完璧なサーバー - Debian Squeeze (Debian 6.0) BIND & Dovecot [ISPConfig 3] - ページ 4

10 Postfix、Dovecot、Saslauthd、MySQL、phpMyAdmin、rkhunter、binutilsのインストール

Postfix、Dovecot、Saslauthd、MySQL、phpMyAdmin、rkhunter、binutilsを1つのコマンドでインストールできます:

apt-get install postfix postfix-mysql postfix-doc mysql-client mysql-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d sudo 

次の質問が表示されます:

一般的なメール設定のタイプ: <– インターネットサイト
システムメール名: <– server1.example.com
MySQL “root” ユーザーの新しいパスワード: <– yourrootsqlpassword
MySQL “root” ユーザーのパスワードを再入力: <– yourrootsqlpassword

次に、PostfixでTLS/SSLおよび送信ポートを開きます:

vi /etc/postfix/master.cf

送信およびsmtpsセクションのコメントを解除します（-o milter_macro_daemon_name=ORIGINATINGは必要ないのでそのままにします）:

| [...] submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING [...] |

その後、Postfixを再起動します:

/etc/init.d/postfix restart

MySQLがlocalhostだけでなくすべてのインターフェースでリッスンするようにしたいので、/etc/mysql/my.cnfを編集し、bind-address = 127.0.0.1の行をコメントアウトします:

vi /etc/mysql/my.cnf

| [...] # skip-networkingの代わりにデフォルトは現在、 # localhostのみにリッスンすることです。これはより互換性があり、 # 安全性が低下することはありません。 #bind-address = 127.0.0.1 [...] |

次に、MySQLを再起動します:

/etc/init.d/mysql restart

ネットワークが有効になっているか確認します。次のコマンドを実行します:

netstat -tap | grep mysql

出力は次のようになります:

root@server1:~# netstat -tap | grep mysql
tcp 0 0 :mysql :* LISTEN 10617/mysqld
root@server1:~#

11

Amavisd-new、SpamAssassin、Clamavのインストール

amavisd-new、SpamAssassin、ClamAVをインストールするには、次のコマンドを実行します:

apt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl

ISPConfig 3のセットアップでは、内部でSpamAssassinフィルターライブラリをロードするamavisdを使用するため、RAMを解放するためにSpamAssassinを停止できます:

/etc/init.d/spamassassin stop
update-rc.d -f spamassassin remove

12

Apache2、PHP5、phpMyAdmin、FCGI、suExec、Pear、mcryptのインストール

Apache2、PHP5、phpMyAdmin、FCGI、suExec、Pear、mcryptは次のようにインストールできます:

apt-get install apache2 apache2.2-common apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libapache2-mod-php5 php5 php5-common php5-gd php5-mysql php5-imap phpmyadmin php5-cli php5-cgi libapache2-mod-fcgid apache2-suexec php-pear php-auth php5-curl php5-mcrypt mcrypt php5-imagick imagemagick libapache2-mod-suphp libruby libapache2-mod-ruby libapache2-mod-python libapache2-mod-perl2  

次の質問が表示されます:

自動的に再構成するWebサーバー: <– apache2
phpmyadminのデータベースをdbconfig-commonで構成しますか? <– いいえ

次に、Apacheモジュールのsuexec、rewrite、ssl、actions、includeを有効にするために次のコマンドを実行します（WebDAVを使用する場合はdav、dav_fs、auth_digestも追加します）:

a2enmod suexec rewrite ssl actions include
a2enmod dav_fs dav auth_digest

その後、Apacheを再起動します:

/etc/init.d/apache2 restart

13 PureFTPdとQuotaのインストール

PureFTPdとquotaは次のコマンドでインストールできます:

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

ファイル/etc/default/pure-ftpd-commonを編集します…

vi /etc/default/pure-ftpd-common

… そして、スタートモードがstandaloneに設定され、VIRTUALCHROOT=trueに設定されていることを確認します:

| [...] STANDALONE_OR_INETD=standalone [...] VIRTUALCHROOT=true [...] |

ファイル/etc/inetd.confを編集して、inetdがftpを起動しようとしないようにします:

vi /etc/inetd.conf

ftp stream tcpで始まる行がある場合は、それをコメントアウトします（そのようなファイルがない場合は問題ありませんので、/etc/inetd.confを変更する必要はありません）:

| [...] #:STANDARD: これらは標準サービスです。 #ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/pure-ftpd-wrapper [...] |

/etc/inetd.confを変更した場合は、今すぐinetdを再起動します:

/etc/init.d/openbsd-inetd restart 

次に、PureFTPdを構成してFTPおよびTLSセッションを許可します。FTPは非常に安全でないプロトコルであり、すべてのパスワードとすべてのデータが平文で転送されます。TLSを使用することで、通信全体を暗号化できるため、FTPははるかに安全になります。

FTPおよびTLSセッションを許可する場合は、次のコマンドを実行します:

echo 1 > /etc/pure-ftpd/conf/TLS

TLSを使用するには、SSL証明書を作成する必要があります。私はそれを/etc/ssl/private/に作成するため、まずそのディレクトリを作成します:

mkdir -p /etc/ssl/private/

その後、次のようにSSL証明書を生成できます:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem 

国名（2文字コード）[AU]: <– あなたの国名を入力してください（例: “DE”）。
州または県名（フルネーム）[Some-State]: <– あなたの州または県名を入力してください。
市名（例: city）[]: <– あなたの市名を入力してください。
組織名（例: company）[Internet Widgits Pty Ltd]: <– あなたの組織名を入力してください（例: あなたの会社名）。
組織単位名（例: section）[]: <– あなたの組織単位名を入力してください（例: “IT部門“）。
共通名（例: あなたの名前）[]: <– システムの完全修飾ドメイン名を入力してください（例: “server1.example.com”）。
メールアドレス[]: <– あなたのメールアドレスを入力してください。

SSL証明書の権限を変更します:

chmod 600 /etc/ssl/private/pure-ftpd.pem

次に、PureFTPdを再起動します:

/etc/init.d/pure-ftpd-mysql restart

/etc/fstabを編集します。私のは次のようになっています（マウントポイント/のパーティションにusrjquota=aquota.user、grpjquota=aquota.group、jqfmt=vfsv0を追加しました）:

vi /etc/fstab

| # /etc/fstab: 静的ファイルシステム情報。 # # 'blkid'を使用してデバイスのユニークな識別子を印刷します; # これはUUID=を使用してデバイスの名前をより堅牢にする方法として使用できます。 # ディスクが追加および削除されても機能します。fstab(5)を参照してください。 # # <ファイルシステム> <マウントポイント> <タイプ> <オプション> <ダンプ> <パス> proc /proc proc defaults 0 0 # /はインストール中/dev/sda1にありました UUID=92bceda2-5ae4-4e3a-8748-b14da48fb297 / ext3 errors=remount-ro,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 0 1 # スワップはインストール中/dev/sda5にありました UUID=e24b3e9e-095c-4b49-af27-6363a4b7d094 none swap sw 0 0 /dev/scd0 /media/cdrom0 udf,iso9660 user,noauto 0 0 /dev/fd0 /media/floppy0 auto rw,user,noauto 0 0 |

クォータを有効にするには、次のコマンドを実行します:

mount -o remount /

quotacheck -avugm
quotaon -avug

14 BIND DNSサーバーのインストール

BINDは次のようにインストールできます:

apt-get install bind9 dnsutils

15 Vlogger、Webalizer、AWstatsのインストール

Vlogger、webalizer、AWstatsは次のようにインストールできます:

apt-get install vlogger webalizer awstats geoip-database  

その後、/etc/cron.d/awstatsを開きます…

vi /etc/cron.d/awstats

… そして、そのファイル内の両方のcronジョブをコメントアウトします:

| #*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh # 静的レポートを生成します: #10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh |

16 Jailkitのインストール

Jailkitは、SSHユーザーをchrootしたい場合にのみ必要です。次のようにインストールできます（重要: JailkitはISPConfigの前にインストールする必要があります - その後にインストールすることはできません！）:

apt-get install build-essential autoconf automake1.9 libtool flex bison debhelper

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.14.tar.gz
tar xvfz jailkit-2.14.tar.gz
cd jailkit-2.14
./debian/rules binary
cd ..
dpkg -i jailkit2.14-1.deb
rm -rf jailkit-2.14