Servidor Debian · 8 min read · Dec 18, 2025

O Servidor Perfeito - Debian 9 (Stretch) com Apache, BIND, Dovecot, PureFTPD e ISPConfig 3.1 - Página 2

10 Instalar Apache2, PHP, FCGI, suExec, Pear, phpMyAdmin e mcrypt

Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear e mcrypt podem ser instalados da seguinte forma:

apt-get -y install apache2 apache2-doc apache2-utils libapache2-mod-php php7.0 php7.0-common php7.0-gd php7.0-mysql php7.0-imap phpmyadmin php7.0-cli php7.0-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear php7.0-mcrypt mcrypt imagemagick libruby libapache2-mod-python php7.0-curl php7.0-intl php7.0-pspell php7.0-recode php7.0-sqlite3 php7.0-tidy php7.0-xmlrpc php7.0-xsl memcached php-memcache php-imagick php-gettext php7.0-zip php7.0-mbstring memcached libapache2-mod-passenger php7.0-soap

Você verá as seguintes perguntas:

Web server to reconfigure automatically: <- apache2  
 Configure database for phpmyadmin with dbconfig-common? <- yes  
Enter the phpmyadmin application password? <-  Just press enter

Em seguida, execute o seguinte comando para habilitar os módulos do Apache suexec, rewrite, ssl, actions e include (mais dav, dav_fs e auth_digest se você quiser usar WebDAV):

a2enmod suexec rewrite ssl actions include dav_fs dav auth_digest cgi headers

Para garantir que o servidor não possa ser atacado através da vulnerabilidade HTTPOXY, desabilitaremos o cabeçalho HTTP_PROXY no apache globalmente, adicionando o arquivo de configuração /etc/apache2/conf-available/httpoxy.conf.

nano /etc/apache2/conf-available/httpoxy.conf

Cole o seguinte conteúdo no arquivo:


    RequestHeader unset Proxy early

E habilite o módulo executando:

a2enconf httpoxy  
service apache2 restart

10.1 Instalar HHVM (HipHop Virtual Machine)

Não há pacotes HHVM disponíveis para Debian 9 ainda. HHVM é um modo PHP opcional, então seu servidor funcionará sem ele, você apenas não poderá usar o modo PHP HHVM para sites.

10.2 SuPHP

SuPHP não está mais disponível para Debian 9, as funções do SuPHP estão desatualizadas e serão removidas do ISPConfig também. Use os modos PHP disponíveis PHP-FPM ou PHP-FCGI junto com suexec em vez de SuPHP.

11 Instalar Let’s Encrypt

ISPConfig 3.1 tem suporte para a autoridade de Certificado SSL gratuito Let’s Encrypt. A função Let’s Encrypt permite que você crie certificados SSL gratuitos para seu site a partir do ISPConfig.

Agora vamos adicionar suporte para Let’s Encrypt.

cd /usr/local/bin  
wget https://dl.eff.org/certbot-auto  
chmod a+x certbot-auto  
./certbot-auto --install-only

Não há etapas adicionais necessárias além da instalação do LE. Os certificados SSL do site são criados pelo ISPConfig quando você adiciona os sites.

12 Instalar PHP-FPM

Para usar PHP-FPM com Apache, precisamos do módulo mod_proxy_fcgi do Apache, que é instalado por padrão e só precisa ser habilitado. Podemos instalar o PHP-FPM da seguinte forma:

apt-get -y install php7.0-fpm

Certifique-se de habilitar os módulos e reiniciar o Apache:

a2enmod actions proxy_fcgi alias  
service apache2 restart

12.2 Instalar PHP Opcode Cache (opcional)

Opcache é um cache de opcode PHP gratuito para armazenar em cache e otimizar o código intermediário PHP. APCu é um módulo de compatibilidade que fornece funções compatíveis com APC para Opcache, que é usado por muitos sistemas de cache CMS. É recomendado ter essas extensões PHP instaladas para acelerar sua página PHP.

APCu pode ser instalado da seguinte forma:

apt-get -y install php7.0-opcache php-apcu

Agora reinicie o Apache:

service apache2 restart

13 Instalar Mailman

O ISPConfig permite que você gerencie (crie/modifique/exclua) listas de discussão do Mailman. Se você quiser usar esse recurso, instale o Mailman da seguinte forma:

apt-get install mailman

Selecione pelo menos um idioma, por exemplo:

Languages to support: <-- en (English)  
 Missing site list <-- Ok

Antes de podermos iniciar o Mailman, uma primeira lista de discussão chamada mailman deve ser criada:

newlist mailman
root@server1:~# newlist mailman  
Enter the email of the person running the list: <-- admin email address, e.g. [email protected]  
Initial mailman password: <-- admin password for the mailman list  
To finish creating your mailing list, you must edit your /etc/aliases (or  
equivalent) file by adding the following lines, and possibly running the  
`newaliases' program:  
   
## mailman mailing list  
mailman:              |/var/lib/mailman/mail/mailman post mailman  
mailman-admin:        |/var/lib/mailman/mail/mailman admin mailman  
mailman-bounces:      |/var/lib/mailman/mail/mailman bounces mailman  
mailman-confirm:      |/var/lib/mailman/mail/mailman confirm mailman  
mailman-join:         |/var/lib/mailman/mail/mailman join mailman  
mailman-leave:        |/var/lib/mailman/mail/mailman leave mailman  
mailman-owner:        |/var/lib/mailman/mail/mailman owner mailman  
mailman-request:      |/var/lib/mailman/mail/mailman request mailman  
mailman-subscribe:    |/var/lib/mailman/mail/mailman subscribe mailman  
mailman-unsubscribe:  |/var/lib/mailman/mail/mailman unsubscribe mailman  
   
Hit enter to notify mailman owner... <-- ENTER  
   
root@server1:~#

Abra /etc/aliases depois…

nano /etc/aliases

… e adicione as seguintes linhas:

[...]  
## mailman mailing list  
mailman:              |/var/lib/mailman/mail/mailman post mailman  
mailman-admin:        |/var/lib/mailman/mail/mailman admin mailman  
mailman-bounces:      |/var/lib/mailman/mail/mailman bounces mailman  
mailman-confirm:      |/var/lib/mailman/mail/mailman confirm mailman  
mailman-join:         |/var/lib/mailman/mail/mailman join mailman  
mailman-leave:        |/var/lib/mailman/mail/mailman leave mailman  
mailman-owner:        |/var/lib/mailman/mail/mailman owner mailman  
mailman-request:      |/var/lib/mailman/mail/mailman request mailman  
mailman-subscribe:    |/var/lib/mailman/mail/mailman subscribe mailman  
mailman-unsubscribe:  |/var/lib/mailman/mail/mailman unsubscribe mailman

Execute:

newaliases

e reinicie o Postfix:

service postfix restart

Finalmente, devemos habilitar a configuração do Mailman no Apache:

ln -s /etc/mailman/apache.conf /etc/apache2/conf-enabled/mailman.conf

Isso define o alias /cgi-bin/mailman/ para todos os vhosts do Apache, o que significa que você pode acessar a interface de administração do Mailman para uma lista em http://server1.example.com/cgi-bin/mailman/admin/, e a página da web para usuários de uma lista de discussão pode ser encontrada em http://server1.example.com/cgi-bin/mailman/listinfo/.

Em http://server1.example.com/pipermail você pode encontrar os arquivos da lista de discussão.

Reinicie o Apache depois:

service apache2 restart

Em seguida, inicie o daemon do Mailman:

service mailman start

14 Instalar PureFTPd e Quota

PureFTPd e quota podem ser instalados com o seguinte comando:

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

Crie o arquivo dhparam para pure-ftpd:

openssl dhparam -out /etc/ssl/private/pure-ftpd-dhparams.pem 2048

Edite o arquivo /etc/default/pure-ftpd-common…

nano /etc/default/pure-ftpd-common

… e certifique-se de que o modo de inicialização esteja definido como standalone e defina VIRTUALCHROOT=true:

[...]  
STANDALONE_OR_INETD=standalone  
[...]  
VIRTUALCHROOT=true  
[...]

Agora configuramos o PureFTPd para permitir sessões FTP e TLS. FTP é um protocolo muito inseguro porque todas as senhas e todos os dados são transferidos em texto claro. Ao usar TLS, toda a comunicação pode ser criptografada, tornando o FTP muito mais seguro.

Se você quiser permitir sessões FTP e TLS, execute

echo 1 > /etc/pure-ftpd/conf/TLS

Para usar TLS, devemos criar um certificado SSL. Eu o crio em /etc/ssl/private/, portanto, primeiro crio esse diretório:

mkdir -p /etc/ssl/private/

Depois, podemos gerar o certificado SSL da seguinte forma:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem
Country Name (2 letter code) [AU]: <-- Digite o nome do seu país (por exemplo, "BR").  
State or Province Name (full name) [Some-State]: <-- Digite o nome do seu estado ou província.  
Locality Name (eg, city) []: <-- Digite sua cidade.  
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Digite o nome da sua organização (por exemplo, o nome da sua empresa).  
Organizational Unit Name (eg, section) []: <-- Digite o nome da sua unidade organizacional (por exemplo, "Departamento de TI").  
Common Name (eg, YOUR name) []: <-- Digite o Nome de Domínio Totalmente Qualificado do sistema (por exemplo, "server1.example.com").  
Email Address []: <-- Digite seu endereço de e-mail.

Altere as permissões do certificado SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Em seguida, reinicie o PureFTPd:

service pure-ftpd-mysql restart

Edite /etc/fstab. O meu se parece com isso (adicionei, usrjquota=quota.user, grpjquota=quota.group, jqfmt=vfsv0 à partição com o ponto de montagem /):

nano /etc/fstab
# /etc/fstab: informações estáticas do sistema de arquivos.  
#  
# Use 'blkid' para imprimir o identificador universalmente único para um  
# dispositivo; isso pode ser usado com UUID= como uma maneira mais robusta de nomear dispositivos  
# que funciona mesmo se discos forem adicionados e removidos. Veja fstab(5).  
#  
#        
# / estava em /dev/sda1 durante a instalação  
UUID=f539c5cb-624f-4c27-a149-1446a251a453 / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1  
# swap estava em /dev/sda5 durante a instalação  
UUID=8d3194e7-edb5-4492-937d-d066b4994baf none swap sw 0 0  
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0

Para habilitar quota, execute estes comandos:

mount -o remount /
quotacheck -avugm  
quotaon -avug

15 Instalar Servidor DNS BIND

BIND pode ser instalado da seguinte forma:

apt-get install bind9 dnsutils

Se seu servidor for uma máquina virtual, é altamente recomendável instalar o daemon haveged para obter uma maior entropia para a assinatura DNSSEC. Você pode instalar haveged em servidores não virtuais também, não deve causar problemas.

apt-get install haveged

Uma explicação sobre esse tópico pode ser encontrada aqui.

16 Instalar Webalizer e AWStats

Webalizer e AWStats podem ser instalados da seguinte forma:

apt-get install webalizer awstats geoip-database libclass-dbi-mysql-perl libtimedate-perl

Abra /etc/cron.d/awstats depois…

nano /etc/cron.d/awstats

… e comente tudo nesse arquivo:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Gerar relatórios estáticos:  
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

17 Instalar Jailkit

Jailkit é necessário apenas se você quiser chroot usuários SSH. Ele pode ser instalado da seguinte forma:

apt-get install build-essential autoconf automake libtool flex bison debhelper binutils
cd /tmp  
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz  
tar xvfz jailkit-2.20.tar.gz  
cd jailkit-2.20  
echo 5 > debian/compat  
./debian/rules binary

Agora você pode instalar o pacote Jailkit.deb da seguinte forma:

cd ..  
dpkg -i jailkit_2.20-1_*.deb  
rm -rf jailkit-2.20*

18 Instalar fail2ban e UFW Firewall

Isso é opcional, mas recomendado, porque o monitor do ISPConfig tenta mostrar o log:

apt-get install fail2ban

Para fazer o fail2ban monitorar o PureFTPd e o Dovecot, crie o arquivo /etc/fail2ban/jail.local:

nano /etc/fail2ban/jail.local

E adicione a seguinte configuração a ele.

[pure-ftpd]  
enabled = true  
port = ftp  
filter = pure-ftpd  
logpath = /var/log/syslog  
maxretry = 3  
  
[dovecot]  
enabled = true  
filter = dovecot  
logpath = /var/log/mail.log  
maxretry = 5  
  
[postfix-sasl]  
enabled = true  
port = smtp  
filter = postfix-sasl  
logpath = /var/log/mail.log  
maxretry = 3

Reinicie o fail2ban depois:

service fail2ban restart

Para instalar o firewall UFW, execute este comando apt:

apt-get install ufw
Share: X/Twitter LinkedIn
#Servidor Debian

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.