Le Serveur Parfait - Debian Squeeze (Debian 6.0) Avec BIND & Courier [ISPConfig 3] - Page 4

10 Installer Postfix, Courier, Saslauthd, MySQL, phpMyAdmin, rkhunter, binutils

Nous pouvons installer Postfix, Courier, Saslauthd, MySQL, phpMyAdmin, rkhunter et binutils avec une seule commande :

apt-get install postfix postfix-mysql postfix-doc mysql-client mysql-server courier-authdaemon courier-authlib-mysql courier-pop courier-pop-ssl courier-imap courier-imap-ssl libsasl2-2 libsasl2-modules libsasl2-modules-sql sasl2-bin libpam-mysql openssl courier-maildrop getmail4 rkhunter binutils sudo gamin  

Vous serez invité à répondre aux questions suivantes :

Type général de configuration de mail : <– Internet Site
Nom de mail du système : <– server1.example.com
Nouveau mot de passe pour l’utilisateur MySQL “root” : <– yourrootsqlpassword
Répéter le mot de passe pour l’utilisateur MySQL “root” : <– yourrootsqlpassword
Créer des répertoires pour l’administration web ? <– Non
Certificat SSL requis <– Ok

Nous voulons que MySQL écoute sur toutes les interfaces, pas seulement localhost, donc nous éditons /etc/mysql/my.cnf et commentons la ligne bind-address = 127.0.0.1 :

vi /etc/mysql/my.cnf

| [...] # Au lieu de skip-networking, la valeur par défaut est maintenant d'écouter uniquement sur # localhost, ce qui est plus compatible et n'est pas moins sécurisé. #bind-address = 127.0.0.1 [...] |

Ensuite, nous redémarrons MySQL :

/etc/init.d/mysql restart

Vérifiez maintenant que le réseau est activé. Exécutez

netstat -tap | grep mysql

La sortie devrait ressembler à ceci :

root@server1:~# netstat -tap | grep mysql
tcp 0 0 :mysql :* LISTEN 10457/mysqld
root@server1:~#

Pendant l’installation, les certificats SSL pour IMAP-SSL et POP3-SSL sont créés avec le nom d’hôte localhost. Pour changer cela en le nom d’hôte correct (server1.example.com dans ce tutoriel), supprimez les certificats…

cd /etc/courier
rm -f /etc/courier/imapd.pem
rm -f /etc/courier/pop3d.pem

… et modifiez les deux fichiers suivants ; remplacez CN=localhost par CN=server1.example.com (vous pouvez également modifier les autres valeurs, si nécessaire) :

vi /etc/courier/imapd.cnf

| [...] CN=server1.example.com [...] |

vi /etc/courier/pop3d.cnf 

| [...] CN=server1.example.com [...] |

Ensuite, recréez les certificats…

mkimapdcert
mkpop3dcert

… et redémarrez Courier-IMAP-SSL et Courier-POP3-SSL :

/etc/init.d/courier-imap-ssl restart
/etc/init.d/courier-pop-ssl restart

11

Installer Amavisd-new, SpamAssassin et Clamav

Pour installer amavisd-new, SpamAssassin et ClamAV, nous exécutons

apt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl

La configuration ISPConfig 3 utilise amavisd qui charge la bibliothèque de filtres SpamAssassin en interne, donc nous pouvons arrêter SpamAssassin pour libérer de la RAM :

/etc/init.d/spamassassin stop
update-rc.d -f spamassassin remove

12

Installer Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear et mcrypt

Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear et mcrypt peuvent être installés comme suit :

apt-get install apache2 apache2.2-common apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libapache2-mod-php5 php5 php5-common php5-gd php5-mysql php5-imap phpmyadmin php5-cli php5-cgi libapache2-mod-fcgid apache2-suexec php-pear php-auth php5-mcrypt mcrypt php5-imagick imagemagick libapache2-mod-suphp libruby libapache2-mod-ruby

Vous verrez les questions suivantes :

Serveur web à reconfigurer automatiquement : <– apache2
Configurer la base de données pour phpmyadmin avec dbconfig-common ? <– Non

Ensuite, exécutez la commande suivante pour activer les modules Apache suexec, rewrite, ssl, actions et include (plus dav, dav_fs et auth_digest si vous souhaitez utiliser WebDAV) :

a2enmod suexec rewrite ssl actions include
a2enmod dav_fs dav auth_digest

Redémarrez Apache ensuite :

/etc/init.d/apache2 restart

13 Installer PureFTPd et Quota

PureFTPd et quota peuvent être installés avec la commande suivante :

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

Éditez le fichier /etc/default/pure-ftpd-common…

vi /etc/default/pure-ftpd-common

… et assurez-vous que le mode de démarrage est défini sur standalone et définissez VIRTUALCHROOT=true :

| [...] STANDALONE_OR_INETD=standalone [...] VIRTUALCHROOT=true [...] |

Éditez le fichier /etc/inetd.conf pour empêcher inetd d’essayer de démarrer ftp :

vi /etc/inetd.conf

S’il y a une ligne commençant par ftp stream tcp, commentez-la (s’il n’y a pas de tel fichier, c’est bien, et vous n’avez pas à modifier /etc/inetd.conf) :

| [...] #:STANDARD: Ce sont des services standard. #ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/pure-ftpd-wrapper [...] |

Si vous avez dû modifier /etc/inetd.conf, redémarrez inetd maintenant :

/etc/init.d/openbsd-inetd restart 

Maintenant, nous configurons PureFTPd pour permettre les sessions FTP et TLS. FTP est un protocole très peu sécurisé car tous les mots de passe et toutes les données sont transférés en texte clair. En utilisant TLS, toute la communication peut être cryptée, rendant ainsi FTP beaucoup plus sécurisé.

Si vous souhaitez autoriser les sessions FTP et TLS, exécutez

echo 1 > /etc/pure-ftpd/conf/TLS

Pour utiliser TLS, nous devons créer un certificat SSL. Je le crée dans /etc/ssl/private/, donc je crée d’abord ce répertoire :

mkdir -p /etc/ssl/private/

Ensuite, nous pouvons générer le certificat SSL comme suit :

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem 

Nom du pays (code à 2 lettres) [AU] : <– Entrez le nom de votre pays (par exemple, “DE”).
Nom de l’État ou de la province (nom complet) [Some-State] : <– Entrez le nom de votre État ou province.
Nom de la localité (par exemple, ville) [] : <– Entrez votre ville.
Nom de l’organisation (par exemple, entreprise) [Internet Widgits Pty Ltd] : <– Entrez le nom de votre organisation (par exemple, le nom de votre entreprise).
Nom de l’unité organisationnelle (par exemple, section) [] : <– Entrez le nom de votre unité organisationnelle (par exemple, “Département IT”).
Nom commun (par exemple, VOTRE nom) [] : <– Entrez le nom de domaine complet du système (par exemple, “server1.example.com”).
Adresse e-mail [] : <– Entrez votre adresse e-mail.

Changez les permissions du certificat SSL :

chmod 600 /etc/ssl/private/pure-ftpd.pem

Ensuite, redémarrez PureFTPd :

/etc/init.d/pure-ftpd-mysql restart

Éditez /etc/fstab. Le mien ressemble à ceci (j’ai ajouté,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 à la partition avec le point de montage /) :

vi /etc/fstab

| # /etc/fstab: informations statiques sur le système de fichiers. # # Utilisez 'blkid' pour imprimer l'identifiant universel unique pour un # appareil ; cela peut être utilisé avec UUID= comme un moyen plus robuste de nommer des appareils # qui fonctionne même si des disques sont ajoutés et retirés. Voir fstab(5). # # proc /proc proc defaults 0 0 # / était sur /dev/sda1 pendant l'installation UUID=92bceda2-5ae4-4e3a-8748-b14da48fb297 / ext3 errors=remount-ro,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 0 1 # swap était sur /dev/sda5 pendant l'installation UUID=e24b3e9e-095c-4b49-af27-6363a4b7d094 none swap sw 0 0 /dev/scd0 /media/cdrom0 udf,iso9660 user,noauto 0 0 /dev/fd0 /media/floppy0 auto rw,user,noauto 0 0 |

Pour activer le quota, exécutez ces commandes :

mount -o remount /

quotacheck -avugm
quotaon -avug

14 Installer le Serveur DNS BIND

BIND peut être installé comme suit :

apt-get install bind9 dnsutils

15 Installer Vlogger, Webalizer et AWstats

Vlogger, webalizer et AWstats peuvent être installés comme suit :

apt-get install vlogger webalizer awstats geoip-database  

Ouvrez ensuite /etc/cron.d/awstats…

vi /etc/cron.d/awstats

… et commentez les deux tâches cron dans ce fichier :

| #*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh # Générer des rapports statiques : #10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh |

16 Installer Jailkit

Jailkit est nécessaire uniquement si vous souhaitez chroot les utilisateurs SSH. Il peut être installé comme suit (important : Jailkit doit être installé avant ISPConfig - il ne peut pas être installé après !) :

apt-get install build-essential autoconf automake1.9 libtool flex bison debhelper

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.13.tar.gz
tar xvfz jailkit-2.13.tar.gz
cd jailkit-2.13
./debian/rules binary
cd ..
dpkg -i jailkit2.13-1.deb
rm -rf jailkit-2.13