El Servidor Perfecto - Ubuntu 16.04 (Nginx, MySQL, PHP, Postfix, BIND, Dovecot, Pure-FTPD e ISPConfig 3.1) - Página 2

8. Instalar Nginx, PHP5 (PHP-FPM) y Fcgiwrap

Nginx está disponible como un paquete para Ubuntu que podemos instalar con el siguiente comando:

apt-get install nginx

Cuando Apache2 ya está instalado en el sistema, deténgalo ahora…

service apache2 stop

… y elimine los enlaces de inicio del sistema de Apache:

update-rc.d -f apache2 remove

Inicie nginx después:

service nginx start

(Si tanto Apache2 como nginx están instalados, el instalador de ISPConfig 3 le preguntará cuál desea usar; responda nginx en este caso. Si solo uno de estos dos está instalado, ISPConfig hará la configuración necesaria automáticamente.)

Podemos hacer que PHP 7 funcione en nginx a través de PHP-FPM (PHP-FPM (FastCGI Process Manager) es una implementación alternativa de PHP FastCGI con algunas características adicionales útiles para sitios de cualquier tamaño, especialmente sitios más concurridos) que instalamos de la siguiente manera:

apt-get -y install php7.0-fpm

PHP-FPM es un proceso daemon que ejecuta un servidor FastCGI en el socket /var/run/php/php7.0-fpm.sock.

Para obtener soporte de MySQL en PHP, podemos instalar el paquete php7.0-mysql. Es una buena idea instalar algunos otros módulos de PHP5 también, ya que puede que los necesite para sus aplicaciones. Puede buscar módulos de PHP5 disponibles así:

apt-cache search php7.0

Elija los que necesite e instálelos así:

apt-get -y install php7.0-opcache php7.0-fpm php7.0 php7.0-common php7.0-gd php7.0-mysql php7.0-imap php7.0-cli php7.0-cgi php-pear php-auth php7.0-mcrypt mcrypt imagemagick libruby php7.0-curl php7.0-intl php7.0-pspell php7.0-recode php7.0-sqlite3 php7.0-tidy php7.0-xmlrpc php7.0-xsl memcached php-memcache php-imagick php-gettext php7.0-zip php7.0-mbstring

Las extensiones mbstring y mcrypt necesitan ser habilitadas manualmente.

phpenmod mcrypt  
phpenmod mbstring

APCu es una extensión de PHP para el Opcache de PHP 7 que agrega una capa de compatibilidad para software que utiliza PHP APC Cache.

APCu se puede instalar de la siguiente manera:

apt-get -y install php-apcu

A continuación, abra /etc/php/7.0/fpm/php.ini…

nano /etc/php/7.0/fpm/php.ini

… y configure cgi.fix_pathinfo=0 y su zona horaria:

[...]
cgi.fix_pathinfo=0
[...]
date.timezone="Europe/Berlin"
[...]

(Puede encontrar todas las zonas horarias disponibles en los directorios /usr/share/zoneinfo y sus subdirectorios.)

Ahora recargue PHP-FPM:

service php7.0-fpm reload

Para obtener soporte CGI en nginx, instalamos Fcgiwrap.

Fcgiwrap es un envoltorio CGI que también debería funcionar para scripts CGI complejos y puede ser utilizado para entornos de alojamiento compartido porque permite que cada vhost use su propio directorio cgi-bin.

Instale el paquete fcgiwrap:

apt-get -y install fcgiwrap

Después de la instalación, el daemon fcgiwrap ya debería estar iniciado; su socket es /var/run/fcgiwrap.socket. Si no está en ejecución, puede usar el script /etc/init.d/fcgiwrap para iniciarlo.

¡Eso es todo! Ahora, cuando cree un vhost de nginx, ISPConfig se encargará de la configuración correcta del vhost.

8.1 Versiones Adicionales de PHP

A partir de ISPConfig 3.0.5, es posible tener múltiples versiones de PHP en un servidor (seleccionables a través de ISPConfig) que pueden ejecutarse a través de PHP-FPM. Para aprender cómo construir versiones adicionales de PHP (PHP-FPM) y cómo configurar ISPConfig, consulte este tutorial: Cómo Usar Múltiples Versiones de PHP (PHP-FPM & FastCGI) Con ISPConfig 3 (Ubuntu 12.10) (funciona también para Ubuntu 16.04).

8.2 Instalar phpMyAdmin

Instale phpMyAdmin de la siguiente manera:

apt-get -y install phpmyadmin php-mbstring php-gettext

Verá las siguientes preguntas:

Servidor web para reconfigurar automáticamente: <– seleccione ninguno (porque solo apache2 y lighttpd están disponibles como opciones)
Contraseña de aplicación MySQL para phpmyadmin: <– Presione Enter

Ahora puede encontrar phpMyAdmin en el directorio /usr/share/phpmyadmin/.

Después de haber instalado ISPConfig 3, puede acceder a phpMyAdmin de la siguiente manera:

La aplicación vhost de ISPConfig en el puerto 8081 para nginx viene con una configuración de phpMyAdmin, por lo que puede usar http://server1.example.com:8081/phpmyadmin o http://server1.example.com:8081/phpMyAdmin para acceder a phpMyAdmin.

Si desea usar un alias /phpmyadmin o /phpMyAdmin que pueda usar desde sus sitios web, esto es un poco más complicado que para Apache porque nginx no tiene alias globales (es decir, alias que se pueden definir para todos los vhosts). Por lo tanto, debe definir estos alias para cada vhost desde el cual desea acceder a phpMyAdmin.

Para hacer esto, pegue lo siguiente en el campo Directivas de nginx en la pestaña Opciones del sitio web en ISPConfig:

        location /phpmyadmin {
               root /usr/share/;
               index index.php index.html index.htm;
               location ~ ^/phpmyadmin/(.+\.php)$ {
                       try_files $uri =404;
                       root /usr/share/;
                       fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
                       fastcgi_index index.php;
                       fastcgi_param SCRIPT_FILENAME $request_filename;
                       include /etc/nginx/fastcgi_params;
                       fastcgi_param PATH_INFO $fastcgi_script_name;
                       fastcgi_buffer_size 128k;
                       fastcgi_buffers 256 4k;
                       fastcgi_busy_buffers_size 256k;
                       fastcgi_temp_file_write_size 256k;
                       fastcgi_intercept_errors on;
               }
               location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                       root /usr/share/;
               }
        }
        location /phpMyAdmin {
               rewrite ^/* /phpmyadmin last;
        }

Si usa http s en lugar de http para su vhost, debe agregar la línea fastcgi_param HTTPS on; a su configuración de phpMyAdmin así:

        location /phpmyadmin {
               root /usr/share/;
               index index.php index.html index.htm;
               location ~ ^/phpmyadmin/(.+\.php)$ {
                       try_files $uri =404;
                       root /usr/share/;
                       fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
                       fastcgi_param HTTPS on; # <-- agregue esta línea
                       fastcgi_index index.php;
                       fastcgi_param SCRIPT_FILENAME $request_filename;
                       include /etc/nginx/fastcgi_params;
                       fastcgi_param PATH_INFO $fastcgi_script_name;
                       fastcgi_buffer_size 128k;
                       fastcgi_buffers 256 4k;
                       fastcgi_busy_buffers_size 256k;
                       fastcgi_temp_file_write_size 256k;
                       fastcgi_intercept_errors on;
               }
               location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                       root /usr/share/;
               }
        }
        location /phpMyAdmin {
               rewrite ^/* /phpmyadmin last;
        }

Si usa tanto http como https para su vhost, necesita agregar la siguiente sección a la sección http {} en /etc/nginx/nginx.conf (antes de cualquier línea de inclusión) que determina si el visitante usa http o https y establece la variable $fastcgi_https (que usaremos en nuestra configuración de phpMyAdmin) en consecuencia:

nano /etc/nginx/nginx.conf

[...]
http {
[...]
        ## Detectar cuándo se usa HTTPS
        map $scheme $fastcgi_https {
          default off;
          https on;

        }
[...]
}
[...]

No olvide recargar nginx después:

service nginx reload

Luego vaya nuevamente al campo Directivas de nginx, y en lugar de fastcgi_param HTTPS on; agregue la línea fastcgi_param HTTPS $fastcgi_https; para que pueda usar phpMyAdmin tanto para solicitudes HTTP como HTTPS:

        location /phpmyadmin {
               root /usr/share/;
               index index.php index.html index.htm;
               location ~ ^/phpmyadmin/(.+\.php)$ {
                       try_files $uri =404;
                       root /usr/share/;
                       fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
                       fastcgi_param HTTPS $fastcgi_https; # <-- agregue esta línea
                       fastcgi_index index.php;
                       fastcgi_param SCRIPT_FILENAME $request_filename;
                       include /etc/nginx/fastcgi_params;
                       fastcgi_param PATH_INFO $fastcgi_script_name;
                       fastcgi_buffer_size 128k;
                       fastcgi_buffers 256 4k;
                       fastcgi_busy_buffers_size 256k;
                       fastcgi_temp_file_write_size 256k;
                       fastcgi_intercept_errors on;
               }
               location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                       root /usr/share/;
               }
        }
        location /phpMyAdmin {
               rewrite ^/* /phpmyadmin last;
        }

Ubuntu ya no permite inicios de sesión en MySQL como usuario root a través de PHPMyAdmin. Sin privilegios de root, no puede usar PHPMyAdmin para administrar usuarios de base de datos o crear bases de datos. Para eludir ese problema, crearé un nuevo usuario de MySQL con el nombre “admin” aquí que tiene privilegios de root. Este usuario admin puede ser utilizado para la administración de bases de datos en PHPMyAdmin.

Inicie sesión en la base de datos MySQL como usuario root en la terminal:

mysql -u root

Cree un nuevo usuario “admin” con la contraseña “howtoforge”. Reemplace la contraseña “howtoforge” con una contraseña segura en los comandos a continuación:

CREATE USER 'admin'@'localhost' IDENTIFIED BY 'howtoforge';  
GRANT ALL PRIVILEGES ON *.* TO 'admin'@'localhost' WITH GRANT OPTION;  
FLUSH PRIVILEGES;  
exit

8.3 Instalar HHVM (HipHop Virtual Machine)

En este paso, instalaremos HHVM con apt. HHVM es un motor PHP rápido desarrollado por Facebook.

apt-get -y install software-properties-common  
apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0x5a16e7281be7a449  
add-apt-repository "deb http://dl.hhvm.com/ubuntu xenial main"  
apt-get update  
apt-get -y install hhvm

8.4. Instalar Let’s Encrypt

ISPConfig 3.1 tiene soporte integrado para la Autoridad de Certificación SSL gratuita Let’s Encrypt. La función Let’s Encrypt le permite crear Certificados SSL gratuitos para su sitio web en ISPConfig.

Ahora agregaremos soporte para Let’s Encrypt.

apt install software-properties-common  
add-apt-repository ppa:certbot/certbot  
apt update  
apt -y remove letsencrypt  
apt -y install python-certbot-nginx

9. Instalar Mailman

ISPConfig también le permite gestionar (crear/modificar/eliminar) listas de correo de Mailman. Si desea hacer uso de esta función, instale Mailman de la siguiente manera:

apt-get -y install mailman

Seleccione al menos un idioma, por ejemplo:

Idiomas a soportar: <– en (Inglés)
Lista de sitios faltantes <– Ok

Antes de que podamos iniciar Mailman, debe crearse una primera lista de correo llamada mailman:

newlist mailman

root@server1:~# newlist mailman
Ingrese el correo electrónico de la persona que ejecuta la lista: <– dirección de correo electrónico del administrador, por ejemplo, [email protected]
Contraseña inicial de mailman: <– contraseña del administrador para la lista de mailman
Para terminar de crear su lista de correo, debe editar su archivo /etc/aliases (o equivalente) agregando las siguientes líneas, y posiblemente ejecutando el programa newaliases:

lista de correo mailman

mailman: “|/var/lib/mailman/mail/mailman post mailman”
mailman-admin: “|/var/lib/mailman/mail/mailman admin mailman”
mailman-bounces: “|/var/lib/mailman/mail/mailman bounces mailman”
mailman-confirm: “|/var/lib/mailman/mail/mailman confirm mailman”
mailman-join: “|/var/lib/mailman/mail/mailman join mailman”
mailman-leave: “|/var/lib/mailman/mail/mailman leave mailman”
mailman-owner: “|/var/lib/mailman/mail/mailman owner mailman”
mailman-request: “|/var/lib/mailman/mail/mailman request mailman”
mailman-subscribe: “|/var/lib/mailman/mail/mailman subscribe mailman”
mailman-unsubscribe: “|/var/lib/mailman/mail/mailman unsubscribe mailman”

Presione enter para notificar al propietario de mailman… <– ENTER

root@server1:~#

Abra /etc/aliases después…

nano /etc/aliases

… y agregue las siguientes líneas:

[...]
## lista de correo mailman
mailman:              "|/var/lib/mailman/mail/mailman post mailman"
mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"
mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"
mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"
mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"
mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"
mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"
mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"
mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"
mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"

Ejecute

newaliases

despues y reinicie Postfix:

service postfix restart

Luego inicie el daemon de Mailman:

service mailman start

Después de haber instalado ISPConfig 3, puede acceder a Mailman de la siguiente manera:

La aplicación vhost de ISPConfig en el puerto 8081 para nginx viene con una configuración de Mailman, por lo que puede usar http://server1.example.com:8081/cgi-bin/mailman/admin/ o http://server1.example.com:8081/cgi-bin/mailman/listinfo/ para acceder a Mailman.

Si desea usar Mailman desde sus sitios web, esto es un poco más complicado que para Apache porque Nginx no tiene alias globales (es decir, alias que se pueden definir para todos los vhosts). Por lo tanto, debe definir estos alias para cada vhost desde el cual desea acceder a Mailman.

Para hacer esto, pegue lo siguiente en el campo Directivas de nginx en la pestaña Opciones del sitio web en ISPConfig:

        location /cgi-bin/mailman {
               root /usr/lib/;
               fastcgi_split_path_info (^/cgi-bin/mailman/[^/]*)(.*)$;
               include /etc/nginx/fastcgi_params;
               fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
               fastcgi_param PATH_INFO $fastcgi_path_info;
               fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
               fastcgi_intercept_errors on;
               fastcgi_pass unix:/var/run/fcgiwrap.socket;
        }

        location /images/mailman {
               alias /usr/share/images/mailman;
        }

        location /pipermail {
               alias /var/lib/mailman/archives/public;
               autoindex on;
        }

Esto define el alias /cgi-bin/mailman/ para su vhost, lo que significa que puede acceder a la interfaz de administración de Mailman para una lista en http:///cgi-bin/mailman/admin/, y la página web para los usuarios de una lista de correo se puede encontrar en http:///cgi-bin/mailman/listinfo/.

Bajo http:///pipermail puede encontrar los archivos de la lista de correo.

10. Instalar PureFTPd Y Cuota

PureFTPd y cuota se pueden instalar con el siguiente comando:

apt-get -y install pure-ftpd-common pure-ftpd-mysql quota quotatool

Edite el archivo /etc/default/pure-ftpd-common…

nano /etc/default/pure-ftpd-common

… y asegúrese de que el modo de inicio esté configurado en standalone y establezca VIRTUALCHROOT=true:

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Ahora configuramos PureFTPd para permitir sesiones FTP y TLS. FTP es un protocolo muy inseguro porque todas las contraseñas y todos los datos se transfieren en texto claro. Al usar TLS, toda la comunicación puede ser cifrada, haciendo que FTP sea mucho más seguro.

Si desea permitir sesiones FTP y TLS, ejecute

echo 1 > /etc/pure-ftpd/conf/TLS

Para usar TLS, debemos crear un certificado SSL. Lo crearé en /etc/ssl/private/, por lo tanto, primero creo ese directorio:

mkdir -p /etc/ssl/private/

Después, podemos generar el certificado SSL de la siguiente manera:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Nombre del país (código de 2 letras) [AU]: <– Ingrese el nombre de su país (por ejemplo, “DE”).
Nombre del estado o provincia (nombre completo) [Some-State]: <– Ingrese el nombre de su estado o provincia.
Nombre de la localidad (por ejemplo, ciudad) []: <– Ingrese su ciudad.
Nombre de la organización (por ejemplo, empresa) [Internet Widgits Pty Ltd]: <– Ingrese el nombre de su organización (por ejemplo, el nombre de su empresa).
Nombre de la unidad organizativa (por ejemplo, sección) []: <– Ingrese el nombre de su unidad organizativa (por ejemplo, “Departamento de TI”).
Nombre común (por ejemplo, SU nombre) []: <– Ingrese el nombre de dominio completamente calificado del sistema (por ejemplo, “server1.example.com”).
Dirección de correo electrónico []: <– Ingrese su dirección de correo electrónico.

Cambie los permisos del certificado SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Luego reinicie PureFTPd:

service pure-ftpd-mysql restart

Edite /etc/fstab. El mío se ve así (agregué,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 a la partición con el punto de montaje /):

nano /etc/fstab

# /etc/fstab: información estática del sistema de archivos.  
#  
# Use 'blkid' para imprimir el identificador único universal para un  
# dispositivo; esto puede ser utilizado con UUID= como una forma más robusta de nombrar dispositivos  
# que funciona incluso si se agregan y eliminan discos. Vea fstab(5).  
#  
#        
/dev/mapper/server1--vg-root / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1  
# /boot estaba en /dev/sda1 durante la instalación  
UUID=39762f15-3a49-4982-add3-139d5040b48a /boot ext2 defaults 0 2  
/dev/mapper/server1--vg-swap_1 none swap sw 0 0  
/dev/fd0 /media/floppy0 auto rw,user,noauto,exec,utf8 0 0

Para habilitar la cuota, ejecute estos comandos:

mount -o remount /

quotacheck -avugm  
quotaon -avug

Los siguientes mensajes de error son normales para el comando y se pueden ignorar:

quotacheck: Escaneando /dev/mapper/server1--vg-root [/] hecho  
quotacheck: No se puede statear el antiguo archivo de cuota de usuario //quota.user: No existe tal archivo o directorio. El uso no será restado.  
quotacheck: No se puede statear el antiguo archivo de cuota de grupo //quota.group: No existe tal archivo o directorio. El uso no será restado.  
quotacheck: No se puede statear el antiguo archivo de cuota de usuario //quota.user: No existe tal archivo o directorio. El uso no será restado.  
quotacheck: No se puede statear el antiguo archivo de cuota de grupo //quota.group: No existe tal archivo o directorio. El uso no será restado.  
quotacheck: Revisó 18566 directorios y 110119 archivos  
quotacheck: Archivo antiguo no encontrado.  
quotacheck: Archivo antiguo no encontrado.

11. Instalar el Servidor DNS BIND

BIND se instala de la siguiente manera:

apt-get -y install bind9 dnsutils haveged

Habilite e inicie haveged.

systemctl enable haveged  
service haveged start

12. Instalar Vlogger, Webalizer y AWStats

Vlogger, Webalizer y AWStats se pueden instalar de la siguiente manera:

apt-get -y install vlogger webalizer awstats geoip-database libclass-dbi-mysql-perl

Abra /etc/cron.d/awstats después…

nano /etc/cron.d/awstats

… y comente todo en ese archivo:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generar informes estáticos:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

13. Instalar Jailkit

Jailkit solo es necesario si desea chroot usuarios SSH. Se puede instalar de la siguiente manera (importante: Jailkit debe ser instalado antes de ISPConfig - ¡no se puede instalar después!):

apt-get -y install build-essential autoconf automake1.11 libtool flex bison debhelper binutils

cd /tmp  
wget http://olivier.sessink.nl/jailkit/jailkit-2.19.tar.gz  
tar xvfz jailkit-2.19.tar.gz  
cd jailkit-2.19  
./debian/rules binary

Ahora puede instalar el paquete Jailkit.deb de la siguiente manera:

cd ..  
dpkg -i jailkit_2.19-1_*.deb  
rm -rf jailkit-2.19*

14. Instalar fail2ban

Esto es opcional pero recomendado, porque el monitor de ISPConfig intenta mostrar el registro:

apt-get -y install fail2ban

Para hacer que fail2ban monitoree PureFTPd y Dovecot, cree el archivo /etc/fail2ban/jail.local:

nano /etc/fail2ban/jail.local

[pureftpd]
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
maxretry = 3

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/syslog
maxretry = 5

[postfix-sasl]
enabled  = true
port     = smtp
filter   = postfix-sasl
logpath  = /var/log/syslog
maxretry = 3

Luego cree los siguientes dos archivos de filtro:

nano /etc/fail2ban/filter.d/pureftpd.conf

[Definition]
failregex = .*pure-ftpd: \(.*@\) \[WARNING\] Authentication failed for user.*
ignoreregex =

nano /etc/fail2ban/filter.d/dovecot-pop3imap.conf

[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P\S*),.*
ignoreregex =

Agregue la línea ignoreregex que falta en el archivo postfix-sasl:

echo "ignoreregex =" >> /etc/fail2ban/filter.d/postfix-sasl.conf

Reinicie fail2ban después:

service fail2ban restart

Para instalar el firewall UFW, ejecute este comando apt:

apt-get install ufw