Fácil RoundCube (Sobre SSL) Y Webmin Con fail2ban Para ISPConfig 3 En Debian Squeeze

Fácil RoundCube (Sobre SSL) Y Webmin Con fail2ban Para ISPConfig 3 En Debian Squeeze

Autor: Thomas ( http://iopen.gr)
Última edición: 2011-03-09

Prefiero la solución RoundCube sobre la predeterminada en ISPConfig 3. También me parece útil tener webmin instalado en todos mis sistemas. En esta publicación puedes ver una forma muy rápida de tener ambos instalados, en compañía del gran soporte de fail2ban. Finalmente, quiero acceder a todos ellos a través de SSL (incluso phpmyadmin – consulta el consejo al final).

Asumo que has seguido la guía de falko:

El Servidor Perfecto - Debian Squeeze (Debian 6.0) Con BIND & Courier [ISPConfig 3]

Si deseas acceder al Panel de ISPConfig y al webmail a través de SSL, también asumo que seguiste el capítulo 6.2 Habilitando SSL Para La Interfaz Web De ISPConfig del manual de ISPConfig 3 o esta publicación (esto solo es necesario si deseas acceder al panel de control Y a la interfaz de webmail a través de ssl en el puerto 8080).

Si seguiste lo anterior (y el capítulo 6.3 – habilitando SuExec), entonces finalmente asumo que leíste la solución alternativa en esta publicación.

Webmin

Descarga la última versión de webmin desde http://www.webmin.com/download.html…

wget http://prdownloads.sourceforge.net/webadmin/webmin_1.530_all.deb

… e instálalo:

dpkg -i webmin_1.530_all.deb

RoundCube

Si no deseas Squirrelmail, elimínalo…

apt-get remove squirrelmail

… y elimina el archivo /etc/apache2/conf.d/squirrelmail.conf:

rm /etc/apache2/conf.d/squirrelmail.conf

O si lo deseas, edita el /etc/apache2/conf.d/squirrelmail.conf y cambia el alias a algo como ‘webmail1’.

Instala RoundCube (debes tener la contraseña del administrador de mysql antes de continuar):

apt-get install roundcube roundcube-mysql

Se te harán algunas preguntas sobre la contraseña del administrador de la base de datos y el nuevo usuario para roundcube y su base de datos (y la contraseña). Responde esas preguntas y continúa. Si algo sale mal, siempre puedes ejecutar:

dpkg-reconfigure roundcube-core

Para más información, consulta esta publicación.

Para que todos puedan acceder a su webmail (bajo su nombre de dominio), debes crear o editar el archivo /etc/apache2/conf.d/roundcube.conf para establecer el alias a ‘webmail’. Si deseas SSL, debes incluir las dos últimas directivas para que Apache REDIRECCIONE SIEMPRE a tu instalación ssl de ISPConfig 3.

# Estos alias no funcionan correctamente con varios hosts en tu servidor apache  
# Descoméntalos para usarlos o adáptalos a tu configuración  
#    Alias /roundcube/program/js/tiny_mce/ /usr/share/tinymce/www/  
    Alias /webmail /var/lib/roundcube  
    Alias /roundcube /var/lib/roundcube  
  
# Acceso a archivos tinymce  
  
      Options Indexes MultiViews FollowSymLinks  
      AllowOverride None  
      Order allow,deny  
      allow from all  
  
  
  
  Options +FollowSymLinks  
  # Esto es necesario para analizar /var/lib/roundcube/.htaccess. Consulta su  
  # contenido antes de establecer AllowOverride en None.  
  AllowOverride All  
  order allow,deny  
  allow from all  
  
  
# Protegiendo directorios básicos:  
  
        Options -FollowSymLinks  
        AllowOverride None  
  
  
  
        Options -FollowSymLinks  
        AllowOverride None  
        Order allow,deny  
        Deny from all  
  
  
  
        Options -FollowSymLinks  
        AllowOverride None  
        Order allow,deny  
        Deny from all  
  
  
  
  
  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:8080%{REQUEST_URI}  [L]  
  
      
    
  
  
  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:8080%{REQUEST_URI}  [L]  
      
    

Edita /var/lib/roundcube/config/main.inc.php y EDITA algunas variables en el archivo:

auto_create_user = TRUE;
$rcmail_config['default_host'] = 'localhost';

Si deseas instalar el siguiente plugin (el registrador que ayuda a fail2ban), debes extender la lista de plugins en el mismo archivo. Si el único plugin es el que se instalará justo después, debes editar la línea como a continuación:

$rcmail_config['plugins'] = array('fail2ban'); 

Instala el plugin de registrador de roundcube desde http://mattrude.com/projects/roundcube-fail2ban-plugin/.

Básicamente, debes descargar el archivo anterior (fail2ban.php) y pegarlo en la carpeta fail2ban en la carpeta de plugins de roundcube: /usr/share/roundcube/plugins/fail2ban/fail2ban.php

Este plugin primero creará y luego actualizará el archivo de registro con cada intento de inicio de sesión: /var/log/roundcube/userlogins

Fail2ban

Extiende el archivo jail.local que sugiere Falko en El Servidor Perfecto - Debian Squeeze (Debian 6.0) Con BIND & Courier [ISPConfig 3]: /etc/fail2ban/jail.local

Debes pegar:

[roundcube]
enabled  = true
port     = http,8080
filter   = roundcube
logpath  = /var/log/roundcube/userlogins
maxretry = 5
[webmin-auth]
enabled = true
port    = 10000
filter  = webmin-auth
logpath  = /var/log/auth.log
maxretry = 3 

El puerto 8080 en roundcube solo es necesario si habilitaste la redirección a https.

Por último (y muy importante), no olvides crear el archivo roundcube.conf /etc/fail2ban/filter.d/roundcube.conf con el contenido a continuación:

[Definition]
failregex = FAILED login for .*. from 
ignoreregex =

Afortunadamente, el filtro webmin-auth ya está hecho para nosotros por los chicos de fail2ban. Reinicia fail2ban:

/etc/init.d/fail2ban restart

phpMyAdmin (Consejo SSL)

Si deseas acceder a phpMyAdmin a través de ssl, puedes aplicar el mismo consejo que con RoundCube. Edita el archivo /etc/apache2/conf.d/phpmyadmin.conf y pega las siguientes líneas al final del archivo:

  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:8080%{REQUEST_URI}  [L]  
      
    

Después de esto, reinicia Apache:

/etc/init.d/apache2 restart