완벽한 서버 - 페도라 15 x86_64 [ISPConfig 3] - 페이지 5

15 Amavisd-new, SpamAssassin 및 ClamAV 설치

amavisd-new, spamassassin 및 clamav를 설치하려면 다음 명령을 실행하십시오:

yum install amavisd-new spamassassin clamav clamav-data clamav-server clamav-update unzip bzip2 perl-DBD-mysql

ClamAV를 설치할 때, ClamAV 바이러스 데이터베이스를 3시간마다 업데이트하려고 시도하는 cron 작업이 설치됩니다. 그러나 이는 /etc/sysconfig/freshclam 및 /etc/freshclam.conf에서 활성화해야만 작동합니다:

vi /etc/sysconfig/freshclam

끝에 있는 FRESHCLAM_DELAY 줄을 주석 처리하십시오:

| ## freshclam 실행의 주기를 변경할 때, ## 이 값도 조정해야 합니다. 이 값은 ## 두 개의 연속적인 freshclam 실행 사이의 시간 간격(분)입니다. 예를 들어 기본값 ## ## | 0 */3 * * * ... ## ## crontab 줄의 경우, 값은 180(분)입니다. # FRESHCLAM_MOD= ## 초 단위로 지연을 위한 미리 정의된 값입니다. 기본적으로 이 값은 ## 'hostid' 프로그램에 의해 계산됩니다. 이 미리 정의된 값은 ## 두 개의 연속적인 freshclam 실행 사이의 3시간의 일정한 간격을 보장합니다. ## ## 이 옵션은 두 개의 특별한 값을 허용합니다: ## 'disabled-warn' ... 자동 freshclam 업데이트를 비활성화하고 ## 경고를 출력합니다. ## 'disabled' ... 자동 freshclam을 조용히 비활성화합니다. # FRESHCLAM_DELAY= ### !!!!! 나를 제거하십시오 !!!!! ### 나를 제거하십시오: 기본적으로 freshclam 업데이트는 ### 나를 제거하십시오: 사전 활성화 없이 네트워크 접근을 피하기 위해 비활성화되어 있습니다. #FRESHCLAM_DELAY=disabled-warn # 나를 제거하십시오 |

vi /etc/freshclam.conf

Example 줄을 주석 처리하십시오:

| [...] # 아래 줄을 주석 처리하거나 제거하십시오. #Example [...] |

그런 다음 freshclam, amavisd 및 clamd를 시작합니다…

sa-update
chkconfig –levels 235 amavisd on
chkconfig –levels 235 clamd.amavisd on
/usr/bin/freshclam
/etc/init.d/amavisd start
/etc/init.d/clamd.amavisd start

다음으로 다음을 수행하십시오:

rm -f /var/spool/amavisd/clamd.sock
mkdir /var/run/clamav.amavisd /var/run/clamd.amavisd /var/run/amavisd
chown amavis /var/run/clamav.amavisd
chown amavis /var/run/clamd.amavisd
chown amavis /var/run/amavisd
ln -sf /var/spool/amavisd/clamd.sock /var/run/clamav.amavisd/clamd.sock
ln -sf /var/spool/amavisd/clamd.sock /var/run/clamd.amavisd/clamd.sock
/etc/init.d/clamd.amavisd restart

페도라 15에는 런타임 데이터를 저장하기 위한 /run 디렉토리가 있습니다. /run은 이제 tmpfs이며, /var/run 및 /var/lock은 이제 tmpfs에서 /run 및 /run/lock에 바인드 마운트되어 있으며, 따라서 재부팅 시 비워집니다 (자세한 내용은 https://docs.fedoraproject.org/en-US/Fedora/15/html/Release_Notes/sect-Release_Notes-Changes_for_SysAdmin.html 참조).

이는 재부팅 후 방금 생성한 /var/run/clamav.amavisd, /var/run/clamd.amavisd 및 /var/run/amavisd 디렉토리가 더 이상 존재하지 않으며, 따라서 clamd 및 amavisd가 시작되지 않을 것임을 의미합니다. 따라서 시스템 시작 시 이러한 디렉토리를 생성할 /etc/tmpfiles.d/amavisd.conf 파일을 생성합니다 (자세한 내용은 http://0pointer.de/public/systemd-man/tmpfiles.d.html 참조):

vi /etc/tmpfiles.d/amavisd.conf

| D /var/run/clamav.amavisd 0755 amavis root - D /var/run/clamd.amavisd 0755 amavis root - D /var/run/amavisd 0755 amavis root - |

16 mod_php, mod_fcgi/PHP5 및 suPHP 설치

ISPConfig 3는 웹사이트별로 mod_php, mod_fcgi/PHP5, cgi/PHP5 및 suPHP를 사용할 수 있습니다.

다음과 같이 mod_php5, mod_fcgid 및 PHP5와 함께 Apache2를 설치할 수 있습니다:

yum install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel

다음으로 /etc/php.ini를 엽니다…

vi /etc/php.ini

… 그리고 오류 보고를 변경하고 (알림이 더 이상 표시되지 않도록) cgi.fix_pathinfo=1의 주석을 제거합니다:

| [...] ;error_reporting = E_ALL & ~E_DEPRECATED error_reporting = E_ALL & ~E_NOTICE [...] ; cgi.fix_pathinfo는 CGI에 대한 *실제* PATH_INFO/PATH_TRANSLATED 지원을 제공합니다. PHP의 ; 이전 동작은 PATH_TRANSLATED를 SCRIPT_FILENAME으로 설정하고, ; PATH_INFO가 무엇인지 이해하지 못하는 것이었습니다. PATH_INFO에 대한 자세한 내용은 cgi 사양을 참조하십시오. 이를 1로 설정하면 PHP CGI가 ; 사양에 맞게 경로를 수정합니다. 0으로 설정하면 PHP가 이전과 같이 동작합니다. 기본값은 1입니다. 스크립트를 수정해야 합니다. ; SCRIPT_FILENAME을 사용하도록 하십시오. ; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo cgi.fix_pathinfo=1 [...] |

다음으로 suPHP를 설치합니다:

cd /tmp
wget http://www.suphp.org/download/suphp-0.7.1.tar.gz
tar xvfz suphp-0.7.1.tar.gz
cd suphp-0.7.1/
./configure –prefix=/usr –sysconfdir=/etc –with-apr=/usr/bin/apr-1-config –with-apxs=/usr/sbin/apxs –with-apache-user=apache –with-setid-mode=owner –with-php=/usr/bin/php-cgi –with-logfile=/var/log/httpd/suphp_log –enable-SUPHP_USE_USERGROUP=yes
make
make install

그런 다음 Apache 구성에 suPHP 모듈을 추가합니다…

vi /etc/httpd/conf.d/suphp.conf

| LoadModule suphp_module modules/mod_suphp.so |

… 그리고 다음과 같이 /etc/suphp.conf 파일을 생성합니다:

vi /etc/suphp.conf

| [global] ;로그 파일 경로 logfile=/var/log/httpd/suphp.log ;로그 레벨 loglevel=info ;Apache가 실행되는 사용자 webserver_user=apache ;모든 스크립트가 있어야 하는 경로 docroot=/ ;스크립트를 실행하기 전에 chroot()할 경로 ;chroot=/mychroot ; 보안 옵션 allow_file_group_writeable=true allow_file_others_writeable=false allow_directory_group_writeable=true allow_directory_others_writeable=false ;스크립트가 DOCUMENT_ROOT 내에 있는지 확인 check_vhost_docroot=true ;경미한 오류 메시지를 브라우저로 전송 errors_to_browser=false ;PATH 환경 변수 env_path=/bin:/usr/bin ;설정할 umask, 8진수 표기법으로 지정 umask=0077 ; 최소 UID min_uid=100 ; 최소 GID min_gid=100 [handlers] ;php 스크립트에 대한 핸들러 x-httpd-suphp="php:/usr/bin/php-cgi" ;CGI 스크립트에 대한 핸들러 x-suphp-cgi="execute:!self" |

마지막으로 Apache를 재시작합니다:

/etc/init.d/httpd restart

16.1 루비

버전 3.0.3부터 ISPConfig 3는 루비에 대한 기본 지원을 제공합니다. CGI/FastCGI를 사용하는 대신 ISPConfig는 서버의 Apache에서 mod_ruby가 사용 가능해야 합니다.

페도라 15에는 mod_ruby 패키지가 없으므로 직접 컴파일해야 합니다. 먼저 몇 가지 필수 패키지를 설치합니다:

yum install ruby ruby-devel

다음으로 mod_ruby를 다음과 같이 다운로드하고 설치합니다:

cd /tmp
wget http://modruby.net/archive/mod_ruby-1.3.0.tar.gz
tar zxvf mod_ruby-1.3.0.tar.gz
cd mod_ruby-1.3.0/
./configure.rb –with-apr-includes=/usr/include/apr-1
make
make install

마지막으로 mod_ruby 모듈을 Apache 구성에 추가해야 하므로 /etc/httpd/conf.d/ruby.conf 파일을 생성합니다…

vi /etc/httpd/conf.d/ruby.conf

| LoadModule ruby_module modules/mod_ruby.so RubyAddPath /1.8 |

… 그리고 Apache를 재시작합니다:

/etc/init.d/httpd restart

(만약 RubyAddPath /1.8 지시어를 생략하면, Ruby 파일을 호출할 때 Apache의 오류 로그에서 다음과 같은 오류를 볼 수 있습니다:

[Thu May 26 02:05:05 2011] [error] mod_ruby: ruby:0:in `require’: no such file to load – apache/ruby-run (LoadError)
[Thu May 26 02:05:05 2011] [error] mod_ruby: failed to require apache/ruby-run
[Thu May 26 02:05:05 2011] [error] mod_ruby: error in ruby ) #### 16.2 WebDAV WebDAV는 이미 활성화되어 있어야 하지만, 이를 확인하려면 /etc/httpd/conf/httpd.conf를 열고 다음 세 개의 모듈이 활성화되어 있는지 확인하십시오: vi /etc/httpd/conf/httpd.conf | [...] LoadModule auth_digest_module modules/mod_auth_digest.so [...] LoadModule dav_module modules/mod_dav.so [...] LoadModule dav_fs_module modules/mod_dav_fs.so [...] | /etc/httpd/conf/httpd.conf를 수정해야 하는 경우, Apache를 재시작하는 것을 잊지 마십시오: /etc/init.d/httpd restart ### 17 PureFTPd 설치 PureFTPd는 다음 명령으로 설치할 수 있습니다: yum install pure-ftpd 그런 다음 시스템 시작 링크를 생성하고 PureFTPd를 시작합니다: chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start 이제 PureFTPd를 구성하여 FTP 및 TLS 세션을 허용합니다. FTP는 모든 비밀번호와 모든 데이터가 일반 텍스트로 전송되기 때문에 매우 안전하지 않은 프로토콜입니다. TLS를 사용하면 전체 통신을 암호화할 수 있어 FTP를 훨씬 더 안전하게 만들 수 있습니다. OpenSSL은 TLS에 필요합니다. OpenSSL을 설치하려면 다음과 같이 실행합니다: yum install openssl /etc/pure-ftpd/pure-ftpd.conf를 엽니다… vi /etc/pure-ftpd/pure-ftpd.conf FTP 및 TLS 세션을 허용하려면 TLS를 1로 설정합니다: | [...] # 이 옵션은 세 가지 값을 허용합니다: # 0 : SSL/TLS 암호화 계층 비활성화 (기본값). # 1 : 전통적인 세션과 암호화된 세션 모두 허용. # 2 : SSL/TLS 보안 메커니즘을 사용하지 않는 연결을 거부, # 익명 세션 포함. # 이 옵션을 맹목적으로 주석 해제하지 마십시오. 다음을 확인하십시오: # 1) 서버가 SSL/TLS 지원으로 컴파일되었는지 (--with-tls), # 2) 유효한 인증서가 준비되어 있는지, # 3) 호환 가능한 클라이언트만 로그인할 수 있는지. TLS 1 [...] | TLS를 사용하기 위해 SSL 인증서를 생성해야 합니다. /etc/ssl/private/에 생성하므로 먼저 해당 디렉토리를 생성합니다: mkdir -p /etc/ssl/private/ 그 후, 다음과 같이 SSL 인증서를 생성할 수 있습니다: openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem 국가 이름 (2자리 코드) [XX]: <– 귀하의 국가 이름을 입력하십시오 (예: “DE”).
주 또는 지방 이름 (전체 이름) []: <– 귀하의 주 또는 지방 이름을 입력하십시오.
지역 이름 (예: 도시) [기본 도시]: <– 귀하의 도시를 입력하십시오.
조직 이름 (예: 회사) [기본 회사]: <– 귀하의 조직 이름을 입력하십시오 (예: 회사 이름).
조직 단위 이름 (예: 섹션) []: <– 귀하의 조직 단위 이름을 입력하십시오 (예: “IT 부서”).
공통 이름 (예: 귀하의 이름 또는 서버의 호스트 이름) []: <– 시스템의 완전한 도메인 이름을 입력하십시오 (예: “server1.example.com”).
이메일 주소 []: <– 귀하의 이메일 주소를 입력하십시오. SSL 인증서의 권한을 변경합니다: chmod 600 /etc/ssl/private/pure-ftpd.pem 마지막으로 PureFTPd를 재시작합니다: /etc/init.d/pure-ftpd restart 그게 전부입니다. 이제 FTP 클라이언트를 사용하여 연결을 시도할 수 있습니다. 그러나 FTP 클라이언트를 TLS를 사용하도록 구성해야 합니다. ### 18 BIND 설치 BIND는 다음과 같이 설치할 수 있습니다: yum install bind bind-utils 다음으로 /etc/sysconfig/named를 엽니다… vi /etc/sysconfig/named … 그리고 ROOTDIR=/var/named/chroot 줄을 주석 처리합니다: | # BIND named 프로세스 옵션 # ~~~~~~~~~~~~~~~~~~~~~~~~~~ # 현재 다음 옵션을 사용할 수 있습니다: # # ROOTDIR="/var/named/chroot" -- named를 chroot 환경에서 실행합니다. # chroot 환경을 설정해야 합니다 # (bind-chroot 패키지를 설치) 이 작업을 수행하기 전에. # 참고: # 이러한 디렉토리는 ROOTDIR 디렉토리에서 비어 있을 경우 자동으로 chroot에 마운트됩니다. # 이는 chroot 환경의 유지 관리를 단순화합니다. # - /var/named # - /etc/pki/dnssec-keys # - /etc/named # - /usr/lib64/bind 또는 /usr/lib/bind (아키텍처에 따라 다름) # # 대상 파일이 chroot에 존재하지 않으면 이러한 파일도 마운트됩니다. # - /etc/named.conf # - /etc/rndc.conf # - /etc/rndc.key # - /etc/named.rfc1912.zones # - /etc/named.dnssec.keys # - /etc/named.iscdlv.key # # "$AddUnixListenSocket /var/named/chroot/dev/log" 줄을 /etc/rsyslog.conf 파일에 추가하는 것을 잊지 마십시오. # 그렇지 않으면 rsyslogd 데몬이 재시작될 때 로깅이 중단됩니다 (예: 업데이트로 인해). # # OPTIONS="whatever" -- 이러한 추가 옵션은 시작 시 named에 전달됩니다. # 여기에서 -t를 추가하지 마십시오. 대신 ROOTDIR를 사용하십시오. # # KEYTAB_FILE="/dir/file" -- named 서비스 키탭 파일을 지정합니다 (GSS-TSIG용) # # DISABLE_ZONE_CHECKING -- 기본적으로, initscript는 named-checkzone # 유틸리티를 모든 존에 대해 호출하여 모든 존이 # 유효한지 확인합니다. 이 옵션을 'yes'로 설정하면 initscript는 # 이러한 검사를 수행하지 않습니다. #ROOTDIR=/var/named/chroot | 그런 다음 시작 링크를 생성합니다: chkconfig --levels 235 named on 지금은 BIND를 시작하지 않습니다. 먼저 구성해야 하며, 이는 ISPConfig 3 설치 프로그램이 나중에 자동으로 수행합니다. ### 19 Vlogger, Webalizer 및 AWStats 설치 Vlogger, webalizer 및 AWStats는 다음과 같이 설치할 수 있습니다: yum install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder cd /tmp
wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz
tar xvfz vlogger-1.3.tar.gz
mv vlogger-1.3/vlogger /usr/sbin/
rm -rf vlogger ### 20 Jailkit 설치 Jailkit은 SSH 사용자를 chroot하려는 경우에만 필요합니다. 다음과 같이 설치할 수 있습니다 (중요: Jailkit은 ISPConfig 이전에 설치되어야 하며, 이후에는 설치할 수 없습니다!): cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.14.tar.gz
tar xvfz jailkit-2.14.tar.gz
cd jailkit-2.14
./configure
make
make install
cd ..
rm -rf jailkit-2.14 ### 21 fail2ban 설치 이는 선택 사항이지만 권장됩니다. ISPConfig 모니터가 로그를 표시하려고 시도하기 때문입니다: yum install fail2ban chkconfig –levels 235 fail2ban on
/etc/init.d/fail2ban start ### 22 rkhunter 설치 rkhunter는 다음과 같이 설치할 수 있습니다: yum install rkhunter