Servidor Debian · 10 min read · Jan 25, 2026

O Servidor Perfeito - Debian 8.4 Jessie (Apache2, BIND, Dovecot, ISPConfig 3.1) - Página 2

10 Instalar Apache2, PHP, FCGI, suExec, Pear, phpMyAdmin e mcrypt

Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear e mcrypt podem ser instalados da seguinte forma:

apt-get install apache2 apache2.2-common apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libapache2-mod-php5 php5 php5-common php5-gd php5-mysql php5-imap phpmyadmin php5-cli php5-cgi libapache2-mod-fcgid apache2-suexec php-pear php-auth php5-mcrypt mcrypt php5-imagick imagemagick libruby libapache2-mod-python php5-curl php5-intl php5-memcache php5-memcached php5-pspell php5-recode php5-sqlite php5-tidy php5-xmlrpc php5-xsl memcached libapache2-mod-passenger

Você verá as seguintes perguntas:

Web server to reconfigure automatically: <- apache2  
 Configure database for phpmyadmin with dbconfig-common? <- yes  
Enter the password of the administrative user? <- yourrootmysqlpassword  
Enter the phpmyadmin application password? <-  Just press enter

Em seguida, execute o seguinte comando para habilitar os módulos do Apache suexec, rewrite, ssl, actions e include (mais dav, dav_fs e auth_digest se você quiser usar WebDAV):

a2enmod suexec rewrite ssl actions include dav_fs dav auth_digest cgi headers

Para garantir que o servidor não possa ser atacado através da vulnerabilidade HTTPOXY, desabilitaremos o cabeçalho HTTP_PROXY no apache globalmente, adicionando o arquivo de configuração /etc/apache2/conf-available/httpoxy.conf.

sudo nano /etc/apache2/conf-available/httpoxy.conf

Cole o seguinte conteúdo no arquivo:


    RequestHeader unset Proxy early

E habilite o módulo executando:

a2enconf httpoxy  
service apache2 restart

10.1 Instalar HHVM (HipHop Virtual Machine)

Nesta etapa, instalaremos o HHVM a partir do seu repositório oficial do Debian. Adicione o repositório HHVM e importe a chave.

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0x5a16e7281be7a449  
echo deb http://dl.hhvm.com/debian jessie main | sudo tee /etc/apt/sources.list.d/hhvm.list

Atualize a lista de pacotes:

sudo apt-get update

e instale o HHVM:

sudo apt-get install hhvm

10.2 Instalar SuPHP (opcional, mas não recomendado)

NOTA ATUALIZADA: SuPHP não deve mais ser instalado, prossiga para a etapa 11

SuPHP não está mais disponível para Debian Jessie. O modo suphp não deve mais ser usado no ISPConfig, pois existem modos PHP melhores, como php-fpm e php-fcgi disponíveis. Se você realmente precisar do suphp por razões de legado, siga os passos neste capítulo para compilá-lo manualmente. Mas não recomendamos sua instalação.

apt-get install apache2-dev build-essential autoconf automake libtool flex bison debhelper binutils
cd /usr/local/src  
wget http://suphp.org/download/suphp-0.7.2.tar.gz  
tar zxvf suphp-0.7.2.tar.gz  
wget -O suphp.patch https://lists.marsching.com/pipermail/suphp/attachments/20130520/74f3ac02/attachment.patch  
patch -Np1 -d suphp-0.7.2 < suphp.patch  
cd suphp-0.7.2  
autoreconf -if  
./configure --prefix=/usr/ --sysconfdir=/etc/suphp/ --with-apr=/usr/bin/apr-1-config --with-apache-user=www-data --with-setid-mode=owner --with-logfile=/var/log/suphp/suphp.log  
make  
make install

Crie o diretório de configuração do suphp e o arquivo suphp.conf:

mkdir /var/log/suphp  
mkdir /etc/suphp  
nano /etc/suphp/suphp.conf
[global]  
;Caminho para o arquivo de log  
logfile=/var/log/suphp/suphp.log  
  
;Nível de log  
loglevel=info  
  
;Usuário que o Apache está executando  
webserver_user=www-data  
  
;Caminho que todos os scripts devem estar  
docroot=/var/www  
  
;Caminho para chroot() antes de executar o script  
;chroot=/mychroot  
  
; Opções de segurança  
allow_file_group_writeable=false  
allow_file_others_writeable=false  
allow_directory_group_writeable=false  
allow_directory_others_writeable=false  
  
;Verifique se o script está dentro do DOCUMENT_ROOT  
check_vhost_docroot=true  
  
;Enviar mensagens de erro menores para o navegador  
errors_to_browser=false  
  
;Variável de ambiente PATH  
env_path=/bin:/usr/bin  
  
;Umask a ser definida, especifique em notação octal  
umask=0022  
  
; UID mínimo  
min_uid=100  
  
; GID mínimo  
min_gid=100  
  
  
[handlers]  
;Manipulador para scripts php  
x-httpd-suphp="php:/usr/bin/php-cgi"  
  
;Manipulador para scripts CGI  
x-suphp-cgi=execute:!self  
umask=0022

Em seguida, adicionaremos um arquivo de configuração para carregar o módulo suphp no apache:

echo "LoadModule suphp_module /usr/lib/apache2/modules/mod_suphp.so" > /etc/apache2/mods-available/suphp.load

E então abra /etc/apache2/mods-available/suphp.conf…

nano /etc/apache2/mods-available/suphp.conf

… e adicione o seguinte conteúdo:


        AddType application/x-httpd-suphp .php .php3 .php4 .php5 .phtml
        suPHP_AddHandler application/x-httpd-suphp

    
        suPHP_Engine on
    

    # Por padrão, desabilite suPHP para aplicações web empacotadas no debian, pois os arquivos
    # são de propriedade do root e não podem ser executados pelo suPHP devido ao min_uid.
    
        suPHP_Engine off
    

# # Use um arquivo de configuração php específico (um diretório que contém um arquivo php.ini)
#       suPHP_ConfigPath /etc/php5/cgi/suphp/
# # Informa ao mod_suphp NÃO tratar solicitações com o tipo .
#       suPHP_RemoveHandler

Habilite o módulo suphp no apache:

a2enmod suphp

Reinicie o Apache em seguida:

service apache2 restart

11 Instalar Let’s Encrypt

ISPConfig 3.1 tem suporte para a autoridade de Certificado SSL gratuita Let’s Encrypt. A função Let’s Encrypt permite que você crie certificados SSL gratuitos para seu site a partir do ISPConfig.

Agora adicionaremos suporte para Let’s Encrypt.

mkdir /opt/certbot  
cd /opt/certbot  
wget https://dl.eff.org/certbot-auto  
chmod a+x ./certbot-auto

Agora execute o comando certbot-auto que irá baixar e instalar o software e suas dependências.

./certbot-auto

O comando então dirá que “nenhum nome foi encontrado em seus arquivos de configuração” e pergunta se deve continuar, por favor escolha “não” aqui, pois os certificados serão criados pelo ISPConfig.

12 Instalar PHP-FPM e XCache

XCache é um cache de opcode PHP gratuito e aberto para armazenar em cache e otimizar o código intermediário PHP. É semelhante a outros caches de opcode PHP, como eAccelerator e APC. É altamente recomendado ter um desses instalados para acelerar sua página PHP.

12.1 PHP-FPM (recomendado)

Começando com o ISPConfig 3.0.5, há um modo PHP adicional que você pode selecionar para uso com o Apache: PHP-FPM.

Para usar PHP-FPM com o Apache, precisamos do módulo mod_fastcgi do Apache (por favor, não confunda isso com mod_fcgid - eles são muito semelhantes, mas você não pode usar PHP-FPM com mod_fcgid). Podemos instalar PHP-FPM e mod_fastcgi da seguinte forma:

apt-get install libapache2-mod-fastcgi php5-fpm

Certifique-se de habilitar o módulo e reiniciar o Apache:

a2enmod actions fastcgi alias  
service apache2 restart

12.2 Instalar XCache

XCache pode ser instalado da seguinte forma:

apt-get install php5-xcache

Agora reinicie o Apache:

service apache2 restart

13 Instalar Mailman

ISPConfig permite que você gerencie (crie/modifique/exclua) listas de discussão Mailman. Se você quiser usar esse recurso, instale o Mailman da seguinte forma:

apt-get install mailman

Selecione pelo menos um idioma, por exemplo:

Languages to support: <-- en (Inglês)  
 Missing site list <-- Ok

Antes que possamos iniciar o Mailman, uma primeira lista de discussão chamada mailman deve ser criada:

newlist mailman
root@server1:~# newlist mailman  
Enter the email of the person running the list: <-- endereço de e-mail do administrador, por exemplo, [email protected]  
Initial mailman password: <-- senha do administrador para a lista mailman  
To finish creating your mailing list, you must edit your /etc/aliases (or  
equivalente) file by adding the following lines, and possibly running the  
`newaliases' program:  
   
## mailman mailing list  
mailman:              "|/var/lib/mailman/mail/mailman post mailman"  
mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"  
mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"  
mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"  
mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"  
mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"  
mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"  
mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"  
mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"  
mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"  
   
Hit enter to notify mailman owner... <-- ENTER  
   
root@server1:~#

Abra /etc/aliases depois…

nano /etc/aliases

… e adicione as seguintes linhas:

[...]  
## mailman mailing list  
mailman:              "|/var/lib/mailman/mail/mailman post mailman"  
mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"  
mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"  
mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"  
mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"  
mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"  
mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"  
mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"  
mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"  
mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"

Execute:

newaliases

e reinicie o Postfix:

service postfix restart

Finalmente, devemos habilitar a configuração do Apache do Mailman:

ln -s /etc/mailman/apache.conf /etc/apache2/conf-enabled/mailman.conf

Isso define o alias /cgi-bin/mailman/ para todos os vhosts do Apache, o que significa que você pode acessar a interface de administração do Mailman para uma lista em http://server1.example.com/cgi-bin/mailman/admin/, e a página da web para usuários de uma lista de discussão pode ser encontrada em http://server1.example.com/cgi-bin/mailman/listinfo/.

Em http://server1.example.com/pipermail você pode encontrar os arquivos de listas de discussão.

Reinicie o Apache em seguida:

service apache2 restart

Então inicie o daemon do Mailman:

service mailman start

14 Instalar PureFTPd e Quota

PureFTPd e quota podem ser instalados com o seguinte comando:

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

Edite o arquivo /etc/default/pure-ftpd-common…

nano /etc/default/pure-ftpd-common

… e certifique-se de que o modo de inicialização esteja definido como standalone e defina VIRTUALCHROOT=true:

[...]  
STANDALONE_OR_INETD=standalone  
[...]  
VIRTUALCHROOT=true  
[...]

Agora configuramos o PureFTPd para permitir sessões FTP e TLS. FTP é um protocolo muito inseguro porque todas as senhas e todos os dados são transferidos em texto claro. Ao usar TLS, toda a comunicação pode ser criptografada, tornando o FTP muito mais seguro.

Se você quiser permitir sessões FTP e TLS, execute

echo 1 > /etc/pure-ftpd/conf/TLS

Para usar TLS, devemos criar um certificado SSL. Eu o crio em /etc/ssl/private/, portanto, primeiro crio esse diretório:

mkdir -p /etc/ssl/private/

Depois, podemos gerar o certificado SSL da seguinte forma:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem
Country Name (2 letter code) [AU]: <-- Digite o nome do seu país (por exemplo, "BR").  
State or Province Name (full name) [Some-State]: <-- Digite o nome do seu estado ou província.  
Locality Name (eg, city) []: <-- Digite sua cidade.  
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Digite o nome da sua organização (por exemplo, o nome da sua empresa).  
Organizational Unit Name (eg, section) []: <-- Digite o nome da sua unidade organizacional (por exemplo, "Departamento de TI").  
Common Name (eg, YOUR name) []: <-- Digite o Nome de Domínio Totalmente Qualificado do sistema (por exemplo, "server1.example.com").  
Email Address []: <-- Digite seu endereço de e-mail.

Altere as permissões do certificado SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Então reinicie o PureFTPd:

service pure-ftpd-mysql restart

Edite /etc/fstab. O meu se parece com isso (adicionei, usrjquota=quota.user, grpjquota=quota.group, jqfmt=vfsv0 à partição com o ponto de montagem /):

nano /etc/fstab
# /etc/fstab: informações estáticas do sistema de arquivos.  
#  
# Use 'blkid' para imprimir o identificador universalmente único para um  
devices; isso pode ser usado com UUID= como uma forma mais robusta de nomear dispositivos  
que funciona mesmo que discos sejam adicionados e removidos. Veja fstab(5).  
#  
#        
# / estava em /dev/sda1 durante a instalação  
UUID=3dc3b58d-97e5-497b-8254-a913fdfc5408 / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1  
# swap estava em /dev/sda5 durante a instalação  
UUID=36bf486e-8f76-492d-89af-5a8eb3ce8a02 none swap sw 0 0  
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0

Para habilitar quota, execute estes comandos:

mount -o remount /
quotacheck -avugm  
quotaon -avug

15 Instalar Servidor DNS BIND

BIND pode ser instalado da seguinte forma:

apt-get install bind9 dnsutils

Se seu servidor for uma máquina virtual, é altamente recomendável instalar o daemon haveged para obter uma maior entropia para a assinatura DNSSEC. Você pode instalar haveged em servidores não virtuais também, não deve causar problemas.

apt-get install haveged

Uma explicação sobre esse tópico pode ser encontrada aqui.

16 Instalar Webalizer e AWStats

Webalizer e AWStats podem ser instalados da seguinte forma:

apt-get install webalizer awstats geoip-database libclass-dbi-mysql-perl libtimedate-perl

Abra /etc/cron.d/awstats depois…

nano /etc/cron.d/awstats

… e comente tudo neste arquivo:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Gerar relatórios estáticos:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

17 Instalar Jailkit

Jailkit é necessário apenas se você quiser chroot usuários SSH. Ele pode ser instalado da seguinte forma (importante: Jailkit deve ser instalado antes do ISPConfig - não pode ser instalado depois!):

apt-get install build-essential autoconf automake libtool flex bison debhelper binutils
cd /tmp  
wget http://olivier.sessink.nl/jailkit/jailkit-2.19.tar.gz  
tar xvfz jailkit-2.19.tar.gz  
cd jailkit-2.19  
./debian/rules binary

Agora você pode instalar o pacote Jailkit.deb da seguinte forma:

cd ..  
dpkg -i jailkit_2.19-1_*.deb  
rm -rf jailkit-2.19*

18 Instalar fail2ban e UFW Firewall

Isso é opcional, mas recomendado, porque o monitor do ISPConfig tenta mostrar o log:

apt-get install fail2ban

Para fazer o fail2ban monitorar o PureFTPd e o Dovecot, crie o arquivo /etc/fail2ban/jail.local:

nano /etc/fail2ban/jail.local
[pureftpd]
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
maxretry = 3

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5

[postfix-sasl]
enabled  = true
port     = smtp
filter   = postfix-sasl
logpath  = /var/log/mail.log
maxretry = 3

Em seguida, crie os seguintes dois arquivos de filtro:

nano /etc/fail2ban/filter.d/pureftpd.conf
[Definition]
failregex = .*pure-ftpd: \(.*@\) \[WARNING\] Authentication failed for user.*
ignoreregex =
nano /etc/fail2ban/filter.d/dovecot-pop3imap.conf
[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P\S*),.*
ignoreregex =

Em seguida, para adicionar a linha ignoreregex no arquivo de filtro postfix-sasl, execute:

echo "ignoreregex =" >> /etc/fail2ban/filter.d/postfix-sasl.conf

Reinicie o fail2ban em seguida:

service fail2ban restart

Para instalar o firewall UFW, execute este comando apt:

apt-get install ufw
Share: X/Twitter LinkedIn
#Servidor Debian

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.