RoundCube Fácil (Sobre SSL) E Webmin Com fail2ban Para ISPConfig 3 No Debian Squeeze

Autor: Thomas ( http://iopen.gr)
Última edição: 2011-03-09

Eu prefiro a solução RoundCube em vez da padrão no ISPConfig 3. Também acho útil ter o webmin instalado em todos os meus sistemas. Neste post você pode ver uma maneira muito rápida de ter ambos instalados, em companhia do ótimo suporte do fail2ban. Finalmente, quero acessar todos eles sobre SSL (até mesmo o phpmyadmin – veja a dica no final).

Eu assumo que você seguiu o guia do falko:

O Servidor Perfeito - Debian Squeeze (Debian 6.0) Com BIND & Courier [ISPConfig 3]

Se você quiser acessar o Painel do ISPConfig e o webmail através de SSL, também assumo que você seguiu o capítulo 6.2 Habilitando SSL Para A Interface Web do ISPConfig do manual do ISPConfig 3 ou este post (isso é necessário apenas se você quiser acessar o painel de controle E a interface de webmail através de ssl na porta 8080).

Se você seguiu o acima (e o capítulo 6.3 – habilitando SuExec), então finalmente assumo que você leu a solução alternativa neste post.

Webmin

Baixe a versão mais recente do webmin em http://www.webmin.com/download.html…

wget http://prdownloads.sourceforge.net/webadmin/webmin_1.530_all.deb

… e instale:

dpkg -i webmin_1.530_all.deb

RoundCube

Se você não quiser o Squirrelmail, remova-o…

apt-get remove squirrelmail

… e delete o arquivo /etc/apache2/conf.d/squirrelmail.conf:

rm /etc/apache2/conf.d/squirrelmail.conf

OU se você quiser, edite o /etc/apache2/conf.d/squirrelmail.conf e mude o alias para algo como ‘webmail1’.

Instale o RoundCube (você DEVE ter a senha do administrador do mysql antes de prosseguir):

apt-get install roundcube roundcube-mysql

Você será perguntado algumas questões sobre a senha do administrador do db e o novo usuário para roundcube e seu banco de dados (e a senha). Responda a essas perguntas e continue. Se algo der errado, você sempre pode executar:

dpkg-reconfigure roundcube-core

Para mais informações, consulte este post.

Para que todos possam acessar seu webmail (sob seu nome de domínio), você deve criar ou editar o arquivo /etc/apache2/conf.d/roundcube.conf para definir o alias como ‘webmail’. Se você quiser SSL, deve incluir as duas últimas diretivas para que o Apache REDIRECIONE SEMPRE para sua instalação ssl do ISPConfig 3.

# Esses aliases não funcionam corretamente com vários hosts em seu servidor apache  
# Descomente-os para usá-los ou adapte-os à sua configuração  
#    Alias /roundcube/program/js/tiny_mce/ /usr/share/tinymce/www/  
    Alias /webmail /var/lib/roundcube  
    Alias /roundcube /var/lib/roundcube  
  
# Acesso aos arquivos tinymce  
  
      Options Indexes MultiViews FollowSymLinks  
      AllowOverride None  
      Order allow,deny  
      allow from all  
  
  
  
  Options +FollowSymLinks  
  # Isso é necessário para analisar /var/lib/roundcube/.htaccess. Veja seu  
  # conteúdo antes de definir AllowOverride como None.  
  AllowOverride All  
  order allow,deny  
  allow from all  
  
  
# Protegendo diretórios básicos:  
  
        Options -FollowSymLinks  
        AllowOverride None  
  
  
  
        Options -FollowSymLinks  
        AllowOverride None  
        Order allow,deny  
        Deny from all  
  
  
  
        Options -FollowSymLinks  
        AllowOverride None  
        Order allow,deny  
        Deny from all  
  
  
  
  
  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:8080%{REQUEST_URI}  [L]  
  
      
    
  
  
  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:8080%{REQUEST_URI}  [L]

Edite /var/lib/roundcube/config/main.inc.php e EDITE algumas variáveis no arquivo:

auto_create_user = TRUE;
$rcmail_config['default_host'] = 'localhost';

Se você quiser instalar o seguinte plugin (o logger que ajuda o fail2ban), você deve estender a lista de plugins no mesmo arquivo. Se o único plugin for o que será instalado logo após, você deve editar a linha como abaixo:

$rcmail_config['plugins'] = array('fail2ban');

Instale o plugin logger do roundcube em http://mattrude.com/projects/roundcube-fail2ban-plugin/.

Basicamente, você deve baixar o arquivo acima (fail2ban.php) e colá-lo na pasta fail2ban na pasta de plugins do roundcube: /usr/share/roundcube/plugins/fail2ban/fail2ban.php

Este plugin irá primeiro criar e depois atualizar o arquivo de log com cada tentativa de login: /var/log/roundcube/userlogins

Fail2ban

Estenda o arquivo jail.local que Falko sugere no O Servidor Perfeito - Debian Squeeze (Debian 6.0) Com BIND & Courier [ISPConfig 3]: /etc/fail2ban/jail.local

Você deve colar:

[roundcube]
enabled  = true
port     = http,8080
filter   = roundcube
logpath  = /var/log/roundcube/userlogins
maxretry = 5
[webmin-auth]
enabled = true
port    = 10000
filter  = webmin-auth
logpath  = /var/log/auth.log
maxretry = 3

A porta 8080 no roundcube é necessária apenas se você habilitou o redirecionamento para https.

Por último (e muito importante), não se esqueça de criar o arquivo roundcube.conf /etc/fail2ban/filter.d/roundcube.conf com o conteúdo abaixo:

[Definition]
failregex = FAILED login for .*. from 
ignoreregex =

Felizmente, o filtro webmin-auth já está feito para nós pelos caras do fail2ban. Reinicie o fail2ban:

/etc/init.d/fail2ban restart

phpMyAdmin (Dica SSL)

Se você quiser acessar o phpMyAdmin sobre ssl, pode aplicar a mesma dica que com o RoundCube. Edite o arquivo /etc/apache2/conf.d/phpmyadmin.conf e cole as seguintes linhas no final do arquivo:

  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:8080%{REQUEST_URI}  [L]

Após isso, reinicie o Apache:

/etc/init.d/apache2 restart