Virtuelles Hosting Howto Mit Virtualmin Auf CentOS 5.1 - Seite 4

Dovecot Setup

Einführung

Dies wird dovecot als unseren IMAP/POP3-Server einrichten.

Grundkonfiguration

Wir werden dovecot für IMAP und POP3 einrichten und SSL deaktivieren.

protocols = imap pop3
listen = *
ssl_listen = *
ssl_disable = yes

Maildir

Wir werden das Maildir-Format anstelle des Standard-mbox-Formats verwenden.

mail_location = maildir:~/Maildir

Authentifizierung & SASL

Konfigurieren Sie dovecot, um LOGIN und PLAIN als Authentifizierungsmechanismen zu verwenden, da viele MS-Clients nicht in der Lage sind, verschlüsselte Authentifizierungsmechanismen zu verwenden. Wir richten auch den SASL-Socket ein, um postfix zu ermöglichen, SMTP-Verbindungen mit dovecot zu authentifizieren.

auth default {
  mechanisms = plain login
  passdb pam {
  }
  userdb passwd {
  }
  socket listen {
    client {
        path = /var/spool/postfix/private/auth
        mode = 0660
        user = postfix
        group = postfix
    }
  }
}

Client-Probleme

Einige MS-IMAP-Clients aus der Outlook-Familie haben Probleme mit ihren IMAP- und POP3-Implementierungen, daher müssen wir sie durch die Einrichtung dieser Workarounds berücksichtigen:

protocol imap {
 imap_client_workarounds = outlook-idle delay-newmail
}
protocol pop3 {
 pop3_client_workarounds = outlook-no-nuls oe-ns-eoh
}

IMAP Hinter Proxy Ausführen

Der IMAP-Server ist so konfiguriert, dass er auf Port 10143 läuft, sodass Port 143 vom IMAP-Proxy-Server behandelt wird, der die Leistung Ihres Webmail durch Caching von Verbindungen zum IMAP-Server verbessert. Die Listenoption unter dem Protokoll richtet dies ein.

protocol imap {
 imap_client_workarounds = outlook-idle delay-newmail
 listen = 127.0.0.1:10143
}

Beispiel-Dateien

• dovecot.conf

IMAP-Proxy Einrichten

Einführung

imapproxy wurde geschrieben, um Webmail-Clients zu kompensieren, die nicht in der Lage sind, persistente Verbindungen zu einem IMAP-Server aufrechtzuerhalten. Die meisten Webmail-Clients müssen sich für nahezu jede Transaktion bei einem IMAP-Server anmelden. Dieses Verhalten kann tragische Leistungsprobleme auf dem IMAP-Server verursachen. imapproxy versucht, dieses Problem zu lösen, indem es Serververbindungen für eine kurze Zeit offen lässt, nachdem sich ein Webmail-Client abgemeldet hat. Wenn der Webmail-Client sich erneut verbindet, wird imapproxy feststellen, ob eine zwischengespeicherte Verbindung verfügbar ist und sie bei Bedarf wiederverwendet. - gemäß der imapproxy-Website.

Konfiguration

Nehmen Sie die folgenden Änderungen in der Datei /etc/imapproxy.conf vor:

server_hostname 127.0.0.1
cache_size 3072
listen_port 143
server_port 10143
cache_expiration_time 900
proc_username nobody
proc_groupname nobody
stat_filename /var/run/pimpstats
protocol_log_filename /var/log/imapproxy_protocol.log
syslog_facility LOG_MAIL
send_tcp_keepalives no
enable_select_cache yes
foreground_mode no
force_tls no
enable_admin_commands no

Beispiel-Dateien

• imapproxy.conf

Bind Einrichten

Einführung

Bind wird chrooted eingerichtet, um die Sicherheit zu verbessern. Wir werden auch Views verwenden, um Missbrauch des DNS-Servers zu verhindern.

Grundkonfiguration

Die Grundkonfiguration deaktiviert standardmäßig rekursive Abfragen und Zonenübertragungen. Wir verschleiern auch die Version von BIND, die wir ausführen, sodass wir nicht von Zero-Day-Sicherheitsanfälligkeiten durch Script-Kiddies betroffen sind.

options {
        directory "/var/named";
        pid-file "/var/run/named/named.pid";
        listen-on {
                127.0.0.1;
                192.168.1.5;
                };
        version "just guess";
        allow-recursion { "localhost"; };
        allow-transfer { "none"; };
};

Protokollierung

Die Protokollierung wird angepasst, um die lästigen “lame-server”- und Update-Fehler zu entfernen, die in den Protokollen erscheinen:

logging {
        category update { null; };
        category update-security { null;        };
        category lame-servers{ null; };
};

Chroot

Stellen Sie sicher, dass dies in der Datei /etc/sysconfig/named gesetzt ist (es wird normalerweise vom bind-chroot-Paket gesetzt):

ROOTDIR=/var/named/chroot

Punktserver

Lassen Sie die Maschine diesen Server für die DNS-Auflösung verwenden, bearbeiten Sie /etc/resolv.conf und fügen Sie hinzu:

nameserver 127.0.0.1

Beispiel-Dateien

• named.conf
• /etc/sysconfig/named

Vsftpd Einrichten

Einführung

Wir werden vsftpd als unseren FTP-Server verwenden. Dies hat eine bessere Erfolgsbilanz im Vergleich zu den Proftpd- und Wuftpd-Servern.

Grundlegende Einstellungen

Unsere Grundkonfiguration deaktiviert anonyme Benutzer und ermöglicht lokalen Systembenutzern, sich mit dem FTP-Server zu verbinden.

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
ftpd_banner=Willkommen beim example.com-Server
pam_service_name=vsftpd
tcp_wrappers=YES

Chroot

Alle Benutzer werden in ihre Home-Verzeichnisse chrooted (außer Benutzernamen in der Datei /etc/vsftpd/chroot_list), was bedeutet, dass sie nicht ausbrechen und die Dateien anderer Benutzer sehen können.

chroot_list_enable=YES
chroot_local_user=YES
chroot_list_file=/etc/vsftpd/chroot_list

Gesperrte Benutzer

Benutzer, die in die Datei /etc/vsftpd/user_list hinzugefügt werden, dürfen sich nicht anmelden:

userlist_enable=YES

Beispiel-Dateien

• vsftpd.conf
• user_list
• chroot_list