Идеальный сервер — Ubuntu 15.04 (Vivid Vervet) с Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot и ISPConfig 3
В этом руководстве показана установка сервера веб-хостинга Ubuntu 15.04 (Vivid Vervet) с Apache2, Postfix, Dovecot, Bind и PureFTPD, чтобы подготовить его к установке ISPConfig 3. Полученная система предоставит веб-сервер, почту, список рассылки, DNS и FTP-сервер.
ISPConfig 3 — это панель управления веб-хостингом, которая позволяет настраивать следующие службы через веб-браузер: веб-сервер Apache или nginx, почтовый сервер Postfix, сервер Courier или Dovecot IMAP/POP3, сервер имен MySQL, BIND или MyDNS, PureFTPd, SpamAssassin, ClamAV. и многое другое. Эта установка охватывает установку Apache (вместо nginx), BIND (вместо MyDNS) и Dovecot (вместо Courier).
ISPConfig 3 Руководство
Чтобы узнать, как использовать ISPConfig 3, я настоятельно рекомендую скачать руководство по ISPConfig 3.
На более чем 300 страницах он охватывает концепцию ISPConfig (администрирование, торговые посредники, клиенты), объясняет, как установить и обновлять ISPConfig 3, включает справку по всем формам и полям форм в ISPConfig вместе с примерами допустимых входных данных и предоставляет учебные пособия. для наиболее распространенных задач в ISPConfig 3. В нем также рассказывается, как сделать ваш сервер более безопасным, и в конце есть раздел по устранению неполадок.
1. Предварительное примечание
В этом руководстве я использую имя хоста server1.example.com с IP-адресом 192.168.1.100 и шлюзом 192.168.1.1. Эти настройки могут отличаться для вас, поэтому вам придется заменить их там, где это необходимо. Прежде чем продолжить, вам необходимо иметь базовую минимальную установку Ubuntu 15.04, как описано в руководстве.
2. Отредактируйте /etc/apt/sources.list и обновите установку Linux.
Отредактируйте /etc/apt/sources.list. Закомментируйте или удалите установочный компакт-диск из файла и убедитесь, что репозитории юниверса и мультивселенной включены. После этого должно получиться так:
nano /etc/apt/sources.list
#
# deb cdrom:[Ubuntu-Server 15.04 _Vivid Vervet_ - Release amd64 (20150422)]/ vivid main restricted
#deb cdrom:[Ubuntu-Server 15.04 _Vivid Vervet_ - Release amd64 (20150422)]/ vivid main restricted
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://de.archive.ubuntu.com/ubuntu/ vivid main restricted
deb-src http://de.archive.ubuntu.com/ubuntu/ vivid main restricted
## Major bug fix updates produced after the final release of the
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ vivid-updates main restricted
deb-src http://de.archive.ubuntu.com/ubuntu/ vivid-updates main restricted
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ vivid universe
deb-src http://de.archive.ubuntu.com/ubuntu/ vivid universe
deb http://de.archive.ubuntu.com/ubuntu/ vivid-updates universe
deb-src http://de.archive.ubuntu.com/ubuntu/ vivid-updates universe
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://de.archive.ubuntu.com/ubuntu/ vivid multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ vivid multiverse
deb http://de.archive.ubuntu.com/ubuntu/ vivid-updates multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ vivid-updates multiverse
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ vivid-backports main restricted universe multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ vivid-backports main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu vivid-security main restricted
deb-src http://security.ubuntu.com/ubuntu vivid-security main restricted
deb http://security.ubuntu.com/ubuntu vivid-security universe
deb-src http://security.ubuntu.com/ubuntu vivid-security universe
deb http://security.ubuntu.com/ubuntu vivid-security multiverse
deb-src http://security.ubuntu.com/ubuntu vivid-security multiverse
## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu vivid partner
# deb-src http://archive.canonical.com/ubuntu vivid partner
Затем запустите
apt-get update
обновить базу данных пакетов apt и
apt-get upgrade
установить последние обновления (если они есть). Если вы видите, что новое ядро устанавливается как часть обновлений, вам следует перезагрузить систему после этого:
reboot
3. Изменить оболочку по умолчанию
/bin/sh — это символическая ссылка на /bin/dash, однако нам нужен /bin/bash, а не /bin/dash. Поэтому делаем так:
dpkg-reconfigure dash
Использовать тире в качестве системной оболочки по умолчанию (/bin/sh)? <-- Нет
Если вы этого не сделаете, установка ISPConfig завершится ошибкой.
4. Отключить AppArmor
AppArmor — это расширение безопасности (похожее на SELinux), которое должно обеспечивать расширенную безопасность. На мой взгляд, вам не нужно это для настройки безопасной системы, и обычно это вызывает больше проблем, чем преимуществ (подумайте об этом после того, как вы провели неделю устранения неполадок, потому что какой-то сервис не работал должным образом, а затем вы обнаружите, что все все было в порядке, проблема была только в AppArmor). Поэтому я отключил его (это обязательно, если вы хотите установить ISPConfig позже).
Мы можем отключить его следующим образом:
service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils
5. Синхронизируйте системные часы
Рекомендуется синхронизировать системные часы с сервером NTP (nсетевой time protocol) через Интернет при запуске физический сервер. Если вы запускаете виртуальный сервер, вам следует пропустить этот шаг. Просто беги
apt-get install ntp ntpdate
и ваше системное время всегда будет синхронизировано.
6. Установите Postfix, Dovecot, MariaDB, phpMyAdmin, rkhunter, binutils
Для установки postfix нам нужно убедиться, что sendmail не установлен и не запущен. Чтобы остановить и удалить sendmail, выполните следующую команду:
service sendmail stop; update-rc.d -f sendmail remove
Сообщение об ошибке:
Failed to stop sendmail.service: Unit sendmail.service not loaded.
Все в порядке, это просто означает, что sendmail не был установлен, поэтому удалять было нечего.
Теперь мы можем установить Postfix, Dovecot, MariaDB (в качестве замены MySQL), rkhunter и binutils с помощью одной команды:
apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve sudo
Вам будут заданы следующие вопросы:
Create a self-signed SSL certificate? <-- yes
Host name: <-- server1.example.com
General type of mail configuration: <-- Internet Site
System mail name: <-- server1.example.com
Затем откройте TLS/SSL и порты отправки в Postfix:
nano /etc/postfix/master.cf
Раскомментируйте разделы отправки и smtps следующим образом — добавьте строку -o smtpd_client_restrictions=permit_sasl_authenticated, отклоните оба раздела и оставьте все после этого закомментированным:
[...] submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions # -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions # -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING [...]
После этого перезапустите Postfix:
service postfix restart
Мы хотим, чтобы MySQL прослушивал все интерфейсы, а не только localhost, поэтому редактируем /etc/mysql/my.cnf и закомментируем строку bind-address=127.0.0.1:
nano /etc/mysql/mariadb.conf.d/mysqld.cnf
[...] # Instead of skip-networking the default is now to listen only on # localhost which is more compatible and is not less secure. #bind-address = 127.0.0.1 [...]
Теперь мы устанавливаем пароль root в MariaDB. Бегать:
mysql_secure_installation
Вам будут заданы следующие вопросы:
Enter current password for root (enter for none): <-- press enter
Set root password? [Y/n] <-- y
New password: <-- Enter the new MariaDB root password here
Re-enter new password: <-- Repeat the password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y
Затем перезапускаем MariaDB:
service mysql restart
Теперь проверьте, включена ли сеть. Бегать
netstat -tap | grep mysql
Вывод должен выглядеть так:
:~#
7. Установите Amavisd-new, SpamAssassin и Clamav.
Чтобы установить amavisd-new, SpamAssassin и ClamAV, мы запускаем
apt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl
Настройка ISPConfig 3 использует amavisd, который загружает библиотеку фильтров SpamAssassin внутри, поэтому мы можем остановить SpamAssassin, чтобы освободить часть оперативной памяти:
service spamassassin stop
update-rc.d -f spamassassin remove
Отредактируйте файл конфигурации Clamd:
nano /etc/clamav/clamd.conf
и измените строку:
AllowSupplementaryGroups false
к:
AllowSupplementaryGroups true
И сохраните файл. Чтобы начать использование clamav
freshclam
service clamav-daemon start