Estensione del Perfect Server - Debian Squeeze [ISPConfig 3]

Versione 1.0
Autore: Thomas ( http://iopen.gr)
Ultima modifica 2012-02-05 (05 febbraio 2012)

Il seguente tutorial estenderà il “Perfect Server…. “ per ISPConfig 3 con BIND e Courier installati in Debian Squeeze. Spiega come cambiare le porte predefinite (ssh, ispconfig, webmin), come installare alcune applicazioni utili (webmin, roundcube, atop, htop, multitail, tiger ecc.), come aggiornare awstats periodicamente (più di una volta al giorno) o ogni volta che vuoi, come creare backup dei dati dei clienti (periodicamente) accessibili sotto la loro cartella e infine spiega come ottimizzare il tuo sistema per le prestazioni (mysqltuner, tuning-primer) o la sicurezza (regole firewall personalizzate, (D)Dos Deflate, fail2ban modificato).

Questo tutorial funziona per me, ho corretto gli errori menzionati nei commenti ma non posso garantire che funzionerà per te.

In particolare, questo tutorial spiega come:

installare Webmin e cambiare la sua porta in 50000
cambiare la porta predefinita per ISPConfig da 8080 a 50443
installare Roundcube in modo che tutti gli utenti possano accedervi tramite SSL (porta 50443 – come ISPConfig) sotto /webmail
estendere fail2ban (per webmin, roundcube, ssh) e applicare una piccola patch
installare multitail e utilizzare un semplice comando per vedere tutti i log utili
cambiare la porta 22 per SSH in 50022
accedere a phpmyadmin tramite SSL (porta 50443 – come ISPConfig) sotto un URL diverso da quello predefinito (ad es. /mydomaindb)
installare alcune app/estensioni utili sul tuo server (htop, php-apc, iptraf, logwatch ecc.)
aggiornare awstats manualmente o automaticamente ogni volta che vuoi
migliorare le impostazioni di mysql utilizzando script come mysqltuner o tuning-primer che suggeriscono quali impostazioni modificare nella tua installazione di mysql
rinforzare il tuo sistema (passi semplici), bloccando IP o reti specifici –insistenti–, o/ed utilizzando regole personalizzate per proteggere il tuo server contro semplici attacchi ddos, in combinazione con (D)Dos Deflate.
creare backup giornalieri delle cartelle web dei clienti e dei loro database nelle loro cartelle, in modo che possano scaricarli

Per seguire questo tutorial devi leggere e applicare quanto segue:

Il Perfect Server - Debian Squeeze (Debian 6.0) Con BIND e Courier [ISPConfig 3]

Se desideri accedere al Pannello ISPconfig e alla webmail tramite SSL, presumo anche che tu abbia seguito il capitolo 6.2 Abilitare SSL Per L’Interfaccia Web Di ISPConfig del manuale di ISPConfig 3 o questo post (Questo è necessario solo se desideri accedere al pannello di controllo E all’interfaccia webmail tramite ssl sulla porta 8080).

Una nota qui: Per NON avere problemi dopo un futuro aggiornamento fai:

cp /etc/apache2/ssl/ispserver.crt /usr/local/ispconfig/interface/ssl/ispserver.crt
cp /etc/apache2/ssl/ispserver.key /usr/local/ispconfig/interface/ssl/ispserver.key

ed edita /etc/apache2/sites-enabled/000-ispconfig.vhost, rimuovendo le righe che hai incollato seguendo il manuale, e decommentando le righe predefinite per SSL.

nano /etc/apache2/sites-enabled/000-ispconfig.vhost

Il contenuto deve apparire così:

[...]  
  # Configurazione SSL  
  SSLEngine On  
  SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt  
  SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key  
[...]

Se hai seguito quanto sopra, allora presumo infine che tu abbia letto la soluzione alternativa riguardo suExec e ISPConfig 3 in questo post.

Questo come fare, è una versione (principale) aggiornata di Easy RoundCube (Over SSL) E Webmin Con fail2ban Per ISPConfig 3 Su Debian Squeeze con molte più aggiunte.

Prima di procedere, assicurati che il tuo server sia funzionante e che tu sia soddisfatto di esso. Se segui questo tutorial apporterai molte modifiche e questo (di per sé) richiede molto debug in caso di errori!

1. WEBMIN

Tieni presente che se installi webmin DEVI essere molto attento nel suo utilizzo. Non dovresti usare webmin per modificare le impostazioni di parti critiche di ISPConfig (apache, postfix, imap, pop3, dns). Usalo solo in casi di emergenza o quando devi fare cose che NON interferiscono con ISPConfig (ad es. firewall, bootscripts, cron ecc.)

Per installare webmin dobbiamo prima installare alcune dipendenze:

apt-get install libapt-pkg-perl libauthen-pam-perl libio-pty-perl apt-show-versions

Scarica l’ultima versione di webmin da http://www.webmin.com/download.html:

cd /tmp
wget http://prdownloads.sourceforge.net/webadmin/webmin_1.530_all.deb

ed installalo:

dpkg -i webmin_1.530_all.deb

Prima di cambiare una porta in qualcosa di diverso da quella predefinita, NON dimenticare di aggiungere la porta al tuo firewall. Se stai utilizzando le impostazioni predefinite di ISPConfig, vai su Sistema -> Firewall e aggiungi la porta che desideri (In questo manuale utilizzeremo 50000 per Webmin, 50443 per ISPConfig, 50022 per ssh). Salva e NON rimuovere le vecchie porte (8080, 10000, 22) fino a quando non sei assolutamente sicuro che le nuove porte funzionino.

Per cambiare la porta predefinita di webmin, modifica il file /etc/webmin/miniserv.conf:

nano /etc/webmin/miniserv.conf

e cambia Port=10000 e listen=10000 in Port=50000 e listen=50000. Riavvia webmin:

/etc/init.d/webmin restart

Visita https://www.example.com:50000 per installare aggiornamenti tramite l’interfaccia webmin. Dovrai accettare l’avviso di sicurezza, poiché il certificato di webmin è firmato in modo personalizzato.

2. Imposta una porta diversa per il Pannello di Controllo ISPConfig

Per cambiare la porta predefinita del Pannello di Controllo ISPConfig (8080), in una diversa (ad es. 50443):

nano /etc/apache2/sites-enabled/000-ispconfig.vhost

e assicurati che tutti i riferimenti a 8080 siano cambiati in 50443. Il mio appare così (SOLO le prime righe sono mostrate):

[...]  
Listen 50443  
NameVirtualHost *:50443  
  
  
[...]

Riavvia apache e accedi al pannello di controllo su https://www.example.com:50443:

/etc/init.d/apache2 restart