Le Serveur Parfait - Ubuntu 10.10 [ISPConfig 3]

12 Installer Postfix, Courier, Saslauthd, MySQL, rkhunter, binutils

Nous pouvons installer Postfix, Courier, Saslauthd, MySQL, rkhunter et binutils avec une seule commande :

aptitude install postfix postfix-mysql postfix-doc mysql-client mysql-server courier-authdaemon courier-authlib-mysql courier-pop courier-pop-ssl courier-imap courier-imap-ssl libsasl2-2 libsasl2-modules libsasl2-modules-sql sasl2-bin libpam-mysql openssl getmail4 rkhunter binutils maildrop

Vous serez invité à répondre aux questions suivantes :

Nouveau mot de passe pour l’utilisateur MySQL “root” : <– votremotdepassemysqlroot
Répéter le mot de passe pour l’utilisateur MySQL “root” : <– votremotdepassemysqlroot
Créer des répertoires pour l’administration web ? <– Non
Type général de configuration de mail : <– Site Internet
Nom de mail système : <– server1.example.com
Certificat SSL requis <– Ok

Nous voulons que MySQL écoute sur toutes les interfaces, pas seulement localhost, donc nous éditons /etc/mysql/my.cnf et commentons la ligne bind-address = 127.0.0.1 :

vi /etc/mysql/my.cnf

| [...] # Au lieu de skip-networking, la valeur par défaut est maintenant d'écouter uniquement sur # localhost, ce qui est plus compatible et n'est pas moins sécurisé. #bind-address = 127.0.0.1 [...] |

Ensuite, nous redémarrons MySQL :

/etc/init.d/mysql restart

Vérifiez maintenant que le réseau est activé. Exécutez

netstat -tap | grep mysql

La sortie devrait ressembler à ceci :

root@server1:~# netstat -tap | grep mysql  
 tcp        0      0 *:mysql                 *:*                     LISTEN      9815/mysqld  
 root@server1:~#

Pendant l’installation, les certificats SSL pour IMAP-SSL et POP3-SSL sont créés avec le nom d’hôte localhost. Pour changer cela au nom d’hôte correct (server1.example.com dans ce tutoriel), supprimez les certificats…

cd /etc/courier  
 rm -f /etc/courier/imapd.pem  
 rm -f /etc/courier/pop3d.pem

… et modifiez les deux fichiers suivants ; remplacez CN=localhost par CN=server1.example.com (vous pouvez également modifier les autres valeurs, si nécessaire) :

vi /etc/courier/imapd.cnf

| [...] CN=server1.example.com [...] |

vi /etc/courier/pop3d.cnf

| [...] CN=server1.example.com [...] |

Ensuite, recréez les certificats…

mkimapdcert  
 mkpop3dcert

… et redémarrez Courier-IMAP-SSL et Courier-POP3-SSL :

/etc/init.d/courier-imap-ssl restart  
 /etc/init.d/courier-pop-ssl restart

13 Installer Amavisd-new, SpamAssassin et Clamav

Pour installer amavisd-new, SpamAssassin et ClamAV, nous exécutons

aptitude install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl

14 Installer Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear et mcrypt

Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear et mcrypt peuvent être installés comme suit :

aptitude install apache2 apache2.2-common apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libapache2-mod-php5 php5 php5-common php5-gd php5-mysql php5-imap phpmyadmin php5-cli php5-cgi libapache2-mod-fcgid apache2-suexec php-pear php-auth php5-mcrypt mcrypt php5-imagick imagemagick libapache2-mod-suphp libopenssl-ruby libapache2-mod-ruby

Vous verrez la question suivante :

Serveur web à reconfigurer automatiquement : <– apache2
Configurer la base de données pour phpmyadmin avec dbconfig-common ? <– Non

Ensuite, exécutez la commande suivante pour activer les modules Apache suexec, rewrite, ssl, actions et include (plus dav, dav_fs et auth_digest si vous souhaitez utiliser WebDAV) :

a2enmod suexec rewrite ssl actions include

a2enmod dav_fs dav auth_digest

Redémarrez Apache ensuite :

/etc/init.d/apache2 restart

15 Installer PureFTPd et Quota

PureFTPd et quota peuvent être installés avec la commande suivante :

aptitude install pure-ftpd-common pure-ftpd-mysql quota quotatool

Éditez le fichier /etc/default/pure-ftpd-common…

vi /etc/default/pure-ftpd-common

… et assurez-vous que le mode de démarrage est défini sur standalone et que VIRTUALCHROOT=true :

| [...] STANDALONE_OR_INETD=standalone [...] VIRTUALCHROOT=true [...] |

Maintenant, nous configurons PureFTPd pour permettre les sessions FTP et TLS. FTP est un protocole très peu sécurisé car tous les mots de passe et toutes les données sont transférés en texte clair. En utilisant TLS, toute la communication peut être chiffrée, rendant ainsi FTP beaucoup plus sécurisé.

Si vous souhaitez autoriser les sessions FTP et TLS, exécutez

echo 1 > /etc/pure-ftpd/conf/TLS

Pour utiliser TLS, nous devons créer un certificat SSL. Je le crée dans /etc/ssl/private/, donc je crée d’abord ce répertoire :

mkdir -p /etc/ssl/private/

Ensuite, nous pouvons générer le certificat SSL comme suit :

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Nom du pays (code à 2 lettres) [AU] : <– Entrez le nom de votre pays (par exemple, “FR”).
Nom de l’État ou de la province (nom complet) [Some-State] : <– Entrez le nom de votre État ou province.
Nom de la localité (par exemple, ville) [] : <– Entrez votre ville.
Nom de l’organisation (par exemple, entreprise) [Internet Widgits Pty Ltd] : <– Entrez le nom de votre organisation (par exemple, le nom de votre entreprise).
Nom de l’unité organisationnelle (par exemple, section) [] : <– Entrez le nom de votre unité organisationnelle (par exemple, “Service informatique”).
Nom commun (par exemple, VOTRE nom) [] : <– Entrez le nom de domaine complet du système (par exemple, “server1.example.com”).
Adresse e-mail [] : <– Entrez votre adresse e-mail.

Changez les permissions du certificat SSL :

chmod 600 /etc/ssl/private/pure-ftpd.pem

Ensuite, redémarrez PureFTPd :

/etc/init.d/pure-ftpd-mysql restart

Éditez /etc/fstab. Le mien ressemble à ceci (j’ai ajouté,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 à la partition avec le point de montage /) :

vi /etc/fstab

| # /etc/fstab: informations statiques sur le système de fichiers. # # Utilisez 'blkid -o value -s UUID' pour imprimer l'identifiant unique universel # pour un appareil ; cela peut être utilisé avec UUID= comme un moyen plus robuste de nommer # des appareils qui fonctionne même si des disques sont ajoutés et retirés. Voir fstab(5). # # proc /proc proc nodev,noexec,nosuid 0 0 /dev/mapper/server1-root / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1 # /boot était sur /dev/sda1 pendant l'installation UUID=a8f37dcf-5836-485c-a451-3ae2f0f47720 /boot ext2 defaults 0 2 /dev/mapper/server1-swap_1 none swap sw 0 0 /dev/fd0 /media/floppy0 auto rw,user,noauto,exec,utf8 0 0 |

Pour activer le quota, exécutez ces commandes :

mount -o remount /

quotacheck -avugm  
 quotaon -avug

16 Installer le Serveur DNS BIND

BIND peut être installé comme suit :

aptitude install bind9 dnsutils

17 Installer Vlogger, Webalizer et AWstats

Vlogger, webalizer et AWstats peuvent être installés comme suit :

aptitude install vlogger webalizer awstats geoip-database

18 Installer Jailkit

Jailkit est nécessaire uniquement si vous souhaitez chroot les utilisateurs SSH. Il peut être installé comme suit (important : Jailkit doit être installé avant ISPConfig - il ne peut pas être installé après !) :

aptitude install build-essential autoconf automake1.9 libtool flex bison debhelper

cd /tmp  
 wget http://olivier.sessink.nl/jailkit/jailkit-2.13.tar.gz  
 tar xvfz jailkit-2.13.tar.gz  
 cd jailkit-2.13  
 ./debian/rules binary  
 cd ..  
 dpkg -i jailkit_2.13-1_*.deb  
 rm -rf jailkit-2.13*

19 Installer fail2ban

Ceci est optionnel mais recommandé, car le moniteur ISPConfig essaie d’afficher le journal de fail2ban :

aptitude install fail2ban

Le Serveur Parfait - Ubuntu 10.10 [ISPConfig 3] - Page 4