El Servidor Perfecto - CentOS 6.0 x86_64 [ISPConfig 3] - Página 5

14 Instalar Amavisd-new, SpamAssassin Y ClamAV

Para instalar amavisd-new, spamassassin y clamav, ejecuta el siguiente comando:

yum install amavisd-new spamassassin clamav clamd unzip bzip2 unrar perl-DBD-mysql

Luego iniciamos freshclam, amavisd y clamd:

sa-update
chkconfig –levels 235 amavisd on
chkconfig –levels 235 clamd on
/usr/bin/freshclam
/etc/init.d/amavisd start
/etc/init.d/clamd start

15 Instalando Apache2 Con mod_php, mod_fcgi/PHP5, Y suPHP

ISPConfig 3 te permite usar mod_php, mod_fcgi/PHP5, cgi/PHP5 y suPHP en una base por sitio web.

Podemos instalar Apache2 con mod_php5, mod_fcgid y PHP5 de la siguiente manera:

yum install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-eaccelerator php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel 

A continuación, abrimos /etc/php.ini…

vi /etc/php.ini

… y cambiamos el informe de errores (para que las notificaciones ya no se muestren) y descomentamos cgi.fix_pathinfo=1:

| [...] ;error_reporting = E_ALL & ~E_DEPRECATED error_reporting = E_ALL & ~E_NOTICE [...] ; cgi.fix_pathinfo proporciona soporte *real* para PATH_INFO/PATH_TRANSLATED para CGI. El comportamiento anterior de PHP era establecer PATH_TRANSLATED en SCRIPT_FILENAME, y no entender qué es PATH_INFO. Para más información sobre PATH_INFO, consulta las especificaciones de cgi. Establecer esto en 1 hará que PHP CGI corrija sus rutas para ajustarse a la especificación. Un valor de cero hace que PHP se comporte como antes. El valor predeterminado es 1. Debes corregir tus scripts para usar SCRIPT_FILENAME en lugar de PATH_TRANSLATED. ; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo cgi.fix_pathinfo=1 [...] |

A continuación, instalamos suPHP (hay un paquete mod_suphp disponible en los repositorios, pero desafortunadamente no es compatible con ISPConfig, por lo tanto, tenemos que construir suPHP nosotros mismos):

cd /tmp
wget http://suphp.org/download/suphp-0.7.1.tar.gz
tar xvfz suphp-0.7.1.tar.gz
cd suphp-0.7.1/
./configure –prefix=/usr –sysconfdir=/etc –with-apr=/usr/bin/apr-1-config –with-apxs=/usr/sbin/apxs –with-apache-user=apache –with-setid-mode=owner –with-php=/usr/bin/php-cgi –with-logfile=/var/log/httpd/suphp_log –enable-SUPHP_USE_USERGROUP=yes
make
make install

Luego agregamos el módulo suPHP a nuestra configuración de Apache…

vi /etc/httpd/conf.d/suphp.conf

| LoadModule suphp_module modules/mod_suphp.so |

… y creamos el archivo /etc/suphp.conf de la siguiente manera:

vi /etc/suphp.conf

| [global] ;Ruta al archivo de registro logfile=/var/log/httpd/suphp.log ;Nivel de registro loglevel=info ;Usuario bajo el cual se ejecuta Apache webserver_user=apache ;Ruta en la que deben estar todos los scripts docroot=/ ;Ruta a chroot() antes de ejecutar el script ;chroot=/mychroot ; Opciones de seguridad allow_file_group_writeable=true allow_file_others_writeable=false allow_directory_group_writeable=true allow_directory_others_writeable=false ;Verificar si el script está dentro de DOCUMENT_ROOT check_vhost_docroot=true ;Enviar mensajes de error menores al navegador errors_to_browser=false ;Variable de entorno PATH env_path=/bin:/usr/bin ;Umask a establecer, especificar en notación octal umask=0077 ; UID mínimo min_uid=100 ; GID mínimo min_gid=100 [handlers] ;Controlador para scripts php x-httpd-suphp="php:/usr/bin/php-cgi" ;Controlador para scripts CGI x-suphp-cgi="execute:!self" |

Finalmente reiniciamos Apache:

/etc/init.d/httpd restart

15.1 Ruby

A partir de la versión 3.0.3, ISPConfig 3 tiene soporte integrado para Ruby. En lugar de usar CGI/FastCGI, ISPConfig depende de que mod_ruby esté disponible en el Apache del servidor.

Para CentOS 6.0, no hay un paquete mod_ruby disponible, por lo que debemos compilarlo nosotros mismos. Primero instalamos algunos requisitos previos:

yum install httpd-devel ruby ruby-devel

A continuación, descargamos e instalamos mod_ruby de la siguiente manera:

cd /tmp
wget http://modruby.net/archive/mod_ruby-1.3.0.tar.gz
tar zxvf mod_ruby-1.3.0.tar.gz
cd mod_ruby-1.3.0/
./configure.rb –with-apr-includes=/usr/include/apr-1
make
make install

Finalmente, debemos agregar el módulo mod_ruby a la configuración de Apache, así que creamos el archivo /etc/httpd/conf.d/ruby.conf…

vi /etc/httpd/conf.d/ruby.conf

| LoadModule ruby_module modules/mod_ruby.so RubyAddPath /1.8 |

… y reiniciamos Apache:

/etc/init.d/httpd restart

(Si omites la directiva RubyAddPath /1.8, verás errores como los siguientes en el registro de errores de Apache cuando llames a archivos Ruby:

[Thu May 26 02:05:05 2011] [error] mod_ruby: ruby:0:in `require’: no such file to load – apache/ruby-run (LoadError)
[Thu May 26 02:05:05 2011] [error] mod_ruby: failed to require apache/ruby-run
[Thu May 26 02:05:05 2011] [error] mod_ruby: error in ruby ) #### 15.2 WebDAV WebDAV ya debería estar habilitado, pero para verificar esto, abre /etc/httpd/conf/httpd.conf y asegúrate de que los siguientes tres módulos estén activos: vi /etc/httpd/conf/httpd.conf | [...] LoadModule auth_digest_module modules/mod_auth_digest.so [...] LoadModule dav_module modules/mod_dav.so [...] LoadModule dav_fs_module modules/mod_dav_fs.so [...] | Si tienes que modificar /etc/httpd/conf/httpd.conf, no olvides reiniciar Apache después: /etc/init.d/httpd restart ### 16 Instalar PureFTPd PureFTPd se puede instalar con el siguiente comando: yum install pure-ftpd Luego crea los enlaces de inicio del sistema y comienza PureFTPd: chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start Ahora configuramos PureFTPd para permitir sesiones FTP y TLS. FTP es un protocolo muy inseguro porque todas las contraseñas y todos los datos se transfieren en texto claro. Al usar TLS, toda la comunicación puede ser cifrada, haciendo que FTP sea mucho más seguro. OpenSSL es necesario para TLS; para instalar OpenSSL, simplemente ejecutamos: yum install openssl Abre /etc/pure-ftpd/pure-ftpd.conf… vi /etc/pure-ftpd/pure-ftpd.conf Si deseas permitir sesiones FTP y TLS, establece TLS en 1: | [...] # Esta opción puede aceptar tres valores : # 0 : deshabilitar la capa de cifrado SSL/TLS (predeterminado). # 1 : aceptar tanto sesiones tradicionales como cifradas. # 2 : rechazar conexiones que no utilicen mecanismos de seguridad SSL/TLS, # incluidas las sesiones anónimas. # No descomentes esto a ciegas. Asegúrate de que : # 1) Tu servidor ha sido compilado con soporte SSL/TLS (--with-tls), # 2) Un certificado válido está en su lugar, # 3) Solo los clientes compatibles iniciarán sesión. TLS 1 [...] | Para usar TLS, debemos crear un certificado SSL. Lo creo en /etc/ssl/private/, por lo que primero creo ese directorio: mkdir -p /etc/ssl/private/ Después, podemos generar el certificado SSL de la siguiente manera: openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem Nombre del país (código de 2 letras) [XX]: <– Ingresa el nombre de tu país (por ejemplo, “DE”).
Nombre del estado o provincia (nombre completo) []: <– Ingresa el nombre de tu estado o provincia.
Nombre de la localidad (por ejemplo, ciudad) [Ciudad Predeterminada]: <– Ingresa tu ciudad.
Nombre de la organización (por ejemplo, empresa) [Empresa Predeterminada Ltd]: <– Ingresa el nombre de tu organización (por ejemplo, el nombre de tu empresa).
Nombre de la unidad organizativa (por ejemplo, sección) []: <– Ingresa el nombre de tu unidad organizativa (por ejemplo, “Departamento de TI”).
Nombre común (por ejemplo, tu nombre o el nombre de host de tu servidor) []: <– Ingresa el nombre de dominio completamente calificado del sistema (por ejemplo, “server1.example.com”).
Dirección de correo electrónico []: <– Ingresa tu dirección de correo electrónico. Cambia los permisos del certificado SSL: chmod 600 /etc/ssl/private/pure-ftpd.pem Finalmente reinicia PureFTPd: /etc/init.d/pure-ftpd restart Eso es todo. Ahora puedes intentar conectarte usando tu cliente FTP; sin embargo, debes configurar tu cliente FTP para usar TLS. ### 17 Instalar BIND Podemos instalar BIND de la siguiente manera: yum install bind bind-utils A continuación, abre /etc/sysconfig/named… vi /etc/sysconfig/named … y asegúrate de que la línea ROOTDIR=/var/named/chroot esté comentada: | # Opciones del proceso BIND named # ~~~~~~~~~~~~~~~~~~~~~~~~~~ # Actualmente, puedes usar las siguientes opciones: # # ROOTDIR="/var/named/chroot" -- ejecutará named en un entorno chroot. # debes configurar el entorno chroot # (instalar el paquete bind-chroot) antes # de hacer esto. # NOTA: # Esos directorios se montan automáticamente en chroot si están # vacíos en el directorio ROOTDIR. Simplificará el mantenimiento de tu # entorno chroot. # - /var/named # - /etc/pki/dnssec-keys # - /etc/named # - /usr/lib64/bind o /usr/lib/bind (dependiente de la arquitectura) # # Esos archivos también se montan si el archivo de destino no existe en # chroot. # - /etc/named.conf # - /etc/rndc.conf # - /etc/rndc.key # - /etc/named.rfc1912.zones # - /etc/named.dnssec.keys # - /etc/named.iscdlv.key # # No olvides agregar "$AddUnixListenSocket /var/named/chroot/dev/log" # línea a tu archivo /etc/rsyslog.conf. De lo contrario, tu registro se # romperá cuando se reinicie el demonio rsyslogd (debido a una actualización, por ejemplo). # # OPTIONS="cualquier cosa" -- Estas opciones adicionales se pasarán a named # al inicio. No agregues -t aquí, usa ROOTDIR en su lugar. # # KEYTAB_FILE="/dir/file" -- Especifica el archivo keytab del servicio named (para GSS-TSIG) #ROOTDIR=/var/named/chroot | Haz una copia de seguridad del archivo /etc/named.conf existente y crea uno nuevo de la siguiente manera: cp /etc/named.conf /etc/named.conf_bak
cat /dev/null > /etc/named.conf
vi /etc/named.conf | // named.conf // Proporcionado por el paquete bind de Red Hat para configurar el servidor DNS ISC BIND named(8) como un servidor de nombres solo en caché (como un resolvedor DNS localhost solamente). // Consulta /usr/share/doc/bind*/sample/ para archivos de configuración de ejemplo de named. options { listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { any; }; recursion no; allow-recursion { none; }; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.ca"; }; include "/etc/named.conf.local"; | Crea el archivo /etc/named.conf.local que se incluye al final de /etc/named.conf ( /etc/named.conf.local se llenará más tarde por ISPConfig si creas zonas DNS en ISPConfig): touch /etc/named.conf.local Luego creamos los enlaces de inicio y comenzamos BIND: chkconfig –levels 235 named on
/etc/init.d/named start ### 18 Instalar Vlogger, Webalizer, Y AWStats Vlogger, webalizer y AWStats se pueden instalar de la siguiente manera: yum install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder cd /tmp
wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz
tar xvfz vlogger-1.3.tar.gz
mv vlogger-1.3/vlogger /usr/sbin/
rm -rf vlogger ### 19 Instalar Jailkit Jailkit solo es necesario si deseas chroot usuarios SSH. Se puede instalar de la siguiente manera (importante: Jailkit debe ser instalado antes de ISPConfig - no se puede instalar después!): cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.14.tar.gz
tar xvfz jailkit-2.14.tar.gz
cd jailkit-2.14
./configure
make
make install
cd ..
rm -rf jailkit-2.14 ### 20 Instalar fail2ban Esto es opcional pero recomendado, porque el monitor de ISPConfig intenta mostrar el registro: yum install fail2ban chkconfig –levels 235 fail2ban on
/etc/init.d/fail2ban start ### 21 Instalar rkhunter rkhunter se puede instalar de la siguiente manera: yum install rkhunter