完璧なサーバー - Fedora 14 x86_64 [ISPConfig 3] - ページ 5

15 mod_php, mod_fcgi/PHP5, および suPHP のインストール

ISPConfig 3では、ウェブサイトごとにmod_php、mod_fcgi/PHP5、cgi/PHP5、およびsuPHPを使用できます。

Apache2をmod_php5、mod_fcgid、およびPHP5でインストールするには、以下のようにします：

yum install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel 

次に、/etc/php.iniを開きます…

vi /etc/php.ini

… エラーレポートを変更し（通知が表示されないように）、cgi.fix_pathinfo = 1のコメントを解除します：

| [...] ;error_reporting = E_ALL & ~E_DEPRECATED error_reporting = E_ALL & ~E_NOTICE [...] ; cgi.fix_pathinfoはCGIのための*本物の* PATH_INFO/PATH_TRANSLATEDサポートを提供します。 PHPの ; 以前の動作は、PATH_TRANSLATEDをSCRIPT_FILENAMEに設定し、 ; PATH_INFOが何であるかを理解しないことでした。 PATH_INFOの詳細については、cgi仕様を参照してください。 これを1に設定すると、PHP CGIは仕様に従ってパスを修正します。 0に設定すると、PHPは以前のように動作します。 デフォルトは1です。 スクリプトを修正して、PATH_TRANSLATEDではなくSCRIPT_FILENAMEを使用する必要があります。 ; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo cgi.fix_pathinfo=1 [...] |

次に、suPHPをインストールします：

cd /tmp
wget http://www.suphp.org/download/suphp-0.7.1.tar.gz
tar xvfz suphp-0.7.1.tar.gz
cd suphp-0.7.1/
./configure –prefix=/usr –sysconfdir=/etc –with-apr=/usr/bin/apr-1-config –with-apxs=/usr/sbin/apxs –with-apache-user=apache –with-setid-mode=owner –with-php=/usr/bin/php-cgi –with-logfile=/var/log/httpd/suphp_log –enable-SUPHP_USE_USERGROUP=yes
make
make install

次に、suPHPモジュールをApacheの設定に追加します…

vi /etc/httpd/conf.d/suphp.conf

| LoadModule suphp_module modules/mod_suphp.so |

… /etc/suphp.confというファイルを以下のように作成します：

vi /etc/suphp.conf

| [global] ;ログファイルへのパス logfile=/var/log/httpd/suphp.log ;ログレベル loglevel=info ;Apacheが実行されているユーザー webserver_user=apache ;すべてのスクリプトが存在する必要があるパス docroot=/ ;スクリプトを実行する前にchroot()するパス ;chroot=/mychroot ; セキュリティオプション allow_file_group_writeable=true allow_file_others_writeable=false allow_directory_group_writeable=true allow_directory_others_writeable=false ;スクリプトがDOCUMENT_ROOT内にあるかどうかを確認 check_vhost_docroot=true ;ブラウザに小さなエラーメッセージを送信 errors_to_browser=false ;PATH環境変数 env_path=/bin:/usr/bin ;設定するumask、8進数表記で指定 umask=0077 ; 最小UID min_uid=100 ; 最小GID min_gid=100 [handlers] ;phpスクリプトのハンドラー x-httpd-suphp="php:/usr/bin/php-cgi" ;CGIスクリプトのハンドラー x-suphp-cgi="execute:!self" |

最後にApacheを再起動します：

/etc/init.d/httpd restart

15.1 Ruby

バージョン3.0.3以降、ISPConfig 3はRubyの組み込みサポートを提供しています。 CGI/FastCGIの代わりに、ISPConfigはサーバーのApacheでmod_rubyが利用可能であることに依存しています。

Fedora 14では、mod_rubyパッケージは利用できないため、自分でコンパイルする必要があります。 まず、いくつかの前提条件をインストールします：

yum install ruby ruby-devel

次に、mod_rubyを以下のようにダウンロードしてインストールします：

cd /tmp
wget http://modruby.net/archive/mod_ruby-1.3.0.tar.gz
tar zxvf mod_ruby-1.3.0.tar.gz
cd mod_ruby-1.3.0/
./configure.rb –with-apr-includes=/usr/include/apr-1
make
make install

最後に、mod_rubyモジュールをApacheの設定に追加する必要があるため、/etc/httpd/conf.d/ruby.confというファイルを作成します…

vi /etc/httpd/conf.d/ruby.conf

| LoadModule ruby_module modules/mod_ruby.so |

… そしてApacheを再起動します：

/etc/init.d/httpd restart

15.2 WebDAV

WebDAVはすでに有効になっているはずですが、これを確認するために、/etc/httpd/conf/httpd.confを開き、以下の3つのモジュールがアクティブであることを確認します：

vi /etc/httpd/conf/httpd.conf

| [...] LoadModule auth_digest_module modules/mod_auth_digest.so [...] LoadModule dav_module modules/mod_dav.so [...] LoadModule dav_fs_module modules/mod_dav_fs.so [...] |

/etc/httpd/conf/httpd.confを修正する必要がある場合は、その後Apacheを再起動するのを忘れないでください：

/etc/init.d/httpd restart 

16 PureFTPdのインストール

PureFTPdは以下のコマンドでインストールできます：

yum install pure-ftpd

次に、システム起動リンクを作成し、PureFTPdを起動します：

chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start

次に、PureFTPdを構成してFTPおよびTLSセッションを許可します。 FTPは非常に安全でないプロトコルであり、すべてのパスワードとすべてのデータが平文で転送されます。 TLSを使用することで、通信全体を暗号化できるため、FTPははるかに安全になります。

TLSにはOpenSSLが必要です。 OpenSSLをインストールするには、単に次のように実行します：

yum install openssl

/etc/pure-ftpd/pure-ftpd.confを開きます…

vi /etc/pure-ftpd/pure-ftpd.conf

FTPおよびTLSセッションを許可する場合は、TLSを1に設定します：

| [...] # このオプションは3つの値を受け入れることができます： # 0 : SSL/TLS暗号化レイヤーを無効にする（デフォルト）。 # 1 : 従来のセッションと暗号化されたセッションの両方を受け入れる。 # 2 : SSL/TLSセキュリティメカニズムを使用しない接続を拒否する、 # 匿名セッションを含む。 # このコメントを盲目的に解除しないでください。 確認してください： # 1) サーバーがSSL/TLSサポートでコンパイルされていること（--with-tls）、 # 2) 有効な証明書が存在すること、 # 3) 互換性のあるクライアントのみがログインすること。 TLS 1 [...] |

TLSを使用するには、SSL証明書を作成する必要があります。 私は/etc/ssl/private/に作成するので、まずそのディレクトリを作成します：

mkdir -p /etc/ssl/private/

その後、次のようにSSL証明書を生成できます：

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem 

国名（2文字コード）[XX]: <– 国名を入力します（例：「DE」）。
州または県名（フルネーム）[]: <– 州または県名を入力します。
地方名（例：都市）[デフォルトの都市]: <– 都市名を入力します。
組織名（例：会社）[デフォルトの会社名]: <– 組織名を入力します（例：会社名）。
組織単位名（例：部門）[]: <– 組織単位名を入力します（例：「IT部門」）。
共通名（例：あなたの名前またはサーバーのホスト名）[]: <– システムの完全修飾ドメイン名を入力します（例：「server1.example.com」）。
メールアドレス[]: <– メールアドレスを入力します。

SSL証明書の権限を変更します：

chmod 600 /etc/ssl/private/pure-ftpd.pem

最後にPureFTPdを再起動します：

 /etc/init.d/pure-ftpd restart

これで完了です。 FTPクライアントを使用して接続を試みることができますが、FTPクライアントをTLSを使用するように構成する必要があります - 次の章でFileZillaを使用してこれを行う方法を説明します。

17 BINDのインストール

BINDは以下のようにインストールできます：

yum install bind bind-utils

次に、/etc/sysconfig/namedを開きます…

vi /etc/sysconfig/named

… ROOTDIR=/var/named/chroot行のコメントを解除します：

| # BIND namedプロセスオプション # ~~~~~~~~~~~~~~~~~~~~~~~~~~ # 現在、次のオプションを使用できます： # # ROOTDIR="/var/named/chroot" -- chroot環境でnamedを実行します。 # chroot環境を設定する必要があります # （bind-chrootパッケージをインストール） # これを行う前に。 # 注意： # これらのディレクトリは、ROOTDIRディレクトリ内が # 空である場合に自動的にchrootにマウントされます。 これにより、 # chroot環境のメンテナンスが簡素化されます。 # - /var/named # - /etc/pki/dnssec-keys # - /etc/named # - /usr/lib64/bindまたは/usr/lib/bind（アーキテクチャ依存） # # 対象ファイルがchroot内に存在しない場合、これらのファイルもマウントされます。 # - /etc/named.conf # - /etc/rndc.conf # - /etc/rndc.key # - /etc/named.rfc1912.zones # - /etc/named.dnssec.keys # - /etc/named.iscdlv.key # # /etc/rsyslog.confファイルに「$AddUnixListenSocket /var/named/chroot/dev/log」 # 行を追加するのを忘れないでください。 そうしないと、rsyslogdデーモンが再起動されると # ログが壊れます（例えば、更新時など）。 # # OPTIONS="whatever" -- これらの追加オプションは、起動時にnamedに渡されます。 # ここに-tを追加しないでください。 ROOTDIRを使用してください。 # # KEYTAB_FILE="/dir/file" -- namedサービスのkeytabファイルを指定します（GSS-TSIG用） #ROOTDIR=/var/named/chroot |

次に、起動リンクを作成します：

chkconfig --levels 235 named on

BINDはまだ起動しません。最初に構成する必要があります - これは後でISPConfig 3インストーラーによって自動的に行われます。

18 Vlogger、Webalizer、およびAWStatsのインストール

Vlogger、webalizer、およびAWStatsは以下のようにインストールできます：

yum install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder

cd /tmp
wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz
tar xvfz vlogger-1.3.tar.gz
mv vlogger-1.3/vlogger /usr/sbin/
rm -rf vlogger*

19 Jailkitのインストール

Jailkitは、SSHユーザーをchrootしたい場合にのみ必要です。 これは以下のようにインストールできます（重要：JailkitはISPConfigの前にインストールする必要があります - その後にインストールすることはできません！）：

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.13.tar.gz
tar xvfz jailkit-2.13.tar.gz
cd jailkit-2.13
./configure
make
make install
cd ..
rm -rf jailkit-2.13*

20 fail2banのインストール

これはオプションですが推奨されます。なぜなら、ISPConfigモニターがログを表示しようとするからです：

yum install fail2ban

chkconfig –levels 235 fail2ban on
/etc/init.d/fail2ban start

21 rkhunterのインストール

rkhunterは以下のようにインストールできます：

yum install rkhunter