완벽한 서버 확장 - 데비안 스퀴즈 [ISPConfig 3]

버전 1.0
저자: 토마스 ( http://iopen.gr)
마지막 수정 2012-02-05 (2012년 2월 5일)

다음 튜토리얼은 데비안 스퀴즈에 BIND 및 Courier가 설치된 ISPConfig 3에 대한 “완벽한 서버…. “를 확장합니다. 기본 포트(ssh, ispconfig, webmin)를 변경하는 방법, 유용한 애플리케이션(webmin, roundcube, atop, htop, multitail, tiger 등)을 설치하는 방법, awstats를 주기적으로(하루에 한 번 이상) 또는 원하는 대로 업데이트하는 방법, 클라이언트의 데이터 백업을 생성하는 방법(주기적으로) 및 마지막으로 성능(mysqltuner, tuning-primer) 또는 보안(사용자 정의 방화벽 규칙, (D)Dos Deflate, fail2ban 수정)을 위해 시스템을 조정하는 방법을 설명합니다.

이 튜토리얼은 저에게 효과가 있었으며, 댓글에서 언급된 오류를 수정했지만, 여러분에게도 효과가 있을 것이라고 보장할 수는 없습니다.

특히 이 튜토리얼은 다음을 설명합니다:

Webmin을 설치하고 포트를 50000으로 변경합니다.
ISPConfig의 기본 포트를 8080에서 50443으로 변경합니다.
모든 사용자가 SSL(포트 50443 – ISPConfig와 동일)로 /webmail에서 접근할 수 있도록 Roundcube를 설치합니다.
fail2ban을 확장하고 작은 패치를 적용합니다.
multitail을 설치하고 유용한 로그를 모두 보기 위한 간단한 명령을 사용합니다.
SSH의 포트 22를 50022로 변경합니다.
phpmyadmin에 SSL(포트 50443 – ISPConfig와 동일)로 기본 URL과 다른 URL(예: /mydomaindb)로 접근합니다.
서버에 유용한 앱/확장(htop, php-apc, iptraf, logwatch 등)을 설치합니다.
원하는 대로 awstats를 수동 또는 자동으로 업데이트합니다.
mysql 설치에서 조정할 설정을 제안하는 mysqltuner 또는 tuning-primer와 같은 스크립트를 사용하여 mysql 설정을 개선합니다.
특정 –고집스러운– IP 또는 네트워크를 차단하거나/및 간단한 ddos 공격으로부터 서버를 보호하기 위해 사용자 정의 규칙을 사용하여 시스템을 강화합니다. (D)Dos Deflate와 함께.
클라이언트의 웹 폴더와 데이터베이스의 일일 백업을 생성하여 다운로드할 수 있도록 합니다.

이 튜토리얼을 따르려면 다음을 읽고 적용해야 합니다:

완벽한 서버 - 데비안 스퀴즈 (데비안 6.0) BIND 및 Courier와 함께 [ISPConfig 3]

ISPconfig 패널과 웹메일에 SSL을 통해 접근하려면 ISPConfig 3 매뉴얼의 6.2 ISPConfig 웹 인터페이스에 대한 SSL 활성화 장이나 이 게시물을 따라야 합니다. (이는 제어판과 웹메일 인터페이스를 SSL을 통해 포트 8080에서 접근하려는 경우에만 필요합니다.)

여기서 주의: 향후 업데이트 후 문제를 피하려면 다음을 수행하십시오:

cp /etc/apache2/ssl/ispserver.crt /usr/local/ispconfig/interface/ssl/ispserver.crt
cp /etc/apache2/ssl/ispserver.key /usr/local/ispconfig/interface/ssl/ispserver.key

그리고 /etc/apache2/sites-enabled/000-ispconfig.vhost를 편집하여 매뉴얼을 따라 붙여넣은 줄을 제거하고 SSL에 대한 기본 줄의 주석을 제거합니다.

nano /etc/apache2/sites-enabled/000-ispconfig.vhost

내용은 다음과 같아야 합니다:

[...]  
  # SSL 구성  
  SSLEngine On  
  SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt  
  SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key  
[...]

위의 내용을 따랐다면, 마지막으로 이 게시물에서 suExec 및 ISPConfig 3에 대한 해결 방법을 읽었다고 가정합니다.

이 방법은 데비안 스퀴즈에서 ISPConfig 3에 대한 Easy RoundCube(SSL을 통해) 및 Webmin과 fail2ban의 (주요) 업데이트 버전으로 많은 추가 사항이 포함되어 있습니다.

진행하기 전에 서버가 정상 작동하고 있으며 만족하는지 확인하십시오. 이 튜토리얼을 따르면 많은 변경이 이루어지며, 이는 오류 발생 시 많은 디버깅이 필요합니다!

1. WEBMIN

Webmin을 설치하면 매우 주의해야 합니다. Webmin을 ISPConfig의 중요한 부분(아파치, 포스트픽스, imap, pop3, dns) 설정 편집에 사용해서는 안 됩니다. 비상 상황이나 ISPConfig와 간섭하지 않는 작업(예: 방화벽, 부트 스크립트, 크론 등)을 수행할 때만 사용해야 합니다.

Webmin을 설치하려면 먼저 몇 가지 종속성을 설치해야 합니다:

apt-get install libapt-pkg-perl libauthen-pam-perl libio-pty-perl apt-show-versions

최신 Webmin을 http://www.webmin.com/download.html에서 다운로드합니다:

cd /tmp
wget http://prdownloads.sourceforge.net/webadmin/webmin_1.530_all.deb

그리고 설치합니다:

dpkg -i webmin_1.530_all.deb

기본값이 아닌 다른 포트로 변경하기 전에 방화벽에 포트를 추가하는 것을 잊지 마십시오. ISPConfig의 기본값을 사용하는 경우 시스템 -> 방화벽으로 이동하여 원하는 포트를 추가합니다(이 매뉴얼에서는 Webmin에 50000, ISPConfig에 50443, ssh에 50022를 사용합니다). 저장하고 새 포트가 작동하는 것이 확실할 때까지 이전 포트(8080, 10000, 22)를 제거하지 마십시오.

Webmin의 기본 포트를 변경하려면 /etc/webmin/miniserv.conf 파일을 편집합니다:

nano /etc/webmin/miniserv.conf

그리고 Port=10000 및 listen=10000을 Port=50000 및 listen=50000으로 변경합니다. Webmin을 재시작합니다:

/etc/init.d/webmin restart

https://www.example.com:50000을 방문하여 Webmin 인터페이스를 통해 업데이트를 설치합니다. Webmin의 인증서가 사용자 정의 서명된 것이므로 보안 경고를 수락해야 합니다.

2. ISPConfig 제어판에 대한 다른 포트 설정

ISPConfig 제어판의 기본 포트(8080)를 다른 포트(예: 50443)로 변경하려면:

nano /etc/apache2/sites-enabled/000-ispconfig.vhost

그리고 8080에 대한 모든 참조가 50443으로 변경되었는지 확인합니다. 제 경우는 다음과 같습니다(첫 번째 줄만 표시됨):

[...]  
Listen 50443  
NameVirtualHost *:50443  
  
  
[...]

아파치를 재시작하고 https://www.example.com:50443에서 제어판에 접근합니다:

/etc/init.d/apache2 restart