Поиск по сайту:

Идеальный сервер — Ubuntu 17.04 (Zesty Zapus) с Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot и ISPConfig 3.1


Это руководство существует для этих версий ОС

  • Ubuntu 16.04 (Xenial Xerus)

На этой странице

  1. 1. Предварительное примечание
  2. 2. Отредактируйте /etc/apt/sources.list и обновите установку Linux
  3. 3. Изменить оболочку по умолчанию
  4. 4. Отключить AppArmor
  5. 5. Синхронизируйте системные часы
  6. 6. Установите Postfix, Dovecot, MariaDB, rkhunter и binutils.
  7. 7. Установите Amavisd-new, SpamAssassin и Clamav.
  8. 7.1 Установите сервер Metronome XMPP (необязательно)

В этом руководстве показана установка сервера веб-хостинга Ubuntu 17.04 (Zesty Zapus) с Apache2, Postfix, Dovecot, Bind и PureFTPD, чтобы подготовить его к установке ISPConfig 3.1. Полученная система будет предоставлять веб-сервер, почту, список рассылки, DNS и FTP-сервер.

ISPConfig 3 — это панель управления веб-хостингом, которая позволяет настроить следующие службы через веб-браузер: веб-сервер Apache или nginx, почтовый сервер Postfix, сервер Courier или Dovecot IMAP/POP3, сервер имен MySQL, BIND или MyDNS, PureFTPd, SpamAssassin, ClamAV и многие другие. Эта установка охватывает установку Apache (вместо Nginx), BIND (вместо MyDNS) и Dovecot (вместо Courier).

Это руководство посвящено Ubuntu 17.04, версии без LTS (долгосрочная поддержка). Большинство пользователей предпочитают версию LTS в качестве сервера, который получает обновления и исправления безопасности в течение гораздо более длительного времени. Последней версией LTS является Ubuntu 16.04, это руководство также существует в версии Ubuntu 16.04. Внимательно подумайте, нужны ли вам последние пакеты (и у вас нет проблем с коротким периодом поддержки), а затем продолжите изучение этого руководства. Если вам нужна постоянная поддержка, воспользуйтесь Учебным пособием по Ubuntu 16.04 Perfect Server.

1. Предварительное примечание

В этом руководстве я использую имя хоста server1.example.com с IP-адресом 192.168.1.100 и шлюзом 192.168.1.1. Эти настройки могут отличаться для вас, поэтому вам придется заменить их там, где это необходимо. Прежде чем продолжить, вам необходимо установить базовую минимальную версию Ubuntu 17.04, как описано в руководстве.

2. Отредактируйте /etc/apt/sources.list и обновите установку Linux.

Отредактируйте /etc/apt/sources.list. Закомментируйте или удалите установочный компакт-диск из файла и убедитесь, что репозитории юниверса и мультивселенной включены. После этого это должно выглядеть так:

nano /etc/apt/sources.list
#

# deb cdrom:[Ubuntu-Server 17.04 _Zesty Zapus_ - Release amd64 (20170412)]/ zesty main restricted

#deb cdrom:[Ubuntu-Server 17.04 _Zesty Zapus_ - Release amd64 (20170412)]/ zesty main restricted

# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://de.archive.ubuntu.com/ubuntu/ zesty main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty main restricted

## Major bug fix updates produced after the final release of the
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ zesty-updates main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty-updates main restricted

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ zesty universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty universe
deb http://de.archive.ubuntu.com/ubuntu/ zesty-updates universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty-updates universe

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://de.archive.ubuntu.com/ubuntu/ zesty multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty multiverse
deb http://de.archive.ubuntu.com/ubuntu/ zesty-updates multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty-updates multiverse

## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ zesty-backports main restricted universe multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty-backports main restricted universe multiverse

## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu zesty partner
# deb-src http://archive.canonical.com/ubuntu zesty partner

deb http://security.ubuntu.com/ubuntu zesty-security main restricted
# deb-src http://security.ubuntu.com/ubuntu zesty-security main restricted
deb http://security.ubuntu.com/ubuntu zesty-security universe
# deb-src http://security.ubuntu.com/ubuntu zesty-security universe
deb http://security.ubuntu.com/ubuntu zesty-security multiverse
# deb-src http://security.ubuntu.com/ubuntu zesty-security multiverse

Затем запустите

apt-get update

обновить базу данных пакетов apt и

apt-get upgrade

установить последние обновления (если они есть). Если вы видите, что новое ядро устанавливается как часть обновлений, вам следует перезагрузить систему после этого:

reboot

3. Измените оболочку по умолчанию

/bin/sh — это символическая ссылка на /bin/dash, однако нам нужен /bin/bash, а не /bin/dash. Поэтому делаем так:

dpkg-reconfigure dash

Использовать тире в качестве системной оболочки по умолчанию (/bin/sh)? <-- Нет

Если вы этого не сделаете, установка ISPConfig завершится ошибкой.

4. Отключить AppArmor

AppArmor — это расширение безопасности (похожее на SELinux), которое должно обеспечивать расширенную безопасность. На мой взгляд, вам не нужно это для настройки безопасной системы, и обычно это приносит больше проблем, чем преимуществ (подумайте об этом после того, как вы провели неделю устранения неполадок, потому что какой-то сервис не работал должным образом, а затем вы обнаружите, что все было в порядке, проблема была только в AppArmor). Поэтому я его отключаю (это обязательно, если вы хотите установить ISPConfig позже).

Мы можем отключить его следующим образом:

service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils

5. Синхронизируйте системные часы

Рекомендуется синхронизировать системные часы с сервером NTP (сетевой протокол времени) через Интернет при запуске физического сервера. Если вы запускаете виртуальный сервер, вам следует пропустить этот шаг. Просто беги

apt-get -y install ntp

и ваше системное время всегда будет синхронизировано.

6. Установите Postfix, Dovecot, MariaDB, rkhunter и binutils.

Для установки постфикса нам нужно убедиться, что sendmail не установлен и не запущен. Чтобы остановить и удалить sendmail, выполните следующую команду:

service sendmail stop; update-rc.d -f sendmail remove

Сообщение об ошибке:

Failed to stop sendmail.service: Unit sendmail.service not loaded.

Все в порядке, это просто означает, что sendmail не был установлен, поэтому удалять было нечего.

Теперь мы можем установить Postfix, Dovecot, MariaDB (в качестве замены MySQL), rkhunter и binutils с помощью одной команды:

apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo

Вам будут заданы следующие вопросы:

General type of mail configuration: <-- Internet Site
System mail name: <-- server1.example.com

Важно, чтобы вы использовали поддомен в качестве «системного почтового имени», например, server1.example.com или server1.yourdomain.com, а не домен, который вы хотите использовать в качестве домена электронной почты (например, yourdomain.tld) позже.

Затем откройте TLS/SSL и порты отправки в Postfix:

nano /etc/postfix/master.cf

Раскомментируйте разделы отправки и smtps следующим образом — добавьте строку -o smtpd_client_restrictions=permit_sasl_authenticated, отклоните оба раздела и оставьте все после этого закомментированным:

[...]
submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       -       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
[...]

ПРИМЕЧАНИЕ. Пробелы перед строками \-o....\ важны!

После этого перезапустите Postfix:

service postfix restart

Мы хотим, чтобы MySQL прослушивал все интерфейсы, а не только локальный. Поэтому мы редактируем /etc/mysql/mariadb.conf.d/50-server.cnf и закомментируем строку bind-address=127.0.0.1 и добавим строку sql-mode=\NO_ENGINE_SUBSTITUTION\:

nano /etc/mysql/mariadb.conf.d/50-server.cnf
[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address           = 127.0.0.1

sql-mode="NO_ENGINE_SUBSTITUTION"

[...]

Теперь мы устанавливаем пароль root в MariaDB. Бег:

mysql_secure_installation

Вам будут заданы следующие вопросы:

Enter current password for root (enter for none): <-- press enter
Set root password? [Y/n] <-- y
New password: <-- Enter the new MariaDB root password here
Re-enter new password: <-- Repeat the password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

Установите метод аутентификации по паролю в MariaDB на собственный, чтобы мы могли использовать PHPMyAdmin позже для подключения от имени пользователя root:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Отредактируйте файл /etc/mysql/debian.cnf и дважды установите пароль root для MYSQL/MariaDB в строках, начинающихся с пароля.

nano /etc/mysql/debian.cnf

Корневой пароль MySQL, который необходимо добавить, показан в чтении, в этом примере это пароль \howtoforge\.

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
basedir = /usr

Затем перезапускаем MariaDB:

service mysql restart

Теперь проверьте, включена ли сеть. Бег

netstat -tap | grep mysql

Вывод должен выглядеть так:

:~#

7. Установите Amavisd-new, SpamAssassin и Clamav.

Чтобы установить amavisd-new, SpamAssassin и ClamAV, мы запускаем

apt-get -y install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl postgrey

Настройка ISPConfig 3 использует amavisd, который загружает библиотеку фильтров SpamAssassin внутри, поэтому мы можем остановить SpamAssassin, чтобы освободить часть оперативной памяти:

service spamassassin stop
update-rc.d -f spamassassin remove

Для запуска ClamAV используйте:

freshclam
service clamav-daemon start

Следующую ошибку можно игнорировать при первом запуске freshclam.

ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

7.1 Установите сервер Metronome XMPP (необязательно)

Сервер Metronome XMPP предоставляет сервер чата XMPP. Этот шаг необязателен, если вам не нужен чат-сервер, то этот шаг можно пропустить. Никакие другие функции ISPConfig не зависят от этого программного обеспечения.

Установите следующие пакеты с помощью apt.

apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks
luarocks install lpc

Добавьте пользователя оболочки для Metronome.

adduser --no-create-home --disabled-login --gecos 'Metronome' metronome

Загрузите Metronome в каталог /opt и скомпилируйте его.

cd /opt; git clone https://github.com/maranda/metronome.git metronome
cd ./metronome; ./configure --ostype=debian --prefix=/usr
make
make install

Метроном теперь установлен в /opt/metronome.