O Servidor Perfeito - Debian 8 Jessie (Apache2, BIND, Dovecot, ISPConfig 3)

Este tutorial mostra como preparar um servidor Debian Jessie (com Apache2, BIND, Dovecot) para a instalação do ISPConfig 3, e como instalar o ISPConfig 3. O painel de controle de hospedagem web ISPConfig 3 permite que você configure os seguintes serviços através de um navegador web: servidor web Apache ou nginx, servidor de e-mail Postfix, servidor IMAP/POP3 Courier ou Dovecot, MySQL, servidor de nomes BIND ou MyDNS, PureFTPd, SpamAssassin, ClamAV, e muitos mais. Esta configuração cobre Apache (em vez de nginx), BIND (em vez de MyDNS) e Dovecot (em vez de Courier).

1 Nota Preliminar

Neste tutorial, usarei o nome do host server1.example.com com o endereço IP 192.168.1.100 e o gateway 192.168.1.1. Essas configurações podem diferir para você, então você deve substituí-las onde apropriado. Antes de prosseguir, você precisa ter uma instalação mínima do Debian 8. Isso pode ser uma imagem mínima do Debian do seu provedor de hospedagem ou você pode usar o Tutorial de Servidor Debian Mínimo para configurar o sistema base.

2 Instalar o servidor SSH (Opcional)

Se você não instalou o servidor OpenSSH durante a instalação do sistema, você pode fazê-lo agora:

apt-get install ssh openssh-server

A partir de agora, você pode usar um cliente SSH como o PuTTY e se conectar do seu workstation ao seu servidor Debian Jessie e seguir os passos restantes deste tutorial.

3 Instalar um editor de texto de shell (Opcional)

Usaremos o editor de texto nano neste tutorial. Alguns usuários preferem o editor clássico vi, portanto, instalaremos ambos os editores aqui. O programa vi padrão tem um comportamento estranho no Debian e Ubuntu; para corrigir isso, instalamos o vim-nox:

apt-get install nano vim-nox

Se vi é seu editor favorito, então substitua nano por vi nos seguintes comandos para editar arquivos.

4 Configurar o Nome do Host

O nome do host do seu servidor deve ser um subdomínio como “server1.example.com”. Não use um nome de domínio sem a parte do subdomínio como “example.com” como nome do host, pois isso causará problemas mais tarde com sua configuração de e-mail. Primeiro, você deve verificar o nome do host em /etc/hosts e alterá-lo quando necessário. A linha deve ser: “Endereço IP - espaço - nome do host completo incl. domínio - espaço - parte do subdomínio”. Para nosso nome do host server1.example.com, o arquivo deve parecer com isso:

nano /etc/hosts

127.0.0.1       localhost.localdomain   localhost
192.168.1.100   server1.example.com     server1

# As linhas a seguir são desejáveis para hosts compatíveis com IPv6
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Então edite o arquivo /etc/hostname:

nano /etc/hostname

Deve conter apenas a parte do subdomínio, no nosso caso:

server1

Finalmente, reinicie o servidor para aplicar a mudança:

reboot

Faça login novamente e verifique se o nome do host está correto agora com estes comandos:

hostname  
hostname -f

A saída deve ser assim:

root@server1:/tmp# hostname  
server1  
root@server1:/tmp# hostname -f  
server1.example.com

5 Atualize Sua Instalação do Debian

Primeiro, certifique-se de que seu /etc/apt/sources.list contém o repositório jessie/updates (isso garante que você sempre receba as atualizações de segurança mais recentes), e que os repositórios contrib e non-free estão habilitados (alguns pacotes como libapache2-mod-fastcgi não estão no repositório principal).

nano /etc/apt/sources.list

#deb cdrom:[Debian GNU/Linux 8.0.0 _Jessie_ - Official amd64 NETINST Binary-1 20150425-12:50]/ jessie main  
  
deb http://ftp.us.debian.org/debian/ jessie main contrib non-free  
deb-src http://ftp.us.debian.org/debian/ jessie main contrib non-free  
  
deb http://security.debian.org/ jessie/updates main contrib non-free  
deb-src http://security.debian.org/ jessie/updates main contrib non-free

Execute:

apt-get update

Para atualizar o banco de dados de pacotes apt

apt-get upgrade

e para instalar as atualizações mais recentes (se houver).

6 Mudar o Shell Padrão

/bin/sh é um link simbólico para /bin/dash, no entanto, precisamos de /bin/bash, não /bin/dash. Portanto, fazemos isso:

dpkg-reconfigure dash

Usar dash como o shell padrão do sistema (/bin/sh)? <- não

Se você não fizer isso, a instalação do ISPConfig falhará.

7 Sincronizar o Relógio do Sistema

É uma boa ideia sincronizar o relógio do sistema com um servidor NTP ( n etwork t ime p rotocol) pela Internet. Basta executar

apt-get install ntp ntpdate

e seu horário do sistema estará sempre sincronizado.

8 Instalar Postfix, Dovecot, MySQL, phpMyAdmin, rkhunter, binutils

Podemos instalar Postfix, Dovecot, MySQL, rkhunter e binutils com um único comando:

apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo

Se você preferir MySQL em vez de MariaDB, substitua os pacotes “mariadb-client mariadb-server” no comando acima por “mysql-client mysql-server”.

Você será perguntado as seguintes questões:

Tipo geral de configuração de e-mail: <– Internet Site
Nome do sistema de e-mail: <– server1.example.com
Nova senha para o usuário “root” do MariaDB: <– sua senhadobanco
Repita a senha para o usuário “root” do MariaDB: <– sua senhadobanco

Em seguida, abra as portas TLS/SSL e de envio no Postfix:

nano /etc/postfix/master.cf

Descomente as seções de envio e smtps como segue e adicione linhas onde necessário para que esta seção do arquivo master.cf fique exatamente como a abaixo.

[...]
submission inet n - - - - smtpd  
 -o syslog_name=postfix/submission  
 -o smtpd_tls_security_level=encrypt  
 -o smtpd_sasl_auth_enable=yes  
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
# -o smtpd_reject_unlisted_recipient=no  
# -o smtpd_client_restrictions=$mua_client_restrictions  
# -o smtpd_helo_restrictions=$mua_helo_restrictions  
# -o smtpd_sender_restrictions=$mua_sender_restrictions  
# -o smtpd_recipient_restrictions=  
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject  
# -o milter_macro_daemon_name=ORIGINATING  
smtps inet n - - - - smtpd  
 -o syslog_name=postfix/smtps  
 -o smtpd_tls_wrappermode=yes  
 -o smtpd_sasl_auth_enable=yes  
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
# -o smtpd_reject_unlisted_recipient=no  
# -o smtpd_client_restrictions=$mua_client_restrictions  
# -o smtpd_helo_restrictions=$mua_helo_restrictions  
# -o smtpd_sender_restrictions=$mua_sender_restrictions  
# -o smtpd_recipient_restrictions=  
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject  
# -o milter_macro_daemon_name=ORIGINATING
[...]

Reinicie o Postfix depois:

service postfix restart

Queremos que o MariaDB ouça em todas as interfaces, não apenas no localhost, portanto, editamos /etc/mysql/my.cnf e comentamos a linha bind-address = 127.0.0.1:

nano /etc/mysql/my.cnf

[...]
# Em vez de skip-networking, o padrão agora é ouvir apenas em
# localhost, que é mais compatível e não é menos seguro.
#bind-address           = 127.0.0.1
[...]

Então reiniciamos o MySQL:

service mysql restart

Agora verifique se a rede está habilitada. Execute

netstat -tap | grep mysql

A saída deve parecer com isso:

root@server1:/tmp# netstat -tap | grep mysql  
tcp6 0 0 [::]:mysql [::]:* LISTEN 27371/mysqld

9 Instalar Amavisd-new, SpamAssassin E Clamav

Para instalar amavisd-new, SpamAssassin e ClamAV, executamos

apt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl

A configuração do ISPConfig 3 usa amavisd que carrega a biblioteca de filtro SpamAssassin internamente, então podemos parar o SpamAssassin para liberar um pouco de RAM:

service spamassassin stop  
systemctl disable spamassassin