Hébergement Virtuel Comment faire avec Virtualmin sur CentOS 5.1 - Page 4

Configuration de Dovecot

Introduction

Cela configurera dovecot comme notre serveur IMAP/POP3.

Configuration de base

Nous allons configurer dovecot pour IMAP et POP3 et désactiver SSL.

protocols = imap pop3
listen = *
ssl_listen = *
ssl_disable = yes

Maildir

Nous utiliserons le format maildir au lieu du format mbox par défaut.

mail_location = maildir:~/Maildir

Authentification & SASL

Configurez dovecot pour utiliser LOGIN et PLAIN comme mécanismes d’authentification car de nombreux clients MS ne peuvent pas utiliser des mécanismes d’authentification cryptés. Nous configurons également le socket SASL pour permettre à postfix d’authentifier les connexions SMTP en utilisant dovecot.

auth default {
  mechanisms = plain login
  passdb pam {
  }
  userdb passwd {
  }
  socket listen {
    client {
        path = /var/spool/postfix/private/auth
        mode = 0660
        user = postfix
        group = postfix
    }
  }
}

Problèmes de client

Certains clients imap MS de la famille outlook ont des problèmes avec leurs implémentations IMAP et POP3, nous devons donc les accommoder en mettant en place ces solutions de contournement :

protocol imap {
 imap_client_workarounds = outlook-idle delay-newmail
}
protocol pop3 {
 pop3_client_workarounds = outlook-no-nuls oe-ns-eoh
}

Exécuter IMAP derrière un proxy

Le serveur imap est configuré pour fonctionner sur le port 10143 de sorte que le port 143 soit géré par le serveur proxy imap qui améliorera les performances de votre webmail en mettant en cache les connexions au serveur imap. L’option listen sous le protocole configure cela.

protocol imap {
 imap_client_workarounds = outlook-idle delay-newmail
 listen = 127.0.0.1:10143
}

Fichiers d’exemple

• dovecot.conf

Configuration du Proxy Imap

Introduction

imapproxy a été écrit pour compenser les clients webmail qui ne peuvent pas maintenir des connexions persistantes à un serveur IMAP. La plupart des clients webmail doivent se connecter à un serveur IMAP pour presque chaque transaction. Ce comportement peut causer des problèmes de performance tragiques sur le serveur IMAP. imapproxy essaie de résoudre ce problème en laissant les connexions serveur ouvertes pendant un court laps de temps après qu’un client webmail se déconnecte. Lorsque le client webmail se reconnecte, imapproxy déterminera s’il existe une connexion mise en cache disponible et la réutilisera si possible. - selon le site web d’imapproxy.

Configuration

Apportez les modifications suivantes dans le fichier /etc/imapproxy.conf :

server_hostname 127.0.0.1
cache_size 3072
listen_port 143
server_port 10143
cache_expiration_time 900
proc_username nobody
proc_groupname nobody
stat_filename /var/run/pimpstats
protocol_log_filename /var/log/imapproxy_protocol.log
syslog_facility LOG_MAIL
send_tcp_keepalives no
enable_select_cache yes
foreground_mode no
force_tls no
enable_admin_commands no

Fichiers d’exemple

• imapproxy.conf

Configuration de Bind

Introduction

Bind sera configuré en chroot pour améliorer la sécurité, nous utiliserons également des vues pour prévenir les abus du serveur DNS.

Configuration de base

La configuration de base désactive par défaut les requêtes récursives et les transferts de zone. Nous obscurcissons également la version de BIND que nous exécutons afin de ne pas être touchés par des vulnérabilités de jour zéro provenant de script kiddies.

options {
        directory "/var/named";
        pid-file "/var/run/named/named.pid";
        listen-on {
                127.0.0.1;
                192.168.1.5;
                };
        version "just guess";
        allow-recursion { "localhost"; };
        allow-transfer { "none"; };
};

Journalisation

La journalisation est personnalisée pour supprimer les erreurs “lame-server” et de mise à jour qui apparaissent dans les journaux :

logging {
        category update { null; };
        category update-security { null;        };
        category lame-servers{ null; };
};

Chroot

Assurez-vous que cela est défini dans le fichier /etc/sysconfig/named (il est généralement défini par le paquet bind-chroot) :

ROOTDIR=/var/named/chroot

Serveur de pointage

Laissez la machine utiliser ce serveur pour la résolution DNS, éditez /etc/resolv.conf et préfixez :

nameserver 127.0.0.1

Fichiers d’exemple

• named.conf
• /etc/sysconfig/named

Configuration de Vsftpd

Introduction

Nous utiliserons vsftpd comme notre serveur ftp. Cela a un meilleur bilan par rapport aux serveurs proftpd et wuftpd.

Configuration de base

Notre configuration de base désactive les utilisateurs anonymes et permet aux utilisateurs locaux du système de se connecter au serveur ftp.

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
ftpd_banner=Bienvenue sur le serveur example.com
pam_service_name=vsftpd
tcp_wrappers=YES

Chroot

Tous les utilisateurs seront chrootés dans leurs répertoires personnels (sauf les noms d’utilisateur dans le fichier /etc/vsftpd/chroot_list), ce qui signifie qu’ils ne peuvent pas sortir et voir les fichiers des autres utilisateurs.

chroot_list_enable=YES
chroot_local_user=YES
chroot_list_file=/etc/vsftpd/chroot_list

Utilisateurs interdits

Les utilisateurs ajoutés au fichier /etc/vsftpd/user_list ne seront pas autorisés à se connecter :

userlist_enable=YES

Fichiers d’exemple

• vsftpd.conf
• user_list
• chroot_list