완벽한 서버 - Ubuntu 16.10 (Yakkety Yak)와 Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot 및 ISPConfig 3.1

이 튜토리얼은 Apache2, Postfix, Dovecot, Bind 및 PureFTPD를 사용하여 Ubuntu 16.10 (Yakkety Yak) 웹 호스팅 서버의 설치를 보여주며 ISPConfig 3.1 설치를 준비합니다. 결과 시스템은 웹, 메일, 메일링 리스트, DNS 및 FTP 서버를 제공합니다.

ISPConfig 3는 웹 브라우저를 통해 다음 서비스를 구성할 수 있는 웹 호스팅 제어판입니다: Apache 또는 nginx 웹 서버, Postfix 메일 서버, Courier 또는 Dovecot IMAP/POP3 서버, MySQL, BIND 또는 MyDNS 네임서버, PureFTPd, SpamAssassin, ClamAV 등. 이 설정은 Apache(대신 Nginx), BIND(대신 MyDNS) 및 Dovecot(대신 Courier)의 설치를 포함합니다.

이 튜토리얼은 LTS(장기 지원) 버전이 아닌 Ubuntu 16.10에 관한 것입니다. 대부분의 사용자는 업데이트 및 보안 패치를 더 오랜 기간 받을 수 있는 LTS 버전을 선호합니다. 최신 LTS 릴리스는 Ubuntu 16.04이며, 이 튜토리얼은 Ubuntu 16.04 버전도 존재합니다. 최신 패키지가 필요하다면(짧은 지원 기간에 문제가 없다면) 이 튜토리얼을 계속 진행하십시오. 장기 지원이 필요하다면 Ubuntu 16.04 완벽한 서버 튜토리얼을 대신 사용하십시오.

1. 사전 참고

이 튜토리얼에서는 호스트 이름 server1.example.com과 IP 주소 192.168.1.100 및 게이트웨이 192.168.1.1을 사용합니다. 이러한 설정은 귀하의 경우 다를 수 있으므로 적절한 곳에서 교체해야 합니다. 계속 진행하기 전에 튜토리얼에 설명된 대로 Ubuntu 16.10의 기본 최소 설치가 필요합니다.

2. /etc/apt/sources.list 편집 및 Linux 설치 업데이트

/etc/apt/sources.list를 편집합니다. 파일에서 설치 CD를 주석 처리하거나 제거하고 universe 및 multiverse 저장소가 활성화되어 있는지 확인합니다. 이후에는 다음과 같이 보여야 합니다:

nano /etc/apt/sources.list

#  
# deb cdrom:[Ubuntu-Server 16.10 _Yakkety Yak_ - Release amd64 (20161012.1)]/ yakkety main restricted  
#deb cdrom:[Ubuntu-Server 16.10 _Yakkety Yak_ - Release amd64 (20161012.1)]/ yakkety main restricted  
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to  
# newer versions of the distribution.  
deb http://de.archive.ubuntu.com/ubuntu/ yakkety main restricted  
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety main restricted  
## Major bug fix updates produced after the final release of the  
## distribution.  
deb http://de.archive.ubuntu.com/ubuntu/ yakkety-updates main restricted  
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety-updates main restricted  
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu  
## team. Also, please note that software in universe WILL NOT receive any  
## review or updates from the Ubuntu security team.  
deb http://de.archive.ubuntu.com/ubuntu/ yakkety universe  
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety universe  
deb http://de.archive.ubuntu.com/ubuntu/ yakkety-updates universe  
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety-updates universe  
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu  
## team, and may not be under a free licence. Please satisfy yourself as to  
## your rights to use the software. Also, please note that software in  
## multiverse WILL NOT receive any review or updates from the Ubuntu  
## security team.  
deb http://de.archive.ubuntu.com/ubuntu/ yakkety multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety multiverse  
deb http://de.archive.ubuntu.com/ubuntu/ yakkety-updates multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety-updates multiverse  
## N.B. software from this repository may not have been tested as  
## extensively as that contained in the main release, although it includes  
## newer versions of some applications which may provide useful features.  
## Also, please note that software in backports WILL NOT receive any review  
## or updates from the Ubuntu security team.  
deb http://de.archive.ubuntu.com/ubuntu/ yakkety-backports main restricted universe multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety-backports main restricted universe multiverse  
## Uncomment the following two lines to add software from Canonical's  
## 'partner' repository.  
## This software is not part of Ubuntu, but is offered by Canonical and the  
## respective vendors as a service to Ubuntu users.  
# deb http://archive.canonical.com/ubuntu yakkety partner  
# deb-src http://archive.canonical.com/ubuntu yakkety partner  
deb http://security.ubuntu.com/ubuntu yakkety-security main restricted  
# deb-src http://security.ubuntu.com/ubuntu yakkety-security main restricted  
deb http://security.ubuntu.com/ubuntu yakkety-security universe  
# deb-src http://security.ubuntu.com/ubuntu yakkety-security universe  
deb http://security.ubuntu.com/ubuntu yakkety-security multiverse  
# deb-src http://security.ubuntu.com/ubuntu yakkety-security multiverse

그런 다음 실행합니다

apt-get update

apt 패키지 데이터베이스를 업데이트하고

apt-get upgrade

최신 업데이트를 설치합니다(있는 경우). 업데이트의 일환으로 새로운 커널이 설치되는 것을 보면, 그 후 시스템을 재부팅해야 합니다:

reboot

3. 기본 셸 변경

/bin/sh는 /bin/dash에 대한 심볼릭 링크이지만, 우리는 /bin/bash가 필요합니다. 따라서 다음과 같이 합니다:

dpkg-reconfigure dash

기본 시스템 셸로 dash를 사용합니까? <– 아니요

이 작업을 수행하지 않으면 ISPConfig 설치가 실패합니다.

4. AppArmor 비활성화

AppArmor는 확장된 보안을 제공해야 하는 보안 확장(SELinux와 유사)입니다. 제 생각에는 안전한 시스템을 구성하는 데 필요하지 않으며, 일반적으로 장점보다 더 많은 문제를 일으킵니다(어떤 서비스가 예상대로 작동하지 않아 일주일 동안 문제를 해결한 후 모든 것이 괜찮았고, 단지 AppArmor가 문제를 일으켰다는 것을 알게 되는 경우를 생각해 보십시오). 따라서 이를 비활성화합니다(나중에 ISPConfig를 설치하려면 반드시 필요합니다).

다음과 같이 비활성화할 수 있습니다:

service apparmor stop  
update-rc.d -f apparmor remove   
apt-get remove apparmor apparmor-utils

5. 시스템 시계 동기화

물리적 서버를 운영할 때 NTP (network time protocol) 서버와 시스템 시계를 동기화하는 것이 좋습니다. 가상 서버를 운영하는 경우 이 단계를 건너뛰어야 합니다. 다음을 실행하기만 하면 됩니다:

apt-get -y install ntp ntpdate

그러면 시스템 시간이 항상 동기화됩니다.

6. Postfix, Dovecot, MariaDB, rkhunter 및 binutils 설치

Postfix를 설치하기 위해 sendmail이 설치되어 있지 않고 실행되고 있지 않은지 확인해야 합니다. sendmail을 중지하고 제거하려면 다음 명령을 실행합니다:

service sendmail stop; update-rc.d -f sendmail remove

오류 메시지:

Failed to stop sendmail.service: Unit sendmail.service not loaded.

괜찮습니다. 이는 sendmail이 설치되지 않았음을 의미하므로 제거할 것이 없었습니다.

이제 Postfix, Dovecot, MariaDB( MySQL 대체), rkhunter 및 binutils를 단일 명령으로 설치할 수 있습니다:

apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo

다음 질문을 받게 됩니다:

General type of mail configuration: <-- Internet Site  
System mail name: <-- server1.example.com

시스템 메일 이름으로 server1.example.com 또는 server1.yourdomain.com과 같은 하위 도메인을 사용하는 것이 중요하며, 나중에 이메일 도메인으로 사용하고자 하는 도메인(예: yourdomain.tld)은 사용하지 않아야 합니다.

다음으로 Postfix에서 TLS/SSL 및 제출 포트를 엽니다:

nano /etc/postfix/master.cf

제출 및 smtps 섹션의 주석을 제거하고 다음과 같이 -o smtpd_client_restrictions=permit_sasl_authenticated,reject를 두 섹션 모두에 추가하고 이후의 모든 것은 주석 처리된 상태로 둡니다:

[...]  
submission inet n       -       -       -       -       smtpd  
  -o syslog_name=postfix/submission  
  -o smtpd_tls_security_level=encrypt  
  -o smtpd_sasl_auth_enable=yes  
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
#  -o smtpd_reject_unlisted_recipient=no  
#  -o smtpd_client_restrictions=$mua_client_restrictions  
#  -o smtpd_helo_restrictions=$mua_helo_restrictions  
#  -o smtpd_sender_restrictions=$mua_sender_restrictions  
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject  
#  -o milter_macro_daemon_name=ORIGINATING  
smtps     inet  n       -       -       -       -       smtpd  
  -o syslog_name=postfix/smtps  
  -o smtpd_tls_wrappermode=yes  
  -o smtpd_sasl_auth_enable=yes  
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
#  -o smtpd_reject_unlisted_recipient=no  
#  -o smtpd_client_restrictions=$mua_client_restrictions  
#  -o smtpd_helo_restrictions=$mua_helo_restrictions  
#  -o smtpd_sender_restrictions=$mua_sender_restrictions  
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject  
#  -o milter_macro_daemon_name=ORIGINATING  
[...]

참고: “-o …. “ 줄 앞의 공백은 중요합니다!

그 후 Postfix를 재시작합니다:

service postfix restart

MySQL이 localhost뿐만 아니라 모든 인터페이스에서 수신 대기하도록 하려면 /etc/mysql/mariadb.conf.d/50-server.cnf를 편집하고 bind-address = 127.0.0.1 줄의 주석을 제거합니다:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]  
# Instead of skip-networking the default is now to listen only on  
# localhost which is more compatible and is not less secure.  
#bind-address           = 127.0.0.1  
[...]

이제 MariaDB에서 루트 비밀번호를 설정합니다. 실행:

mysql_secure_installation

다음 질문을 받게 됩니다:

Enter current password for root (enter for none): <-- press enter  
Set root password? [Y/n] <-- y  
New password: <-- Enter the new MariaDB root password here  
Re-enter new password: <-- Repeat the password  
Remove anonymous users? [Y/n] <-- y  
Disallow root login remotely? [Y/n] <-- y  
Reload privilege tables now? [Y/n] <-- y

MariaDB에서 비밀번호 인증 방법을 네이티브로 설정하여 나중에 PHPMyAdmin을 통해 루트 사용자로 연결할 수 있도록 합니다:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

파일 /etc/mysql/debian.cnf를 편집하고 MYSQL / MariaDB 루트 비밀번호를 두 번 추가합니다. 비밀번호가 필요한 행은 password로 시작합니다.

nano /etc/mysql/debian.cnf

추가해야 할 MySQL 루트 비밀번호는 읽기 전용으로 표시되며, 이 예제에서는 비밀번호가 “howtoforge”입니다.

# Automatically generated for Debian scripts. DO NOT TOUCH!  
[client]  
host = localhost  
user = root  
password = howtoforge  
socket = /var/run/mysqld/mysqld.sock  
[mysql_upgrade]  
host = localhost  
user = root  
password = howtoforge  
socket = /var/run/mysqld/mysqld.sock  
basedir = /usr

그런 다음 MariaDB를 재시작합니다:

service mysql restart

이제 네트워킹이 활성화되었는지 확인합니다. 실행:

netstat -tap | grep mysql

출력은 다음과 같아야 합니다:

root@server1:~# netstat -tap | grep mysql  
tcp6 0 0 [::]:mysql [::]:* LISTEN 23476/mysqld  
root@server1:~#

7. Amavisd-new, SpamAssassin 및 Clamav 설치

amavisd-new, SpamAssassin 및 ClamAV를 설치하려면 다음을 실행합니다:

apt-get -y install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl postgrey

ISPConfig 3 설정은 내부적으로 SpamAssassin 필터 라이브러리를 로드하는 amavisd를 사용하므로 RAM을 확보하기 위해 SpamAssassin을 중지할 수 있습니다:

service spamassassin stop  
update-rc.d -f spamassassin remove

ClamAV를 시작하려면:

freshclam  
service clamav-daemon start

freshclam의 첫 번째 실행에서 다음 오류는 무시할 수 있습니다.

ERROR: /var/log/clamav/freshclam.log is locked by another process  
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

7.1 Metronome XMPP 서버 설치 (선택 사항)

Metronome XMPP 서버는 XMPP 채팅 서버를 제공합니다. 이 단계는 선택 사항이며, 채팅 서버가 필요하지 않다면 이 단계를 건너뛸 수 있습니다. 다른 ISPConfig 기능은 이 소프트웨어에 의존하지 않습니다.

다음 패키지를 apt로 설치합니다.

apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks

luarocks install lpc

Metronome에 대한 셸 사용자를 추가합니다.

adduser --no-create-home --disabled-login --gecos 'Metronome' metronome

/opt 디렉토리에 Metronome을 다운로드하고 컴파일합니다.

cd /opt; git clone https://github.com/maranda/metronome.git metronome  
cd ./metronome; ./configure --ostype=debian --prefix=/usr  
make  
make install

이제 Metronome이 /opt/metronome에 설치되었습니다.