O Servidor Perfeito - Debian Wheezy (Apache2, BIND, Dovecot, ISPConfig 3) - Página 4

12 Instalar Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear e mcrypt

Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear e mcrypt podem ser instalados da seguinte forma:

apt-get install apache2 apache2.2-common apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libapache2-mod-php5 php5 php5-common php5-gd php5-mysql php5-imap phpmyadmin php5-cli php5-cgi libapache2-mod-fcgid apache2-suexec php-pear php-auth php5-mcrypt mcrypt php5-imagick imagemagick libapache2-mod-suphp libruby libapache2-mod-ruby libapache2-mod-python php5-curl php5-intl php5-memcache php5-memcached php5-ming php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl memcached

Você verá a seguinte pergunta:

Web server to reconfigure automatically: <- apache2  
 Configure database for phpmyadmin with dbconfig-common? <- no

Em seguida, execute o seguinte comando para habilitar os módulos do Apache suexec, rewrite, ssl, actions e include (mais dav, dav_fs e auth_digest se você quiser usar WebDAV):

a2enmod suexec rewrite ssl actions include

a2enmod dav_fs dav auth_digest

Próximo, abra /etc/apache2/mods-available/suphp.conf…

vi /etc/apache2/mods-available/suphp.conf

… e comente a seção e adicione a linha AddType application/x-httpd-suphp .php .php3 .php4 .php5 .phtml - caso contrário, todos os arquivos PHP serão executados pelo SuPHP:

| # # SetHandler application/x-httpd-suphp # AddType application/x-httpd-suphp .php .php3 .php4 .php5 .phtml suPHP_AddHandler application/x-httpd-suphp suPHP_Engine on # Por padrão, desabilitar suPHP para aplicações web empacotadas do debian, pois os arquivos # são de propriedade do root e não podem ser executados pelo suPHP devido ao min_uid. suPHP_Engine off # # Use um arquivo de configuração php específico (um diretório que contém um arquivo php.ini) # suPHP_ConfigPath /etc/php5/cgi/suphp/ # # Diz ao mod_suphp para NÃO lidar com solicitações do tipo . # suPHP_RemoveHandler |

Reinicie o Apache depois:

/etc/init.d/apache2 restart

Se você quiser hospedar arquivos Ruby com a extensão .rb em seus sites criados através do ISPConfig, você deve comentar a linha application/x-ruby rb em /etc/mime.types:

vi /etc/mime.types

| [...] #application/x-ruby rb [...] |

(Isto é necessário apenas para arquivos .rb; arquivos Ruby com a extensão .rbx funcionam imediatamente.)

Reinicie o Apache depois:

/etc/init.d/apache2 restart

12.1 Xcache

Xcache é um cache de opcode PHP gratuito e aberto para armazenar em cache e otimizar o código intermediário PHP. É semelhante a outros caches de opcode PHP, como eAccelerator e APC. É altamente recomendado ter um desses instalados para acelerar sua página PHP.

Xcache pode ser instalado da seguinte forma:

apt-get install php5-xcache

Agora reinicie o Apache:

/etc/init.d/apache2 restart

12.2 PHP-FPM

A partir do ISPConfig 3.0.5, há um modo PHP adicional que você pode selecionar para uso com o Apache: PHP-FPM.

Para usar PHP-FPM com o Apache, precisamos do módulo mod_fastcgi do Apache (por favor, não confunda isso com mod_fcgid - eles são muito semelhantes, mas você não pode usar PHP-FPM com mod_fcgid). Podemos instalar PHP-FPM e mod_fastcgi da seguinte forma:

apt-get install libapache2-mod-fastcgi php5-fpm

Certifique-se de habilitar o módulo e reiniciar o Apache:

a2enmod actions fastcgi alias  
/etc/init.d/apache2 restart

12.3 Versões Adicionais do PHP

A partir do ISPConfig 3.0.5, é possível ter várias versões do PHP em um servidor (selecionáveis através do ISPConfig) que podem ser executadas através do FastCGI e PHP-FPM. Para aprender como construir versões adicionais do PHP (PHP-FPM e FastCGI) e como configurar o ISPConfig, consulte este tutorial: Como Usar Múltiplas Versões do PHP (PHP-FPM & FastCGI) Com ISPConfig 3 (Debian Wheezy).

13 Instalar Mailman

Desde a versão 3.0.4, o ISPConfig também permite que você gerencie (crie/modifique/exclua) listas de discussão do Mailman. Se você quiser usar esse recurso, instale o Mailman da seguinte forma:

apt-get install mailman

Selecione pelo menos um idioma, por exemplo:

Languages to support: <-- en (Inglês)  
 Missing site list <-- Ok

Antes que possamos iniciar o Mailman, uma primeira lista de discussão chamada mailman deve ser criada:

newlist mailman

root@server1:~# newlist mailman  
 Enter the email of the person running the list: <-- endereço de email do administrador, por exemplo, [email protected]  
 Initial mailman password: <-- senha do administrador para a lista do mailman  
 To finish creating your mailing list, you must edit your /etc/aliases (or  
 equivalent) file by adding the following lines, and possibly running the  
 `newaliases' program:  
   
 ## mailman mailing list  
 mailman:              "|/var/lib/mailman/mail/mailman post mailman"  
 mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"  
 mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"  
 mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"  
 mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"  
 mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"  
 mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"  
 mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"  
 mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"  
 mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"  
   
 Hit enter to notify mailman owner... <-- ENTER  
   
 root@server1:~#

Abra /etc/aliases depois…

vi /etc/aliases

… e adicione as seguintes linhas:

| [...] ## mailman mailing list mailman: "|/var/lib/mailman/mail/mailman post mailman" mailman-admin: "|/var/lib/mailman/mail/mailman admin mailman" mailman-bounces: "|/var/lib/mailman/mail/mailman bounces mailman" mailman-confirm: "|/var/lib/mailman/mail/mailman confirm mailman" mailman-join: "|/var/lib/mailman/mail/mailman join mailman" mailman-leave: "|/var/lib/mailman/mail/mailman leave mailman" mailman-owner: "|/var/lib/mailman/mail/mailman owner mailman" mailman-request: "|/var/lib/mailman/mail/mailman request mailman" mailman-subscribe: "|/var/lib/mailman/mail/mailman subscribe mailman" mailman-unsubscribe: "|/var/lib/mailman/mail/mailman unsubscribe mailman" |

Execute

newaliases

depois e reinicie o Postfix:

/etc/init.d/postfix restart

Finalmente, devemos habilitar a configuração do Apache do Mailman:

ln -s /etc/mailman/apache.conf /etc/apache2/conf.d/mailman.conf

Isso define o alias /cgi-bin/mailman/ para todos os vhosts do Apache, o que significa que você pode acessar a interface de administração do Mailman para uma lista em http:///cgi-bin/mailman/admin/, e a página da web para usuários de uma lista de discussão pode ser encontrada em http:///cgi-bin/mailman/listinfo/.

Em http:///pipermail você pode encontrar os arquivos de listas de discussão.

Reinicie o Apache depois:

/etc/init.d/apache2 restart

Em seguida, inicie o daemon do Mailman:

/etc/init.d/mailman start

14 Instalar PureFTPd e Quota

PureFTPd e quota podem ser instalados com o seguinte comando:

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

Edite o arquivo /etc/default/pure-ftpd-common…

vi /etc/default/pure-ftpd-common

… e certifique-se de que o modo de início esteja definido como standalone e defina VIRTUALCHROOT=true:

| [...] STANDALONE_OR_INETD=standalone [...] VIRTUALCHROOT=true [...] |

Agora configuramos o PureFTPd para permitir sessões FTP e TLS. FTP é um protocolo muito inseguro porque todas as senhas e todos os dados são transferidos em texto claro. Ao usar TLS, toda a comunicação pode ser criptografada, tornando o FTP muito mais seguro.

Se você quiser permitir sessões FTP e TLS, execute

echo 1 > /etc/pure-ftpd/conf/TLS

Para usar TLS, devemos criar um certificado SSL. Eu o crio em /etc/ssl/private/, portanto, primeiro crio esse diretório:

mkdir -p /etc/ssl/private/

Depois, podemos gerar o certificado SSL da seguinte forma:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Country Name (2 letter code) [AU]: <-- Digite o Nome do seu País (por exemplo, "DE").  
 State or Province Name (full name) [Some-State]: <-- Digite o Nome do seu Estado ou Província.  
 Locality Name (eg, city) []: <-- Digite sua Cidade.  
 Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Digite o Nome da sua Organização (por exemplo, o nome da sua empresa).  
 Organizational Unit Name (eg, section) []: <-- Digite o Nome da sua Unidade Organizacional (por exemplo, "Departamento de TI").  
 Common Name (eg, YOUR name) []: <-- Digite o Nome de Domínio Totalmente Qualificado do sistema (por exemplo, "server1.example.com").  
 Email Address []: <-- Digite seu Endereço de Email.

Altere as permissões do certificado SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Em seguida, reinicie o PureFTPd:

/etc/init.d/pure-ftpd-mysql restart

Edite /etc/fstab. O meu se parece com isso (adicionei, usrjquota=quota.user, grpjquota=quota.group, jqfmt=vfsv0 à partição com o ponto de montagem /):

vi /etc/fstab

| # /etc/fstab: informações do sistema de arquivos estático. # # Use 'blkid' para imprimir o identificador universalmente único para um # dispositivo; isso pode ser usado com UUID= como uma maneira mais robusta de nomear dispositivos # que funciona mesmo se discos forem adicionados e removidos. Veja fstab(5). # /dev/mapper/server1-root / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1 # /boot estava em /dev/sda1 durante a instalação UUID=46d1bd79-d761-4b23-80b8-ad20cb18e049 /boot ext2 defaults 0 2 /dev/mapper/server1-swap_1 none swap sw 0 0 /dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0 |

Para habilitar quota, execute estes comandos:

mount -o remount /

quotacheck -avugm  
 quotaon -avug

15 Instalar Servidor DNS BIND

BIND pode ser instalado da seguinte forma:

apt-get install bind9 dnsutils

16 Instalar Vlogger, Webalizer e AWstats

Vlogger, webalizer e AWstats podem ser instalados da seguinte forma:

apt-get install vlogger webalizer awstats geoip-database libclass-dbi-mysql-perl

Abra /etc/cron.d/awstats depois…

vi /etc/cron.d/awstats

… e comente tudo nesse arquivo:

| #MAILTO=root #*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh # Gerar relatórios estáticos: #10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh |

17 Instalar Jailkit

Jailkit é necessário apenas se você quiser chroot usuários SSH. Pode ser instalado da seguinte forma (importante: Jailkit deve ser instalado antes do ISPConfig - não pode ser instalado depois!):

apt-get install build-essential autoconf automake1.9 libtool flex bison debhelper binutils-gold

cd /tmp  
 wget http://olivier.sessink.nl/jailkit/jailkit-2.17.tar.gz  
 tar xvfz jailkit-2.17.tar.gz  
 cd jailkit-2.17  
 ./debian/rules binary

Agora você pode instalar o pacote Jailkit.deb da seguinte forma:

cd ..  
 dpkg -i jailkit_2.17-1_*.deb  
 rm -rf jailkit-2.17*

18 Instalar fail2ban

Isso é opcional, mas recomendado, porque o monitor do ISPConfig tenta mostrar o log:

apt-get install fail2ban

Para fazer o fail2ban monitorar o PureFTPd e o Dovecot, crie o arquivo /etc/fail2ban/jail.local:

vi /etc/fail2ban/jail.local

[pureftpd]
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
maxretry = 3

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5

[sasl]
enabled  = true
port     = smtp
filter   = sasl
logpath  = /var/log/mail.log
maxretry = 3

Em seguida, crie os seguintes dois arquivos de filtro:

vi /etc/fail2ban/filter.d/pureftpd.conf

[Definition]
failregex = .*pure-ftpd: \(.*@\) \[WARNING\] Authentication failed for user.*
ignoreregex =

vi /etc/fail2ban/filter.d/dovecot-pop3imap.conf

[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P\S*),.*
ignoreregex =

Reinicie o fail2ban depois:

/etc/init.d/fail2ban restart