サーバー設定 · 6 min read · Jan 25, 2026

完璧なサーバー - Debian 8.4 Jessie (Apache2, BIND, Dovecot, ISPConfig 3.1) - ページ 2

10 Apache2, PHP, FCGI, suExec, Pear, phpMyAdmin, および mcrypt のインストール

Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear, および mcrypt は以下のようにインストールできます:

apt-get install apache2 apache2.2-common apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libapache2-mod-php5 php5 php5-common php5-gd php5-mysql php5-imap phpmyadmin php5-cli php5-cgi libapache2-mod-fcgid apache2-suexec php-pear php-auth php5-mcrypt mcrypt php5-imagick imagemagick libruby libapache2-mod-python php5-curl php5-intl php5-memcache php5-memcached php5-pspell php5-recode php5-sqlite php5-tidy php5-xmlrpc php5-xsl memcached libapache2-mod-passenger

次の質問が表示されます:

Web server to reconfigure automatically: <- apache2  
 Configure database for phpmyadmin with dbconfig-common? <- yes  
Enter the password of the administrative user? <- yourrootmysqlpassword  
Enter the phpmyadmin application password? <-  Just press enter

次に、Apache モジュール suexec, rewrite, ssl, actions, および include (WebDAV を使用する場合は dav, dav_fs, および auth_digest も) を有効にするために次のコマンドを実行します:

a2enmod suexec rewrite ssl actions include dav_fs dav auth_digest cgi headers

サーバーが HTTPOXY 脆弱性を通じて攻撃されないように、/etc/apache2/conf-available/httpoxy.conf という設定ファイルを追加して、HTTP_PROXY ヘッダーをグローバルに無効にします。

sudo nano /etc/apache2/conf-available/httpoxy.conf

ファイルに次の内容を貼り付けます:


    RequestHeader unset Proxy early

次のコマンドを実行してモジュールを有効にします:

a2enconf httpoxy  
service apache2 restart

10.1 HHVM (HipHop Virtual Machine) のインストール

このステップでは、公式の Debian リポジトリから HHVM をインストールします。HHVM リポジトリを追加し、キーをインポートします。

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0x5a16e7281be7a449  
echo deb http://dl.hhvm.com/debian jessie main | sudo tee /etc/apt/sources.list.d/hhvm.list

パッケージリストを更新します:

sudo apt-get update

HHVM をインストールします:

sudo apt-get install hhvm

10.2 SuPHP のインストール (オプションだが推奨しない)

更新された注意: SuPHP はもはやインストールすべきではありません。ステップ 11 に進んでください。

SuPHP は Debian Jessie ではもはや利用できません。ISPConfig では、php-fpm や php-fcgi などのより良い PHP モードが利用可能なため、suPHP モードはもはや使用すべきではありません。レガシーの理由で本当に suPHP が必要な場合は、この章の手順に従って手動でコンパイルしてください。しかし、インストールは推奨しません。

apt-get install apache2-dev build-essential autoconf automake libtool flex bison debhelper binutils
cd /usr/local/src  
wget http://suphp.org/download/suphp-0.7.2.tar.gz  
tar zxvf suphp-0.7.2.tar.gz  
wget -O suphp.patch https://lists.marsching.com/pipermail/suphp/attachments/20130520/74f3ac02/attachment.patch  
patch -Np1 -d suphp-0.7.2 < suphp.patch  
cd suphp-0.7.2  
autoreconf -if  
./configure --prefix=/usr/ --sysconfdir=/etc/suphp/ --with-apr=/usr/bin/apr-1-config --with-apache-user=www-data --with-setid-mode=owner --with-logfile=/var/log/suphp/suphp.log  
make  
make install

suphp 設定ディレクトリと suphp.conf ファイルを作成します:

mkdir /var/log/suphp  
mkdir /etc/suphp  
nano /etc/suphp/suphp.conf
[global]  
;ログファイルへのパス  
logfile=/var/log/suphp/suphp.log  
  
;ログレベル  
loglevel=info  
  
;Apache が実行しているユーザー  
webserver_user=www-data  
  
;すべてのスクリプトが存在する必要があるパス  
docroot=/var/www  
  
;スクリプトを実行する前に chroot() するパス  
;chroot=/mychroot  
  
; セキュリティオプション  
allow_file_group_writeable=false  
allow_file_others_writeable=false  
allow_directory_group_writeable=false  
allow_directory_others_writeable=false  
  
;DOCUMENT_ROOT 内にスクリプトがあるかどうかをチェック  
check_vhost_docroot=true  
  
;ブラウザに小さなエラーメッセージを送信  
errors_to_browser=false  
  
;PATH 環境変数  
env_path=/bin:/usr/bin  
  
;設定する umask、8 進数で指定  
umask=0022  
  
; 最小 UID  
min_uid=100  
  
; 最小 GID  
min_gid=100  
  
[handlers]  
;php スクリプト用のハンドラ  
x-httpd-suphp="php:/usr/bin/php-cgi"  
  
;CGI スクリプト用のハンドラ  
x-suphp-cgi=execute:!self  
umask=0022

次に、Apache で suphp モジュールを読み込むための設定ファイルを追加します:

echo "LoadModule suphp_module /usr/lib/apache2/modules/mod_suphp.so" > /etc/apache2/mods-available/suphp.load

次に、/etc/apache2/mods-available/suphp.conf を開きます…

nano /etc/apache2/mods-available/suphp.conf

… 次の内容を追加します:


        AddType application/x-httpd-suphp .php .php3 .php4 .php5 .phtml
        suPHP_AddHandler application/x-httpd-suphp

    
        suPHP_Engine on
    

    # デフォルトでは、Debian パッケージの Web アプリケーションに対して suPHP を無効にします。
    # ファイルは root に所有されており、min_uid のために suPHP によって実行できません。
    
        suPHP_Engine off
    

# # 特定の php 設定ファイルを使用します (php.ini ファイルを含むディレクトリ)
#       suPHP_ConfigPath /etc/php5/cgi/suphp/
# # mod_suphp に  タイプのリクエストを処理しないように指示します。
#       suPHP_RemoveHandler

Apache で suphp モジュールを有効にします:

a2enmod suphp

その後、Apache を再起動します:

service apache2 restart

11 Let’s Encrypt のインストール

ISPConfig 3.1 には、無料の SSL 証明書機関 Let’s Encrypt のサポートがあります。Let’s Encrypt 機能を使用すると、ISPConfig 内からウェブサイトの無料 SSL 証明書を作成できます。

次に、Let’s Encrypt のサポートを追加します。

mkdir /opt/certbot  
cd /opt/certbot  
wget https://dl.eff.org/certbot-auto  
chmod a+x ./certbot-auto

次に、certbot-auto コマンドを実行して、ソフトウェアとその依存関係をダウンロードしてインストールします。

./certbot-auto

コマンドは「設定ファイルに名前が見つかりませんでした」と表示し、続行するかどうかを尋ねます。ここでは「いいえ」を選択してください。証明書は ISPConfig によって作成されます。

12 PHP-FPM と XCache のインストール

XCache は、PHP 中間コードをキャッシュおよび最適化するための無料でオープンな PHP opcode キャッシャーです。他の PHP opcode キャッシャー (eAccelerator や APC など) と似ています。PHP ページを高速化するために、これらのいずれかをインストールすることを強くお勧めします。

12.1 PHP-FPM (推奨)

ISPConfig 3.0.5 以降、Apache で使用するために選択できる追加の PHP モードがあります: PHP-FPM。

Apache で PHP-FPM を使用するには、mod_fastcgi Apache モジュールが必要です (mod_fcgid と混同しないでください - 非常に似ていますが、PHP-FPM を mod_fcgid で使用することはできません)。PHP-FPM と mod_fastcgi を以下のようにインストールできます:

apt-get install libapache2-mod-fastcgi php5-fpm

モジュールを有効にして Apache を再起動することを確認してください:

a2enmod actions fastcgi alias  
service apache2 restart

12.2 XCache のインストール

XCache は以下のようにインストールできます:

apt-get install php5-xcache

次に Apache を再起動します:

service apache2 restart

13 Mailman のインストール

ISPConfig を使用すると、Mailman メーリングリストを管理 (作成/変更/削除) できます。この機能を利用したい場合は、以下のように Mailman をインストールします:

apt-get install mailman

少なくとも 1 つの言語を選択します。例:

Languages to support: <-- en (English)  
 Missing site list <-- Ok

Mailman を開始する前に、最初のメーリングリストである mailman を作成する必要があります:

newlist mailman
root@server1:~# newlist mailman  
Enter the email of the person running the list: <-- admin email address, e.g. [email protected]  
Initial mailman password: <-- admin password for the mailman list  
To finish creating your mailing list, you must edit your /etc/aliases (or  
equivalent) file by adding the following lines, and possibly running the  
`newaliases' program:  
   
## mailman mailing list  
mailman:              "|/var/lib/mailman/mail/mailman post mailman"  
mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"  
mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"  
mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"  
mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"  
mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"  
mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"  
mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"  
mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"  
mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"  
   
Hit enter to notify mailman owner... <-- ENTER  
   
root@server1:~#

その後、/etc/aliases を開きます…

nano /etc/aliases

… 次の行を追加します:

[...]  
## mailman mailing list  
mailman:              "|/var/lib/mailman/mail/mailman post mailman"  
mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"  
mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"  
mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"  
mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"  
mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"  
mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"  
mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"  
mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"  
mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"

実行:

newaliases

そして Postfix を再起動します:

service postfix restart

最後に、Mailman の Apache 設定を有効にする必要があります:

ln -s /etc/mailman/apache.conf /etc/apache2/conf-enabled/mailman.conf

これにより、すべての Apache vhosts に対して /cgi-bin/mailman/ のエイリアスが定義され、Mailman の管理インターフェースに http://server1.example.com/cgi-bin/mailman/admin/ でアクセスでき、メーリングリストのユーザー向けのウェブページは http://server1.example.com/cgi-bin/mailman/listinfo/ で見つけることができます。

http://server1.example.com/pipermail ではメーリングリストのアーカイブを見つけることができます。

その後、Apache を再起動します:

service apache2 restart

次に、Mailman デーモンを起動します:

service mailman start

14 PureFTPd と Quota のインストール

PureFTPd と quota は以下のコマンドでインストールできます:

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

ファイル /etc/default/pure-ftpd-common を編集します…

nano /etc/default/pure-ftpd-common

… スタートモードがスタンドアロンに設定され、VIRTUALCHROOT=true に設定されていることを確認します:

[...]  
STANDALONE_OR_INETD=standalone  
[...]  
VIRTUALCHROOT=true  
[...]

次に、PureFTPd を構成して FTP および TLS セッションを許可します。FTP は非常に安全でないプロトコルであり、すべてのパスワードとすべてのデータが平文で転送されます。TLS を使用することで、通信全体を暗号化できるため、FTP ははるかに安全になります。

FTP および TLS セッションを許可する場合は、次のコマンドを実行します。

echo 1 > /etc/pure-ftpd/conf/TLS

TLS を使用するには、SSL 証明書を作成する必要があります。私は /etc/ssl/private/ に作成しますので、まずそのディレクトリを作成します:

mkdir -p /etc/ssl/private/

その後、次のように SSL 証明書を生成できます:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem
Country Name (2 letter code) [AU]: <-- 国名を入力します (例: "DE").  
State or Province Name (full name) [Some-State]: <-- 州または県名を入力します.  
Locality Name (eg, city) []: <-- 市名を入力します.  
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- 組織名を入力します (例: 会社名).  
Organizational Unit Name (eg, section) []: <-- 組織単位名を入力します (例: "IT 部門").  
Common Name (eg, YOUR name) []: <-- システムの完全修飾ドメイン名を入力します (例: "server1.example.com").  
Email Address []: <-- メールアドレスを入力します.

SSL 証明書の権限を変更します:

chmod 600 /etc/ssl/private/pure-ftpd.pem

次に、PureFTPd を再起動します:

service pure-ftpd-mysql restart

/etc/fstab を編集します。私のは次のようになっています (マウントポイント / に対して、usrjquota=quota.user, grpjquota=quota.group, jqfmt=vfsv0 を追加しました):

nano /etc/fstab
# /etc/fstab: static file system information.  
#  
# 'blkid' を使用してデバイスのユニバーサルユニーク識別子を印刷します; これは UUID= を使用してデバイスを名前付けするためのより堅牢な方法です  
# ディスクが追加または削除されても機能します。fstab(5) を参照してください。  
#  
#        
# / はインストール中に /dev/sda1 にありました  
UUID=3dc3b58d-97e5-497b-8254-a913fdfc5408 / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1  
# swap はインストール中に /dev/sda5 にありました  
UUID=36bf486e-8f76-492d-89af-5a8eb3ce8a02 none swap sw 0 0  
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0

クォータを有効にするには、次のコマンドを実行します:

mount -o remount /
quotacheck -avugm  
quotaon -avug

15 BIND DNS サーバーのインストール

BIND は以下のようにインストールできます:

apt-get install bind9 dnsutils

サーバーが仮想マシンの場合、DNSSEC 署名のために高いエントロピーを得るために haveged デーモンをインストールすることを強くお勧めします。非仮想サーバーでも haveged をインストールできますが、問題はありません。

apt-get install haveged

このトピックに関する説明はここにあります。

16 Webalizer と AWStats のインストール

Webalizer と AWStats は以下のようにインストールできます:

apt-get install webalizer awstats geoip-database libclass-dbi-mysql-perl libtimedate-perl

その後、/etc/cron.d/awstats を開き…

nano /etc/cron.d/awstats

… すべての行をコメントアウトします:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# 静的レポートを生成:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

17 Jailkit のインストール

Jailkit は、SSH ユーザーを chroot したい場合にのみ必要です。以下のようにインストールできます (重要: Jailkit は ISPConfig の前にインストールする必要があります - 後からインストールすることはできません!):

apt-get install build-essential autoconf automake libtool flex bison debhelper binutils
cd /tmp  
wget http://olivier.sessink.nl/jailkit/jailkit-2.19.tar.gz  
tar xvfz jailkit-2.19.tar.gz  
cd jailkit-2.19  
./debian/rules binary

次に、Jailkit.deb パッケージを以下のようにインストールできます:

cd ..  
dpkg -i jailkit_2.19-1_*.deb  
rm -rf jailkit-2.19*

18 fail2ban と UFW ファイアウォールのインストール

これはオプションですが推奨されます。なぜなら、ISPConfig モニターはログを表示しようとするからです:

apt-get install fail2ban

PureFTPd と Dovecot を監視するために fail2ban を設定するには、ファイル /etc/fail2ban/jail.local を作成します:

nano /etc/fail2ban/jail.local
[pureftpd]
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
maxretry = 3

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5

[postfix-sasl]
enabled  = true
port     = smtp
filter   = postfix-sasl
logpath  = /var/log/mail.log
maxretry = 3

次に、次の 2 つのフィルターファイルを作成します:

nano /etc/fail2ban/filter.d/pureftpd.conf
[Definition]
failregex = .*pure-ftpd: \(.*@\) \[WARNING\] Authentication failed for user.*
ignoreregex =
nano /etc/fail2ban/filter.d/dovecot-pop3imap.conf
[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P\S*),.*
ignoreregex =

次に、postfix-sasl フィルターファイルに ignoreregex 行を追加するには、次のコマンドを実行します:

echo "ignoreregex =" >> /etc/fail2ban/filter.d/postfix-sasl.conf

その後、fail2ban を再起動します:

service fail2ban restart

UFW ファイアウォールをインストールするには、次の apt コマンドを実行します:

apt-get install ufw
Share: X/Twitter LinkedIn
#サーバー設定

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。