Servidor Ubuntu · 9 min read · Oct 28, 2025

El Servidor Perfecto - Ubuntu 16.04 (Xenial Xerus) con Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot e ISPConfig 3.1 - Página 2

8. Instalar Apache, PHP, phpMyAdmin, FCGI, SuExec, Pear y mcrypt

Apache2, PHP 7, phpMyAdmin, FCGI, suExec, Pear y mcrypt se pueden instalar de la siguiente manera:

apt-get install apache2 apache2-doc apache2-utils libapache2-mod-php php7.0 php7.0-common php7.0-gd php7.0-mysql php7.0-imap phpmyadmin php7.0-cli php7.0-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear php-auth php7.0-mcrypt mcrypt imagemagick libruby libapache2-mod-python php7.0-curl php7.0-intl php7.0-pspell php7.0-recode php7.0-sqlite3 php7.0-tidy php7.0-xmlrpc php7.0-xsl memcached php-memcache php-imagick php-gettext php7.0-zip php7.0-mbstring

Verás la siguiente pregunta:

Web server to reconfigure automatically: <-- apache2   
Configure database for phpmyadmin with dbconfig-common? <-- Yes  
MySQL application password for phpmyadmin: <-- Presiona enter

Luego ejecuta el siguiente comando para habilitar los módulos de Apache suexec, rewrite, ssl, actions e include (más dav, dav_fs y auth_digest si deseas usar WebDAV):

a2enmod suexec rewrite ssl actions include cgi
a2enmod dav_fs dav auth_digest headers

Para asegurar que el servidor no pueda ser atacado a través de la vulnerabilidad HTTPOXY, deshabilitaré el encabezado HTTP_PROXY en apache globalmente.

sudo nano /etc/apache2/conf-available/httpoxy.conf

Pega este contenido en el archivo:


    RequestHeader unset Proxy early

Habilita el archivo de configuración ejecutando:

a2enconf httpoxy

Reinicia Apache después:

service apache2 restart

Si deseas alojar archivos Ruby con la extensión .rb en tus sitios web creados a través de ISPConfig, debes comentar la línea application/x-ruby rb en /etc/mime.types:

nano /etc/mime.types
[...]
#application/x-ruby                             rb
[...]

(Esto solo es necesario para archivos .rb; los archivos Ruby con la extensión .rbx funcionan sin problemas).

Reinicia Apache después:

service apache2 restart

8.1 Caché de Opcode PHP

APCu es un caché de opcode PHP gratuito para almacenar en caché y optimizar el código intermedio de PHP. Se recomienda encarecidamente tener uno de estos instalados para acelerar tu página PHP.

APCu se puede instalar de la siguiente manera:

apt-get install php7.0-opcache php-apcu

Ahora reinicia Apache:

service apache2 restart

8.2 PHP-FPM

Para usar PHP-FPM con Apache, necesitamos el módulo mod_fastcgi de Apache (por favor, no lo confundas con mod_fcgid - son muy similares, pero no puedes usar PHP-FPM con mod_fcgid). Podemos instalar PHP-FPM y mod_fastcgi de la siguiente manera:

apt-get install libapache2-mod-fastcgi php7.0-fpm

Asegúrate de habilitar el módulo y reiniciar Apache:

a2enmod actions fastcgi alias   
service apache2 restart

8.3 Versiones Adicionales de PHP

Es posible tener múltiples versiones de PHP en un servidor (seleccionables a través de ISPConfig) que se pueden ejecutar a través de FastCGI y PHP-FPM. Para aprender cómo construir versiones adicionales de PHP (PHP-FPM y FastCGI) y cómo configurar ISPConfig, consulta este tutorial: Cómo Usar Múltiples Versiones de PHP (PHP-FPM & FastCGI) Con ISPConfig 3 (Ubuntu 12.10) (funciona también para Ubuntu 16.04).

10.1 Instalar HHVM (HipHop Virtual Machine)

En este paso instalaremos HHVM con apt. HHVM es un motor PHP rápido desarrollado por Facebook.

apt-get -y install software-properties-common  
apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0x5a16e7281be7a449  
add-apt-repository "deb http://dl.hhvm.com/ubuntu xenial main"  
apt-get update  
apt-get -y install hhvm

9. Instalar Let’s Encrypt

ISPConfig 3.1 tiene soporte integrado para la Autoridad de Certificación SSL gratuita Let’s Encrypt. La función Let’s Encrypt te permite crear Certificados SSL gratuitos para tu sitio web en ISPConfig.

Ahora agregaremos soporte para Let’s Encrypt instalando el cliente certbot.

apt install software-properties-common  
add-apt-repository ppa:certbot/certbot  
apt update  
apt -y remove letsencrypt  
apt -y install python-certbot-apache

10. Instalar Mailman

ISPConfig te permite gestionar (crear/modificar/eliminar) listas de correo de Mailman. Si deseas hacer uso de esta función, instala Mailman de la siguiente manera:

apt-get install mailman

Selecciona al menos un idioma, por ejemplo:

Languages to support: <– en (Inglés)
Missing site list <– Ok

Antes de que podamos iniciar Mailman, se debe crear una primera lista de correo llamada mailman:

newlist mailman

root@server1:~# newlist mailman
Ingresa el correo electrónico de la persona que ejecuta la lista: <– dirección de correo electrónico del administrador, por ejemplo, [email protected]
Contraseña inicial de mailman: <– contraseña de administrador para la lista de mailman
Para terminar de crear tu lista de correo, debes editar tu archivo /etc/aliases (o equivalente) agregando las siguientes líneas, y posiblemente ejecutando el programa newaliases:

lista de correo mailman

mailman: “|/var/lib/mailman/mail/mailman post mailman”
mailman-admin: “|/var/lib/mailman/mail/mailman admin mailman”
mailman-bounces: “|/var/lib/mailman/mail/mailman bounces mailman”
mailman-confirm: “|/var/lib/mailman/mail/mailman confirm mailman”
mailman-join: “|/var/lib/mailman/mail/mailman join mailman”
mailman-leave: “|/var/lib/mailman/mail/mailman leave mailman”
mailman-owner: “|/var/lib/mailman/mail/mailman owner mailman”
mailman-request: “|/var/lib/mailman/mail/mailman request mailman”
mailman-subscribe: “|/var/lib/mailman/mail/mailman subscribe mailman”
mailman-unsubscribe: “|/var/lib/mailman/mail/mailman unsubscribe mailman”

Presiona enter para notificar al propietario de mailman… <– ENTER

root@server1:~#

Abre /etc/aliases después…

nano /etc/aliases

… y agrega las siguientes líneas:

[...]
## lista de correo mailman
mailman:              "|/var/lib/mailman/mail/mailman post mailman"
mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"
mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"
mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"
mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"
mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"
mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"
mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"
mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"
mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"

Ejecuta

newaliases

despues y reinicia Postfix:

service postfix restart

Finalmente, debemos habilitar la configuración de Apache de Mailman:

ln -s /etc/mailman/apache.conf /etc/apache2/conf-available/mailman.conf

Esto define el alias /cgi-bin/mailman/ para todos los vhosts de Apache, lo que significa que puedes acceder a la interfaz de administración de Mailman para una lista en http:///cgi-bin/mailman/admin/, y la página web para los usuarios de una lista de correo se puede encontrar en http:///cgi-bin/mailman/listinfo/.

Bajo http:///pipermail puedes encontrar los archivos de la lista de correo.

Reinicia Apache después:

service apache2 restart

Luego inicia el demonio de Mailman:

service mailman start

11. Instalar PureFTPd y Quota

PureFTPd y quota se pueden instalar con el siguiente comando:

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

Edita el archivo /etc/default/pure-ftpd-common…

nano /etc/default/pure-ftpd-common

… y asegúrate de que el modo de inicio esté configurado en standalone y establece VIRTUALCHROOT=true:

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Ahora configuramos PureFTPd para permitir sesiones FTP y TLS. FTP es un protocolo muy inseguro porque todas las contraseñas y todos los datos se transfieren en texto claro. Al usar TLS, toda la comunicación puede ser cifrada, haciendo que FTP sea mucho más seguro.

Si deseas permitir sesiones FTP y TLS, ejecuta

echo 1 > /etc/pure-ftpd/conf/TLS

Para usar TLS, debemos crear un certificado SSL. Lo crearé en /etc/ssl/private/, por lo tanto, primero creo ese directorio:

mkdir -p /etc/ssl/private/

Después, podemos generar el certificado SSL de la siguiente manera:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Nombre del país (código de 2 letras) [AU]: <– Ingresa el Nombre de tu País (por ejemplo, “DE”).
Nombre del estado o provincia (nombre completo) [Some-State]: <– Ingresa el Nombre de tu Estado o Provincia.
Nombre de la localidad (por ejemplo, ciudad) []: <– Ingresa tu Ciudad.
Nombre de la organización (por ejemplo, empresa) [Internet Widgits Pty Ltd]: <– Ingresa el Nombre de tu Organización (por ejemplo, el nombre de tu empresa).
Nombre de la unidad organizativa (por ejemplo, sección) []: <– Ingresa el Nombre de tu Unidad Organizativa (por ejemplo, “Departamento de TI”).
Nombre común (por ejemplo, TU nombre) []: <– Ingresa el Nombre de Dominio Totalmente Calificado del sistema (por ejemplo, “server1.example.com”).
Dirección de correo electrónico []: <– Ingresa tu Dirección de Correo Electrónico.

Cambia los permisos del certificado SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Luego reinicia PureFTPd:

service pure-ftpd-mysql restart

Edita /etc/fstab. El mío se ve así (agregué,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 a la partición con el punto de montaje /):

nano /etc/fstab
# /etc/fstab: información estática del sistema de archivos.  
#  
# Usa 'blkid' para imprimir el identificador único universal para un  
# dispositivo; esto puede ser usado con UUID= como una forma más robusta de nombrar dispositivos  
# que funciona incluso si se agregan y eliminan discos. Consulta fstab(5).  
#  
#        
/dev/mapper/server1--vg-root / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1  
# /boot estaba en /dev/sda1 durante la instalación  
UUID=39762f15-3a49-4982-add3-139d5040b48a /boot ext2 defaults 0 2  
/dev/mapper/server1--vg-swap_1 none swap sw 0 0  
/dev/fd0 /media/floppy0 auto rw,user,noauto,exec,utf8 0 0

Para habilitar quota, ejecuta estos comandos:

mount -o remount /
quotacheck -avugm  
quotaon -avug

Lo que mostrará la siguiente salida:

root@server1:~# quotacheck -avugm  
quotacheck: Escaneando /dev/mapper/server1--vg-root [/] hecho  
quotacheck: No se puede acceder al antiguo archivo de cuota de usuario //quota.user: No existe tal archivo o directorio. El uso no será restado.  
quotacheck: No se puede acceder al antiguo archivo de cuota de grupo //quota.group: No existe tal archivo o directorio. El uso no será restado.  
quotacheck: No se puede acceder al antiguo archivo de cuota de usuario //quota.user: No existe tal archivo o directorio. El uso no será restado.  
quotacheck: No se puede acceder al antiguo archivo de cuota de grupo //quota.group: No existe tal archivo o directorio. El uso no será restado.  
quotacheck: Comprobados 11642 directorios y 81307 archivos  
quotacheck: Archivo antiguo no encontrado.  
quotacheck: Archivo antiguo no encontrado.  
root@server1:~# quotaon -avug  
/dev/mapper/server1--vg-root [/]: cuotas de grupo activadas  
/dev/mapper/server1--vg-root [/]: cuotas de usuario activadas

12. Instalar el Servidor DNS BIND

BIND se puede instalar de la siguiente manera:

apt-get install bind9 dnsutils haveged

13. Instalar Vlogger, Webalizer y AWstats

Vlogger, webalizer y AWstats se pueden instalar de la siguiente manera:

apt-get install vlogger webalizer awstats geoip-database libclass-dbi-mysql-perl

Abre /etc/cron.d/awstats después…

nano /etc/cron.d/awstats

… y comenta todo en ese archivo:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generar informes estáticos:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

14. Instalar Jailkit

Jailkit solo es necesario si deseas chroot usuarios SSH. Se puede instalar de la siguiente manera (importante: Jailkit debe ser instalado antes de ISPConfig - no se puede instalar después!):

apt-get install build-essential autoconf automake1.11 libtool flex bison debhelper binutils
cd /tmp   
wget http://olivier.sessink.nl/jailkit/jailkit-2.19.tar.gz   
tar xvfz jailkit-2.19.tar.gz   
cd jailkit-2.19   
./debian/rules binary

Ahora puedes instalar el paquete Jailkit.deb de la siguiente manera:

cd ..   
dpkg -i jailkit_2.19-1_*.deb   
rm -rf jailkit-2.19*

15. Instalar fail2ban y UFW

Esto es opcional pero recomendado, porque el monitor de ISPConfig intenta mostrar el registro:

apt-get install fail2ban

Para hacer que fail2ban monitoree PureFTPd y Dovecot, crea el archivo /etc/fail2ban/jail.local:

nano /etc/fail2ban/jail.local
[pureftpd]
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
maxretry = 3

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5

[postfix-sasl]
enabled  = true
port     = smtp
filter   = postfix-sasl
logpath  = /var/log/mail.log
maxretry = 3

Luego crea los siguientes dos archivos de filtro:

nano /etc/fail2ban/filter.d/pureftpd.conf
[Definition]
failregex = .*pure-ftpd: \(.*@\) \[WARNING\] Authentication failed for user.*
ignoreregex =
nano /etc/fail2ban/filter.d/dovecot-pop3imap.conf
[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P\S*),.*
ignoreregex =

Agrega la línea ignoreregex que falta en el archivo postfix-sasl:

echo "ignoreregex =" >> /etc/fail2ban/filter.d/postfix-sasl.conf

Reinicia fail2ban después:

service fail2ban restart

Para instalar el firewall UFW, ejecuta este comando apt:

apt-get install ufw
Share: X/Twitter LinkedIn
#Servidor Ubuntu

Recibe nuevas publicaciones en tu bandeja de entrada.

No spam. Cancela la suscripción en cualquier momento.