El Servidor Perfecto - Debian 8 Jessie (Apache2, BIND, Dovecot, ISPConfig 3)

Este tutorial muestra cómo preparar un servidor Debian Jessie (con Apache2, BIND, Dovecot) para la instalación de ISPConfig 3, y cómo instalar ISPConfig 3. El panel de control de alojamiento web ISPConfig 3 te permite configurar los siguientes servicios a través de un navegador web: servidor web Apache o nginx, servidor de correo Postfix, servidor IMAP/POP3 Courier o Dovecot, MySQL, servidor de nombres BIND o MyDNS, PureFTPd, SpamAssassin, ClamAV, y muchos más. Esta configuración cubre Apache (en lugar de nginx), BIND (en lugar de MyDNS) y Dovecot (en lugar de Courier).

1 Nota Preliminar

En este tutorial usaré el nombre de host server1.example.com con la dirección IP 192.168.1.100 y la puerta de enlace 192.168.1.1. Estas configuraciones pueden diferir para ti, así que debes reemplazarlas donde sea apropiado. Antes de continuar, necesitas tener una instalación mínima de Debian 8. Esto podría ser una imagen mínima de Debian de tu proveedor de alojamiento o puedes usar el Tutorial de Servidor Debian Mínimo para configurar el sistema base.

2 Instalar el servidor SSH (Opcional)

Si no instalaste el servidor OpenSSH durante la instalación del sistema, puedes hacerlo ahora:

apt-get install ssh openssh-server

A partir de ahora puedes usar un cliente SSH como PuTTY y conectarte desde tu estación de trabajo a tu servidor Debian Jessie y seguir los pasos restantes de este tutorial.

3 Instalar un editor de texto de shell (Opcional)

Usaremos el editor de texto nano en este tutorial. Algunos usuarios prefieren el clásico editor vi, por lo tanto, instalaremos ambos editores aquí. El programa vi por defecto tiene un comportamiento extraño en Debian y Ubuntu; para solucionar esto, instalamos vim-nox:

apt-get install nano vim-nox

Si vi es tu editor favorito, entonces reemplaza nano con vi en los siguientes comandos para editar archivos.

4 Configurar el Nombre de Host

El nombre de host de tu servidor debe ser un subdominio como “server1.example.com”. No uses un nombre de dominio sin parte de subdominio como “example.com” como nombre de host, ya que esto causará problemas más adelante con tu configuración de correo. Primero debes verificar el nombre de host en /etc/hosts y cambiarlo cuando sea necesario. La línea debe ser: “Dirección IP - espacio - nombre de host completo incl. dominio - espacio - parte de subdominio”. Para nuestro nombre de host server1.example.com, el archivo debe verse así:

nano /etc/hosts

127.0.0.1       localhost.localdomain   localhost
192.168.1.100   server1.example.com     server1

# Las siguientes líneas son deseables para hosts compatibles con IPv6
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Luego edita el archivo /etc/hostname:

nano /etc/hostname

Deberá contener solo la parte del subdominio, en nuestro caso:

server1

Finalmente reinicia el servidor para aplicar el cambio:

reboot

Inicia sesión nuevamente y verifica si el nombre de host es correcto ahora con estos comandos:

hostname  
hostname -f

La salida debe ser así:

root@server1:/tmp# hostname  
server1  
root@server1:/tmp# hostname -f  
server1.example.com

5 Actualiza Tu Instalación de Debian

Primero asegúrate de que tu /etc/apt/sources.list contenga el repositorio jessie/updates (esto asegura que siempre obtengas las últimas actualizaciones de seguridad), y que los repositorios contrib y non-free estén habilitados (algunos paquetes como libapache2-mod-fastcgi no están en el repositorio principal).

nano /etc/apt/sources.list

#deb cdrom:[Debian GNU/Linux 8.0.0 _Jessie_ - Official amd64 NETINST Binary-1 20150425-12:50]/ jessie main  
  
deb http://ftp.us.debian.org/debian/ jessie main contrib non-free  
deb-src http://ftp.us.debian.org/debian/ jessie main contrib non-free  
  
deb http://security.debian.org/ jessie/updates main contrib non-free  
deb-src http://security.debian.org/ jessie/updates main contrib non-free

Ejecuta:

apt-get update

Para actualizar la base de datos de paquetes apt

apt-get upgrade

y para instalar las últimas actualizaciones (si las hay).

6 Cambiar La Shell Por Defecto

/bin/sh es un enlace simbólico a /bin/dash, sin embargo, necesitamos /bin/bash, no /bin/dash. Por lo tanto, hacemos esto:

dpkg-reconfigure dash

¿Usar dash como la shell del sistema por defecto (/bin/sh)? <- no

Si no haces esto, la instalación de ISPConfig fallará.

7 Sincronizar el Reloj del Sistema

Es una buena idea sincronizar el reloj del sistema con un servidor NTP ( n etwork t ime p rotocol) a través de Internet. Simplemente ejecuta

apt-get install ntp ntpdate

y tu hora del sistema siempre estará sincronizada.

8 Instalar Postfix, Dovecot, MySQL, phpMyAdmin, rkhunter, binutils

Podemos instalar Postfix, Dovecot, MySQL, rkhunter y binutils con un solo comando:

apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo

Cuando prefieras MySQL sobre MariaDB, reemplaza los paquetes “mariadb-client mariadb-server” en el comando anterior con “mysql-client mysql-server”.

Se te harán las siguientes preguntas:

Tipo general de configuración de correo: <– Internet Site
Nombre de correo del sistema: <– server1.example.com
Nueva contraseña para el usuario “root” de MariaDB: <– yourrootsqlpassword
Repetir contraseña para el usuario “root” de MariaDB: <– yourrootsqlpassword

A continuación, abre los puertos TLS/SSL y de envío en Postfix:

nano /etc/postfix/master.cf

Descomenta las secciones de envío y smtps como sigue y añade líneas donde sea necesario para que esta sección del archivo master.cf se vea exactamente como la de abajo.

[...]
submission inet n - - - - smtpd  
 -o syslog_name=postfix/submission  
 -o smtpd_tls_security_level=encrypt  
 -o smtpd_sasl_auth_enable=yes  
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
# -o smtpd_reject_unlisted_recipient=no  
# -o smtpd_client_restrictions=$mua_client_restrictions  
# -o smtpd_helo_restrictions=$mua_helo_restrictions  
# -o smtpd_sender_restrictions=$mua_sender_restrictions  
# -o smtpd_recipient_restrictions=  
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject  
# -o milter_macro_daemon_name=ORIGINATING  
smtps inet n - - - - smtpd  
 -o syslog_name=postfix/smtps  
 -o smtpd_tls_wrappermode=yes  
 -o smtpd_sasl_auth_enable=yes  
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
# -o smtpd_reject_unlisted_recipient=no  
# -o smtpd_client_restrictions=$mua_client_restrictions  
# -o smtpd_helo_restrictions=$mua_helo_restrictions  
# -o smtpd_sender_restrictions=$mua_sender_restrictions  
# -o smtpd_recipient_restrictions=  
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject  
# -o milter_macro_daemon_name=ORIGINATING
[...]  

Reinicia Postfix después:

service postfix restart

Queremos que MariaDB escuche en todas las interfaces, no solo en localhost, por lo tanto, editamos /etc/mysql/my.cnf y comentamos la línea bind-address = 127.0.0.1:

nano /etc/mysql/my.cnf

[...]
# En lugar de skip-networking el valor por defecto ahora es escuchar solo en
# localhost, lo cual es más compatible y no es menos seguro.
#bind-address           = 127.0.0.1
[...]  

Luego reiniciamos MySQL:

service mysql restart

Ahora verifica que la red esté habilitada. Ejecuta

netstat -tap | grep mysql

La salida debe verse así:

root@server1:/tmp# netstat -tap | grep mysql  
tcp6 0 0 [::]:mysql [::]:* LISTEN 27371/mysqld

9 Instalar Amavisd-new, SpamAssassin Y Clamav

Para instalar amavisd-new, SpamAssassin y ClamAV, ejecutamos

apt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl

La configuración de ISPConfig 3 utiliza amavisd que carga internamente la biblioteca de filtros de SpamAssassin, por lo que podemos detener SpamAssassin para liberar algo de RAM:

service spamassassin stop  
systemctl disable spamassassin