Il Server Perfetto - Fedora 15 x86_64 [ISPConfig 3] - Pagina 5

15 Installare Amavisd-new, SpamAssassin E ClamAV

Per installare amavisd-new, spamassassin e clamav, eseguire il seguente comando:

yum install amavisd-new spamassassin clamav clamav-data clamav-server clamav-update unzip bzip2 perl-DBD-mysql

Quando abbiamo installato ClamAV, è stato installato un cron job che cerca di aggiornare il database dei virus di ClamAV ogni tre ore. Ma questo funziona solo se lo abilitiamo in /etc/sysconfig/freshclam e /etc/freshclam.conf:

vi /etc/sysconfig/freshclam

Commenta la riga FRESHCLAM_DELAY alla fine:

| ## Quando si modifica la periodicità delle esecuzioni di freshclam nel crontab, ## questo valore deve essere regolato anche. Il suo valore è l'intervallo di tempo tra ## due esecuzioni successive di freshclam in minuti. Ad esempio, per il valore predefinito ## ## | 0 */3 * * * ... ## ## la riga crontab, il valore è 180 (minuti). # FRESHCLAM_MOD= ## Un valore predefinito per il ritardo in secondi. Per impostazione predefinita, il valore è ## calcolato dal programma 'hostid'. Questo valore predefinito garantisce ## intervalli costanti di 3 ore tra due esecuzioni successive di freshclam. ## ## Questa opzione accetta due valori speciali: ## 'disabled-warn' ... disabilita l'aggiornamento automatico di freshclam e ## fornisce un avviso ## 'disabled' ... disabilita silenziosamente l'aggiornamento automatico di freshclam # FRESHCLAM_DELAY= ### !!!!! RIMUOVIMI !!!!!! ### RIMUOVIMI: Per impostazione predefinita, l'aggiornamento di freshclam è disabilitato per evitare ### RIMUOVIMI: accesso alla rete senza attivazione preventiva #FRESHCLAM_DELAY=disabled-warn # RIMUOVIMI |

vi /etc/freshclam.conf

Commenta la riga Example:

| [...] # Commenta o rimuovi la riga qui sotto. #Example [...] |

Poi avviamo freshclam, amavisd e clamd…

sa-update
chkconfig –levels 235 amavisd on
chkconfig –levels 235 clamd.amavisd on
/usr/bin/freshclam
/etc/init.d/amavisd start
/etc/init.d/clamd.amavisd start

Successivamente fai questo:

rm -f /var/spool/amavisd/clamd.sock
mkdir /var/run/clamav.amavisd /var/run/clamd.amavisd /var/run/amavisd
chown amavis /var/run/clamav.amavisd
chown amavis /var/run/clamd.amavisd
chown amavis /var/run/amavisd
ln -sf /var/spool/amavisd/clamd.sock /var/run/clamav.amavisd/clamd.sock
ln -sf /var/spool/amavisd/clamd.sock /var/run/clamd.amavisd/clamd.sock
/etc/init.d/clamd.amavisd restart

Fedora 15 ha una directory /run per memorizzare i dati di runtime. /run è ora un tmpfs, e /var/run e /var/lock sono ora montati in bind a /run e /run/lock da tmpfs, e quindi svuotati al riavvio (vedi https://docs.fedoraproject.org/en-US/Fedora/15/html/Release_Notes/sect-Release_Notes-Changes_for_SysAdmin.html per ulteriori dettagli).

Questo significa che dopo un riavvio, le directory /var/run/clamav.amavisd, /var/run/clamd.amavisd e /var/run/amavisd che abbiamo appena creato non esisteranno più, e quindi clamd e amavisd non riusciranno ad avviarsi. Pertanto, creiamo il file /etc/tmpfiles.d/amavisd.conf ora che creerà queste directory all’avvio del sistema (vedi http://0pointer.de/public/systemd-man/tmpfiles.d.html per ulteriori dettagli):

vi /etc/tmpfiles.d/amavisd.conf

| D /var/run/clamav.amavisd 0755 amavis root - D /var/run/clamd.amavisd 0755 amavis root - D /var/run/amavisd 0755 amavis root - |

16 Installare mod_php, mod_fcgi/PHP5, E suPHP

ISPConfig 3 ti consente di utilizzare mod_php, mod_fcgi/PHP5, cgi/PHP5 e suPHP su base per sito web.

Possiamo installare Apache2 con mod_php5, mod_fcgid e PHP5 come segue:

yum install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel

Successivamente apriamo /etc/php.ini…

vi /etc/php.ini

… e cambiamo la segnalazione degli errori (in modo che le notifiche non vengano più mostrate) e decommentiamo cgi.fix_pathinfo=1:

| [...] ;error_reporting = E_ALL & ~E_DEPRECATED error_reporting = E_ALL & ~E_NOTICE [...] ; cgi.fix_pathinfo fornisce supporto *reale* per PATH_INFO/PATH_TRANSLATED per CGI. Il comportamento precedente di PHP era impostare PATH_TRANSLATED su SCRIPT_FILENAME, e non comprendere ; cosa sia PATH_INFO. Per ulteriori informazioni su PATH_INFO, vedere le specifiche cgi. Impostare ; questo su 1 farà sì che PHP CGI corregga i suoi percorsi per conformarsi alla specifica. Un'impostazione ; di zero fa comportare PHP come prima. Il valore predefinito è 1. Dovresti correggere i tuoi script ; per utilizzare SCRIPT_FILENAME piuttosto che PATH_TRANSLATED. ; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo cgi.fix_pathinfo=1 [...] |

Successivamente installiamo suPHP:

cd /tmp
wget http://www.suphp.org/download/suphp-0.7.1.tar.gz
tar xvfz suphp-0.7.1.tar.gz
cd suphp-0.7.1/
./configure –prefix=/usr –sysconfdir=/etc –with-apr=/usr/bin/apr-1-config –with-apxs=/usr/sbin/apxs –with-apache-user=apache –with-setid-mode=owner –with-php=/usr/bin/php-cgi –with-logfile=/var/log/httpd/suphp_log –enable-SUPHP_USE_USERGROUP=yes
make
make install

Poi aggiungiamo il modulo suPHP alla nostra configurazione di Apache…

vi /etc/httpd/conf.d/suphp.conf

| LoadModule suphp_module modules/mod_suphp.so |

… e creiamo il file /etc/suphp.conf come segue:

vi /etc/suphp.conf

| [global] ;Percorso del logfile logfile=/var/log/httpd/suphp.log ;Livello di log loglevel=info ;Utente con cui Apache viene eseguito webserver_user=apache ;Percorso in cui devono trovarsi tutti gli script docroot=/ ;Percorso per chroot() prima di eseguire lo script ;chroot=/mychroot ; Opzioni di sicurezza allow_file_group_writeable=true allow_file_others_writeable=false allow_directory_group_writeable=true allow_directory_others_writeable=false ;Controlla se lo script è all'interno di DOCUMENT_ROOT check_vhost_docroot=true ;Invia messaggi di errore minori al browser errors_to_browser=false ;Variabile di ambiente PATH env_path=/bin:/usr/bin ;Umask da impostare, specificare in notazione ottale umask=0077 ; UID minimo min_uid=100 ; GID minimo min_gid=100 [handlers] ;Handler per gli script php x-httpd-suphp="php:/usr/bin/php-cgi" ;Handler per gli script CGI x-suphp-cgi="execute:!self" |

Infine riavviamo Apache:

/etc/init.d/httpd restart

16.1 Ruby

A partire dalla versione 3.0.3, ISPConfig 3 ha il supporto integrato per Ruby. Invece di utilizzare CGI/FastCGI, ISPConfig dipende dalla disponibilità di mod_ruby nell’Apache del server.

Per Fedora 15, non è disponibile alcun pacchetto mod_ruby, quindi dobbiamo compilarlo noi stessi. Prima installiamo alcune dipendenze:

yum install ruby ruby-devel

Successivamente scarichiamo e installiamo mod_ruby come segue:

cd /tmp
wget http://modruby.net/archive/mod_ruby-1.3.0.tar.gz
tar zxvf mod_ruby-1.3.0.tar.gz
cd mod_ruby-1.3.0/
./configure.rb –with-apr-includes=/usr/include/apr-1
make
make install

Infine dobbiamo aggiungere il modulo mod_ruby alla configurazione di Apache, quindi creiamo il file /etc/httpd/conf.d/ruby.conf…

vi /etc/httpd/conf.d/ruby.conf

| LoadModule ruby_module modules/mod_ruby.so RubyAddPath /1.8 |

… e riavviamo Apache:

/etc/init.d/httpd restart

(Se ometti la direttiva RubyAddPath /1.8, vedrai errori come i seguenti nel log degli errori di Apache quando chiami i file Ruby:

[Thu May 26 02:05:05 2011] [error] mod_ruby: ruby:0:in `require’: nessun file da caricare – apache/ruby-run (LoadError)
[Thu May 26 02:05:05 2011] [error] mod_ruby: impossibile richiedere apache/ruby-run
[Thu May 26 02:05:05 2011] [error] mod_ruby: errore in ruby ) #### 16.2 WebDAV WebDAV dovrebbe già essere abilitato, ma per controllarlo, apri /etc/httpd/conf/httpd.conf e assicurati che i seguenti tre moduli siano attivi: vi /etc/httpd/conf/httpd.conf | [...] LoadModule auth_digest_module modules/mod_auth_digest.so [...] LoadModule dav_module modules/mod_dav.so [...] LoadModule dav_fs_module modules/mod_dav_fs.so [...] | Se devi modificare /etc/httpd/conf/httpd.conf, non dimenticare di riavviare Apache dopo: /etc/init.d/httpd restart ### 17 Installare PureFTPd PureFTPd può essere installato con il seguente comando: yum install pure-ftpd Poi crea i collegamenti di avvio del sistema e avvia PureFTPd: chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start Ora configuriamo PureFTPd per consentire sessioni FTP e TLS. FTP è un protocollo molto insicuro perché tutte le password e tutti i dati vengono trasferiti in chiaro. Utilizzando TLS, l’intera comunicazione può essere crittografata, rendendo così FTP molto più sicuro. OpenSSL è necessario per TLS; per installare OpenSSL, eseguiamo semplicemente: yum install openssl Apri /etc/pure-ftpd/pure-ftpd.conf… vi /etc/pure-ftpd/pure-ftpd.conf Se vuoi consentire sessioni FTP e TLS, imposta TLS su 1: | [...] # Questa opzione può accettare tre valori : # 0 : disabilita il livello di crittografia SSL/TLS (predefinito). # 1 : accetta sia sessioni tradizionali che crittografate. # 2 : rifiuta connessioni che non utilizzano meccanismi di sicurezza SSL/TLS, # comprese le sessioni anonime. # Non decommentare questo alla leggera. Assicurati che : # 1) Il tuo server sia stato compilato con supporto SSL/TLS (--with-tls), # 2) Un certificato valido sia in atto, # 3) Solo client compatibili accederanno. TLS 1 [...] | Per utilizzare TLS, dobbiamo creare un certificato SSL. Lo creo in /etc/ssl/private/, quindi creo prima quella directory: mkdir -p /etc/ssl/private/ Dopo, possiamo generare il certificato SSL come segue: openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem Nome del Paese (codice di 2 lettere) [XX]: <– Inserisci il nome del tuo paese (ad esempio, “IT”).
Nome dello Stato o della Provincia (nome completo) []: <– Inserisci il nome del tuo Stato o Provincia.
Nome della Località (es. città) [Città Predefinita]: <– Inserisci la tua città.
Nome dell’Organizzazione (es. azienda) [Azienda Predefinita Ltd]: <– Inserisci il nome della tua organizzazione (ad esempio, il nome della tua azienda).
Nome dell’Unità Organizzativa (es. sezione) []: <– Inserisci il nome della tua unità organizzativa (ad esempio, “Reparto IT”).
Nome Comune (es. il tuo nome o il nome host del tuo server) []: <– Inserisci il Nome Dominio Completo del sistema (ad esempio, “server1.example.com”).
Indirizzo Email []: <– Inserisci il tuo indirizzo email. Cambia i permessi del certificato SSL: chmod 600 /etc/ssl/private/pure-ftpd.pem Infine riavvia PureFTPd: /etc/init.d/pure-ftpd restart Questo è tutto. Puoi ora provare a connetterti utilizzando il tuo client FTP; tuttavia, dovresti configurare il tuo client FTP per utilizzare TLS. ### 18 Installare BIND Possiamo installare BIND come segue: yum install bind bind-utils Successivamente apri /etc/sysconfig/named… vi /etc/sysconfig/named … e commenta la riga ROOTDIR=/var/named/chroot: | # Opzioni del processo BIND named # ~~~~~~~~~~~~~~~~~~~~~~~~~~ # Attualmente, puoi utilizzare le seguenti opzioni: # # ROOTDIR="/var/named/chroot" -- eseguirà named in un ambiente chroot. # devi configurare l'ambiente chroot # (installa il pacchetto bind-chroot) prima di # farlo. # NOTA: # Queste directory vengono montate automaticamente in chroot se sono # vuote nella directory ROOTDIR. Semplificherà la manutenzione del tuo # ambiente chroot. # - /var/named # - /etc/pki/dnssec-keys # - /etc/named # - /usr/lib64/bind o /usr/lib/bind (dipendente dall'architettura) # # Questi file vengono montati anche se il file di destinazione non esiste in # chroot. # - /etc/named.conf # - /etc/rndc.conf # - /etc/rndc.key # - /etc/named.rfc1912.zones # - /etc/named.dnssec.keys # - /etc/named.iscdlv.key # # Non dimenticare di aggiungere "$AddUnixListenSocket /var/named/chroot/dev/log" # riga al tuo file /etc/rsyslog.conf. Altrimenti, il tuo logging diventa # rotto quando il demone rsyslogd viene riavviato (a causa di un aggiornamento, ad esempio). # # OPTIONS="whatever" -- Queste opzioni aggiuntive verranno passate a named # all'avvio. Non aggiungere -t qui, usa ROOTDIR invece. # # KEYTAB_FILE="/dir/file" -- Specifica il file keytab del servizio named (per GSS-TSIG) # # DISABLE_ZONE_CHECKING -- Per impostazione predefinita, lo script di avvio chiama # l'utilità named-checkzone per ogni zona per garantire che tutte le zone siano # valide prima che named parta. Se imposti questa opzione # su 'yes' allora lo script di avvio non esegue quei # controlli. #ROOTDIR=/var/named/chroot | Poi creiamo i collegamenti di avvio: chkconfig --levels 235 named on Non avviamo BIND ora perché deve essere configurato prima - questo verrà fatto automaticamente dall’installatore ISPConfig 3 più tardi. ### 19 Installare Vlogger, Webalizer, E AWStats Vlogger, webalizer e AWStats possono essere installati come segue: yum install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder cd /tmp
wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz
tar xvfz vlogger-1.3.tar.gz
mv vlogger-1.3/vlogger /usr/sbin/
rm -rf vlogger ### 20 Installare Jailkit Jailkit è necessario solo se desideri chrootare gli utenti SSH. Può essere installato come segue (importante: Jailkit deve essere installato prima di ISPConfig - non può essere installato successivamente!): cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.14.tar.gz
tar xvfz jailkit-2.14.tar.gz
cd jailkit-2.14
./configure
make
make install
cd ..
rm -rf jailkit-2.14 ### 21 Installare fail2ban Questo è facoltativo ma raccomandato, perché il monitor di ISPConfig cerca di mostrare il log: yum install fail2ban chkconfig –levels 235 fail2ban on
/etc/init.d/fail2ban start ### 22 Installare rkhunter rkhunter può essere installato come segue: yum install rkhunter