El Servidor Perfecto - Ubuntu 17.04 (Zesty Zapus) con Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot e ISPConfig 3.1

Este tutorial muestra la instalación de un servidor de alojamiento web Ubuntu 17.04 (Zesty Zapus) con Apache2, Postfix, Dovecot, Bind y PureFTPD para prepararlo para la instalación de ISPConfig 3.1. El sistema resultante proporcionará un servidor Web, de Correo, Lista de Correo, DNS y FTP.

ISPConfig 3 es un panel de control de alojamiento web que te permite configurar los siguientes servicios a través de un navegador web: servidor web Apache o nginx, servidor de correo Postfix, servidor IMAP/POP3 Courier o Dovecot, MySQL, servidor de nombres BIND o MyDNS, PureFTPd, SpamAssassin, ClamAV y muchos más. Esta configuración cubre la instalación de Apache (en lugar de Nginx), BIND (en lugar de MyDNS) y Dovecot (en lugar de Courier).

Este tutorial trata sobre Ubuntu 17.04, una versión no LTS (Soporte a Largo Plazo). La mayoría de los usuarios prefieren una versión LTS como servidor que recibe actualizaciones y parches de seguridad durante un tiempo mucho más prolongado. La última versión LTS es Ubuntu 16.04, este tutorial también existe en una versión de Ubuntu 16.04. Considera cuidadosamente si necesitas los últimos paquetes (y no tienes un problema con un corto período de soporte), luego continúa con este tutorial. Si necesitas soporte a largo plazo, entonces por favor utiliza el Tutorial del Servidor Perfecto de Ubuntu 16.04 en su lugar.

1. Nota Preliminar

En este tutorial, utilizo el nombre de host server1.example.com con la dirección IP 192.168.1.100 y la puerta de enlace 192.168.1.1. Estas configuraciones pueden diferir para ti, así que debes reemplazarlas donde sea apropiado. Antes de continuar, necesitas tener una instalación mínima básica de Ubuntu 17.04 como se explica en el tutorial.

2. Editar /etc/apt/sources.list y Actualizar Tu Instalación de Linux

Edita /etc/apt/sources.list. Comenta o elimina el CD de instalación del archivo y asegúrate de que los repositorios universe y multiverse estén habilitados. Debería verse así después:

nano /etc/apt/sources.list

#  
# deb cdrom:[Ubuntu-Server 17.04 _Zesty Zapus_ - Release amd64 (20170412)]/ zesty main restricted  
#deb cdrom:[Ubuntu-Server 17.04 _Zesty Zapus_ - Release amd64 (20170412)]/ zesty main restricted  

# Ver http://help.ubuntu.com/community/UpgradeNotes para cómo actualizar a  
# versiones más nuevas de la distribución.  
deb http://de.archive.ubuntu.com/ubuntu/ zesty main restricted  
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty main restricted  
  
## Actualizaciones de corrección de errores importantes producidas después de la  
## liberación final de la distribución.  
deb http://de.archive.ubuntu.com/ubuntu/ zesty-updates main restricted  
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty-updates main restricted  
  
## N.B. el software de este repositorio NO ESTÁ SOPORTADO en ABSOLUTO por el  
## equipo de Ubuntu. Además, ten en cuenta que el software en universe NO  
## recibirá ninguna revisión o actualizaciones del equipo de seguridad de Ubuntu.  
deb http://de.archive.ubuntu.com/ubuntu/ zesty universe  
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty universe  
deb http://de.archive.ubuntu.com/ubuntu/ zesty-updates universe  
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty-updates universe  
  
## N.B. el software de este repositorio NO ESTÁ SOPORTADO en ABSOLUTO por el  
## equipo de Ubuntu, y puede no estar bajo una licencia gratuita. Por favor,  
## asegúrate de tus derechos para usar el software. Además, ten en cuenta que  
## el software en multiverse NO recibirá ninguna revisión o actualizaciones del  
## equipo de seguridad de Ubuntu.  
deb http://de.archive.ubuntu.com/ubuntu/ zesty multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty multiverse  
deb http://de.archive.ubuntu.com/ubuntu/ zesty-updates multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty-updates multiverse  
  
## N.B. el software de este repositorio puede no haber sido probado tan  
## extensamente como el que se encuentra en la versión principal, aunque incluye  
## versiones más nuevas de algunas aplicaciones que pueden proporcionar funciones  
## útiles. También, ten en cuenta que el software en backports NO recibirá  
## ninguna revisión o actualizaciones del equipo de seguridad de Ubuntu.  
deb http://de.archive.ubuntu.com/ubuntu/ zesty-backports main restricted universe multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ zesty-backports main restricted universe multiverse  
  
## Descomenta las siguientes dos líneas para agregar software del  
## repositorio 'partner' de Canonical.  
## Este software no es parte de Ubuntu, pero es ofrecido por Canonical y los  
## respectivos proveedores como un servicio a los usuarios de Ubuntu.  
# deb http://archive.canonical.com/ubuntu zesty partner  
# deb-src http://archive.canonical.com/ubuntu zesty partner  
  
deb http://security.ubuntu.com/ubuntu zesty-security main restricted  
# deb-src http://security.ubuntu.com/ubuntu zesty-security main restricted  
deb http://security.ubuntu.com/ubuntu zesty-security universe  
# deb-src http://security.ubuntu.com/ubuntu zesty-security universe  
deb http://security.ubuntu.com/ubuntu zesty-security multiverse  
# deb-src http://security.ubuntu.com/ubuntu zesty-security multiverse

Luego ejecuta

apt-get update

para actualizar la base de datos de paquetes apt y

apt-get upgrade

para instalar las últimas actualizaciones (si las hay). Si ves que se instala un nuevo kernel como parte de las actualizaciones, deberías reiniciar el sistema después:

reboot

3. Cambiar la Shell Predeterminada

/bin/sh es un enlace simbólico a /bin/dash, sin embargo, necesitamos /bin/bash, no /bin/dash. Por lo tanto, hacemos esto:

dpkg-reconfigure dash

¿Usar dash como la shell del sistema predeterminada (/bin/sh)? <– No

Si no haces esto, la instalación de ISPConfig fallará.

4. Deshabilitar AppArmor

AppArmor es una extensión de seguridad (similar a SELinux) que debería proporcionar seguridad extendida. En mi opinión, no lo necesitas para configurar un sistema seguro, y generalmente causa más problemas que ventajas (piensa en ello después de haber hecho una semana de resolución de problemas porque algún servicio no estaba funcionando como se esperaba, y luego descubres que todo estaba bien, solo AppArmor estaba causando el problema). Por lo tanto, lo deshabilito (esto es un requisito si deseas instalar ISPConfig más adelante).

Podemos deshabilitarlo así:

service apparmor stop  
update-rc.d -f apparmor remove   
apt-get remove apparmor apparmor-utils

5. Sincronizar el Reloj del Sistema

Es una buena idea sincronizar el reloj del sistema con un servidor NTP ( n etwork t ime p rotocol) a través de Internet cuando ejecutas un servidor físico. En caso de que estés ejecutando un servidor virtual, entonces deberías omitir este paso. Simplemente ejecuta

apt-get -y install ntp

y tu hora del sistema siempre estará sincronizada.

6. Instalar Postfix, Dovecot, MariaDB, rkhunter y binutils

Para instalar postfix, necesitamos asegurarnos de que sendmail no esté instalado y en ejecución. Para detener y eliminar sendmail ejecuta este comando:

service sendmail stop; update-rc.d -f sendmail remove

El mensaje de error:

Failed to stop sendmail.service: Unit sendmail.service not loaded.

Está bien, solo significa que sendmail no estaba instalado, así que no había nada que eliminar.

Ahora podemos instalar Postfix, Dovecot, MariaDB (como reemplazo de MySQL), rkhunter y binutils con un solo comando:

apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo

Se te harán las siguientes preguntas:

General type of mail configuration: <-- Internet Site  
System mail name: <-- server1.example.com

Es importante que uses un subdominio como “nombre de correo del sistema” como server1.example.com o server1.tudominio.com y no un dominio que quieras usar como dominio de correo electrónico (por ejemplo, tudominio.tld) más tarde.

A continuación, abre los puertos TLS/SSL y de envío en Postfix:

nano /etc/postfix/master.cf

Descomenta las secciones de envío y smtps de la siguiente manera - agrega la línea -o smtpd_client_restrictions=permit_sasl_authenticated,reject a ambas secciones y deja todo lo demás comentado:

[...]  
submission inet n       -       -       -       -       smtpd  
  -o syslog_name=postfix/submission  
  -o smtpd_tls_security_level=encrypt  
  -o smtpd_sasl_auth_enable=yes  
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
#  -o smtpd_reject_unlisted_recipient=no  
#  -o smtpd_client_restrictions=$mua_client_restrictions  
#  -o smtpd_helo_restrictions=$mua_helo_restrictions  
#  -o smtpd_sender_restrictions=$mua_sender_restrictions  
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject  
#  -o milter_macro_daemon_name=ORIGINATING  
smtps     inet  n       -       -       -       -       smtpd  
  -o syslog_name=postfix/smtps  
  -o smtpd_tls_wrappermode=yes  
  -o smtpd_sasl_auth_enable=yes  
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
#  -o smtpd_reject_unlisted_recipient=no  
#  -o smtpd_client_restrictions=$mua_client_restrictions  
#  -o smtpd_helo_restrictions=$mua_helo_restrictions  
#  -o smtpd_sender_restrictions=$mua_sender_restrictions  
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject  
#  -o milter_macro_daemon_name=ORIGINATING  
[...]

NOTA: ¡Los espacios en blanco delante de las líneas “-o …. “ son importantes!

Reinicia Postfix después:

service postfix restart

Queremos que MySQL escuche en todas las interfaces, no solo en localhost. Por lo tanto, editamos /etc/mysql/mariadb.conf.d/50-server.cnf y comentamos la línea bind-address = 127.0.0.1 y agregamos la línea sql-mode=”NO_ENGINE_SUBSTITUTION”:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]  
# En lugar de skip-networking, el valor predeterminado ahora es escuchar solo en  
# localhost, lo cual es más compatible y no menos seguro.  
#bind-address           = 127.0.0.1  
  
sql-mode="NO_ENGINE_SUBSTITUTION"  
  
[...]

Ahora establecemos una contraseña de root en MariaDB. Ejecuta:

mysql_secure_installation

Se te harán estas preguntas:

Enter current password for root (enter for none): <-- presiona enter  
Set root password? [Y/n] <-- y  
New password: <-- Ingresa la nueva contraseña de root de MariaDB aquí  
Re-enter new password: <-- Repite la contraseña  
Remove anonymous users? [Y/n] <-- y  
Disallow root login remotely? [Y/n] <-- y  
Reload privilege tables now? [Y/n] <-- y

Establece el método de autenticación de contraseña en MariaDB a nativo para que podamos usar PHPMyAdmin más tarde para conectarnos como usuario root:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Edita el archivo /etc/mysql/debian.cnf y establece la contraseña de root de MYSQL / MariaDB allí dos veces en las filas que comienzan con password.

nano /etc/mysql/debian.cnf

La contraseña de root de MySQL que debe agregarse se muestra en lectura, en este ejemplo la contraseña es “howtoforge”.

# Generado automáticamente para scripts de Debian. ¡NO TOQUES!  
[client]  
host = localhost  
user = root  
password = howtoforge  
socket = /var/run/mysqld/mysqld.sock  
[mysql_upgrade]  
host = localhost  
user = root  
password = howtoforge  
socket = /var/run/mysqld/mysqld.sock  
basedir = /usr

Luego reiniciamos MariaDB:

service mysql restart

Ahora verifica que la red esté habilitada. Ejecuta

netstat -tap | grep mysql

La salida debería verse así:

root@server1:~# netstat -tap | grep mysql  
tcp6 0 0 [::]:mysql [::]:* LISTEN 28036/mysqld  
root@server1:~#

7. Instalar Amavisd-new, SpamAssassin y Clamav

Para instalar amavisd-new, SpamAssassin y ClamAV, ejecutamos

apt-get -y install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl postgrey

La configuración de ISPConfig 3 utiliza amavisd que carga la biblioteca de filtros de SpamAssassin internamente, así que podemos detener SpamAssassin para liberar algo de RAM:

service spamassassin stop  
update-rc.d -f spamassassin remove

Para iniciar ClamAV usa:

freshclam  
service clamav-daemon start

El siguiente error puede ser ignorado en la primera ejecución de freshclam.

ERROR: /var/log/clamav/freshclam.log is locked by another process  
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

7.1 Instalar Metronome XMPP Server (opcional)

El Metronome XMPP Server proporciona un servidor de chat XMPP. Este paso es opcional, si no necesitas un servidor de chat, entonces puedes omitir este paso. Ninguna otra función de ISPConfig depende de este software.

Instala los siguientes paquetes con apt.

apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks

luarocks install lpc

Agrega un usuario de shell para Metronome.

adduser --no-create-home --disabled-login --gecos 'Metronome' metronome

Descarga Metronome al directorio /opt y compílalo.

cd /opt; git clone https://github.com/maranda/metronome.git metronome  
cd ./metronome; ./configure --ostype=debian --prefix=/usr  
make  
make install

Metronome ahora se ha instalado en /opt/metronome.