完璧なサーバー - Fedora 15 x86_64 [ISPConfig 3] - ページ 5

15 Amavisd-new、SpamAssassin、ClamAVのインストール

amavisd-new、spamassassin、clamavをインストールするには、次のコマンドを実行します：

yum install amavisd-new spamassassin clamav clamav-data clamav-server clamav-update unzip bzip2 perl-DBD-mysql

ClamAVをインストールすると、3時間ごとにClamAVウイルスデータベースを更新しようとするcronジョブがインストールされます。しかし、これは/etc/sysconfig/freshclamと/etc/freshclam.confで有効にした場合のみ機能します：

vi /etc/sysconfig/freshclam

最後のFRESHCLAM_DELAY行をコメントアウトします：

| ## freshclamの実行の周期性をcrontabで変更する場合、 ## この値も調整する必要があります。その値は、 ## 2回の連続したfreshclam実行の間の時間間隔（分）です。例えば、デフォルトの ## ## | 0 */3 * * * ... ## ## crontab行の場合、その値は180（分）です。 # FRESHCLAM_MOD= ## 秒単位の遅延のための事前定義された値。デフォルトでは、この値は ## 'hostid'プログラムによって計算されます。この事前定義された値は、 ## 2回の連続したfreshclam実行の間の3時間の一定の時間間隔を保証します。 ## ## このオプションは2つの特別な値を受け入れます： ## 'disabled-warn' ... 自動freshclam更新を無効にし、 ## 警告を出します ## 'disabled' ... 自動freshclamを静かに無効にします # FRESHCLAM_DELAY= ### !!!!! 私を削除してください !!!!! ### 削除してください：デフォルトでは、freshclamの更新は無効になっており、 ### 削除してください：事前のアクティベーションなしにネットワークアクセスを避けるためです #FRESHCLAM_DELAY=disabled-warn # 削除してください |

vi /etc/freshclam.conf

Example行をコメントアウトします：

| [...] # 以下の行をコメントアウトまたは削除します。 #Example [...] |

次に、freshclam、amavisd、およびclamdを起動します…

sa-update
chkconfig –levels 235 amavisd on
chkconfig –levels 235 clamd.amavisd on
/usr/bin/freshclam
/etc/init.d/amavisd start
/etc/init.d/clamd.amavisd start

次に、これを行います：

rm -f /var/spool/amavisd/clamd.sock
mkdir /var/run/clamav.amavisd /var/run/clamd.amavisd /var/run/amavisd
chown amavis /var/run/clamav.amavisd
chown amavis /var/run/clamd.amavisd
chown amavis /var/run/amavisd
ln -sf /var/spool/amavisd/clamd.sock /var/run/clamav.amavisd/clamd.sock
ln -sf /var/spool/amavisd/clamd.sock /var/run/clamd.amavisd/clamd.sock
/etc/init.d/clamd.amavisd restart

Fedora 15には、ランタイムデータを保存するための/runディレクトリがあります。/runは現在tmpfsであり、/var/runと/var/lockは現在tmpfsから/runおよび/run/lockにバインドマウントされているため、再起動時に空になります（詳細についてはhttps://docs.fedoraproject.org/en-US/Fedora/15/html/Release_Notes/sect-Release_Notes-Changes_for_SysAdmin.htmlを参照してください）。

これは、再起動後に私たちが作成した/var/run/clamav.amavisd、/var/run/clamd.amavisd、および/var/run/amavisdディレクトリが存在しなくなり、そのためclamdとamavisdが起動に失敗することを意味します。したがって、システム起動時にこれらのディレクトリを作成する/etc/tmpfiles.d/amavisd.confファイルを作成します（詳細についてはhttp://0pointer.de/public/systemd-man/tmpfiles.d.htmlを参照してください）：

vi /etc/tmpfiles.d/amavisd.conf

| D /var/run/clamav.amavisd 0755 amavis root - D /var/run/clamd.amavisd 0755 amavis root - D /var/run/amavisd 0755 amavis root - |

16 mod_php、mod_fcgi/PHP5、およびsuPHPのインストール

ISPConfig 3では、mod_php、mod_fcgi/PHP5、cgi/PHP5、およびsuPHPをウェブサイトごとに使用できます。

次のようにして、mod_php5、mod_fcgid、およびPHP5を使用してApache2をインストールできます：

yum install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel

次に、/etc/php.iniを開きます…

vi /etc/php.ini

… そしてエラーレポートを変更します（通知が表示されないように）およびcgi.fix_pathinfo=1のコメントを外します：

| [...] ;error_reporting = E_ALL & ~E_DEPRECATED error_reporting = E_ALL & ~E_NOTICE [...] ; cgi.fix_pathinfoはCGIのための*実際の* PATH_INFO/PATH_TRANSLATEDサポートを提供します。PHPの ; 以前の動作は、PATH_TRANSLATEDをSCRIPT_FILENAMEに設定し、 ; PATH_INFOが何であるかを理解しなかったことです。PATH_INFOの詳細については、cgi仕様を参照してください。これを1に設定すると、PHP CGIは仕様に従ってパスを修正します。0に設定すると、PHPは以前のように動作します。デフォルトは1です。スクリプトをSCRIPT_FILENAMEを使用するように修正する必要があります。 ; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo cgi.fix_pathinfo=1 [...] |

次に、suPHPをインストールします：

cd /tmp
wget http://www.suphp.org/download/suphp-0.7.1.tar.gz
tar xvfz suphp-0.7.1.tar.gz
cd suphp-0.7.1/
./configure –prefix=/usr –sysconfdir=/etc –with-apr=/usr/bin/apr-1-config –with-apxs=/usr/sbin/apxs –with-apache-user=apache –with-setid-mode=owner –with-php=/usr/bin/php-cgi –with-logfile=/var/log/httpd/suphp_log –enable-SUPHP_USE_USERGROUP=yes
make
make install

次に、suPHPモジュールをApache構成に追加します…

vi /etc/httpd/conf.d/suphp.conf

| LoadModule suphp_module modules/mod_suphp.so |

… そして次のように/etc/suphp.confファイルを作成します：

vi /etc/suphp.conf

| [global] ;ログファイルへのパス logfile=/var/log/httpd/suphp.log ;ログレベル loglevel=info ;Apacheが実行されているユーザー webserver_user=apache ;すべてのスクリプトが存在する必要があるパス docroot=/ ;スクリプトを実行する前にchroot()するパス ;chroot=/mychroot ; セキュリティオプション allow_file_group_writeable=true allow_file_others_writeable=false allow_directory_group_writeable=true allow_directory_others_writeable=false ;スクリプトがDOCUMENT_ROOT内にあるかどうかを確認 check_vhost_docroot=true ;小さなエラーメッセージをブラウザに送信 errors_to_browser=false ;PATH環境変数 env_path=/bin:/usr/bin ;設定するumask、8進数表記で指定 umask=0077 ; 最小UID min_uid=100 ; 最小GID min_gid=100 [handlers] ;phpスクリプトのハンドラー x-httpd-suphp="php:/usr/bin/php-cgi" ;CGIスクリプトのハンドラー x-suphp-cgi="execute:!self" |

最後にApacheを再起動します：

/etc/init.d/httpd restart

16.1 Ruby

バージョン3.0.3から、ISPConfig 3はRubyの組み込みサポートを提供しています。CGI/FastCGIを使用する代わりに、ISPConfigはサーバーのApacheにmod_rubyが利用可能であることに依存しています。

Fedora 15にはmod_rubyパッケージが利用できないため、自分でコンパイルする必要があります。まず、いくつかの前提条件をインストールします：

yum install ruby ruby-devel

次に、次のようにmod_rubyをダウンロードしてインストールします：

cd /tmp
wget http://modruby.net/archive/mod_ruby-1.3.0.tar.gz
tar zxvf mod_ruby-1.3.0.tar.gz
cd mod_ruby-1.3.0/
./configure.rb –with-apr-includes=/usr/include/apr-1
make
make install

最後に、mod_rubyモジュールをApache構成に追加する必要があるため、/etc/httpd/conf.d/ruby.confファイルを作成します…

vi /etc/httpd/conf.d/ruby.conf

| LoadModule ruby_module modules/mod_ruby.so RubyAddPath /1.8 |

… そしてApacheを再起動します：

/etc/init.d/httpd restart

(もしRubyAddPath /1.8ディレクティブを省略すると、Rubyファイルを呼び出すとApacheのエラーログに次のようなエラーが表示されます：

[Thu May 26 02:05:05 2011] [error] mod_ruby: ruby:0:in `require’: no such file to load – apache/ruby-run (LoadError)
[Thu May 26 02:05:05 2011] [error] mod_ruby: failed to require apache/ruby-run
[Thu May 26 02:05:05 2011] [error] mod_ruby: error in ruby ) #### 16.2 WebDAV WebDAVはすでに有効になっているはずですが、これを確認するために/etc/httpd/conf/httpd.confを開き、次の3つのモジュールがアクティブであることを確認します： vi /etc/httpd/conf/httpd.conf | [...] LoadModule auth_digest_module modules/mod_auth_digest.so [...] LoadModule dav_module modules/mod_dav.so [...] LoadModule dav_fs_module modules/mod_dav_fs.so [...] | /etc/httpd/conf/httpd.confを修正する必要がある場合は、その後Apacheを再起動することを忘れないでください： /etc/init.d/httpd restart ### 17 PureFTPdのインストール PureFTPdは次のコマンドでインストールできます： yum install pure-ftpd 次に、システム起動リンクを作成し、PureFTPdを起動します： chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start 次に、PureFTPdを構成してFTPおよびTLSセッションを許可します。FTPは非常に安全でないプロトコルであり、すべてのパスワードとすべてのデータが平文で転送されます。TLSを使用することで、通信全体を暗号化でき、FTPをはるかに安全にします。 TLSにはOpenSSLが必要です。OpenSSLをインストールするには、次のように実行します： yum install openssl /etc/pure-ftpd/pure-ftpd.confを開きます… vi /etc/pure-ftpd/pure-ftpd.conf FTPおよびTLSセッションを許可する場合は、TLSを1に設定します： | [...] # このオプションは3つの値を受け入れることができます： # 0 : SSL/TLS暗号化レイヤーを無効にする（デフォルト）。 # 1 : 従来のセッションと暗号化されたセッションの両方を受け入れる。 # 2 : SSL/TLSセキュリティメカニズムを使用しない接続を拒否する、 # 匿名セッションを含む。 # この設定を盲目的にコメントアウトしないでください。次のことを確認してください： # 1) サーバーがSSL/TLSサポートでコンパイルされていること（--with-tls）、 # 2) 有効な証明書が存在すること、 # 3) 互換性のあるクライアントのみがログインすること。 TLS 1 [...] | TLSを使用するためには、SSL証明書を作成する必要があります。私は/etc/ssl/private/にそれを作成するので、まずそのディレクトリを作成します： mkdir -p /etc/ssl/private/ その後、次のようにSSL証明書を生成できます： openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem 国名（2文字コード）[XX]: <– 国名を入力します（例：「DE」）。
州または県名（フルネーム）[]: <– 州または県名を入力します。
地方名（例：市）[デフォルトの市]: <– 市名を入力します。
組織名（例：会社）[デフォルトの会社名]: <– 組織名を入力します（例：会社名）。
組織単位名（例：部門）[]: <– 組織単位名を入力します（例：「IT部門」）。
共通名（例：あなたの名前またはサーバーのホスト名）[]: <– システムの完全修飾ドメイン名を入力します（例：「server1.example.com」）。
メールアドレス[]: <– メールアドレスを入力します。 SSL証明書の権限を変更します： chmod 600 /etc/ssl/private/pure-ftpd.pem 最後にPureFTPdを再起動します： /etc/init.d/pure-ftpd restart これで完了です。FTPクライアントを使用して接続を試みることができますが、FTPクライアントをTLSを使用するように構成する必要があります。 ### 18 BINDのインストール 次のようにしてBINDをインストールできます： yum install bind bind-utils 次に、/etc/sysconfig/namedを開きます… vi /etc/sysconfig/named … そしてROOTDIR=/var/named/chroot行をコメントアウトします： | # BIND namedプロセスオプション # ~~~~~~~~~~~~~~~~~~~~~~~~~~ # 現在、次のオプションを使用できます： # # ROOTDIR="/var/named/chroot" -- chroot環境でnamedを実行します。 # chroot環境を設定する必要があります # （bind-chrootパッケージをインストール） # これを行う前に。 # 注意： # これらのディレクトリは、ROOTDIRディレクトリが空である場合に自動的にchrootにマウントされます。 # これにより、chroot環境のメンテナンスが簡素化されます。 # - /var/named # - /etc/pki/dnssec-keys # - /etc/named # - /usr/lib64/bindまたは/usr/lib/bind（アーキテクチャ依存） # # 対象ファイルがchrootに存在しない場合、これらのファイルもマウントされます。 # - /etc/named.conf # - /etc/rndc.conf # - /etc/rndc.key # - /etc/named.rfc1912.zones # - /etc/named.dnssec.keys # - /etc/named.iscdlv.key # # /etc/rsyslog.confファイルに「$AddUnixListenSocket /var/named/chroot/dev/log」 # 行を追加することを忘れないでください。そうしないと、rsyslogdデーモンが再起動されると（例えば、更新のために）、 # ロギングが壊れます。 # # OPTIONS="whatever" -- これらの追加オプションは、起動時にnamedに渡されます。 # ここに-tを追加しないでください。ROOTDIRを使用してください。 # # KEYTAB_FILE="/dir/file" -- namedサービスのkeytabファイルを指定します（GSS-TSIG用） # # DISABLE_ZONE_CHECKING -- デフォルトでは、initscriptはnamed-checkzone # ユーティリティをすべてのゾーンに対して呼び出し、すべてのゾーンが # 有効であることを確認します。これを「yes」に設定すると、initscriptは # これらのチェックを実行しません。 #ROOTDIR=/var/named/chroot | 次に、起動リンクを作成します： chkconfig --levels 235 named on 今はBINDを起動しません。最初に構成する必要があります - これは後でISPConfig 3インストーラーによって自動的に行われます。 ### 19 Vlogger、Webalizer、およびAWStatsのインストール Vlogger、webalizer、およびAWStatsは次のようにインストールできます： yum install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder cd /tmp
wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz
tar xvfz vlogger-1.3.tar.gz
mv vlogger-1.3/vlogger /usr/sbin/
rm -rf vlogger ### 20 Jailkitのインストール Jailkitは、SSHユーザーをchrootしたい場合にのみ必要です。次のようにインストールできます（重要：JailkitはISPConfigの前にインストールする必要があります - 後からインストールすることはできません！）： cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.14.tar.gz
tar xvfz jailkit-2.14.tar.gz
cd jailkit-2.14
./configure
make
make install
cd ..
rm -rf jailkit-2.14 ### 21 fail2banのインストール これはオプションですが推奨されます。なぜなら、ISPConfigモニターがログを表示しようとするからです： yum install fail2ban chkconfig –levels 235 fail2ban on
/etc/init.d/fail2ban start ### 22 rkhunterのインストール rkhunterは次のようにインストールできます： yum install rkhunter