El Servidor Perfecto – CentOS 7.1 con Apache2, Postfix, Dovecot, Pure-FTPD, BIND e ISPConfig 3 - Página 2

yum -y install dovecot dovecot-mysql dovecot-pigeonhole

touch /etc/dovecot/dovecot-sql.conf  
ln -s /etc/dovecot/dovecot-sql.conf /etc/dovecot-sql.conf

systemctl enable dovecot  
systemctl start dovecot

yum -y install postfix

systemctl enable mariadb.service  
systemctl start mariadb.service

systemctl stop sendmail.service  
systemctl disable sendmail.service  
systemctl enable postfix.service  
systemctl restart postfix.service

yum -y install getmail

mysql_secure_installation

[root@server1 tmp]# mysql_secure_installation  
  
  
NOTA: ¡SE RECOMIENDA EJECUTAR TODAS LAS PARTES DE ESTE SCRIPT PARA TODOS LOS SERVIDORES MariaDB EN USO DE PRODUCCIÓN! ¡LEA CADA PASO CUIDADOSAMENTE!

Para iniciar sesión en MariaDB y asegurarla, necesitaremos la contraseña actual para el usuario root. Si acaba de instalar MariaDB, y no ha establecido la contraseña root aún, la contraseña estará en blanco, por lo que solo debe presionar enter aquí.

Ingrese la contraseña actual para root (presione enter para ninguno):  
OK, se utilizó la contraseña con éxito, continuando...

Establecer la contraseña root asegura que nadie pueda iniciar sesión en el usuario root de MariaDB sin la autorización adecuada.  
¿Establecer contraseña root? [Y/n] <-- ENTER  
Nueva contraseña: <-- yourrootsqlpassword  
Reingrese la nueva contraseña: <-- yourrootsqlpassword  
¡Contraseña actualizada con éxito!  
Recargando tablas de privilegios..  
 ... ¡Éxito!  
  
Por defecto, una instalación de MariaDB tiene un usuario anónimo, permitiendo que cualquiera inicie sesión en MariaDB sin tener que tener una cuenta de usuario creada para ellos. Esto está destinado solo para pruebas, y para hacer que la instalación sea un poco más fluida. Debe eliminarlos antes de pasar a un entorno de producción.  

¿Eliminar usuarios anónimos? [Y/n] <-- ENTER  
 ... ¡Éxito!  

Normalmente, root solo debería poder conectarse desde 'localhost'.  Esto asegura que alguien no pueda adivinar la contraseña root desde la red.  

¿Deshabilitar el inicio de sesión remoto de root? [Y/n] <-- ENTER  
 ... ¡Éxito!  

Por defecto, MariaDB viene con una base de datos llamada 'test' a la que cualquiera puede acceder. Esto también está destinado solo para pruebas, y debe ser eliminado antes de pasar a un entorno de producción.  

¿Eliminar la base de datos de prueba y el acceso a ella? [Y/n] <-- ENTER  
- Eliminando la base de datos de prueba...  
 ... ¡Éxito!  
- Eliminando privilegios en la base de datos de prueba...  
 ... ¡Éxito!  

Recargar las tablas de privilegios asegurará que todos los cambios realizados hasta ahora surtan efecto de inmediato.  

¿Recargar tablas de privilegios ahora? [Y/n] <-- ENTER  
 ... ¡Éxito!  

Limpiando...  
  
¡Todo listo! Si ha completado todos los pasos anteriores, su instalación de MariaDB debería estar ahora segura.  

¡Gracias por usar MariaDB!  
  
[root@server1 tmp]#

nano /etc/httpd/conf.d/phpMyAdmin.conf

# phpMyAdmin - Navegador MySQL basado en la web escrito en php
#
# Permite solo localhost por defecto
#
# Pero permitir phpMyAdmin a cualquiera que no sea localhost debe considerarse
# peligroso a menos que esté debidamente asegurado por SSL

Alias /phpMyAdmin /usr/share/phpMyAdmin
Alias /phpmyadmin /usr/share/phpMyAdmin


   
     # Apache 2.4
     
     #  Require ip 127.0.0.1
     #  Require ip ::1  
        Require all granted
     
   
   
     # Apache 2.2
     Order Deny,Allow
     Deny from All
     Allow from 127.0.0.1
     Allow from ::1
   

            

nano /etc/phpMyAdmin/config.inc.php

[...]
/* Tipo de autenticación */
$cfg['Servers'][$i]['auth_type'] = 'http';
[...]

systemctl enable  httpd.service  
systemctl restart  httpd.service

yum -y install amavisd-new spamassassin clamav clamav-update unzip bzip2 perl-DBD-mysql

nano /etc/freshclam.conf

[....]  
# Example  
[....]

sa-update  
freshclam   
systemctl enable amavisd.service

yum -y install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-pecl-apc php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel php-fpm

nano /etc/php.ini

[...]
;error_reporting = E_ALL & ~E_DEPRECATED
error_reporting = E_ALL & ~E_NOTICE & ~E_DEPRECATED
[...]
; cgi.fix_pathinfo proporciona soporte *real* para PATH_INFO/PATH_TRANSLATED para CGI.  PHP's
; el comportamiento anterior era establecer PATH_TRANSLATED en SCRIPT_FILENAME, y no entender
; qué es PATH_INFO.  Para obtener más información sobre PAppp.tldTH_INFO, consulte las especificaciones de cgi.  Establecer
; esto en 1 hará que PHP CGI corrija sus rutas para cumplir con la especificación.  Un ajuste
; de cero hace que PHP se comporte como antes.  El valor predeterminado es 1.  Debe corregir sus scripts
; para usar SCRIPT_FILENAME en lugar de PATH_TRANSLATED.
; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo
cgi.fix_pathinfo=1  
[...]  
date.timezone = 'Europe/Berlin'
[...]

cd /usr/local/src  
wget http://suphp.org/download/suphp-0.7.2.tar.gz  
tar zxvf suphp-0.7.2.tar.gz

wget -O suphp.patch https://lists.marsching.com/pipermail/suphp/attachments/20130520/74f3ac02/attachment.patch  
patch -Np1 -d suphp-0.7.2 < suphp.patch  
cd suphp-0.7.2  
autoreconf -if

./configure --prefix=/usr/ --sysconfdir=/etc/ --with-apr=/usr/bin/apr-1-config --with-apache-user=apache --with-setid-mode=owner --with-logfile=/var/log/httpd/suphp_log  
make  
make install

nano /etc/httpd/conf.d/suphp.conf

LoadModule suphp_module modules/mod_suphp.so

nano /etc/suphp.conf

[global]
;Ruta al archivo de registro
logfile=/var/log/httpd/suphp.log
;Nivel de registro
loglevel=info
;Usuario bajo el cual se ejecuta Apache
webserver_user=apache
;Ruta donde deben estar todos los scripts
docroot=/
;Ruta a chroot() antes de ejecutar el script
;chroot=/mychroot
; Opciones de seguridad
allow_file_group_writeable=true
allow_file_others_writeable=false
allow_directory_group_writeable=true
allow_directory_others_writeable=false
;Verificar si el script está dentro de DOCUMENT_ROOT
check_vhost_docroot=true
;Enviar mensajes de error menores al navegador
errors_to_browser=false
;Variable de entorno PATH
env_path=/bin:/usr/bin
;Umask a establecer, especificar en notación octal
umask=0077
; UID mínimo
min_uid=100
; GID mínimo
min_gid=100

[handlers]
;Controlador para scripts php
x-httpd-suphp="php:/usr/bin/php-cgi"
;Controlador para scripts CGI
x-suphp-cgi="execute:!self"

nano /etc/httpd/conf.d/php.conf

  
SetHandler application/x-httpd-php  

  
  
SetHandler application/x-httpd-php  
  

systemctl start php-fpm.service  
systemctl enable php-fpm.service  
systemctl enable httpd.service

systemctl restart httpd.service

yum -y install python-devel

cd /usr/local/src/  
wget http://dist.modpython.org/dist/mod_python-3.5.0.tgz  
tar xfz mod_python-3.5.0.tgz  
cd mod_python-3.5.0

./configure  
make  
make install

echo 'LoadModule python_module modules/mod_python.so' > /etc/httpd/conf.modules.d/10-python.conf  
systemctl restart httpd.service

yum -y install pure-ftpd

systemctl enable pure-ftpd.service  
systemctl start pure-ftpd.service

yum install openssl

nano /etc/pure-ftpd/pure-ftpd.conf

[...]
# Esta opción puede aceptar tres valores :
# 0 : deshabilitar la capa de cifrado SSL/TLS (predeterminado).
# 1 : aceptar tanto sesiones tradicionales como cifradas.
# 2 : rechazar conexiones que no utilicen mecanismos de seguridad SSL/TLS,
#     incluidas las sesiones anónimas.
# No descomente esto a ciegas. Asegúrese de que :
# 1) Su servidor ha sido compilado con soporte SSL/TLS (--with-tls),
# 2) Un certificado válido está en su lugar,
# 3) Solo los clientes compatibles iniciarán sesión.

TLS                      1
[...]

mkdir -p /etc/ssl/private/

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

chmod 600 /etc/ssl/private/pure-ftpd.pem

systemctl restart pure-ftpd.service

yum -y install bind bind-utils

cp /etc/named.conf /etc/named.conf_bak  
cat /dev/null > /etc/named.conf  
nano /etc/named.conf

// named.conf
//
// Proporcionado por el paquete bind de Red Hat para configurar el servidor DNS ISC BIND named(8)
// como un servidor de nombres solo en caché (como un resolvedor DNS localhost solamente).
//
// Consulte /usr/share/doc/bind*/sample/ para archivos de configuración de ejemplo.
//
options {
        listen-on port 53 { any; };
        listen-on-v6 port 53 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
                allow-recursion {"none";};
        recursion no;
};
logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
zone "." IN {
        type hint;
        file "named.ca";
};
include "/etc/named.conf.local";

touch /etc/named.conf.local

systemctl enable named.service  
systemctl start named.service

yum -y install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder

cd /tmp  
wget http://olivier.sessink.nl/jailkit/jailkit-2.17.tar.gz  
tar xvfz jailkit-2.17.tar.gz  
cd jailkit-2.17  
./configure  
make  
make install  
cd ..  
rm -rf jailkit-2.17*

yum -y install iptables-services fail2ban fail2ban-systemd  
systemctl mask firewalld.service  
systemctl enable iptables.service  
systemctl enable ip6tables.service  
systemctl stop firewalld.service  
systemctl start iptables.service  
systemctl start ip6tables.service

nano /etc/fail2ban/jail.local

[sshd]  
enabled = true  
action = iptables[name=sshd, port=ssh, protocol=tcp]  
  
[pure-ftpd]  
enabled = true  
action = iptables[name=FTP, port=ftp, protocol=tcp]  
maxretry = 3  
  
[dovecot]  
enabled = true  
action = iptables-multiport[name=dovecot, port="pop3,pop3s,imap,imaps", protocol=tcp]  
maxretry = 5  
  
[postfix-sasl]  
enabled = true  
action = iptables-multiport[name=postfix-sasl, port="smtp,smtps,submission", protocol=tcp]  
maxretry = 3

systemctl enable fail2ban.service  
systemctl start fail2ban.service

yum -y install rkhunter

yum -y install mailman

touch /var/lib/mailman/data/aliases  
postmap /var/lib/mailman/data/aliases  
/usr/lib/mailman/bin/newlist mailman

vi /etc/aliases

[...]
mailman:              "|/usr/lib/mailman/mail/mailman post mailman"
mailman-admin:        "|/usr/lib/mailman/mail/mailman admin mailman"
mailman-bounces:      "|/usr/lib/mailman/mail/mailman bounces mailman"
mailman-confirm:      "|/usr/lib/mailman/mail/mailman confirm mailman"
mailman-join:         "|/usr/lib/mailman/mail/mailman join mailman"
mailman-leave:        "|/usr/lib/mailman/mail/mailman leave mailman"
mailman-owner:        "|/usr/lib/mailman/mail/mailman owner mailman"
mailman-request:      "|/usr/lib/mailman/mail/mailman request mailman"
mailman-subscribe:    "|/usr/lib/mailman/mail/mailman subscribe mailman"
mailman-unsubscribe:  "|/usr/lib/mailman/mail/mailman unsubscribe mailman"

newaliases

systemctl restart postfix.service

nano /etc/httpd/conf.d/mailman.conf

#
#  configuraciones de httpd para usar con mailman.
#
ScriptAlias /mailman/ /usr/lib/mailman/cgi-bin/
ScriptAlias /cgi-bin/mailman/ /usr/lib/mailman/cgi-bin/

    AllowOverride None
    Options ExecCGI
    Order allow,deny
    Allow from all



#Alias /pipermail/ /var/lib/mailman/archives/public/
Alias /pipermail /var/lib/mailman/archives/public/

    Options Indexes MultiViews FollowSymLinks
    AllowOverride None
    Order allow,deny
    Allow from all
    AddDefaultCharset Off


# Descomente la siguiente línea, para redirigir consultas a /mailman a la
# página de listinfo (recomendado).

# RedirectMatch ^/mailman[/]*$ /mailman/listinfo

systemctl restart httpd.service

systemctl enable mailman.service  
systemctl start mailman.service