOF`	409	`EOF`
386	`} # End of network ()`	410	`} # End of network ()`
387		411
388	`##################################################################`	412	`##################################################################`
389	`## Fonction gestion ##`	413	`## Fonction gestion ##`
390	`## - installation du centre de gestion ##`	414	`## - installation du centre de gestion ##`
391	`## - configuration du serveur web (Apache) ##`	415	`## - configuration du serveur web (Apache) ##`
392	`## - définition du 1er comptes de gestion ##`	416	`## - définition du 1er comptes de gestion ##`
393	`## - sécurisation des accès ##`	417	`## - sécurisation des accès ##`
394	`##################################################################`	418	`##################################################################`
395	`gestion()`	419	`gestion()`
396	`{`	420	`{`
397	`# Suppression des CGI et des pages WEB installés par défaut`	421	`# Suppression des CGI et des pages WEB installés par défaut`
398	`rm -rf /var/www/cgi-bin/*`	422	`rm -rf /var/www/cgi-bin/*`
399	`[ -d $DIR_WEB ] && rm -rf $DIR_WEB`	423	`[ -d $DIR_WEB ] && rm -rf $DIR_WEB`
400	`mkdir $DIR_WEB`	424	`mkdir $DIR_WEB`
401	`# Copie et configuration des fichiers du centre de gestion`	425	`# Copie et configuration des fichiers du centre de gestion`
402	`cp -rf $DIR_INSTALL/web/* $DIR_WEB/`	426	`cp -rf $DIR_INSTALL/web/* $DIR_WEB/`
403	`echo "$VERSION du $DATE" > $DIR_WEB/VERSION`	427	`echo "$VERSION du $DATE" > $DIR_WEB/VERSION`
404	`$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php`	428	`$SED "s?99/99/9999?$DATE_SHORT?g" $DIR_ACC/menu.php`
405	`$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php`	429	`$SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php`
406	`$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php`	430	`$SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php`
407	`$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php`	431	`$SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_ACC/phpsysinfo/includes/xml/portail.php`
408	`$SED "s?^\$private_ip =.*?\$private_ip = \"$PRIVATE_IP\";?g" $DIR_WEB/index.php`	432	`$SED "s?^\$private_ip =.*?\$private_ip = \"$PRIVATE_IP\";?g" $DIR_WEB/index.php`
409	`$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php`	433	`$SED "s?\$hostname =.*?\$hostname = \"$HOSTNAME\";?g" $DIR_WEB/index.php`
410	`chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php`	434	`chmod 640 $DIR_ACC/phpsysinfo/includes/xml/portail.php`
411	`chown -R apache:apache $DIR_WEB/*`	435	`chown -R apache:apache $DIR_WEB/*`
412	`for i in ISO base logs/firewall logs/httpd logs/squid ;`	436	`for i in ISO base logs/firewall logs/httpd logs/squid ;`
413	`do`	437	`do`
414	`[ -d $DIR_SAVE/$i ] \|\| mkdir -p $DIR_SAVE/$i`	438	`[ -d $DIR_SAVE/$i ] \|\| mkdir -p $DIR_SAVE/$i`
415	`done`	439	`done`
416	`chown -R root:apache $DIR_SAVE`	440	`chown -R root:apache $DIR_SAVE`
417	`# Configuration et sécurisation php`	441	`# Configuration et sécurisation php`
418	`[ -e /etc/php.ini.default ] \|\| cp /etc/php.ini /etc/php.ini.default`	442	`[ -e /etc/php.ini.default ] \|\| cp /etc/php.ini /etc/php.ini.default`
419	timezone=`cat /etc/sysconfig/clock\|grep ZONE\|cut -d"=" -f2`	443	timezone=`cat /etc/sysconfig/clock\|grep ZONE\|cut -d"=" -f2`
420	`$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini`	444	`$SED "s?^;date.timezone =.*?date.timezone = $timezone?g" /etc/php.ini`
421	`$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini`	445	`$SED "s?^upload_max_filesize.*?upload_max_filesize = 100M?g" /etc/php.ini`
422	`$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini`	446	`$SED "s?^post_max_size.*?post_max_size = 100M?g" /etc/php.ini`
423	`$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini`	447	`$SED "s?^html_errors.*?html_errors = Off?g" /etc/php.ini`
424	`$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini`	448	`$SED "s?^expose_php.*?expose_php = Off?g" /etc/php.ini`
425	`# Configuration et sécurisation Apache`	449	`# Configuration et sécurisation Apache`
426	`[ -e /etc/httpd/conf/httpd.conf.default ] \|\| cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default`	450	`[ -e /etc/httpd/conf/httpd.conf.default ] \|\| cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default`
427	`$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf`	451	`$SED "s?^#ServerName.*?ServerName $HOSTNAME?g" /etc/httpd/conf/httpd.conf`
428	`$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf`	452	`$SED "s?^Listen.*?Listen $PRIVATE_IP:80?g" /etc/httpd/conf/httpd.conf`
429	`$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf`	453	`$SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf`
430	`$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf`	454	`$SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf`
431	`$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf`	455	`$SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf`
432	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`	456	FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`
433	`$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF`	457	`$SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF`
434	`$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html`	458	`$SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html`
435	`[ -e /var/www/error/include/bottom.html.default ] \|\| mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default`	459	`[ -e /var/www/error/include/bottom.html.default ] \|\| mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default`
436	`cat <<EOF > /var/www/error/include/bottom.html`	460	`cat <<EOF > /var/www/error/include/bottom.html`
437	`</body>`	461	`</body>`
438	`</html>`	462	`</html>`
439	`EOF`	463	`EOF`
440	`echo "- URL d'accès au centre de gestion : http://$HOSTNAME" >> $FIC_PARAM`	464	`echo "- ALCASAR Control Center URL : http://$HOSTNAME" >> $FIC_PARAM`
441	`# Définition du premier compte lié au profil 'admin'`	465	`# Définition du premier compte lié au profil 'admin'`
442	`header_install`	466	`header_install`
443	`if [ "$mode" = "install" ]`	467	`if [ "$mode" = "install" ]`
444	`then`	468	`then`
445	`header_install`	469	`header_install`
-		470	`if [ $Lang == "fr" ]`
-		471	`then`
446	`echo "Pour administrer Alcasar via le centre de gestion WEB, trois profils de comptes ont été définis :"`	472	`echo "Pour administrer Alcasar via le centre de gestion WEB, trois profils de comptes ont été définis :"`
447	`echo " - le profil 'admin' capable de réaliser toutes les opérations"`	473	`echo " - le profil 'admin' capable de réaliser toutes les opérations"`
448	`echo " - le profil 'backup' lié uniquement aux fonctions d'archivage"`	474	`echo " - le profil 'backup' lié uniquement aux fonctions d'archivage"`
449	`echo " - le profil 'manager' lié uniquement aux fonctions de gestion des usagers"`	475	`echo " - le profil 'manager' lié uniquement aux fonctions de gestion des usagers"`
450	`echo ""`	476	`echo ""`
451	`echo "Définissez le premier compte du profil 'admin' :"`	477	`echo "Définissez le premier compte du profil 'admin' :"`
452	`echo`	478	`echo`
453	`echo -n "Nom : "`	479	`echo -n "Nom : "`
-		480	`else`
-		481	`echo "To manage Alcasar thru the WEB control center, three accounts profiles were defined :"`

Subversion Repositories ALCASAR

(root)/alcasar.sh @ 2881 – Rev 589 → 595