Il Server Perfetto - Fedora 15 x86_64 [ISPConfig 2] - Pagina 3

4 Cambia Nome Del Tuo NIC In ethx

Ora dobbiamo configurare Fedora per non utilizzare più i nomi dei dispositivi BIOS per la nostra interfaccia di rete. Invece di p3p1, abbiamo bisogno del nostro buon vecchio eth0 (perché altrimenti il firewall di ISPConfig impazzirà e bloccherà tutto perché si aspetta eth0 invece di p3p1). Apri /etc/grub.conf…

vi /etc/grub.conf

… e aggiungi biosdevname=0 alla riga del kernel:

| # grub.conf generato da anaconda # # Nota che non devi rieseguire grub dopo aver apportato modifiche a questo file # AVVISO: Hai una partizione /boot. Questo significa che # tutti i percorsi del kernel e initrd sono relativi a /boot/, ad esempio. # root (hd0,0) # kernel /vmlinuz-version ro root=/dev/mapper/vg_server1-lv_root # initrd /initrd-[generic-]version.img #boot=/dev/sda default=0 timeout=0 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu title Fedora (2.6.38.6-27.fc15.x86_64) root (hd0,0) kernel /vmlinuz-2.6.38.6-27.fc15.x86_64 ro root=/dev/mapper/vg_server1-lv_root rd_LVM_LV=vg_server1/lv_root rd_LVM_LV=vg_server1/lv_swap rd_NO_LUKS rd_NO_MD rd_NO_DM LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sun16 KEYTABLE=de rhgb quiet biosdevname=0 initrd /initramfs-2.6.38.6-27.fc15.x86_64.img |

Poi riavvia il sistema:

reboot

Dopo il riavvio, il tuo NIC dovrebbe essere chiamato eth0. Esegui…

ifconfig

… per verificare:

[root@server1 ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:15:60:FA
inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe15:60fa/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:48 errors:0 dropped:0 overruns:0 frame:0
TX packets:58 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5226 (5.1 KiB) TX bytes:9682 (9.4 KiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:100 (100.0 b) TX bytes:100 (100.0 b)

[root@server1 ~]#

5 Modifica /etc/hosts

Successivamente modifichiamo /etc/hosts. Fai in modo che appaia così:

vi /etc/hosts

| 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 192.168.0.100 server1.example.com server1 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 |

È importante che tu aggiunga una riga per server1.example.com e rimuova server1.example.com e server1 dalla riga 127.0.0.1.

6 Configura Il Firewall

(Puoi saltare questo capitolo se hai già disabilitato il firewall alla fine dell’installazione di base del sistema.)

Voglio installare ISPConfig alla fine di questo tutorial, che viene fornito con il proprio firewall. Ecco perché disabilito ora il firewall predefinito di Fedora. Naturalmente, sei libero di lasciarlo attivo e configurarlo secondo le tue esigenze (ma in tal caso non dovresti utilizzare alcun altro firewall in seguito poiché interferirà probabilmente con il firewall di Fedora).

Esegui

system-config-firewall

e disabilita il firewall.

Per controllare che il firewall sia stato realmente disabilitato, puoi eseguire

iptables -L 

dopo. L’output dovrebbe apparire così:

[root@server1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@server1 ~]#

7 Disabilita SELinux

SELinux è un’estensione di sicurezza di Fedora che dovrebbe fornire una sicurezza avanzata. Secondo me non ne hai bisogno per configurare un sistema sicuro, e di solito causa più problemi che vantaggi (pensa a questo dopo aver passato una settimana a risolvere problemi perché qualche servizio non funzionava come previsto, e poi scopri che tutto era a posto, solo SELinux stava causando il problema). Pertanto lo disabilito (questo è un must se vuoi installare ISPConfig in seguito).

Modifica /etc/selinux/config e imposta SELINUX=disabled:

vi /etc/selinux/config

| # Questo file controlla lo stato di SELinux sul sistema. # SELINUX= può assumere uno di questi tre valori: # enforcing - La politica di sicurezza SELinux è applicata. # permissive - SELinux stampa avvisi invece di applicare. # disabled - Nessuna politica SELinux è caricata. SELINUX=disabled # SELINUXTYPE= può assumere uno di questi due valori: # targeted - I processi mirati sono protetti, # mls - Protezione Multi Livello di Sicurezza. SELINUXTYPE=targeted |

Dopo dobbiamo riavviare il sistema:

reboot

8 Installa Alcuni Software

Prima importiamo le chiavi GPG per i pacchetti software:

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY*

Successivamente aggiorniamo i nostri pacchetti esistenti sul sistema:

yum update

Ora installiamo alcuni pacchetti software necessari in seguito:

yum install fetchmail wget bzip2 unzip zip nmap openssl lynx fileutils ncftp gcc gcc-c++

9 Quota Journaled

(Se hai scelto uno schema di partizionamento diverso dal mio, devi adattare questo capitolo affinché la quota si applichi alle partizioni di cui hai bisogno.)

Per installare la quota, eseguiamo questo comando:

yum install quota

Modifica /etc/fstab e aggiungi,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 alla partizione / ( /dev/mapper/vg_server1-lv_root):

vi /etc/fstab

| # # /etc/fstab # Creato da anaconda il Mer Mag 25 15:57:24 2011 # # I filesystem accessibili, per riferimento, sono mantenuti sotto '/dev/disk' # Vedi le pagine man fstab(5), findfs(8), mount(8) e/o blkid(8) per ulteriori informazioni # /dev/mapper/vg_server1-lv_root / ext4 defaults,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 1 1 UUID=366ba6a7-7e68-4ec9-9743-4b02dd105180 /boot ext4 defaults 1 2 /dev/mapper/vg_server1-lv_swap swap swap defaults 0 0 tmpfs /dev/shm tmpfs defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 sysfs /sys sysfs defaults 0 0 proc /proc proc defaults 0 0 |

Poi esegui

mount -o remount /

quotacheck -avugm
quotaon -avug

per abilitare la quota.

10 Installa Un Server DNS Chrooted (BIND9)

Per installare un BIND9 chrooted, facciamo così:

yum install bind-chroot

Successivamente, cambiamo alcune autorizzazioni:

chmod 755 /var/named/
chmod 775 /var/named/chroot/
chmod 775 /var/named/chroot/var/
chmod 775 /var/named/chroot/var/named/
chmod 775 /var/named/chroot/var/run/
chmod 777 /var/named/chroot/var/run/named/
cd /var/named/chroot/var/named/
ln -s ../../ chroot

Poi apriamo /etc/sysconfig/named e assicuriamoci che contenga la seguente riga per dire a BIND che sta girando chrooted in /var/named/chroot:

vi /etc/sysconfig/named

| [...] ROOTDIR=/var/named/chroot |

Successivamente apri /etc/rsyslog.conf…

vi /etc/rsyslog.conf

… e aggiungi la riga $AddUnixListenSocket /var/named/chroot/dev/log:

| [...] $AddUnixListenSocket /var/named/chroot/dev/log |

Riavvia rsyslog:

/etc/init.d/rsyslog restart

Poi creiamo i collegamenti di avvio del sistema per BIND:

chkconfig --levels 235 named on

Non avviamo BIND ora perché fallirà a causa di un mancante /var/named/chroot/etc/named.conf. Questo sarà creato più tardi da ISPConfig (se utilizzi il DNS Manager di ISPConfig, cioè).