Easy RoundCube (Over SSL) E Webmin Con fail2ban Per ISPConfig 3 Su Debian Squeeze

Autore: Thomas ( http://iopen.gr)
Ultima modifica: 2011-03-09

Preferisco la soluzione RoundCube rispetto a quella predefinita in ISPConfig 3. Trovo anche utile avere webmin installato in tutti i miei sistemi. In questo post puoi vedere un modo molto veloce per avere entrambi installati, in compagnia del grande supporto di fail2ban. Infine voglio accedere a tutti loro tramite SSL (anche phpmyadmin – vedi il consiglio alla fine).

Presumo che tu abbia seguito la guida di falko:

The Perfect Server - Debian Squeeze (Debian 6.0) Con BIND & Courier [ISPConfig 3]

Se vuoi accedere al Pannello ISPConfig e alla webmail tramite SSL presumo anche che tu abbia seguito il capitolo 6.2 Abilitare SSL Per L’Interfaccia Web Di ISPConfig del manuale di ISPConfig 3 o questo post (questo è necessario solo se vuoi accedere al pannello di controllo E all’interfaccia webmail tramite ssl sulla porta 8080).

Se hai seguito quanto sopra (e il capitolo 6.3 – abilitare SuExec), allora presumo infine che tu abbia letto la soluzione alternativa in questo post.

Webmin

Scarica l’ultima versione di webmin da http://www.webmin.com/download.html…

wget http://prdownloads.sourceforge.net/webadmin/webmin_1.530_all.deb

… e installalo:

dpkg -i webmin_1.530_all.deb

RoundCube

Se non vuoi Squirrelmail rimuovilo…

apt-get remove squirrelmail

… e cancella il file /etc/apache2/conf.d/squirrelmail.conf:

rm /etc/apache2/conf.d/squirrelmail.conf

OPPURE se lo vuoi modifica il file /etc/apache2/conf.d/squirrelmail.conf e cambia l’alias in qualcosa come ‘webmail1’.

Installa RoundCube (devi avere la password dell’amministratore mysql prima di procedere):

apt-get install roundcube roundcube-mysql

Ti verranno poste alcune domande sulla password dell’amministratore db e sul nuovo utente per roundcube e il suo database (e la password). Rispondi a queste domande e continua. Se qualcosa va storto puoi sempre eseguire:

dpkg-reconfigure roundcube-core

Per ulteriori informazioni, consulta questo post.

Affinché tutti possano accedere alla propria webmail (sotto il proprio nome di dominio) devi creare o modificare il file /etc/apache2/conf.d/roundcube.conf in modo da impostare l’alias su ‘webmail’. Se vuoi SSL dovresti includere le ultime due direttive per far sì che Apache reindirizzi SEMPRE alla tua installazione ssl di ISPConfig 3.

# Quegli alias non funzionano correttamente con diversi host sul tuo server apache  
# Decommentali per usarli o adattali alla tua configurazione  
#    Alias /roundcube/program/js/tiny_mce/ /usr/share/tinymce/www/  
    Alias /webmail /var/lib/roundcube  
    Alias /roundcube /var/lib/roundcube  
  
# Accesso ai file tinymce  
  
      Options Indexes MultiViews FollowSymLinks  
      AllowOverride None  
      Order allow,deny  
      allow from all  
  
  
  
  Options +FollowSymLinks  
  # Questo è necessario per analizzare /var/lib/roundcube/.htaccess. Vedi il  
  # contenuto prima di impostare AllowOverride su None.  
  AllowOverride All  
  order allow,deny  
  allow from all  
  
  
# Proteggere le directory di base:  
  
        Options -FollowSymLinks  
        AllowOverride None  
  
  
  
        Options -FollowSymLinks  
        AllowOverride None  
        Order allow,deny  
        Deny from all  
  
  
  
        Options -FollowSymLinks  
        AllowOverride None  
        Order allow,deny  
        Deny from all  
  
  
  
  
  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:8080%{REQUEST_URI}  [L]  
  
      
    
  
  
  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:8080%{REQUEST_URI}  [L]

Modifica /var/lib/roundcube/config/main.inc.php e MODIFICA alcune variabili nel file:

auto_create_user = TRUE;
$rcmail_config['default_host'] = 'localhost';

Se vuoi installare il seguente plugin (il logger che aiuta fail2ban) devi estendere l’elenco dei plugin nello stesso file. Se l’unico plugin è quello che sarà installato subito dopo, devi modificare la riga come segue:

$rcmail_config['plugins'] = array('fail2ban');

Installa il plugin logger di roundcube da http://mattrude.com/projects/roundcube-fail2ban-plugin/.

Fondamentalmente devi scaricare il file sopra (fail2ban.php) e incollarlo nella cartella fail2ban nella cartella dei plugin di roundcube: /usr/share/roundcube/plugins/fail2ban/fail2ban.php

Questo plugin creerà prima e poi aggiornerà il file di log con ogni tentativo di accesso: /var/log/roundcube/userlogins

Fail2ban

Estendi il file jail.local che Falko suggerisce in The Perfect Server - Debian Squeeze (Debian 6.0) Con BIND & Courier [ISPConfig 3]: /etc/fail2ban/jail.local

Devi incollare:

[roundcube]
enabled  = true
port     = http,8080
filter   = roundcube
logpath  = /var/log/roundcube/userlogins
maxretry = 5
[webmin-auth]
enabled = true
port    = 10000
filter  = webmin-auth
logpath  = /var/log/auth.log
maxretry = 3

La porta 8080 in roundcube è necessaria solo se hai abilitato il reindirizzamento a https.

Ultimo (e molto importante) non dimenticare di creare il file roundcube.conf /etc/fail2ban/filter.d/roundcube.conf con il contenuto qui sotto:

[Definition]
failregex = FAILED login for .*. from 
ignoreregex =

Per fortuna il filtro webmin-auth è già stato fatto per noi dai ragazzi di fail2ban. Riavvia fail2ban:

/etc/init.d/fail2ban restart

phpMyAdmin (Consiglio SSL)

Se vuoi accedere a phpMyAdmin tramite ssl, puoi applicare lo stesso consiglio di RoundCube. Modifica il file /etc/apache2/conf.d/phpmyadmin.conf e incolla le seguenti righe alla fine del file:

  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:8080%{REQUEST_URI}  [L]

Dopo questo, riavvia Apache:

/etc/init.d/apache2 restart