Der perfekte Server - Debian Lenny (Debian 5.0) [ISPConfig 2] - Seite 4

11 MySQL

Um MySQL zu installieren, führen wir aus

apt-get install mysql-server mysql-client libmysqlclient15-dev

Sie werden aufgefordert, ein Passwort für den MySQL-Root-Benutzer anzugeben - dieses Passwort ist sowohl für den Benutzer root@localhost als auch für [email protected] gültig, sodass wir später kein MySQL-Root-Passwort manuell angeben müssen:

Neues Passwort für den MySQL “root”-Benutzer: <– yourrootsqlpassword
Wiederholen Sie das Passwort für den MySQL “root”-Benutzer: <– yourrootsqlpassword

Wir möchten, dass MySQL auf allen Schnittstellen hört, nicht nur auf localhost, daher bearbeiten wir /etc/mysql/my.cnf und kommentieren die Zeile bind-address = 127.0.0.1 aus:

vi /etc/mysql/my.cnf

| [...] # Anstelle von skip-networking ist die Standardeinstellung jetzt, nur auf # localhost zu hören, was kompatibler ist und nicht weniger sicher. #bind-address = 127.0.0.1 [...] |

Dann starten wir MySQL neu:

/etc/init.d/mysql restart

Überprüfen Sie nun, ob das Netzwerk aktiviert ist. Führen Sie aus

netstat -tap | grep mysql

Die Ausgabe sollte folgendermaßen aussehen:

server1:~# netstat -tap | grep mysql  
tcp        0      0 *:mysql                 *:*                     LISTEN      6612/mysqld  
server1:~#

12 Postfix mit SMTP-AUTH und TLS

Um Postfix mit SMTP-AUTH und TLS zu installieren, führen Sie die folgenden Schritte aus:

apt-get install postfix libsasl2-2 sasl2-bin libsasl2-modules procmail

Sie werden zwei Fragen gestellt. Antworten Sie wie folgt:

Allgemeiner Typ der Mailkonfiguration: <– Internet Site
System-Mail-Name: <– server1.example.com

Führen Sie dann aus

dpkg-reconfigure postfix

Wieder werden Ihnen einige Fragen gestellt:

Allgemeiner Typ der Mailkonfiguration: <– Internet Site
System-Mail-Name: <– server1.example.com
Root- und Postmaster-Mail-Empfänger: <– [leer]
Andere Ziele, um Mail zu akzeptieren (leer für keine): <– server1.example.com, localhost.example.com, localhost.localdomain, localhost
Erzwingen Sie synchrone Updates in der Mail-Warteschlange? <– Nein
Lokale Netzwerke: <– 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
Verwenden Sie procmail für die lokale Zustellung? <– Ja
Mailbox-Größenbeschränkung (Bytes): <– 0
Lokales Adress-Erweiterungszeichen: <– +
Zu verwendende Internetprotokolle: <– alle

Als nächstes tun Sie dies:

postconf -e 'smtpd_sasl_local_domain ='  
postconf -e 'smtpd_sasl_auth_enable = yes'  
postconf -e 'smtpd_sasl_security_options = noanonymous'  
postconf -e 'broken_sasl_auth_clients = yes'  
postconf -e 'smtpd_sasl_authenticated_header = yes'  
postconf -e 'smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'  
postconf -e 'inet_interfaces = all'  
echo 'pwcheck_method: saslauthd' >> /etc/postfix/sasl/smtpd.conf  
echo 'mech_list: plain login' >> /etc/postfix/sasl/smtpd.conf

Anschließend erstellen wir die Zertifikate für TLS:

mkdir /etc/postfix/ssl  
cd /etc/postfix/ssl/  
openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024

chmod 600 smtpd.key  
openssl req -new -key smtpd.key -out smtpd.csr

openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt

openssl rsa -in smtpd.key -out smtpd.key.unencrypted

mv -f smtpd.key.unencrypted smtpd.key  
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Als nächstes konfigurieren wir Postfix für TLS (stellen Sie sicher, dass Sie den richtigen Hostnamen für myhostname verwenden):

postconf -e 'myhostname = server1.example.com'

postconf -e 'smtpd_tls_auth_only = no'  
postconf -e 'smtp_use_tls = yes'  
postconf -e 'smtpd_use_tls = yes'  
postconf -e 'smtp_tls_note_starttls_offer = yes'  
postconf -e 'smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key'  
postconf -e 'smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt'  
postconf -e 'smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem'  
postconf -e 'smtpd_tls_loglevel = 1'  
postconf -e 'smtpd_tls_received_header = yes'  
postconf -e 'smtpd_tls_session_cache_timeout = 3600s'  
postconf -e 'tls_random_source = dev:/dev/urandom'

Die Datei /etc/postfix/main.cf sollte jetzt folgendermaßen aussehen:

cat /etc/postfix/main.cf

| # Siehe /usr/share/postfix/main.cf.dist für eine kommentierte, vollständigere Version # Debian-spezifisch: Das Angeben eines Dateinamens bewirkt, dass die erste # Zeile dieser Datei als Name verwendet wird. Die Debian-Standard # ist /etc/mailname. #myorigin = /etc/mailname smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = nein # Das Anhängen von .domain ist die Aufgabe des MUA. append_dot_mydomain = nein # Kommentieren Sie die nächste Zeile aus, um "verzögerte Mail"-Warnungen zu generieren #delay_warning_time = 4h readme_directory = nein # TLS-Parameter smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key smtpd_use_tls = ja smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # Siehe /usr/share/doc/postfix/TLS_README.gz im postfix-doc-Paket für # Informationen zum Aktivieren von SSL im SMTP-Client. myhostname = server1.example.com alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = server1.example.com, localhost.example.com, localhost.localdomain, localhost relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = alle inet_protocols = alle smtpd_sasl_local_domain = smtpd_sasl_auth_enable = ja smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = ja smtpd_sasl_authenticated_header = ja smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination smtpd_tls_auth_only = nein smtp_use_tls = ja smtp_tls_note_starttls_offer = ja smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = ja smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom |

Die Authentifizierung erfolgt über saslauthd. Wir müssen einige Dinge ändern, damit es richtig funktioniert. Da Postfix in /var/spool/postfix chrooted läuft, müssen wir Folgendes tun:

mkdir -p /var/spool/postfix/var/run/saslauthd

Jetzt müssen wir /etc/default/saslauthd bearbeiten, um saslauthd zu aktivieren. Setzen Sie START auf yes und ändern Sie die Zeile OPTIONS=”-c -m /var/run/saslauthd” in OPTIONS=”-c -m /var/spool/postfix/var/run/saslauthd -r”:

vi /etc/default/saslauthd

| # # Einstellungen für den saslauthd-Daemon # Bitte lesen Sie /usr/share/doc/sasl2-bin/README.Debian für Details. # # Soll saslauthd beim Start automatisch ausgeführt werden? (Standard: nein) START=ja # Beschreibung dieser saslauthd-Instanz. Empfohlen. # (Vorschlag: SASL Authentication Daemon) DESC="SASL Authentication Daemon" # Kurzer Name dieser saslauthd-Instanz. Stark empfohlen. # (Vorschlag: saslauthd) NAME="saslauthd" # Welche Authentifizierungsmechanismen sollte saslauthd verwenden? (Standard: pam) # # Verfügbare Optionen in diesem Debian-Paket: # getpwent -- verwenden Sie die getpwent()-Bibliotheksfunktion # kerberos5 -- verwenden Sie Kerberos 5 # pam -- verwenden Sie PAM # rimap -- verwenden Sie einen Remote-IMAP-Server # shadow -- verwenden Sie die lokale Shadow-Passwortdatei # sasldb -- verwenden Sie die lokale sasldb-Datenbankdatei # ldap -- verwenden Sie LDAP (Konfiguration ist in /etc/saslauthd.conf) # # Es darf jeweils nur eine Option verwendet werden. Siehe die saslauthd-Man-Seite # für weitere Informationen. # # Beispiel: MECHANISMS="pam" MECHANISMS="pam" # Zusätzliche Optionen für diesen Mechanismus. (Standard: keine) # Siehe die saslauthd-Man-Seite für Informationen zu mech-spezifischen Optionen. MECH_OPTIONS="" # Wie viele saslauthd-Prozesse sollten wir ausführen? (Standard: 5) # Ein Wert von 0 erstellt einen neuen Prozess für jede Verbindung. THREADS=5 # Weitere Optionen (Standard: -c -m /var/run/saslauthd) # Hinweis: Sie MÜSSEN die -m-Option angeben, sonst wird saslauthd nicht ausgeführt! # # WARNUNG: GEBEN SIE NICHT DIE -d OPTION AN. # Die -d-Option bewirkt, dass saslauthd im Vordergrund anstelle als # Daemon ausgeführt wird. Dies VERHINDERT, DASS IHR SYSTEM RICHTIG BOOTET. Wenn Sie # saslauthd im Debug-Modus ausführen möchten, führen Sie es bitte manuell aus, um auf der sicheren Seite zu sein. # # Siehe /usr/share/doc/sasl2-bin/README.Debian für Debian-spezifische Informationen. # Siehe die saslauthd-Man-Seite und die Ausgabe von 'saslauthd -h' für allgemeine # Informationen zu diesen Optionen. # # Beispiel für Postfix-Benutzer: "-c -m /var/spool/postfix/var/run/saslauthd" #OPTIONS="-c -m /var/run/saslauthd" OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r" |

Fügen Sie als Nächstes den Postfix-Benutzer zur sasl-Gruppe hinzu (dies stellt sicher, dass Postfix die Berechtigung hat, auf saslauthd zuzugreifen):

adduser postfix sasl

Jetzt starten Sie Postfix neu und starten saslauthd:

/etc/init.d/postfix restart  
/etc/init.d/saslauthd start

Um zu sehen, ob SMTP-AUTH und TLS jetzt ordnungsgemäß funktionieren, führen Sie den folgenden Befehl aus:

telnet localhost 25

Nachdem Sie die Verbindung zu Ihrem Postfix-Mail-Server hergestellt haben, geben Sie ein

ehlo localhost

Wenn Sie die Zeilen sehen

250-STARTTLS

und

250-AUTH LOGIN PLAIN

ist alles in Ordnung.

Die Ausgabe auf meinem System sieht folgendermaßen aus:

server1:/etc/postfix/ssl# telnet localhost 25  
Trying 127.0.0.1...  
Connected to localhost.  
Escape character is '^]'.  
220 server1.example.com ESMTP Postfix (Debian/GNU)  
ehlo localhost  
250-server1.example.com  
250-PIPELINING  
250-SIZE 10240000  
250-VRFY  
250-ETRN  
250-STARTTLS  
250-AUTH LOGIN PLAIN  
250-AUTH=LOGIN PLAIN  
250-ENHANCEDSTATUSCODES  
250-8BITMIME  
250 DSN  
quit  
221 2.0.0 Bye  
Connection closed by foreign host.  
server1:/etc/postfix/ssl#

Geben Sie

quit

ein, um zur Shell des Systems zurückzukehren.

13 Courier-IMAP/Courier-POP3

Führen Sie dies aus, um Courier-IMAP/Courier-IMAP-SSL (für IMAPs auf Port 993) und Courier-POP3/Courier-POP3-SSL (für POP3s auf Port 995) zu installieren:

apt-get install courier-authdaemon courier-base courier-imap courier-imap-ssl courier-pop courier-pop-ssl courier-ssl gamin libgamin0 libglib2.0-0

Sie werden zwei Fragen gestellt:

Verzeichnisse für die webbasierte Verwaltung erstellen? <– Nein
SSL-Zertifikat erforderlich <– Ok

Während der Installation werden die SSL-Zertifikate für IMAP-SSL und POP3-SSL mit dem Hostnamen localhost erstellt. Um dies auf den richtigen Hostnamen (server1.example.com in diesem Tutorial) zu ändern, löschen Sie die Zertifikate…

cd /etc/courier  
rm -f /etc/courier/imapd.pem  
rm -f /etc/courier/pop3d.pem

… und ändern Sie die folgenden beiden Dateien; ersetzen Sie CN=localhost durch CN=server1.example.com (Sie können auch die anderen Werte nach Bedarf ändern):

vi /etc/courier/imapd.cnf

| [...] CN=server1.example.com [...] |

vi /etc/courier/pop3d.cnf

| [...] CN=server1.example.com [...] |

Dann erstellen Sie die Zertifikate erneut…

mkimapdcert  
mkpop3dcert

… und starten Sie Courier-IMAP-SSL und Courier-POP3-SSL neu:

/etc/init.d/courier-imap-ssl restart  
/etc/init.d/courier-pop-ssl restart

Wenn Sie ISPConfig nicht verwenden möchten, konfigurieren Sie Postfix, um E-Mails an das Maildir* eines Benutzers zuzustellen:

postconf -e 'home_mailbox = Maildir/'  
postconf -e 'mailbox_command ='  
/etc/init.d/postfix restart

*Bitte beachten Sie: Sie müssen dies nicht tun, wenn Sie beabsichtigen, ISPConfig auf Ihrem System zu verwenden, da ISPConfig die erforderliche Konfiguration mit procmail-Rezepten vornimmt. Aber bitte stellen Sie sicher, dass Sie Maildir unter Verwaltung -> Server -> Einstellungen -> EMail in der ISPConfig-Weboberfläche aktivieren.