El Servidor Perfecto - Debian 10 (Nginx, BIND, Dovecot, ISPConfig 3.2)

Este tutorial muestra cómo preparar un servidor Debian 10 (con Nginx, BIND, Dovecot) para la instalación de ISPConfig 3.2, y cómo instalar ISPConfig 3.2. ISPConfig 3 es un panel de control de alojamiento web que permite configurar los siguientes servicios a través de un navegador web: servidor web Apache o nginx, servidor de correo Postfix, servidor IMAP/POP3 Courier o Dovecot, MySQL, servidor de nombres BIND o MyDNS, PureFTPd, SpamAssassin, ClamAV, y muchos más. Esta configuración cubre el servidor web Nginx, BIND como servidor DNS, y Dovecot como servidor IMAP / POP3.

1 Nota Preliminar

En este tutorial, utilizo el nombre de host server1.example.com con la dirección IP 192.168.0.100 y la puerta de enlace 192.168.0.1. Estas configuraciones pueden diferir para ti, así que debes reemplazarlas donde sea apropiado. Antes de continuar, necesitas tener una instalación mínima de Debian 10. Esto podría ser una imagen mínima de Debian de tu proveedor de alojamiento o puedes usar el tutorial de Servidor Debian Mínimo para configurar el sistema base.

Todos los comandos a continuación se ejecutan como usuario root. Inicia sesión como usuario root directamente o inicia sesión como tu usuario normal y luego usa el comando

su -

para convertirte en usuario root en tu servidor antes de continuar. IMPORTANTE: Debes usar ‘su -‘ y no solo ‘su’, de lo contrario, tu variable PATH se configurará incorrectamente por Debian.

2 Instalar el Servidor SSH

Si no instalaste el servidor OpenSSH durante la instalación del sistema, puedes hacerlo ahora:

apt-get -y install ssh openssh-server

A partir de ahora, puedes usar un cliente SSH como PuTTY y conectarte desde tu estación de trabajo a tu servidor Debian 10 y seguir los pasos restantes de este tutorial.

3 Instalar un editor de texto de shell (Opcional)

Usaré el editor de texto nano en este tutorial. Algunos usuarios prefieren el clásico editor vi, por lo tanto, instalaré ambos editores aquí. El programa vi por defecto tiene un comportamiento extraño en Debian y Ubuntu; para solucionar esto, instalamos vim-nox:

apt-get -y install nano vim-nox

(No tienes que hacer esto si usas un editor de texto diferente como joe.)

4 Configurar el Nombre de Host

El nombre de host de tu servidor debe ser un subdominio como “server1.example.com”. No uses un nombre de dominio sin parte de subdominio como “example.com” como nombre de host, ya que esto causará problemas más adelante con tu configuración de correo. Primero, debes verificar el nombre de host en /etc/hosts y cambiarlo cuando sea necesario. La línea debería ser: “Dirección IP - espacio - nombre de host completo incl. dominio - espacio - parte de subdominio”. Edita /etc/hosts. Haz que se vea así:

nano /etc/hosts

127.0.0.1       localhost.localdomain   localhost
192.168.0.100   server1.example.com     server1

# Las siguientes líneas son deseables para hosts compatibles con IPv6
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Luego edita el archivo /etc/hostname:

nano /etc/hostname

Deberá contener solo la parte del subdominio, en nuestro caso:

server1

Finalmente, reinicia el servidor para aplicar el cambio:

reboot

Inicia sesión nuevamente y verifica si el nombre de host es correcto ahora con estos comandos:

hostname  
hostname -f

La salida debería ser así:

root@server1:/tmp# hostname  
server1  
root@server1:/tmp# hostname -f  
server1.example.com

5 Actualiza tu Instalación de Debian

Primero asegúrate de que tu /etc/apt/sources.list contenga el repositorio buster/updates (esto asegura que siempre obtengas las actualizaciones más recientes para el escáner de virus ClamAV - este proyecto publica versiones muy a menudo, y a veces las versiones antiguas dejan de funcionar), y que los repositorios contrib y non-free estén habilitados.

nano /etc/apt/sources.list

deb http://deb.debian.org/debian/ buster main contrib non-free  
deb-src http://deb.debian.org/debian/ buster main contrib non-free  
  
deb http://security.debian.org/debian-security buster/updates main contrib non-free  
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

Ejecuta

apt-get update

para actualizar la base de datos de paquetes apt y

apt-get upgrade

para instalar las últimas actualizaciones (si las hay).

6 Cambiar la Shell por Defecto

/bin/sh es un enlace simbólico a /bin/dash, sin embargo, necesitamos /bin/bash, no /bin/dash. Por lo tanto, hacemos esto:

dpkg-reconfigure dash

¿Usar dash como la shell del sistema por defecto (/bin/sh)? <– No

Si no haces esto, la instalación de ISPConfig fallará.

7 Sincronizar el Reloj del Sistema

Es una buena idea sincronizar el reloj del sistema con un servidor NTP ( n etwork t ime p rotocol) a través de Internet. Simplemente ejecuta

apt-get install ntp

y tu hora del sistema siempre estará sincronizada.

8 Instalar Postfix, Dovecot, MySQL, rkhunter y binutils

Podemos instalar Postfix, Dovecot, MySQL, rkhunter y Binutils con un solo comando:

apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo curl

Se te harán las siguientes preguntas:

Tipo general de configuración de correo: <– Internet Site
Nombre del correo del sistema: <– server1.example.com

Para asegurar la instalación de MariaDB / MySQL y deshabilitar la base de datos de prueba, ejecuta este comando:

mysql_secure_installation

No tenemos que cambiar la contraseña root de MariaDB ya que acabamos de establecer una nueva durante la instalación. Responde las preguntas de la siguiente manera:

¿Cambiar la contraseña root? [Y/n] <-- y  
Nueva contraseña: <-- Ingresa una nueva contraseña de root de base de datos  
Reingresa la nueva contraseña: <-- Repite la contraseña de root de base de datos  
¿Eliminar usuarios anónimos? [Y/n] <-- y  
¿Deshabilitar el inicio de sesión root de forma remota? [Y/n] <-- y  
¿Eliminar la base de datos de prueba y el acceso a ella? [Y/n] <-- y  
¿Recargar tablas de privilegios ahora? [Y/n] <-- y

A continuación, abre los puertos TLS/SSL y de envío en Postfix:

nano /etc/postfix/master.cf

Descomenta las secciones de envío y smtps como sigue y agrega líneas donde sea necesario para que esta sección del archivo master.cf se vea exactamente como la de abajo. IMPORTANTE: ¡Elimina el # delante de las líneas que comienzan con smtps y envío también y no solo de las líneas -o después de estas líneas!

[...]  
submission inet n - y - - smtpd  
 -o syslog_name=postfix/submission  
 -o smtpd_tls_security_level=encrypt  
 -o smtpd_sasl_auth_enable=yes  
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
# -o smtpd_reject_unlisted_recipient=no  
# -o smtpd_client_restrictions=$mua_client_restrictions  
# -o smtpd_helo_restrictions=$mua_helo_restrictions  
# -o smtpd_sender_restrictions=$mua_sender_restrictions  
# -o smtpd_recipient_restrictions=  
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject  
# -o milter_macro_daemon_name=ORIGINATING  
smtps inet n - y - - smtpd  
 -o syslog_name=postfix/smtps  
 -o smtpd_tls_wrappermode=yes  
 -o smtpd_sasl_auth_enable=yes  
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
# -o smtpd_reject_unlisted_recipient=no  
# -o smtpd_client_restrictions=$mua_client_restrictions  
# -o smtpd_helo_restrictions=$mua_helo_restrictions  
# -o smtpd_sender_restrictions=$mua_sender_restrictions  
# -o smtpd_recipient_restrictions=  
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject  
# -o milter_macro_daemon_name=ORIGINATING  
[...]  

Reinicia Postfix después:

service postfix restart

Queremos que MariaDB escuche en todas las interfaces, no solo en localhost, por lo tanto editamos /etc/mysql/mariadb.conf.d/50-server.cnf y comentamos la línea bind-address = 127.0.0.1:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]  

# En lugar de skip-networking, el valor por defecto ahora es escuchar solo en  
# localhost, lo cual es más compatible y no menos seguro.  
#bind-address           = 127.0.0.1  
  
[...]  

Guarda el archivo. Luego establece el método de autenticación de contraseña en MariaDB a nativo para que podamos usar PHPMyAdmin más tarde para conectarnos como usuario root:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Edita el archivo /etc/mysql/debian.cnf y establece la contraseña root de MYSQL / MariaDB allí dos veces en las filas que comienzan con la palabra contraseña.

nano /etc/mysql/debian.cnf

La contraseña root de MySQL que debe ser añadida se muestra en rojo. En este ejemplo, la contraseña es “howtoforge”.

# Generado automáticamente para scripts de Debian. ¡NO TOQUES!  
[client]  
host = localhost  
user = root  
password = howtoforge  
socket = /var/run/mysqld/mysqld.sock  
[mysql_upgrade]  
host = localhost  
user = root  
password = howtoforge  
socket = /var/run/mysqld/mysqld.sock  
basedir = /usr

Para prevenir el error ‘ Error en accept: Demasiados archivos abiertos ‘ estableceremos límites de archivos abiertos más altos para MariaDB ahora.

Abre el archivo /etc/security/limits.conf con un editor:

nano /etc/security/limits.conf

y agrega estas líneas al final del archivo.

mysql soft nofile 65535  
mysql hard nofile 65535

A continuación, crea un nuevo directorio /etc/systemd/system/mysql.service.d/ con el comando mkdir.

mkdir -p /etc/systemd/system/mysql.service.d/

y agrega un nuevo archivo dentro:

nano /etc/systemd/system/mysql.service.d/limits.conf

pega las siguientes líneas en ese archivo:

[Service]  
LimitNOFILE=infinity

Guarda el archivo y cierra el editor nano.

Luego recargamos systemd y reiniciamos MariaDB:

systemctl daemon-reload  
systemctl restart mariadb

Ignora la advertencia: “ Advertencia: El archivo de unidad, archivo de configuración fuente o drop-ins de mariadb.service cambiaron en el disco. Ejecuta ‘systemctl daemon-reload’ para recargar unidades. “.

Instala el sistema dbconfig-common:

apt-get install dbconfig-common dbconfig-mysql

Actualmente hay un problema con el sistema dbconfig-common de Debian que impide la instalación de RoundCube más tarde, soluciona esto ejecutando este comando:

sed -i -r 's/_dbc_nodb="yes" dbc_mysql_exec/_dbc_nodb="yes"; dbc_mysql_exec/g' /usr/share/dbconfig-common/internal/mysql

Ahora verifica que la red esté habilitada. Ejecuta

netstat -tap | grep mysql

La salida debería verse así:

root@server1:~# netstat -tap | grep mysql  
tcp6       0      0 [::]:mysql              [::]:*                     LISTEN      4027/mysqld  
root@server1:~#

9 Instalar Amavisd-new, SpamAssassin y ClamAV

Para instalar amavisd-new, SpamAssassin y ClamAV, ejecutamos:

apt-get install amavisd-new spamassassin clamav clamav-daemon unzip bzip2 arj nomarch lzop cabextract p7zip p7zip-full unrar lrzip apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl libdbd-mysql-perl postgrey

La configuración de ISPConfig 3 utiliza amavisd que carga la biblioteca de filtros de SpamAssassin internamente, por lo que podemos detener SpamAssassin para liberar algo de RAM:

systemctl stop spamassassin  
systemctl disable spamassassin

10 Instalar Nginx, PHP (PHP-FPM) y Fcgiwrap

Nginx está disponible como un paquete para Debian que podemos instalar de la siguiente manera:

apt-get install nginx

Si Apache2 ya está instalado en el sistema, deténlo ahora…

systemctl stop apache2

El mensaje “ Falló al detener apache2.service: Unidad apache2.service no cargada. “ está bien y no indica un error.

… y elimina los enlaces de inicio del sistema de Apache:

systemctl disable apache2

Inicia nginx después:

systemctl start nginx

(Si tanto Apache2 como nginx están instalados, el instalador de ISPConfig te preguntará cuál quieres usar - responde nginx en este caso. Si solo uno de estos dos está instalado, ISPConfig hará la configuración necesaria automáticamente.)

Podemos hacer que PHP 7.3 funcione en nginx a través de PHP-FPM (PHP-FPM (FastCGI Process Manager) es una implementación alternativa de PHP FastCGI con algunas características adicionales útiles para sitios de cualquier tamaño, especialmente sitios más ocupados) que instalamos de la siguiente manera:

apt-get install php7.3-fpm

PHP-FPM es un proceso daemon que ejecuta un servidor FastCGI en el socket /var/run/php/php7.3-fpm.sock.

Para obtener soporte de MySQL en PHP, podemos instalar el paquete php7.3-mysql. Es una buena idea instalar algunos otros módulos de PHP también, ya que podrías necesitarlos para tus aplicaciones. Puedes buscar módulos de PHP disponibles así:

apt-cache search php7

Elige los que necesites e instálalos así:

apt-get install php7.3 php7.3-common php7.3-gd php7.3-mysql php7.3-imap php7.3-cli php7.3-cgi php-pear mcrypt imagemagick libruby php7.3-curl php7.3-intl php7.3-pspell php7.3-recode php7.3-sqlite3 php7.3-tidy php7.3-xmlrpc php7.3-xsl memcached php-memcache php-imagick php-gettext php7.3-zip php7.3-mbstring memcached php7.3-soap php7.3-fpm php7.3-opcache php-apcu

A continuación, abre /etc/php/7.3/fpm/php.ini…

nano /etc/php/7.3/fpm/php.ini

… y establece cgi.fix_pathinfo=0 y tu zona horaria:

[...]  
cgi.fix_pathinfo=0  
[...]  
date.timezone="Europe/Berlin"

(Puedes encontrar todas las zonas horarias disponibles en los directorios /usr/share/zoneinfo y sus subdirectorios.)

Ahora recarga PHP-FPM:

systemctl restart php7.3-fpm

Para obtener soporte CGI en nginx, instalamos Fcgiwrap.

Fcgiwrap es un envoltorio CGI que también debería funcionar para scripts CGI complejos y puede ser utilizado para entornos de alojamiento compartido porque permite que cada vhost use su propio directorio cgi-bin.

Instala el paquete fcgiwrap:

apt-get install fcgiwrap

Después de la instalación, el daemon fcgiwrap debería estar ya iniciado; su socket es /var/run/fcgiwrap.socket. Si no está en ejecución, puedes usar el script fservice fcgiwrap para iniciarlo.

¡Eso es todo! Ahora, cuando crees un vhost de nginx, ISPConfig se encargará de la configuración correcta del vhost.

10.1 Instalar phpMyAdmin

Desde Debian 10, PHPMyAdmin ya no está disponible como paquete .deb. Por lo tanto, lo instalaremos desde la fuente.

Crea carpetas para PHPMyadmin:

mkdir /usr/share/phpmyadmin  
mkdir /etc/phpmyadmin  
mkdir -p /var/lib/phpmyadmin/tmp  
chown -R www-data:www-data /var/lib/phpmyadmin  
touch /etc/phpmyadmin/htpasswd.setup

Ve al directorio /tmp y descarga las fuentes de PHPMyAdmin:

cd /tmp  
wget https://files.phpmyadmin.net/phpMyAdmin/4.9.0.1/phpMyAdmin-4.9.0.1-all-languages.tar.gz

Descomprime el archivo de archivo descargado y mueve los archivos a la carpeta /usr/share/phpmyadmin y limpia el directorio /tmp.

tar xfz phpMyAdmin-4.9.0.1-all-languages.tar.gz  
mv phpMyAdmin-4.9.0.1-all-languages/* /usr/share/phpmyadmin/  
rm phpMyAdmin-4.9.0.1-all-languages.tar.gz  
rm -rf phpMyAdmin-4.9.0.1-all-languages

Crea un nuevo archivo de configuración para PHPMyaAdmin basado en el archivo de muestra proporcionado:

cp /usr/share/phpmyadmin/config.sample.inc.php /usr/share/phpmyadmin/config.inc.php

Abre el archivo de configuración con el editor nano:

nano /usr/share/phpmyadmin/config.inc.php

Establece una contraseña segura (secreto blowfish) que debe tener 32 caracteres de longitud:

$cfg['blowfish_secret'] = 'bD3e6wva9fnd93jVsb7SDgeiBCd452Dh'; /* ¡DEBES RELLENAR ESTO PARA LA AUTENTICACIÓN DE COOKIE! */

¡No uses mi ejemplo de secreto blowfish, establece el tuyo propio!

Luego agrega una línea para establecer el directorio que PHPMyAdmin debe usar para almacenar archivos temporales:

$cfg['TempDir'] = '/var/lib/phpmyadmin/tmp';

En el siguiente paso, configuraremos el almacén de configuración de phpMyadmin (base de datos).

Inicia sesión en MariaDB como usuario root:

mysql -u root -p

En la shell de MariaDB, crea una nueva base de datos para PHPMyAdmin:

MariaDB [(none)]> CREATE DATABASE phpmyadmin;

Luego crea un nuevo usuario:

MariaDB [(none)]> CREATE USER 'pma'@'localhost' IDENTIFIED BY 'mypassword';

Reemplaza la palabra mypassword con una contraseña segura de tu elección en los comandos anteriores y siguientes, usa la misma contraseña ambas veces. Luego otorga al usuario acceso a esta base de datos y recarga los permisos de la base de datos.

MariaDB [(none)]> GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' IDENTIFIED BY 'mypassword' WITH GRANT OPTION;  
MariaDB [(none)]> FLUSH PRIVILEGES;  
MariaDB [(none)]> EXIT

Finalmente, carga las tablas SQL en la base de datos:

mysql -u root -p phpmyadmin < /usr/share/phpmyadmin/sql/create_tables.sql

Ingresa la contraseña root de MariaDB cuando se te solicite.

Todo lo que tenemos que hacer ahora es establecer los detalles del usuario phpmyadmin en el archivo de configuración. Abre el archivo en el editor nano nuevamente:

nano /usr/share/phpmyadmin/config.inc.php

Desplázate hacia abajo hasta que veas las líneas a continuación y edítalas:

/* Usuario utilizado para manipular con el almacenamiento */  
$cfg['Servers'][$i]['controlhost'] = 'localhost';  
$cfg['Servers'][$i]['controlport'] = '';  
$cfg['Servers'][$i]['controluser'] = 'pma';  
$cfg['Servers'][$i]['controlpass'] = 'mypassword';  
  
/* Base de datos y tablas de almacenamiento */  
$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';  
$cfg['Servers'][$i]['bookmarktable'] = 'pma__bookmark';  
$cfg['Servers'][$i]['relation'] = 'pma__relation';  
$cfg['Servers'][$i]['table_info'] = 'pma__table_info';  
$cfg['Servers'][$i]['table_coords'] = 'pma__table_coords';  
$cfg['Servers'][$i]['pdf_pages'] = 'pma__pdf_pages';  
$cfg['Servers'][$i]['column_info'] = 'pma__column_info';  
$cfg['Servers'][$i]['history'] = 'pma__history';  
$cfg['Servers'][$i]['table_uiprefs'] = 'pma__table_uiprefs';  
$cfg['Servers'][$i]['tracking'] = 'pma__tracking';  
$cfg['Servers'][$i]['userconfig'] = 'pma__userconfig';  
$cfg['Servers'][$i]['recent'] = 'pma__recent';  
$cfg['Servers'][$i]['favorite'] = 'pma__favorite';  
$cfg['Servers'][$i]['users'] = 'pma__users';  
$cfg['Servers'][$i]['usergroups'] = 'pma__usergroups';  
$cfg['Servers'][$i]['navigationhiding'] = 'pma__navigationhiding';  
$cfg['Servers'][$i]['savedsearches'] = 'pma__savedsearches';  
$cfg['Servers'][$i]['central_columns'] = 'pma__central_columns';  
$cfg['Servers'][$i]['designer_settings'] = 'pma__designer_settings';  
$cfg['Servers'][$i]['export_templates'] = 'pma__export_templates';

He marcado las líneas en rojo que he editado. Reemplaza mypassword con la contraseña que elegiste para el usuario phpmyadmin. Ten en cuenta que los // frente a las líneas también han sido eliminados.

Después de haber instalado ISPConfig 3.2, puedes acceder a phpMyAdmin de la siguiente manera:

El vhost de aplicaciones ISPConfig en el puerto 8081 para nginx viene con una configuración de phpMyAdmin, por lo que puedes usar http://server1.example.com:8081/phpmyadmin o http://server1.example.com:8081/phpMyAdmin para acceder a phpMyAdmin.

Si deseas usar un alias /phpmyadmin o /phpMyAdmin que puedas usar desde tus sitios web, esto es un poco más complicado que para Apache porque nginx no tiene alias globales (es decir, alias que pueden definirse para todos los vhosts). Por lo tanto, debes definir estos alias para cada vhost desde el cual desees acceder a phpMyAdmin.

Para hacer esto, pega lo siguiente en el campo Directivas de nginx en la pestaña Opciones del sitio web en ISPConfig más tarde:

        location /phpmyadmin {
               root /usr/share/;
               index index.php index.html index.htm;
               location ~ ^/phpmyadmin/(.+\.php)$ {
                       try_files $uri =404;
                       root /usr/share/;
                       fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
                       fastcgi_index index.php;
                       fastcgi_param SCRIPT_FILENAME $request_filename;
                       include /etc/nginx/fastcgi_params;
                       fastcgi_param PATH_INFO $fastcgi_script_name;
                       fastcgi_buffer_size 128k;
                       fastcgi_buffers 256 4k;
                       fastcgi_busy_buffers_size 256k;
                       fastcgi_temp_file_write_size 256k;
                       fastcgi_intercept_errors on;
               }
               location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                       root /usr/share/;
               }
        }
        location /phpMyAdmin {
               rewrite ^/* /phpmyadmin last;
        }

Si usas http s en lugar de http para tu vhost, deberías agregar la línea fastcgi_param HTTPS on; a tu configuración de phpMyAdmin así:

        location /phpmyadmin {
               root /usr/share/;
               index index.php index.html index.htm;
               location ~ ^/phpmyadmin/(.+\.php)$ {
                       try_files $uri =404;
                       root /usr/share/;
                       fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
                       fastcgi_param HTTPS on; # <-- agrega esta línea
                       fastcgi_index index.php;
                       fastcgi_param SCRIPT_FILENAME $request_filename;
                       include /etc/nginx/fastcgi_params;
                       fastcgi_param PATH_INFO $fastcgi_script_name;
                       fastcgi_buffer_size 128k;
                       fastcgi_buffers 256 4k;
                       fastcgi_busy_buffers_size 256k;
                       fastcgi_temp_file_write_size 256k;
                       fastcgi_intercept_errors on;
               }
               location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                       root /usr/share/;
               }
        }
        location /phpMyAdmin {
               rewrite ^/* /phpmyadmin last;
        }

Si usas tanto http como https para tu vhost, puedes usar la variable $https. Ve al campo Directivas de nginx nuevamente, y en lugar de fastcgi_param HTTPS on; agregas la línea fastcgi_param HTTPS $https; para que puedas usar phpMyAdmin tanto para solicitudes http como https:

        location /phpmyadmin {
               root /usr/share/;
               index index.php index.html index.htm;
               location ~ ^/phpmyadmin/(.+\.php)$ {
                       try_files $uri =404;
                       root /usr/share/;
                       fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
                       fastcgi_param HTTPS $https; # <-- agrega esta línea
                       fastcgi_index index.php;
                       fastcgi_param SCRIPT_FILENAME $request_filename;
                       include /etc/nginx/fastcgi_params;
                       fastcgi_param PATH_INFO $fastcgi_script_name;
                       fastcgi_buffer_size 128k;
                       fastcgi_buffers 256 4k;
                       fastcgi_busy_buffers_size 256k;
                       fastcgi_temp_file_write_size 256k;
                       fastcgi_intercept_errors on;
               }
               location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                       root /usr/share/;
               }
        }
        location /phpMyAdmin {
               rewrite ^/* /phpmyadmin last;
        }

11 Instalar Let’s Encrypt

ISPConfig está utilizando acme.sh ahora como cliente de Let’s Encrypt. Instala acme.sh usando el siguiente comando:

curl https://get.acme.sh | sh -s

12 Instalar Mailman

ISPConfig te permite gestionar (crear/modificar/eliminar) listas de correo de Mailman. Si deseas hacer uso de esta función, instala Mailman de la siguiente manera:

apt-get install mailman

Selecciona al menos un idioma, por ejemplo:

Idiomas a soportar: <– en (Inglés)
Lista de sitios faltantes <– Ok

Antes de que podamos iniciar Mailman, debe crearse una primera lista de correo llamada mailman:

newlist mailman

root@server1:~# newlist mailman
Ingresa el correo electrónico de la persona que ejecuta la lista: <– dirección de correo electrónico del administrador, por ejemplo, [email protected]
Contraseña inicial de mailman: <– contraseña del administrador para la lista de mailman
Para terminar de crear tu lista de correo, debes editar tu archivo /etc/aliases (o equivalente) agregando las siguientes líneas, y posiblemente ejecutando el programa newaliases:

lista de correo mailman

mailman: “|/var/lib/mailman/mail/mailman post mailman”
mailman-admin: “|/var/lib/mailman/mail/mailman admin mailman”
mailman-bounces: “|/var/lib/mailman/mail/mailman bounces mailman”
mailman-confirm: “|/var/lib/mailman/mail/mailman confirm mailman”
mailman-join: “|/var/lib/mailman/mail/mailman join mailman”
mailman-leave: “|/var/lib/mailman/mail/mailman leave mailman”
mailman-owner: “|/var/lib/mailman/mail/mailman owner mailman”
mailman-request: “|/var/lib/mailman/mail/mailman request mailman”
mailman-subscribe: “|/var/lib/mailman/mail/mailman subscribe mailman”
mailman-unsubscribe: “|/var/lib/mailman/mail/mailman unsubscribe mailman”

Presiona enter para notificar al propietario de mailman… <– ENTER

root@server1:~#

Abre /etc/aliases después…

nano /etc/aliases

… y agrega las siguientes líneas:

[...]  
## lista de correo mailman  
mailman:              "|/var/lib/mailman/mail/mailman post mailman"  
mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"  
mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"  
mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"  
mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"  
mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"  
mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"  
mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"  
mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"  
mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"

Ejecuta

newaliases

despues y reinicia Postfix:

systemctl restart postfix

Luego inicia el daemon de Mailman:

systemctl restart mailman

Después de haber instalado ISPConfig 3, puedes acceder a Mailman de la siguiente manera:

El vhost de aplicaciones ISPConfig en el puerto 8081 para nginx viene con una configuración de Mailman, por lo que puedes usar http://server1.example.com:8081/cgi-bin/mailman/admin/ o http://server1.example.com:8081/cgi-bin/mailman/listinfo/ para acceder a Mailman.

Si deseas usar Mailman desde tus sitios web, esto es un poco más complicado que para Apache porque nginx no tiene alias globales (es decir, alias que pueden definirse para todos los vhosts). Por lo tanto, debes definir estos alias para cada vhost desde el cual desees acceder a Mailman.

Para hacer esto, pega lo siguiente en el campo Directivas de nginx en la pestaña Opciones del sitio web en ISPConfig:

        location /cgi-bin/mailman {
               root /usr/lib/;
               fastcgi_split_path_info (^/cgi-bin/mailman/[^/]*)(.*)$;
               include /etc/nginx/fastcgi_params;
               fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
               fastcgi_param PATH_INFO $fastcgi_path_info;
               fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
               fastcgi_intercept_errors on;
               fastcgi_pass unix:/var/run/fcgiwrap.socket;
        }

        location /images/mailman {
               alias /usr/share/images/mailman;
        }

        location /pipermail {
               alias /var/lib/mailman/archives/public;
               autoindex on;
        }

Esto define el alias /cgi-bin/mailman/ para tu vhost, lo que significa que puedes acceder a la interfaz de administración de Mailman para una lista en http:///cgi-bin/mailman/admin/, y la página web para los usuarios de una lista de correo se puede encontrar en http:///cgi-bin/mailman/listinfo/.

Bajo http:///pipermail puedes encontrar los archivos de la lista de correo.

13 Instalar PureFTPd y Quota

PureFTPd y quota se pueden instalar con el siguiente comando:

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

Edita el archivo /etc/default/pure-ftpd-common…

nano /etc/default/pure-ftpd-common

… y asegúrate de que el modo de inicio esté configurado en standalone y establece VIRTUALCHROOT=true:

[...]  
STANDALONE_OR_INETD=standalone  
[...]  
VIRTUALCHROOT=true  
[...]  

Ahora configuramos PureFTPd para permitir sesiones FTP y TLS. FTP es un protocolo muy inseguro porque todas las contraseñas y todos los datos se transfieren en texto claro. Al usar TLS, toda la comunicación puede ser cifrada, haciendo que FTP sea mucho más seguro.

Si deseas permitir sesiones FTP y TLS, ejecuta

echo 1 > /etc/pure-ftpd/conf/TLS

Para usar TLS, debemos crear un certificado SSL. Lo crearé en /etc/ssl/private/, por lo tanto, primero creo ese directorio:

mkdir -p /etc/ssl/private/

Después, podemos generar el certificado SSL de la siguiente manera:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Nombre del país (código de 2 letras) [AU]: <– Ingresa el nombre de tu país (por ejemplo, “DE”).
Nombre del estado o provincia (nombre completo) [Some-State]: <– Ingresa el nombre de tu estado o provincia.
Nombre de la localidad (por ejemplo, ciudad) []: <– Ingresa tu ciudad.
Nombre de la organización (por ejemplo, empresa) [Internet Widgits Pty Ltd]: <– Ingresa el nombre de tu organización (por ejemplo, el nombre de tu empresa).
Nombre de la unidad organizativa (por ejemplo, sección) []: <– Presiona enter.
Nombre común (por ejemplo, FQDN del servidor o TU nombre) []: <– Ingresa el nombre del host del servidor, en mi caso: server1.example.com.
Dirección de correo electrónico []: <– Ingresa tu dirección de correo electrónico.

Cambia los permisos del certificado SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Luego reinicia PureFTPd:

systemctl restart pure-ftpd-mysql

Edita /etc/fstab. El mío se ve así (agregué,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 a la partición con el punto de montaje /):

nano /etc/fstab

# /etc/fstab: información estática del sistema de archivos.  
#  
# Usa 'blkid' para imprimir el identificador único universal para un  
# dispositivo; esto puede usarse con UUID= como una forma más robusta de nombrar dispositivos  
# que funciona incluso si se agregan y eliminan discos. Ver fstab(5).  
#  
#        
# / estaba en /dev/sda1 durante la instalación  
UUID=45576b38-39e8-4994-b8c1-ea4870e2e614 / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1  
# swap estaba en /dev/sda5 durante la instalación  
UUID=8bea0d1e-ec37-4b20-9976-4b7daaa3eb69 none swap sw 0 0  
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0

Para habilitar quota, ejecuta estos comandos:

mount -o remount /

quotacheck -avugm  
quotaon -avug

14 Instalar el Servidor DNS BIND

BIND se puede instalar de la siguiente manera:

apt-get install bind9 dnsutils

Si tu servidor es una máquina virtual, se recomienda encarecidamente instalar el daemon haveged para obtener una mayor entropía para la firma DNSSEC. Puedes instalar haveged en servidores no virtuales también, no debería hacer daño.

apt-get -y install haveged  
systemctl enable haveged  
systemctl start haveged

Una explicación sobre ese tema se puede encontrar aquí.

15 Instalar Webalizer, AWStats y GoAccess

Webalizer y AWStats se pueden instalar de la siguiente manera:

apt-get install webalizer awstats geoip-database libtimedate-perl libclass-dbi-mysql-perl

Abre /etc/cron.d/awstats después…

nano /etc/cron.d/awstats

… y comenta todo en ese archivo:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generar informes estáticos:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

Instalando la última versión de GoAccess directamente desde el repositorio de GoAccess:

echo "deb https://deb.goaccess.io/ $(lsb_release -cs) main" | sudo tee -a /etc/apt/sources.list.d/goaccess.list  
wget -O - https://deb.goaccess.io/gnugpg.key | sudo apt-key --keyring /etc/apt/trusted.gpg.d/goaccess.gpg add -  
apt-get update  
apt-get install goaccess

16 Instalar Jailkit

Jailkit solo es necesario si deseas chroot usuarios SSH. Se puede instalar de la siguiente manera (importante: Jailkit debe instalarse antes de ISPConfig - ¡no se puede instalar después!):

apt-get install build-essential autoconf automake libtool flex bison debhelper binutils

cd /tmp  
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz  
tar xvfz jailkit-2.20.tar.gz  
cd jailkit-2.20  
echo 5 > debian/compat  
./debian/rules binary

Ahora puedes instalar el paquete Jailkit.deb de la siguiente manera:

cd ..  
dpkg -i jailkit_2.20-1_*.deb  
rm -rf jailkit-2.20*

17 Instalar Fail2ban y UFW Firewall

Esto es opcional pero recomendado, porque el monitor de ISPConfig intenta mostrar el registro:

apt-get install fail2ban

Para hacer que fail2ban monitoree PureFTPd y Dovecot, crea el archivo /etc/fail2ban/jail.local:

nano /etc/fail2ban/jail.local

[pure-ftpd]  
enabled = true  
port = ftp  
filter = pure-ftpd  
logpath = /var/log/syslog  
maxretry = 3  
  
[dovecot]  
enabled = true  
filter = dovecot  
logpath = /var/log/mail.log  
maxretry = 5  
  
[postfix-sasl]  
enabled = true  
port = smtp  
filter = postfix[mode=auth]  
logpath = /var/log/mail.log  
maxretry = 3

Reinicia fail2ban después:

systemctl restart fail2ban

Para instalar el firewall UFW, ejecuta este comando apt:

apt-get install ufw

18 Instalar RoundCube

Instala RoundCube con este comando:

apt-get install roundcube roundcube-core roundcube-mysql roundcube-plugins

El instalador te hará las siguientes preguntas:

¿Configurar base de datos para roundcube con dbconfig.common? <-- sí  
Contraseña de aplicación MySQL para roundcube: <-- presiona enter  
Contraseña del usuario administrativo de las bases de datos: <-- ingresa la contraseña root de MySQL aquí.

Luego edita el archivo de configuración de RoundCube /etc/roundcube/config.inc.php y ajusta algunas configuraciones:

nano /etc/roundcube/config.inc.php

Establece el default_host en localhost y el smtp_server.

$config['default_host'] = 'localhost';  
$config['smtp_server'] = 'localhost';  
$config['smtp_port']  = 25;

ISPConfig tiene alguna configuración en el vhost de aplicaciones nginx para squirrelmail que funciona para roundcube también. Lo activamos con:

ln -s /usr/share/roundcube /usr/share/squirrelmail

http://192.168.0.100:8081/webmail
http://server1.example.com:8081/webmail (después de haber instalado ISPConfig, ver el siguiente capítulo)

19 Instalar ISPConfig 3

Antes de comenzar la instalación de ISPConfig, asegúrate de que Apache esté detenido (si está instalado - es posible que algunos de tus paquetes instalados hayan instalado Apache como una dependencia sin que lo supieras). Si Apache2 ya está instalado en el sistema, deténlo ahora…

systemctl stop apache2

… y elimina los enlaces de inicio del sistema de Apache:

update-rc.d -f apache2 remove

Asegúrate de que nginx esté en ejecución:

systemctl start nginx

(Si tienes tanto Apache como nginx instalados, el instalador te preguntará cuál deseas usar: Apache y nginx detectados. Selecciona el servidor a usar para ISPConfig: (apache,nginx) [apache]:

Escribe nginx. Si solo Apache o nginx están instalados, esto es detectado automáticamente por el instalador, y no se hace ninguna pregunta.)

Para instalar ISPConfig 3.2 desde la última versión lanzada, haz esto:

cd /tmp  
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz  
tar xfz ISPConfig-3-stable.tar.gz  
cd ispconfig3_install/install/

El siguiente paso es ejecutar

php -q install.php

Esto iniciará el instalador de ISPConfig 3. El instalador configurará todos los servicios como Postfix, Nginx, Dovecot, etc. por ti.

# php -q install.php

  
--------------------------------------------------------------------------------  
_____ ___________ _____ __ _ ____  
|_ _/ ___| ___ \ / __ \ / _(_) /__ \  
| | \ `--.| |_/ / | / \/ ___ _ __ | |_ _ __ _ _/ /  
| | `--. \ __/ | | / _ \| '_ \| _| |/ _` | |_ |  
_| |_\/__/ / | | \__/\ (_) | | | | | | | (_| | ___\ \  
\___/\____/\_| \____/\___/|_| |_|_| |_\__, | \____/  
__/ |  
|___/  
--------------------------------------------------------------------------------

  
>> Configuración inicial

Sistema Operativo: Debian 10.0 (Buster) o compatible

A continuación, habrá algunas preguntas para la configuración primaria, así que ten cuidado.
Los valores predeterminados están entre [corchetes] y se pueden aceptar con .
Escribe “quit” (sin las comillas) para detener el instalador.

Selecciona el idioma (en,de) [en]: <– Presiona Enter

Modo de instalación (estándar, experto) [estándar]: <– Presiona Enter

Nombre de host completamente calificado (FQDN) del servidor, por ejemplo server1.domain.tld [server1.canomi.com]: <– Presiona Enter

Nombre de host del servidor MySQL [localhost]: <– Presiona Enter

Puerto del servidor MySQL [3306]: <– Presiona Enter

Nombre de usuario root de MySQL [root]: <– Presiona Enter

Contraseña root de MySQL []: <– Ingresa tu contraseña root de MySQL

Base de datos MySQL a crear [dbispconfig]: <– Presiona Enter

Conjunto de caracteres MySQL [utf8]: <– Presiona Enter

Apache y nginx detectados. Selecciona el servidor a usar para ISPConfig: (apache,nginx) [apache]: <– nginx

Configurando Postgrey
Configurando Postfix
Generando una clave privada RSA de 4096 bits
……………………………………………………………..++
……………………………………………………………………………………………………………………….++
Escribiendo nueva clave privada en ‘smtpd.key’

—–
Se te pedirá que ingreses información que se incorporará
a tu solicitud de certificado.
Lo que estás a punto de ingresar se llama Nombre Distinguido o DN.
Hay muchos campos, pero puedes dejar algunos en blanco
Para algunos campos habrá un valor predeterminado,
Si ingresas ‘.’, el campo quedará en blanco.

—–
Nombre del país (código de 2 letras) [AU]: <– Ingresa el código de país de 2 letras
Nombre del estado o provincia (nombre completo) [Some-State]: <– Ingresa el nombre del estado
Nombre de la localidad (por ejemplo, ciudad) []: <– Ingresa tu ciudad
Nombre de la organización (por ejemplo, empresa) [Internet Widgits Pty Ltd]: <– Ingresa el nombre de la empresa o presiona enter
Nombre de la unidad organizativa (por ejemplo, sección) []: <– Presiona Enter
Nombre común (por ejemplo, FQDN del servidor o TU nombre) []: <– Ingresa el nombre del host del servidor, en mi caso: server1.example.com
Dirección de correo electrónico []: <– Presiona Enter
Configurando Mailman
Configurando Dovecot
Configurando Spamassassin
Configurando Amavisd
Configurando Getmail
Configurando BIND
Configurando Jailkit
Configurando Pureftpd
Configurando Nginx
Configurando vlogger
[INFO] servicio Metronome XMPP Server no detectado

Configurando el Firewall UFW
Configurando Fail2ban
[INFO] servicio OpenVZ no detectado
Configurando vhost de aplicaciones
Instalando ISPConfig
Puerto ISPConfig [8080]:

Contraseña de administrador [admin]: <– Ingresa la contraseña de usuario administrador deseada para ISPConfig aquí

¿Deseas una conexión segura (SSL) a la interfaz web de ISPConfig (y,n) [y]: <– Presiona Enter

Generando clave privada RSA, 4096 bits de longitud de módulo
…………………..++
………………………………………………………………………………………………………………..++
e es 65537 (0x10001)
Se te pedirá que ingreses información que se incorporará
a tu solicitud de certificado.
Lo que estás a punto de ingresar se llama Nombre Distinguido o DN.
Hay muchos campos, pero puedes dejar algunos en blanco
Para algunos campos habrá un valor predeterminado,
Si ingresas ‘.’, el campo quedará en blanco.

—–
Nombre del país (código de 2 letras) [AU]: <– Ingresa el código de país de 2 letras
Nombre del estado o provincia (nombre completo) [Some-State]: <– Ingresa el nombre del estado
Nombre de la localidad (por ejemplo, ciudad) []: <– Ingresa tu ciudad
Nombre de la organización (por ejemplo, empresa) [Internet Widgits Pty Ltd]: <– Ingresa el nombre de la empresa o presiona enter
Nombre de la unidad organizativa (por ejemplo, sección) []: <– Presiona Enter
Nombre común (por ejemplo, FQDN del servidor o TU nombre) []: <– Ingresa el nombre del host del servidor, en mi caso: server1.example.com
Dirección de correo electrónico []: <– Presiona Enter

Por favor ingresa los siguientes atributos ‘extra’
que se enviarán con tu solicitud de certificado
Una contraseña de desafío []: <– Presiona Enter
Un nombre de empresa opcional []: <– Presiona Enter
escribiendo clave RSA

Configurando DBServer
Instalando crontab de ISPConfig
no crontab para root
no crontab para getmail
Detectando direcciones IP
Reiniciando servicios …
Instalación completada.

El instalador configura automáticamente todos los servicios subyacentes, por lo que no se necesita configuración manual.

Después puedes acceder a ISPConfig 3 en http(s)://server1.example.com:8080/ o http(s)://192.168.1.100:8080/ (http o https depende de lo que elegiste durante la instalación). Inicia sesión con el nombre de usuario admin y la contraseña admin (debes cambiar la contraseña predeterminada después de tu primer inicio de sesión):

![Página de inicio de sesión de ISPConfig](/files/85463c68-29fa-4e9c-8439-5b968109a6a9.png)

![Panel de control de ISPConfig en Debian 10](/files/db4db368-1147-4ced-b543-09a4945acfaf.png)

Finalmente, arreglamos algunos permisos de la instalación de RoundCube.

chown root:ispapps /etc/roundcube/debian-db.php chmod 640 /etc/roundcube/debian-db.php chown root:ispapps /etc/roundcube/config.inc.php chmod 640 /etc/roundcube/config.inc.php chown -R ispapps:adm /var/log/roundcube chmod -R 750 /var/log/roundcube chown -R ispapps:ispapps /var/lib/roundcube/temp chmod -R 750 /var/lib/roundcube/temp

El sistema ahora está listo para ser utilizado.

Existen algunos plugins para integrar RoundCube Webmail con ISPConfig, echa un vistazo aquí para las instrucciones de instalación del plugin ISPConfig RoundCube.

## 20.1 Manual de ISPConfig 3

Para aprender a usar ISPConfig 3, recomiendo encarecidamente descargar el Manual de ISPConfig 3.

En más de 300 páginas, cubre el concepto detrás de ISPConfig (administrador, revendedores, clientes), explica cómo instalar y actualizar ISPConfig 3, incluye una referencia para todos los formularios y campos de formulario en ISPConfig junto con ejemplos de entradas válidas, y proporciona tutoriales para las tareas más comunes en ISPConfig 3. También describe cómo hacer que tu servidor sea más seguro y viene con una sección de solución de problemas al final.

## 21 Descarga de imagen de máquina virtual de este tutorial

Este tutorial está disponible como una imagen de máquina virtual lista para usar en formato ovf/ova que es compatible con VMWare y Virtualbox. La imagen de la máquina virtual utiliza los siguientes detalles de inicio de sesión:

Inicio de sesión SSH / Shell

Nombre de usuario: administrator  
Contraseña: howtoforge

Nombre de usuario: root  
Contraseña: howtoforge

Inicio de sesión ISPConfig

Nombre de usuario: admin  
Contraseña: howtoforge

Inicio de sesión MySQL

Nombre de usuario: root  
Contraseña: howtoforge

La IP de la VM es 192.168.0.100, se puede cambiar en el archivo /etc/network/interfaces. Por favor, cambia todas las contraseñas anteriores para asegurar la máquina virtual.

## 22 Enlaces

- Debian: http://www.debian.org/
- ISPConfig: http://www.ispconfig.org/