Servidor · 12 min read · Nov 01, 2025
O Servidor Perfeito CentOS 7.2 com Apache, Postfix, Dovecot, Pure-FTPD, BIND e ISPConfig 3.1 - Página 2
7 Instalar Dovecot
Dovecot pode ser instalado da seguinte forma:
yum -y install dovecot dovecot-mysql dovecot-pigeonholeCrie um arquivo dovecot-sql.conf vazio e um link simbólico:
touch /etc/dovecot/dovecot-sql.conf
ln -s /etc/dovecot/dovecot-sql.conf /etc/dovecot-sql.confAgora crie os links de inicialização do sistema e inicie o Dovecot:
systemctl enable dovecot
systemctl start dovecot8 Instalar Postfix
Postfix pode ser instalado da seguinte forma:
yum -y install postfixEm seguida, desligue o Sendmail e inicie o Postfix e o MariaDB (MySQL):
systemctl enable mariadb.service
systemctl start mariadb.servicesystemctl stop sendmail.service
systemctl disable sendmail.service
systemctl enable postfix.service
systemctl restart postfix.serviceDesativamos o sendmail para garantir que ele não seja iniciado caso esteja instalado em seu servidor. Portanto, a mensagem de erro “Falha ao emitir chamada de método: Unidade sendmail.service não carregada.” pode ser ignorada.
9 Instalar Getmail
Getmail pode ser instalado da seguinte forma:
yum -y install getmail10 Definir Senhas do MySQL e Configurar o phpMyAdmin
Defina senhas para a conta root do MySQL:
mysql_secure_installation[root@server1 tmp]# mysql_secure_installation
NOTE: EXECUTAR TODAS AS PARTES DESTE SCRIPT É RECOMENDADO PARA TODOS OS SERVIDORES MariaDB
EM USO EM PRODUÇÃO! POR FAVOR, LEIA CADA ETAPA CUIDADOSAMENTE!Para fazer login no MariaDB e protegê-lo, precisaremos da senha atual
para o usuário root. Se você acabou de instalar o MariaDB, e
você não definiu a senha root ainda, a senha estará em branco,
portanto, você deve apenas pressionar enter aqui.Digite a senha atual para root (pressione enter para nenhuma):
OK, senha usada com sucesso, prosseguindo...Definir a senha root garante que ninguém possa fazer login no MariaDB
usuário root sem a autorização adequada.
Definir senha root? [Y/n] <-- ENTER
Nova senha: <-- sua senhadobanco
Reinsira a nova senha: <-- sua senhadobanco
Senha atualizada com sucesso!
Recarregando tabelas de privilégios..
... Sucesso!
Por padrão, uma instalação do MariaDB tem um usuário anônimo, permitindo que qualquer um
faça login no MariaDB sem precisar ter uma conta de usuário criada para
elos. Isso é destinado apenas para testes, e para tornar a instalação
mais suave. Você deve removê-los antes de passar para um
environmento de produção.
Remover usuários anônimos? [Y/n] <-- ENTER
... Sucesso!
Normalmente, o root deve ser permitido apenas conectar-se
de 'localhost'. Isso
garante que alguém não possa adivinhar
a senha root pela rede.
Desabilitar login root remotamente? [Y/n] <-- ENTER
... Sucesso!
Por padrão, o MariaDB vem com um banco de dados chamado 'teste' que qualquer um pode
acessar. Isso também é destinado apenas para testes, e deve ser removido
antes de passar para um ambiente de produção.
Remover banco de dados de teste e acesso a ele? [Y/n] <-- ENTER
- Removendo banco de dados de teste...
... Sucesso!
- Removendo privilégios no banco de dados de teste...
... Sucesso!
Recarregar as tabelas de privilégios garantirá que todas as alterações feitas
fins até agora
terão efeito imediato.
Recarregar tabelas de privilégios agora? [Y/n] <-- ENTER
... Sucesso!
Limpando...
Tudo pronto! Se você completou todas as etapas acima, sua instalação do MariaDB
agora deve estar segura.
Obrigado por usar o MariaDB!
[root@server1 tmp]#Agora configuramos o phpMyAdmin. Mudamos a configuração do Apache para que o phpMyAdmin permita conexões não apenas de localhost (comentando as duas linhas “Require ip” e adicionando a nova linha “Require all granted” na seção
nano /etc/httpd/conf.d/phpMyAdmin.conf# phpMyAdmin - Navegador MySQL baseado na web escrito em php
#
# Permite apenas localhost por padrão
#
# Mas permitir phpMyAdmin a qualquer um além de localhost deve ser considerado
# perigoso, a menos que devidamente protegido por SSL
Alias /phpMyAdmin /usr/share/phpMyAdmin
Alias /phpmyadmin /usr/share/phpMyAdmin
# Apache 2.4
# Require ip 127.0.0.1
# Require ip ::1
Require all granted
# Apache 2.2
Order Deny,Allow
Deny from All
Allow from 127.0.0.1
Allow from ::1
Em seguida, mudamos a autenticação no phpMyAdmin de cookie para http:
nano /etc/phpMyAdmin/config.inc.php[...]
/* Tipo de autenticação */
$cfg['Servers'][$i]['auth_type'] = 'http';
[...]Depois, criamos os links de inicialização do sistema para o Apache e o iniciamos:
systemctl enable httpd.service
systemctl restart httpd.serviceAgora você pode direcionar seu navegador para http://server1.example.com/phpmyadmin/ ou http://192.168.1.100/phpmyadmin/ e fazer login com o nome de usuário root e sua nova senha root do MySQL.
11 Instalar Amavisd-new, SpamAssassin e ClamAV
Para instalar amavisd-new, SpamAssassin e clamav, execute o seguinte comando:
yum -y install amavisd-new spamassassin clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd unzip bzip2 perl-DBD-mysqlEdite o arquivo de configuração freshclam /etc/freshclam.conf
nano /etc/freshclam.confe comente a linha “Exemplo”
[....]
# Exemplo
[....]Em seguida, iniciamos freshclam, amavisd e clamd.amavisd:
sa-update
freshclam
systemctl enable amavisd.service
systemctl start amavisd.service
systemctl start [email protected]12 Instalando Apache com mod_php, mod_fcgi/PHP5, PHP-FPM
ISPConfig 3 permite que você use mod_php, mod_fcgi/PHP5, cgi/PHP5 e suPHP com base em cada site.
Podemos instalar o Apache2 com mod_php5, mod_fcgid e PHP5 da seguinte forma:
yum -y install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-pecl-apc php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel php-fpm wgetEm seguida, abrimos /etc/php.ini…
nano /etc/php.ini… e mudamos o relatório de erros (para que os avisos não sejam mais exibidos), definimos o fuso horário e descomentamos cgi.fix_pathinfo=1:
[...]
;error_reporting = E_ALL & ~E_DEPRECATED
error_reporting = E_ALL & ~E_NOTICE & ~E_DEPRECATED
[...]
; cgi.fix_pathinfo fornece suporte *real* para PATH_INFO/PATH_TRANSLATED para CGI. O comportamento anterior do PHP era definir PATH_TRANSLATED como SCRIPT_FILENAME, e não entender o que é PATH_INFO. Para mais informações sobre PATH_INFO, consulte as especificações cgi. Definir isso como 1 fará com que o PHP CGI corrija seus caminhos para se conformar à especificação. Um valor de zero faz com que o PHP se comporte como antes. O padrão é 1. Você deve corrigir seus scripts
; para usar SCRIPT_FILENAME em vez de PATH_TRANSLATED.
; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo
cgi.fix_pathinfo=1
[...]
date.timezone = 'Europe/Berlin'
[...]Habilite httpd e PHP-FPM para iniciar na inicialização e inicie o serviço PHP-FPM.
systemctl start php-fpm.service
systemctl enable php-fpm.service
systemctl enable httpd.serviceFinalmente, reinicie o Apache:
systemctl restart httpd.serviceAgora adicionaremos suporte para Let’s encrypt.
mkdir /opt/certbot
cd /opt/certbot
wget https://dl.eff.org/certbot-auto
chmod a+x ./certbot-autoAgora execute o comando certboot-auto que fará o download e instalará o software e suas dependências.
./certbot-autoO comando então informará que “nenhum nome foi encontrado em seus arquivos de configuração” e pergunta se deve continuar, por favor escolha “não” aqui, pois os certificados serão criados pelo ispconfig.
13 Instalação do mod_python
O módulo apache mod_python não está disponível como pacote RPM, portanto, iremos compilá-lo a partir do código-fonte. O primeiro passo é instalar os arquivos de desenvolvimento do python e baixar a versão atual do mod_python como arquivo tar.gz
yum -y install python-develcd /usr/local/src/
wget http://dist.modpython.org/dist/mod_python-3.5.0.tgz
tar xfz mod_python-3.5.0.tgz
cd mod_python-3.5.0E então configurar e compilar o módulo
./configure
make
make installE habilitar o módulo no apache
echo 'LoadModule python_module modules/mod_python.so' > /etc/httpd/conf.modules.d/10-python.conf
systemctl restart httpd.service14 Instalar PureFTPd
PureFTPd pode ser instalado com o seguinte comando:
yum -y install pure-ftpdEm seguida, crie os links de inicialização do sistema e inicie o PureFTPd:
systemctl enable pure-ftpd.service
systemctl start pure-ftpd.serviceAgora configuramos o PureFTPd para permitir sessões FTP e TLS. FTP é um protocolo muito inseguro porque todas as senhas e todos os dados são transferidos em texto claro. Ao usar TLS, toda a comunicação pode ser criptografada, tornando o FTP muito mais seguro.
OpenSSL é necessário pelo TLS; para instalar o OpenSSL, simplesmente executamos:
yum install opensslAbra /etc/pure-ftpd/pure-ftpd.conf…
nano /etc/pure-ftpd/pure-ftpd.confSe você deseja permitir sessões FTP e TLS, defina TLS como 1:
[...]
# Esta opção pode aceitar três valores :
# 0 : desabilitar a camada de criptografia SSL/TLS (padrão).
# 1 : aceitar tanto sessões tradicionais quanto criptografadas.
# 2 : recusar conexões que não usam mecanismos de segurança SSL/TLS,
# incluindo sessões anônimas.
# Não descomente isso cegamente. Certifique-se de que :
# 1) Seu servidor foi compilado com suporte a SSL/TLS (--with-tls),
# 2) Um certificado válido está em vigor,
# 3) Apenas clientes compatíveis farão login.
TLS 1
[...]Para usar TLS, devemos criar um certificado SSL. Eu o crio em /etc/ssl/private/, portanto, primeiro crio esse diretório:
mkdir -p /etc/ssl/private/Depois, podemos gerar o certificado SSL da seguinte forma:
openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pemNome do País (código de 2 letras) [XX]: <– Digite o Nome do seu País (por exemplo, “DE”).
Nome do Estado ou Província (nome completo) []: <– Digite o Nome do seu Estado ou Província.
Nome da Localidade (por exemplo, cidade) [Cidade Padrão]: <– Digite sua Cidade.
Nome da Organização (por exemplo, empresa) [Empresa Padrão Ltda]: <– Digite o Nome da sua Organização (por exemplo, o nome da sua empresa).
Nome da Unidade Organizacional (por exemplo, seção) []: <– Digite o Nome da sua Unidade Organizacional (por exemplo, “Departamento de TI”).
Nome Comum (por exemplo, seu nome ou o nome do host do seu servidor) []: <– Digite o Nome de Domínio Totalmente Qualificado do sistema (por exemplo, “server1.example.com”).
Endereço de E-mail []: <– Digite seu Endereço de E-mail.
Altere as permissões do certificado SSL:
chmod 600 /etc/ssl/private/pure-ftpd.pemFinalmente, reinicie o PureFTPd:
systemctl restart pure-ftpd.serviceÉ isso. Agora você pode tentar se conectar usando seu cliente FTP; no entanto, você deve configurar seu cliente FTP para usar TLS.
15 Instalar BIND
Podemos instalar o BIND da seguinte forma:
yum -y install bind bind-utils havegedFaça um backup do arquivo existente /etc/named.conf e crie um novo da seguinte forma:
cp /etc/named.conf /etc/named.conf_bak
cat /dev/null > /etc/named.conf
nano /etc/named.conf// named.conf\
//\
// Fornecido pelo pacote bind da Red Hat para configurar o ISC BIND named(8) DNS\
// servidor como um servidor de nomes apenas em cache (como um resolvedor DNS localhost apenas).\
//\
// Veja /usr/share/doc/bind*/sample/ para exemplos de arquivos de configuração named.\
//\
options {\
listen-on port 53 { any; };\
listen-on-v6 port 53 { any; };\
directory "/var/named";\
dump-file "/var/named/data/cache_dump.db";\
statistics-file "/var/named/data/named_stats.txt";\
memstatistics-file "/var/named/data/named_mem_stats.txt";\
allow-query { any; };\
allow-recursion {"none";};\
recursion no;\
};\
logging {\
channel default_debug {\
file "data/named.run";\
severity dynamic;\
};\
};\
zone "." IN {\
type hint;\
file "named.ca";\
};\
include "/etc/named.conf.local";Crie o arquivo /etc/named.conf.local que é incluído no final de /etc/named.conf ( /etc/named.conf.local será posteriormente preenchido pelo ISPConfig se você criar zonas DNS no ISPConfig):
touch /etc/named.conf.localEm seguida, criamos os links de inicialização e iniciamos o BIND:
systemctl enable named.service
systemctl start named.service16 Instalar Webalizer e AWStats
AWStats pode ser instalado da seguinte forma:
yum -y install awstats perl-DateTime-Format-HTTP perl-DateTime-Format-BuilderWebalizer deve ser compilado a partir do código-fonte.
yum install -y libpng-devel gd-devel
cd /tmp
wget ftp://ftp.mrunix.net/pub/webalizer/webalizer-2.23-08-src.tgz
tar xvfz webalizer-2.23-08-src.tgz
cd webalizer-2.23-08
./configure
make
make install17 Instalar Jailkit
Jailkit é usado para chroot usuários SSH e cronjobs. Ele pode ser instalado da seguinte forma (importante: Jailkit deve ser instalado antes do ISPConfig - não pode ser instalado depois!):
cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.19.tar.gz
tar xvfz jailkit-2.19.tar.gz
cd jailkit-2.19
./configure
make
make install
cd ..
rm -rf jailkit-2.19*18 Instalar fail2ban
Isso é opcional, mas recomendado, porque o monitor do ISPConfig tenta mostrar o log.
yum -y install iptables-services fail2ban fail2ban-systemd
systemctl stop firewalld.service
systemctl mask firewalld.service
systemctl disable firewalld.service
systemctl stop firewalld.serviceEm seguida, criamos o arquivo /etc/fail2ban/jail.local e habilitamos o monitoramento para ssh, email e serviço ftp.
nano /etc/fail2ban/jail.localAdicione o seguinte conteúdo ao arquivo jail.local:
[sshd]
enabled = true
action = iptables[name=sshd, port=ssh, protocol=tcp]
[pure-ftpd]
enabled = true
action = iptables[name=FTP, port=ftp, protocol=tcp]
maxretry = 3
[dovecot]
enabled = true
action = iptables-multiport[name=dovecot, port="pop3,pop3s,imap,imaps", protocol=tcp]
maxretry = 5
[postfix-sasl]
enabled = true
action = iptables-multiport[name=postfix-sasl, port="smtp,smtps,submission", protocol=tcp]
maxretry = 3Em seguida, crie os links de inicialização do sistema para o fail2ban e inicie-o:
systemctl enable fail2ban.service
systemctl start fail2ban.service19 Instalar rkhunter
rkhunter pode ser instalado da seguinte forma:
yum -y install rkhunter20 Instalar Mailman
Se você deseja gerenciar listas de discussão com Mailman em seu servidor, então instale o mailman agora. O Mailman é suportado pelo ISPConfig, então você poderá criar novas listas de discussão através do ISPConfig mais tarde.
yum -y install mailmanAntes de podermos iniciar o Mailman, uma primeira lista de discussão chamada mailman deve ser criada:
touch /var/lib/mailman/data/aliases
postmap /var/lib/mailman/data/aliases
/usr/lib/mailman/bin/newlist mailman[root@server1 tmp]# /usr/lib/mailman/bin/newlist mailman
Digite o e-mail da pessoa que está executando a lista: <– endereço de e-mail do administrador, por exemplo, [email protected]
Senha inicial do mailman: <– senha do administrador para a lista do mailman
Para terminar de criar sua lista de discussão, você deve editar seu arquivo /etc/aliases (ou equivalente) adicionando as seguintes linhas, e possivelmente executando o programa newaliases:
lista de discussão mailman
mailman: “|/usr/lib/mailman/mail/mailman post mailman”
mailman-admin: “|/usr/lib/mailman/mail/mailman admin mailman”
mailman-bounces: “|/usr/lib/mailman/mail/mailman bounces mailman”
mailman-confirm: “|/usr/lib/mailman/mail/mailman confirm mailman”
mailman-join: “|/usr/lib/mailman/mail/mailman join mailman”
mailman-leave: “|/usr/lib/mailman/mail/mailman leave mailman”
mailman-owner: “|/usr/lib/mailman/mail/mailman owner mailman”
mailman-request: “|/usr/lib/mailman/mail/mailman request mailman”
mailman-subscribe: “|/usr/lib/mailman/mail/mailman subscribe mailman”
mailman-unsubscribe: “|/usr/lib/mailman/mail/mailman unsubscribe mailman”
Pressione enter para notificar o proprietário do mailman… <– ENTER
[root@server1 tmp]#
Abra /etc/aliases depois…
nano /etc/aliases… e adicione as seguintes linhas:
[...]
mailman: "|/usr/lib/mailman/mail/mailman post mailman"
mailman-admin: "|/usr/lib/mailman/mail/mailman admin mailman"
mailman-bounces: "|/usr/lib/mailman/mail/mailman bounces mailman"
mailman-confirm: "|/usr/lib/mailman/mail/mailman confirm mailman"
mailman-join: "|/usr/lib/mailman/mail/mailman join mailman"
mailman-leave: "|/usr/lib/mailman/mail/mailman leave mailman"
mailman-owner: "|/usr/lib/mailman/mail/mailman owner mailman"
mailman-request: "|/usr/lib/mailman/mail/mailman request mailman"
mailman-subscribe: "|/usr/lib/mailman/mail/mailman subscribe mailman"
mailman-unsubscribe: "|/usr/lib/mailman/mail/mailman unsubscribe mailman"Execute
newaliasesdepois e reinicie o Postfix:
systemctl restart postfix.serviceAgora abra o arquivo de configuração do Apache do Mailman /etc/httpd/conf.d/mailman.conf…
nano /etc/httpd/conf.d/mailman.conf… e adicione a linha ScriptAlias /cgi-bin/mailman/ /usr/lib/mailman/cgi-bin/. Comente a linha Alias /pipermail/ /var/lib/mailman/archives/public/ e adicione a linha Alias /pipermail /var/lib/mailman/archives/public/:
#
# configurações de configuração httpd para uso com mailman.
#
ScriptAlias /mailman/ /usr/lib/mailman/cgi-bin/
ScriptAlias /cgi-bin/mailman/ /usr/lib/mailman/cgi-bin/
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
AddDefaultCharset Off
# Descomente a linha a seguir, para redirecionar consultas para /mailman para a
# página listinfo (recomendado).
# RedirectMatch ^/mailman[/]*$ /mailman/listinfoReinicie o Apache:
systemctl restart httpd.serviceCrie os links de inicialização do sistema para o Mailman e inicie-o:
systemctl enable mailman.service
systemctl start mailman.serviceDepois de instalar o ISPConfig 3, você pode acessar o Mailman da seguinte forma:
Você pode usar o alias /cgi-bin/mailman para todos os vhosts do Apache (por favor, note que suExec e CGI devem ser desabilitados para todos os vhosts dos quais você deseja acessar o Mailman!), o que significa que você pode acessar a interface de administração do Mailman para uma lista em http://
Em http://
Receba novas postagens na sua caixa de entrada
Sem spam. Cancele a assinatura a qualquer momento.