Estendendo o Servidor Perfeito - Debian Squeeze [ISPConfig 3]

Versão 1.0
Autor: Thomas ( http://iopen.gr)
Última edição 2012-02-05 (05 de fevereiro de 2012)

O seguinte tutorial irá estender o “Servidor Perfeito…. “ para ISPConfig 3 com BIND & Courier instalado no Debian Squeeze. Ele explica como mudar as portas padrão (ssh, ispconfig, webmin), como instalar algumas aplicações úteis (webmin, roundcube, atop, htop, multitail, tiger etc), como atualizar awstats periodicamente (mais de uma vez por dia) ou sempre que você quiser, como criar backups de dados dos clientes (periodicamente) acessíveis em suas pastas e, finalmente, explica como ajustar seu sistema para desempenho (mysqltuner, tuning-primer) ou segurança (regras de firewall personalizadas, (D)Dos Deflate, fail2ban modificado).

Este tutorial funciona para mim, corrigi os erros mencionados nos comentários, mas não posso garantir que funcionará para você.

Especificamente, este tutorial explica como:

instalar Webmin e mudar sua porta para 50000
mudar a porta padrão do ISPConfig de 8080 para 50443
instalar Roundcube para que todos os usuários possam acessá-lo via SSL (porta 50443 – como ISPConfig) em /webmail
estender fail2ban (para webmin, roundcube, ssh) e aplicar um pequeno patch
instalar multitail e usar um comando simples para ver todos os logs úteis
mudar a porta 22 para SSH para 50022
acessar phpmyadmin via SSL (porta 50443 – como ISPConfig) em uma URL diferente da padrão (por exemplo, /mydomaindb)
instalar alguns aplicativos/extensões úteis no seu servidor (htop, php-apc, iptraf, logwatch etc)
atualizar awstats manualmente ou automaticamente sempre que você quiser
melhorar as configurações do mysql usando scripts como mysqltuner ou tuning-primer que sugerem quais configurações ajustar na sua instalação do mysql
endurecer seu sistema (passos simples), bloqueando IPs ou redes específicas – insistentes –, ou/ e usando regras personalizadas para proteger seu servidor contra ataques ddos simples, em conjunto com (D)Dos Deflate.
criar backups diários das pastas web dos clientes e seus bancos de dados em suas pastas, para que eles possam baixá-los

Para seguir este tutorial, você deve ler e aplicar o seguinte:

O Servidor Perfeito - Debian Squeeze (Debian 6.0) Com BIND & Courier [ISPConfig 3]

Se você deseja acessar o Painel do ISPconfig e webmail via SSL, também assumo que você seguiu o capítulo 6.2 Habilitando SSL Para A Interface Web do ISPConfig do manual do ISPConfig 3 ou este post (Isso é necessário apenas se você quiser acessar o painel de controle E a interface de webmail via ssl na porta 8080).

Uma nota aqui: Para NÃO ter problemas após uma atualização futura, faça:

cp /etc/apache2/ssl/ispserver.crt /usr/local/ispconfig/interface/ssl/ispserver.crt
cp /etc/apache2/ssl/ispserver.key /usr/local/ispconfig/interface/ssl/ispserver.key

e edite /etc/apache2/sites-enabled/000-ispconfig.vhost, removendo as linhas que você colou seguindo o manual, e descomentando as linhas padrão para SSL.

nano /etc/apache2/sites-enabled/000-ispconfig.vhost

O conteúdo deve parecer com:

[...]  
  # Configuração SSL  
  SSLEngine On  
  SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt  
  SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key  
[...]

Se você seguiu o acima, então finalmente assumo que você leu a solução alternativa sobre suExec e ISPConfig 3 neste post.

Este como fazer, é uma versão (maior) atualizada de Easy RoundCube (Sobre SSL) E Webmin Com fail2ban Para ISPConfig 3 No Debian Squeeze com muitas mais adições.

Antes de prosseguir, certifique-se de que seu servidor está funcional e você está satisfeito com ele. Se você seguir este tutorial, fará muitas mudanças, e isso (por si só) precisa de muito depuração em caso de erros!

1. WEBMIN

Por favor, tenha em mente que se você instalar o webmin, deve ter MUITO cuidado ao usá-lo. Você não deve usar o webmin para editar configurações de partes críticas do ISPConfig (apache, postfix, imap, pop3, dns). Use-o apenas em casos de emergência ou quando precisar fazer coisas que NÃO interfiram com o ISPConfig (por exemplo, firewall, scripts de inicialização, cron etc)

Para instalar o webmin, primeiro devemos instalar algumas dependências:

apt-get install libapt-pkg-perl libauthen-pam-perl libio-pty-perl apt-show-versions

Baixe o webmin mais recente de http://www.webmin.com/download.html:

cd /tmp
wget http://prdownloads.sourceforge.net/webadmin/webmin_1.530_all.deb

E instale-o:

dpkg -i webmin_1.530_all.deb

Antes de mudar uma porta para algo diferente da padrão, NÃO se esqueça de adicionar a porta ao seu firewall. Se você estiver usando os padrões do ISPConfig, vá para Sistema -> Firewall e adicione a porta que você deseja (Neste manual, usaremos 50000 para Webmin, 50443 para ISPConfig, 50022 para ssh). Salve e NÃO remova as portas antigas (8080, 10000, 22) até ter certeza absoluta de que as novas portas estão funcionando.

Para mudar a porta padrão do webmin, edite o arquivo /etc/webmin/miniserv.conf:

nano /etc/webmin/miniserv.conf

e mude Port=10000 e listen=10000 para Port=50000 e listen=50000. Reinicie o webmin:

/etc/init.d/webmin restart

Visite https://www.example.com:50000 para instalar atualizações através da interface do webmin. Você terá que aceitar o aviso de segurança, pois o certificado do webmin é assinado de forma personalizada.

2. Defina uma porta diferente para o Painel de Controle do ISPConfig

Para mudar a porta padrão do Painel de Controle do ISPConfig (8080), para uma diferente (por exemplo, 50443):

nano /etc/apache2/sites-enabled/000-ispconfig.vhost

e certifique-se de que todas as referências a 8080 sejam alteradas para 50443. O meu parece assim (APENAS as primeiras linhas estão mostrando):

[...]  
Listen 50443  
NameVirtualHost *:50443  
  
  
[...]

Reinicie o apache e acesse o painel de controle em https://www.example.com:50443:

/etc/init.d/apache2 restart