O Servidor Perfeito - CentOS 6.5 x86_64 (Apache2, MySQL, PHP, PureFTPD, Postfix, Dovecot e ISPConfig 3) - Página 4

13 Definir Senhas do MySQL e Configurar o phpMyAdmin

Defina senhas para a conta root do MySQL:

mysql_secure_installation

[root@server1 tmp]# mysql_secure_installation

NOTA: É RECOMENDADO EXECUTAR TODAS AS PARTES DESTE SCRIPT PARA TODOS OS SERVIDORES MySQL EM USO NA PRODUÇÃO! POR FAVOR, LEIA CADA ETAPA CUIDADOSAMENTE!

Para fazer login no MySQL e protegê-lo, precisaremos da senha atual para o usuário root. Se você acabou de instalar o MySQL e ainda não definiu a senha do root, a senha estará em branco, então você deve apenas pressionar enter aqui.

Digite a senha atual para root (pressione enter para nenhum): OK, senha usada com sucesso, prosseguindo…

Definir senha root? [Y/n] <– ENTER Nova senha: <– sua_senha_root_sql Reinsira a nova senha: <– sua_senha_root_sql Senha atualizada com sucesso! Recarregando tabelas de privilégios.. … Sucesso!

Por padrão, uma instalação do MySQL tem um usuário anônimo, permitindo que qualquer pessoa faça login no MySQL sem precisar ter uma conta de usuário criada para ela. Isso é destinado apenas para testes e para facilitar a instalação. Você deve removê-los antes de passar para um ambiente de produção.

Remover usuários anônimos? [Y/n] <– ENTER … Sucesso!

Normalmente, o root deve ser permitido apenas conectar a partir de ‘localhost’. Isso garante que alguém não possa adivinhar a senha do root pela rede.

Desabilitar login remoto do root? [Y/n] <– ENTER … Sucesso!

Por padrão, o MySQL vem com um banco de dados chamado ‘test’ que qualquer um pode acessar. Isso também é destinado apenas para testes e deve ser removido antes de passar para um ambiente de produção.

Remover banco de dados de teste e acesso a ele? [Y/n] <– ENTER

• Removendo banco de dados de teste… … Sucesso!
• Removendo privilégios no banco de dados de teste… … Sucesso!

Recarregar as tabelas de privilégios garantirá que todas as alterações feitas até agora tenham efeito imediato.

Recarregar tabelas de privilégios agora? [Y/n] <– ENTER … Sucesso!

Limpando…

Tudo pronto! Se você completou todas as etapas acima, sua instalação do MySQL deve estar agora segura.

Obrigado por usar o MySQL!

[root@server1 tmp]#

Agora configuramos o phpMyAdmin. Mudamos a configuração do Apache para que o phpMyAdmin permita conexões não apenas de localhost (comentando a estrofe ):

vi /etc/httpd/conf.d/phpmyadmin.conf

O CentOS é inconsistente nos nomes de arquivos que seus pacotes usam, dependendo da ordem do seu repositório, pode ser que o arquivo de configuração do phpmyadmin esteja em camelcase. Portanto, se o comando vi acima resultar em um arquivo novo vazio, use este comando em vez disso:

vi /etc/httpd/conf.d/phpMyAdmin.conf

| # # Aplicativo web para gerenciar MySQL # # # Ordem Negar, Permitir # Negar de todos # Permitir de 127.0.0.1 # Alias /phpmyadmin /usr/share/phpmyadmin Alias /phpMyAdmin /usr/share/phpmyadmin Alias /mysqladmin /usr/share/phpmyadmin |

Em seguida, mudamos a autenticação no phpMyAdmin de cookie para http:

vi /usr/share/phpmyadmin/config.inc.php

| [...] /* Tipo de autenticação */ $cfg['Servers'][$i]['auth_type'] = 'http'; [...] |

Então criamos os links de inicialização do sistema para o Apache e o iniciamos:

chkconfig –levels 235 httpd on
/etc/init.d/httpd start

Agora você pode direcionar seu navegador para http://server1.example.com/phpmyadmin/ ou http://192.168.0.100/phpmyadmin/ e fazer login com o nome de usuário root e sua nova senha root do MySQL.

Se você receber uma mensagem de erro como esta:

[root@server1 tmp]# /etc/init.d/httpd start
Iniciando httpd: httpd: apr_sockaddr_info_get() falhou para server1.example.com
httpd: Não foi possível determinar de forma confiável o nome de domínio totalmente qualificado do servidor, usando 127.0.0.1 para ServerName

então seu nome de host não é resolvível no dns ou ainda não está definido no arquivo /etc/hosts. Para corrigir esse problema, execute:

echo “192.168.1.100 server1.example.com server1” >> /etc/hosts

substitua “server1.example.com” no comando acima pelo seu nome de host completo e “server1” pela parte do subnome do host.

14 Instalar Amavisd-new, SpamAssassin e ClamAV

Para instalar amavisd-new, spamassassin e clamav, execute o seguinte comando:

yum -y install amavisd-new spamassassin clamav clamd unzip bzip2 unrar perl-DBD-mysql

Em seguida, iniciamos freshclam, amavisd e clamd.amavisd:

sa-update
chkconfig –levels 235 amavisd on
chkconfig –del clamd
chkconfig –levels 235 clamd.amavisd on
/usr/bin/freshclam
/etc/init.d/amavisd start
/etc/init.d/clamd.amavisd start

15 Instalando Apache2 Com mod_php, mod_fcgi/PHP5 e suPHP

O ISPConfig 3 permite que você use mod_php, mod_fcgi/PHP5, cgi/PHP5 e suPHP em uma base por site.

Podemos instalar o Apache2 com mod_php5, mod_fcgid e PHP5 da seguinte forma:

yum -y install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-pecl-apc php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel

Em seguida, abrimos /etc/php.ini…

vi /etc/php.ini

… e mudamos o relatório de erros (para que os avisos não sejam mais mostrados) e descomentamos cgi.fix_pathinfo=1:

| [...] ;error_reporting = E_ALL & ~E_DEPRECATED error_reporting = E_ALL & ~E_NOTICE & ~E_DEPRECATED [...] ; cgi.fix_pathinfo fornece suporte *real* para PATH_INFO/PATH_TRANSLATED para CGI. O comportamento anterior do PHP era definir PATH_TRANSLATED como SCRIPT_FILENAME, e não entender o que é PATH_INFO. Para mais informações sobre PATH_INFO, consulte as especificações cgi. Definir isso como 1 fará com que o PHP CGI corrija seus caminhos para se conformar à especificação. Um valor de zero faz com que o PHP se comporte como antes. O padrão é 1. Você deve corrigir seus scripts para usar SCRIPT_FILENAME em vez de PATH_TRANSLATED. ; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo cgi.fix_pathinfo=1 [...] |

Em seguida, instalamos o suPHP (há um pacote mod_suphp disponível nos repositórios, mas infelizmente não é compatível com o ISPConfig, portanto, temos que compilar o suPHP nós mesmos):

cd /tmp
wget http://suphp.org/download/suphp-0.7.1.tar.gz
tar xvfz suphp-0.7.1.tar.gz
cd suphp-0.7.1/
./configure –prefix=/usr –sysconfdir=/etc –with-apr=/usr/bin/apr-1-config –with-apxs=/usr/sbin/apxs –with-apache-user=apache –with-setid-mode=owner –with-php=/usr/bin/php-cgi –with-logfile=/var/log/httpd/suphp_log –enable-SUPHP_USE_USERGROUP=yes
make
make install

Então adicionamos o módulo suPHP à nossa configuração do Apache…

vi /etc/httpd/conf.d/suphp.conf

| LoadModule suphp_module modules/mod_suphp.so |

… e criamos o arquivo /etc/suphp.conf da seguinte forma:

vi /etc/suphp.conf

| [global] ;Caminho para o arquivo de log logfile=/var/log/httpd/suphp.log ;Nível de log loglevel=info ;Usuário que o Apache está rodando webserver_user=apache ;Caminho que todos os scripts devem estar docroot=/ ;Caminho para chroot() antes de executar o script ;chroot=/mychroot ; Opções de segurança allow_file_group_writeable=true allow_file_others_writeable=false allow_directory_group_writeable=true allow_directory_others_writeable=false ;Verificar se o script está dentro do DOCUMENT_ROOT check_vhost_docroot=true ;Enviar mensagens de erro menores para o navegador errors_to_browser=false ;Variável de ambiente PATH env_path=/bin:/usr/bin ;Umask a ser definida, especifique em notação octal umask=0077 ; UID mínimo min_uid=100 ; GID mínimo min_gid=100 [handlers] ;Manipulador para scripts php x-httpd-suphp="php:/usr/bin/php-cgi" ;Manipulador para scripts CGI x-suphp-cgi="execute:!self" |

Finalmente, reiniciamos o Apache:

/etc/init.d/httpd restart

15.1 Ruby

A partir da versão 3.0.3, o ISPConfig 3 tem suporte embutido para Ruby. Em vez de usar CGI/FastCGI, o ISPConfig depende do mod_ruby estar disponível no Apache do servidor.

Para o CentOS 6.4, não há pacote mod_ruby disponível, então devemos compilá-lo nós mesmos. Primeiro, instalamos algumas dependências:

yum -y install httpd-devel ruby ruby-devel

Em seguida, baixamos e instalamos o mod_ruby da seguinte forma:

cd /tmp
wget http://fossies.org/unix/www/apache_httpd_modules/mod_ruby-1.3.0.tar.gz
tar zxvf mod_ruby-1.3.0.tar.gz
cd mod_ruby-1.3.0/
./configure.rb –with-apr-includes=/usr/include/apr-1
make
make install

Finalmente, devemos adicionar o módulo mod_ruby à configuração do Apache, então criamos o arquivo /etc/httpd/conf.d/ruby.conf…

vi /etc/httpd/conf.d/ruby.conf

| LoadModule ruby_module modules/mod_ruby.so RubyAddPath /1.8 |

… e reiniciamos o Apache:

/etc/init.d/httpd restart

(Se você deixar de fora a diretiva RubyAddPath /1.8, verá erros como os seguintes no log de erros do Apache ao chamar arquivos Ruby:

[Thu May 26 02:05:05 2011] [error] mod_ruby: ruby:0:in `require’: no such file to load – apache/ruby-run (LoadError)
[Thu May 26 02:05:05 2011] [error] mod_ruby: failed to require apache/ruby-run
[Thu May 26 02:05:05 2011] [error] mod_ruby: error in ruby ) #### 15.2 Python Para instalar mod_python, simplesmente executamos… yum -y install mod_python … e reiniciamos o Apache em seguida: /etc/init.d/httpd restart #### 15.3 WebDAV O WebDAV já deve estar habilitado, mas para verificar isso, abra /etc/httpd/conf/httpd.conf e certifique-se de que os seguintes três módulos estão ativos: vi /etc/httpd/conf/httpd.conf | [...] LoadModule auth_digest_module modules/mod_auth_digest.so [...] LoadModule dav_module modules/mod_dav.so [...] LoadModule dav_fs_module modules/mod_dav_fs.so [...] | Se você precisar modificar /etc/httpd/conf/httpd.conf, não se esqueça de reiniciar o Apache depois: /etc/init.d/httpd restart #### 15.4 Versões Adicionais do PHP A partir do ISPConfig 3.0.5, é possível ter várias versões do PHP em um servidor (selecionáveis através do ISPConfig) que podem ser executadas através do FastCGI e PHP-FPM. O procedimento para construir versões adicionais do PHP no CentOS é descrito neste tutorial: Como Usar Múltiplas Versões do PHP (PHP-FPM & FastCGI) Com ISPConfig 3 (CentOS 6.3) ### 16 Instalar PureFTPd O PureFTPd pode ser instalado com o seguinte comando: yum -y install pure-ftpd Em seguida, crie os links de inicialização do sistema e inicie o PureFTPd: chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start Agora configuramos o PureFTPd para permitir sessões FTP e TLS. O FTP é um protocolo muito inseguro porque todas as senhas e todos os dados são transferidos em texto claro. Ao usar TLS, toda a comunicação pode ser criptografada, tornando o FTP muito mais seguro. O OpenSSL é necessário pelo TLS; para instalar o OpenSSL, simplesmente executamos: yum install openssl Abra /etc/pure-ftpd/pure-ftpd.conf… vi /etc/pure-ftpd/pure-ftpd.conf Se você quiser permitir sessões FTP e TLS, defina TLS como 1: | [...] # Esta opção pode aceitar três valores : # 0 : desabilitar a camada de criptografia SSL/TLS (padrão). # 1 : aceitar tanto sessões tradicionais quanto criptografadas. # 2 : recusar conexões que não utilizam mecanismos de segurança SSL/TLS, # incluindo sessões anônimas. # Não descomente isso cegamente. Certifique-se de que : # 1) Seu servidor foi compilado com suporte a SSL/TLS (--with-tls), # 2) Um certificado válido está em vigor, # 3) Apenas clientes compatíveis farão login. TLS 1 [...] | Para usar TLS, devemos criar um certificado SSL. Eu o crio em /etc/ssl/private/, portanto, primeiro crio esse diretório: mkdir -p /etc/ssl/private/ Depois, podemos gerar o certificado SSL da seguinte forma: openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem Nome do País (código de 2 letras) [XX]: <– Digite o Nome do Seu País (por exemplo, “DE”).
Nome do Estado ou Província (nome completo) []: <– Digite o Nome do Seu Estado ou Província.
Nome da Localidade (ex: cidade) [Cidade Padrão]: <– Digite sua Cidade.
Nome da Organização (ex: empresa) [Empresa Padrão Ltda]: <– Digite o Nome da Sua Organização (por exemplo, o nome da sua empresa).
Nome da Unidade Organizacional (ex: seção) []: <– Digite o Nome da Sua Unidade Organizacional (por exemplo, “Departamento de TI”).
Nome Comum (ex: seu nome ou o nome do host do seu servidor) []: <– Digite o Nome de Domínio Totalmente Qualificado do sistema (por exemplo, “server1.example.com”).
Endereço de Email []: <– Digite seu Endereço de Email. Altere as permissões do certificado SSL: chmod 600 /etc/ssl/private/pure-ftpd.pem Finalmente, reinicie o PureFTPd: /etc/init.d/pure-ftpd restart É isso. Agora você pode tentar se conectar usando seu cliente FTP; no entanto, você deve configurar seu cliente FTP para usar TLS.