Il Server Perfetto - Ubuntu 18.04 (Nginx, MySQL, PHP, Postfix, BIND, Dovecot, Pure-FTPD e ISPConfig 3.1)

Questo tutorial mostra i passaggi per installare un server Ubuntu 18.04 (Bionic Beaver) con Nginx, PHP, MariaDB, Postfix, pure-ftpd, BIND, Dovecot e ISPConfig 3.1. ISPConfig è un pannello di controllo per l’hosting web che ti consente di configurare i servizi installati tramite un browser web. Questa configurazione fornisce un server di hosting completo con servizi web, email (inclusi filtri antispam e antivirus), Database, FTP e DNS.

1. Nota Preliminare

In questo tutorial, utilizzerò il nome host server1.example.com con l’indirizzo IP 192.168.1.100 e il gateway 192.168.1.1 per la configurazione di rete. Queste impostazioni potrebbero differire per te, quindi devi sostituirle dove appropriato. Prima di procedere ulteriormente, devi avere un’installazione minima di base di Ubuntu 18.04 come spiegato in questo tutorial.

I passaggi in questo tutorial devono essere eseguiti come utente root, quindi non premetterò “sudo” davanti ai comandi. Accedi come utente root al tuo server prima di procedere o esegui:

sudo -s

per diventare root quando sei connesso come un utente diverso nella shell.

I comandi per modificare i file utilizzeranno l’editor “nano”, puoi sostituirlo con un editor di tua scelta. Nano è un editor di file facile da usare per la shell. Se ti piace usare nano e non l’hai ancora installato, esegui:

apt-get install nano

2. Aggiorna la Tua Installazione di Linux

Modifica /etc/apt/sources.list. Commenta o rimuovi il CD di installazione dal file e assicurati che i repository universe e multiverse siano abilitati. Dovrebbe apparire così:

nano /etc/apt/sources.list

#  
# deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted  
#deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted  
# Vedi http://help.ubuntu.com/community/UpgradeNotes per come aggiornare a  
# versioni più recenti della distribuzione.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic main restricted  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic main restricted  
  
## Aggiornamenti di correzione bug importanti prodotti dopo il rilascio finale della  
## distribuzione.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted  
  
## N.B. il software di questo repository è COMPLETAMENTE NON SUPPORTATO dal team di Ubuntu  
## Inoltre, si prega di notare che il software in universe NON riceverà alcuna  
## revisione o aggiornamenti dal team di sicurezza di Ubuntu.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic universe  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic universe  
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe  
  
## N.B. il software di questo repository è COMPLETAMENTE NON SUPPORTATO dal team di Ubuntu  
## e potrebbe non essere sotto una licenza gratuita. Si prega di soddisfare se stessi riguardo ai  
## propri diritti di utilizzo del software. Inoltre, si prega di notare che il software in  
## multiverse NON riceverà alcuna revisione o aggiornamenti dal team di sicurezza di Ubuntu.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic multiverse  
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse  
  
## N.B. il software di questo repository potrebbe non essere stato testato come  
## ampiamente come quello contenuto nella versione principale, anche se include  
## versioni più recenti di alcune applicazioni che potrebbero fornire funzionalità utili.  
## Inoltre, si prega di notare che il software in backports NON riceverà alcuna revisione  
## o aggiornamenti dal team di sicurezza di Ubuntu.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse  
  
## Decommenta le seguenti due righe per aggiungere software dal repository  
## 'partner' di Canonical.  
## Questo software non fa parte di Ubuntu, ma è offerto da Canonical e dai  
## rispettivi fornitori come servizio agli utenti di Ubuntu.  
# deb http://archive.canonical.com/ubuntu bionic partner  
# deb-src http://archive.canonical.com/ubuntu bionic partner  
  
deb http://security.ubuntu.com/ubuntu bionic-security main restricted  
# deb-src http://security.ubuntu.com/ubuntu bionic-security main restricted  
deb http://security.ubuntu.com/ubuntu bionic-security universe  
# deb-src http://security.ubuntu.com/ubuntu bionic-security universe  
deb http://security.ubuntu.com/ubuntu bionic-security multiverse  
# deb-src http://security.ubuntu.com/ubuntu bionic-security multiverse

Poi esegui:

apt-get update

per aggiornare il database dei pacchetti apt e poi:

apt-get upgrade

per installare gli ultimi aggiornamenti (se ce ne sono). Se vedi che un nuovo kernel viene installato come parte degli aggiornamenti, dovresti riavviare il sistema dopo:

reboot

3. Cambia la Shell Predefinita

/bin/sh è un collegamento simbolico a /bin/dash, tuttavia abbiamo bisogno di /bin/bash, non di /bin/dash. Pertanto facciamo questo:

dpkg-reconfigure dash

Usare dash come shell di sistema predefinita (/bin/sh)? <– No

Se non fai questo, l’installazione di ISPConfig fallirà.

4. Disabilita AppArmor

AppArmor è un’estensione di sicurezza (simile a SELinux) che dovrebbe fornire sicurezza avanzata. Verificheremo se è installato e lo rimuoveremo se necessario. A mio avviso non ne hai bisogno per configurare un sistema sicuro, e di solito causa più problemi che vantaggi (pensa a dopo aver fatto una settimana di risoluzione dei problemi perché qualche servizio non funzionava come previsto, e poi scopri che tutto era ok, solo AppArmor stava causando il problema). Pertanto, lo disabilito (questo è un must se vuoi installare ISPConfig in seguito).

Possiamo disabilitarlo in questo modo:

service apparmor stop  
update-rc.d -f apparmor remove  
apt-get remove apparmor apparmor-utils

5. Sincronizza l’Orologio di Sistema

È una buona idea sincronizzare l’orologio di sistema con un server NTP ( n etwork t ime p rotocol) su Internet. Esegui semplicemente

apt-get -y install ntp ntpdate

e il tuo orario di sistema sarà sempre sincronizzato.

6. Installa Postfix, Dovecot, MariaDB, phpMyAdmin, rkhunter, Binutils

Per installare postfix, dobbiamo assicurarci che sendmail non sia installato e in esecuzione. Per fermare e rimuovere sendmail esegui questo comando:

service sendmail stop; update-rc.d -f sendmail remove

Il messaggio di errore:

Failed to stop sendmail.service: Unit sendmail.service not loaded.

Va bene, significa solo che sendmail non era installato, quindi non c’era nulla da rimuovere.

Possiamo installare Postfix, Dovecot, MariaDB (come sostituto di MySQL), rkhunter e binutils con un unico comando:

apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd  sudo

MariaDB è un fork del server di database MySQL, sviluppato dal creatore originale di MySQL Monty Widenius. Secondo i test trovati su Internet, MariaDB è più veloce di MySQL e il suo sviluppo sta procedendo a un ritmo più veloce, pertanto, la maggior parte delle distribuzioni Linux ha sostituito MySQL con MariaDB come server di database predefinito “simile a MySQL”. Nel caso in cui tu preferisca MySQL a MariaDB, sostituisci “mariadb-client mariadb-server” nel comando sopra con “mysql-client mysql-server”.

Ti verranno poste le seguenti domande:

Tipo generale di configurazione della posta: <-- Internet Site  
Nome della posta di sistema: <-- server1.example.com

Successivamente apri le porte TLS/SSL e di invio in Postfix:

nano /etc/postfix/master.cf

Decommenta le sezioni di invio e smtps come segue - aggiungi la riga -o smtpd_client_restrictions=permit_sasl_authenticated,reject a entrambe le sezioni e lascia tutto il resto commentato:

[...]  
submission inet n       -       -       -       -       smtpd  
  -o syslog_name=postfix/submission  
  -o smtpd_tls_security_level=encrypt  
  -o smtpd_sasl_auth_enable=yes  
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
#  -o smtpd_reject_unlisted_recipient=no  
#  -o smtpd_client_restrictions=$mua_client_restrictions  
#  -o smtpd_helo_restrictions=$mua_helo_restrictions  
#  -o smtpd_sender_restrictions=$mua_sender_restrictions  
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject  
#  -o milter_macro_daemon_name=ORIGINATING  
smtps     inet  n       -       -       -       -       smtpd  
  -o syslog_name=postfix/smtps  
  -o smtpd_tls_wrappermode=yes  
  -o smtpd_sasl_auth_enable=yes  
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
#  -o smtpd_reject_unlisted_recipient=no  
#  -o smtpd_client_restrictions=$mua_client_restrictions  
#  -o smtpd_helo_restrictions=$mua_helo_restrictions  
#  -o smtpd_sender_restrictions=$mua_sender_restrictions  
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject  
#  -o milter_macro_daemon_name=ORIGINATING  
[...]

NOTA: Gli spazi bianchi davanti alle righe “-o …. “ sono importanti!

Riavvia Postfix successivamente:

service postfix restart

Vogliamo che MariaDB/MySQL ascolti su tutte le interfacce, non solo su localhost. Pertanto modifichiamo /etc/mysql/mariadb.conf.d/50-server.cnf (per MariaDB) o /etc/mysql/my.cnf (per MySQL) e commentiamo la riga bind-address = 127.0.0.1:

MariaDB

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]  
# Invece di skip-networking il predefinito è ora ascoltare solo su  
# localhost che è più compatibile e non è meno sicuro.  
#bind-address           = 127.0.0.1  
[...]

Ora impostiamo una password root in MariaDB. Esegui:

mysql_secure_installation

Ti verranno poste queste domande:

Inserisci la password attuale per root (premi invio per nessuna): <-- premi invio  
Impostare la password root? [Y/n] <-- y  
Nuova password: <-- Inserisci qui la nuova password root di MariaDB  
Reinserisci la nuova password: <-- Ripeti la password  
Rimuovere utenti anonimi? [Y/n] <-- y  
Disabilitare l'accesso remoto per root? [Y/n] <-- y  
Ricaricare le tabelle dei privilegi ora? [Y/n] <-- y

Imposta il metodo di autenticazione della password in MariaDB su nativo in modo da poter utilizzare PHPMyAdmin in seguito per connetterti come utente root:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Modifica il file /etc/mysql/debian.cnf e imposta la password root di MYSQL / MariaDB lì due volte nelle righe che iniziano con password.

nano /etc/mysql/debian.cnf

La password root di MySQL che deve essere aggiunta è mostrata in lettura, in questo esempio la password è “howtoforge”.

# Generato automaticamente per gli script Debian. NON TOCCARE!  
[client]  
host = localhost  
user = root  
password = howtoforge  
socket = /var/run/mysqld/mysqld.sock  
[mysql_upgrade]  
host = localhost  
user = root  
password = howtoforge  
socket = /var/run/mysqld/mysqld.sock  
basedir = /usr

Poi riavviamo MariaDB:

service mysql restart

Il nome del servizio systemd per MariaDB e MySQL è “mysql”, quindi il comando di riavvio è lo stesso per entrambi i server di database.

MySQL

nano /etc/mysql/my.cnf

[...]  
# Invece di skip-networking il predefinito è ora ascoltare solo su  
# localhost che è più compatibile e non è meno sicuro.  
#bind-address           = 127.0.0.1  
[...]

Poi riavviamo MySQL:

service mysql restart

Il nome del servizio systemd per MariaDB e MySQL è “mysql”, quindi il comando di riavvio è lo stesso per entrambi i server di database.

Per MySQL e MariaDB:

Ora controlla che la rete sia abilitata. Esegui:

netstat -tap | grep mysql

L’output dovrebbe apparire così:

root@server1:~# netstat -tap | grep mysql  
tcp6 0 0 [::]:mysql [::]:* LISTEN 12210/mysqld

7. Installa Amavisd-new, SpamAssassin e ClamAV

Per installare amavisd-new, SpamAssassin e ClamAV, eseguiamo

apt-get -y install amavisd-new spamassassin clamav clamav-daemon unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl postgrey libdbd-mysql-perl

La configurazione di ISPConfig 3 utilizza amavisd-new che carica internamente la libreria del filtro SpamAssassin, quindi possiamo fermare SpamAssassin per liberare RAM:

service spamassassin stop  
update-rc.d -f spamassassin remove

Per aggiornare le firme antivirus di ClamAV e avviare il servizio Clamd. Il processo di aggiornamento può richiedere del tempo, non interromperlo.

freshclam  
service clamav-daemon start

Il seguente errore può essere ignorato al primo avvio di freshclam.

ERROR: /var/log/clamav/freshclam.log is locked by another process  
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

Il programma amavisd-new ha attualmente un bug in Ubuntu 18.04 che impedisce che le email vengano firmate correttamente con Dkim. Esegui i seguenti comandi per patchare amavisd-new.

cd /tmp  
wget https://git.ispconfig.org/ispconfig/ispconfig3/raw/stable-3.1/helper_scripts/ubuntu-amavisd-new-2.11.patch  
cd /usr/sbin  
cp -pf amavisd-new amavisd-new_bak  
patch < /tmp/ubuntu-amavisd-new-2.11.patch

Nel caso tu riceva un errore per l’ultimo comando ‘patch’, allora Ubuntu ha probabilmente risolto il problema nel frattempo, quindi dovrebbe essere sicuro ignorare quell’errore.

7.1 Installa il Server XMPP Metronome (opzionale)

Il Server XMPP Metronome fornisce un server di chat XMPP. Questo passaggio è facoltativo, se non hai bisogno di un server di chat, puoi saltare questo passaggio. Nessun’altra funzione di ISPConfig dipende da questo software.

Installa i seguenti pacchetti con apt.

apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks

luarocks install lpc

Aggiungi un utente shell per Metronome.

adduser --no-create-home --disabled-login --gecos 'Metronome' metronome

Scarica Metronome nella directory /opt e compila.

cd /opt; git clone https://github.com/maranda/metronome.git metronome  
cd ./metronome; ./configure --ostype=debian --prefix=/usr  
make  
make install

Metronome è ora installato in /opt/metronome.