Il Server Perfetto - Debian Wheezy (Apache2, BIND, Dovecot, ISPConfig 3) - Pagina 4

12 Installa Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear e mcrypt

Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear e mcrypt possono essere installati come segue:

apt-get install apache2 apache2.2-common apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libapache2-mod-php5 php5 php5-common php5-gd php5-mysql php5-imap phpmyadmin php5-cli php5-cgi libapache2-mod-fcgid apache2-suexec php-pear php-auth php5-mcrypt mcrypt php5-imagick imagemagick libapache2-mod-suphp libruby libapache2-mod-ruby libapache2-mod-python php5-curl php5-intl php5-memcache php5-memcached php5-ming php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl memcached

Vedrai la seguente domanda:

Web server to reconfigure automatically: <- apache2  
 Configure database for phpmyadmin with dbconfig-common? <- no

Poi esegui il seguente comando per abilitare i moduli Apache suexec, rewrite, ssl, actions e include (più dav, dav_fs e auth_digest se vuoi usare WebDAV):

a2enmod suexec rewrite ssl actions include

a2enmod dav_fs dav auth_digest

Successivamente apri /etc/apache2/mods-available/suphp.conf…

vi /etc/apache2/mods-available/suphp.conf

… e commenta la sezione e aggiungi la riga AddType application/x-httpd-suphp .php .php3 .php4 .php5 .phtml - altrimenti tutti i file PHP verranno eseguiti da SuPHP:

| # # SetHandler application/x-httpd-suphp # AddType application/x-httpd-suphp .php .php3 .php4 .php5 .phtml suPHP_AddHandler application/x-httpd-suphp suPHP_Engine on # Per impostazione predefinita, disabilita suPHP per le applicazioni web pacchettizzate di debian poiché i file # sono di proprietà di root e non possono essere eseguiti da suPHP a causa di min_uid. suPHP_Engine off # # Usa un file di configurazione php specifico (una directory che contiene un file php.ini) # suPHP_ConfigPath /etc/php5/cgi/suphp/ # # Indica a mod_suphp di NON gestire le richieste con il tipo . # suPHP_RemoveHandler |

Riavvia Apache successivamente:

/etc/init.d/apache2 restart

Se vuoi ospitare file Ruby con l’estensione .rb sui tuoi siti web creati tramite ISPConfig, devi commentare la riga application/x-ruby rb in /etc/mime.types:

vi /etc/mime.types

| [...] #application/x-ruby rb [...] |

(Questo è necessario solo per i file .rb; i file Ruby con l’estensione .rbx funzionano immediatamente.)

Riavvia Apache successivamente:

/etc/init.d/apache2 restart

12.1 Xcache

Xcache è un cache opcode PHP gratuito e open source per la memorizzazione nella cache e l’ottimizzazione del codice intermedio PHP. È simile ad altri cache opcode PHP, come eAccelerator e APC. È fortemente consigliato avere uno di questi installato per velocizzare la tua pagina PHP.

Xcache può essere installato come segue:

apt-get install php5-xcache

Ora riavvia Apache:

/etc/init.d/apache2 restart

12.2 PHP-FPM

A partire da ISPConfig 3.0.5, c’è una modalità PHP aggiuntiva che puoi selezionare per l’uso con Apache: PHP-FPM.

Per utilizzare PHP-FPM con Apache, abbiamo bisogno del modulo Apache mod_fastcgi (per favore non confonderlo con mod_fcgid - sono molto simili, ma non puoi usare PHP-FPM con mod_fcgid). Possiamo installare PHP-FPM e mod_fastcgi come segue:

apt-get install libapache2-mod-fastcgi php5-fpm

Assicurati di abilitare il modulo e riavviare Apache:

a2enmod actions fastcgi alias  
/etc/init.d/apache2 restart

12.3 Versioni PHP Aggiuntive

A partire da ISPConfig 3.0.5, è possibile avere più versioni PHP su un server (selezionabili tramite ISPConfig) che possono essere eseguite tramite FastCGI e PHP-FPM. Per sapere come costruire versioni PHP aggiuntive (PHP-FPM e FastCGI) e come configurare ISPConfig, controlla questo tutorial: Come Usare Più Versioni PHP (PHP-FPM & FastCGI) Con ISPConfig 3 (Debian Wheezy).

13 Installa Mailman

Dalla versione 3.0.4, ISPConfig consente anche di gestire (creare/modificare/eliminare) liste di distribuzione Mailman. Se vuoi utilizzare questa funzionalità, installa Mailman come segue:

apt-get install mailman

Seleziona almeno una lingua, ad esempio:

Languages to support: <-- en (English)  
 Missing site list <-- Ok

Prima di poter avviare Mailman, deve essere creata una prima lista di distribuzione chiamata mailman:

newlist mailman

root@server1:~# newlist mailman  
 Enter the email of the person running the list: <-- admin email address, e.g. [email protected]  
 Initial mailman password: <-- admin password for the mailman list  
 To finish creating your mailing list, you must edit your /etc/aliases (or  
 equivalent) file by adding the following lines, and possibly running the  
 `newaliases' program:  
   
 ## mailman mailing list  
 mailman:              "|/var/lib/mailman/mail/mailman post mailman"  
 mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"  
 mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"  
 mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"  
 mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"  
 mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"  
 mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"  
 mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"  
 mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"  
 mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"  
   
 Hit enter to notify mailman owner... <-- ENTER  
   
 root@server1:~#

Apri /etc/aliases successivamente…

vi /etc/aliases

… e aggiungi le seguenti righe:

| [...] ## mailman mailing list mailman: "|/var/lib/mailman/mail/mailman post mailman" mailman-admin: "|/var/lib/mailman/mail/mailman admin mailman" mailman-bounces: "|/var/lib/mailman/mail/mailman bounces mailman" mailman-confirm: "|/var/lib/mailman/mail/mailman confirm mailman" mailman-join: "|/var/lib/mailman/mail/mailman join mailman" mailman-leave: "|/var/lib/mailman/mail/mailman leave mailman" mailman-owner: "|/var/lib/mailman/mail/mailman owner mailman" mailman-request: "|/var/lib/mailman/mail/mailman request mailman" mailman-subscribe: "|/var/lib/mailman/mail/mailman subscribe mailman" mailman-unsubscribe: "|/var/lib/mailman/mail/mailman unsubscribe mailman" |

Esegui

newaliases

successivamente e riavvia Postfix:

/etc/init.d/postfix restart

Infine dobbiamo abilitare la configurazione Apache di Mailman:

ln -s /etc/mailman/apache.conf /etc/apache2/conf.d/mailman.conf

Questo definisce l’alias /cgi-bin/mailman/ per tutti i vhost Apache, il che significa che puoi accedere all’interfaccia di amministrazione di Mailman per una lista su http:///cgi-bin/mailman/admin/, e la pagina web per gli utenti di una lista di distribuzione può essere trovata su http:///cgi-bin/mailman/listinfo/.

Sotto http:///pipermail puoi trovare gli archivi delle liste di distribuzione.

Riavvia Apache successivamente:

/etc/init.d/apache2 restart

Poi avvia il demone Mailman:

/etc/init.d/mailman start

14 Installa PureFTPd e Quota

PureFTPd e quota possono essere installati con il seguente comando:

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

Modifica il file /etc/default/pure-ftpd-common…

vi /etc/default/pure-ftpd-common

… e assicurati che la modalità di avvio sia impostata su standalone e imposta VIRTUALCHROOT=true:

| [...] STANDALONE_OR_INETD=standalone [...] VIRTUALCHROOT=true [...] |

Ora configuriamo PureFTPd per consentire sessioni FTP e TLS. FTP è un protocollo molto insicuro perché tutte le password e tutti i dati vengono trasferiti in chiaro. Utilizzando TLS, l’intera comunicazione può essere crittografata, rendendo così FTP molto più sicuro.

Se vuoi consentire sessioni FTP e TLS, esegui

echo 1 > /etc/pure-ftpd/conf/TLS

Per utilizzare TLS, dobbiamo creare un certificato SSL. Lo creo in /etc/ssl/private/, quindi creo prima quella directory:

mkdir -p /etc/ssl/private/

Successivamente, possiamo generare il certificato SSL come segue:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Country Name (2 letter code) [AU]: <-- Inserisci il nome del tuo paese (ad es., "IT").  
 State or Province Name (full name) [Some-State]: <-- Inserisci il nome del tuo stato o provincia.  
 Locality Name (eg, city) []: <-- Inserisci la tua città.  
 Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Inserisci il nome della tua organizzazione (ad es., il nome della tua azienda).  
 Organizational Unit Name (eg, section) []: <-- Inserisci il nome della tua unità organizzativa (ad es. "IT Department").  
 Common Name (eg, YOUR name) []: <-- Inserisci il nome di dominio completamente qualificato del sistema (ad es., "server1.example.com").  
 Email Address []: <-- Inserisci il tuo indirizzo email.

Cambia i permessi del certificato SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Poi riavvia PureFTPd:

/etc/init.d/pure-ftpd-mysql restart

Modifica /etc/fstab. Il mio appare così (ho aggiunto,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 alla partizione con il punto di montaggio /):

vi /etc/fstab

| # /etc/fstab: informazioni statiche sul file system. # # Usa 'blkid' per stampare l'identificatore univoco universale per un # dispositivo; questo può essere utilizzato con UUID= come un modo più robusto per nominare i dispositivi # che funziona anche se i dischi vengono aggiunti e rimossi. Vedi fstab(5). # /dev/mapper/server1-root / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1 # /boot era su /dev/sda1 durante l'installazione UUID=46d1bd79-d761-4b23-80b8-ad20cb18e049 /boot ext2 defaults 0 2 /dev/mapper/server1-swap_1 none swap sw 0 0 /dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0 |

Per abilitare la quota, esegui questi comandi:

mount -o remount /

quotacheck -avugm  
 quotaon -avug

15 Installa il Server DNS BIND

BIND può essere installato come segue:

apt-get install bind9 dnsutils

16 Installa Vlogger, Webalizer e AWstats

Vlogger, webalizer e AWstats possono essere installati come segue:

apt-get install vlogger webalizer awstats geoip-database libclass-dbi-mysql-perl

Apri /etc/cron.d/awstats successivamente…

vi /etc/cron.d/awstats

… e commenta tutto in quel file:

| #MAILTO=root #*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh # Genera report statici: #10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh |

17 Installa Jailkit

Jailkit è necessario solo se vuoi chrootare gli utenti SSH. Può essere installato come segue (importante: Jailkit deve essere installato prima di ISPConfig - non può essere installato successivamente!):

apt-get install build-essential autoconf automake1.9 libtool flex bison debhelper binutils-gold

cd /tmp  
 wget http://olivier.sessink.nl/jailkit/jailkit-2.17.tar.gz  
 tar xvfz jailkit-2.17.tar.gz  
 cd jailkit-2.17  
 ./debian/rules binary

Ora puoi installare il pacchetto Jailkit.deb come segue:

cd ..  
 dpkg -i jailkit_2.17-1_*.deb  
 rm -rf jailkit-2.17*

18 Installa fail2ban

Questo è facoltativo ma raccomandato, perché il monitor di ISPConfig cerca di mostrare il log:

apt-get install fail2ban

Per fare in modo che fail2ban monitori PureFTPd e Dovecot, crea il file /etc/fail2ban/jail.local:

vi /etc/fail2ban/jail.local

[pureftpd]
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
maxretry = 3

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5

[sasl]
enabled  = true
port     = smtp
filter   = sasl
logpath  = /var/log/mail.log
maxretry = 3

Poi crea i seguenti due file di filtro:

vi /etc/fail2ban/filter.d/pureftpd.conf

[Definition]
failregex = .*pure-ftpd: \(.*@\) \[WARNING\] Authentication failed for user.*
ignoreregex =

vi /etc/fail2ban/filter.d/dovecot-pop3imap.conf

[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P\S*),.*
ignoreregex =

Riavvia fail2ban successivamente:

/etc/init.d/fail2ban restart