O Servidor Perfeito - Fedora 15 x86_64 [ISPConfig 3] - Página 5

15 Instalar Amavisd-new, SpamAssassin E ClamAV

Para instalar amavisd-new, spamassassin e clamav, execute o seguinte comando:

yum install amavisd-new spamassassin clamav clamav-data clamav-server clamav-update unzip bzip2 perl-DBD-mysql

Quando instalamos o ClamAV, um trabalho cron foi instalado que tenta atualizar o banco de dados de vírus do ClamAV a cada três horas. Mas isso funciona apenas se ativarmos em /etc/sysconfig/freshclam e /etc/freshclam.conf:

vi /etc/sysconfig/freshclam

Comente a linha FRESHCLAM_DELAY no final:

| ## Ao alterar a periodicidade das execuções do freshclam no crontab, ## este valor deve ser ajustado também. Seu valor é o intervalo entre ## duas execuções subsequentes do freshclam em minutos. Por exemplo, para o padrão ## ## | 0 */3 * * * ... ## ## linha do crontab, o valor é 180 (minutos). # FRESHCLAM_MOD= ## Um valor pré-definido para o atraso em segundos. Por padrão, o valor é ## calculado pelo programa 'hostid'. Este valor pré-definido garante ## intervalos constantes de 3 horas entre duas execuções subsequentes do freshclam. ## ## Esta opção aceita dois valores especiais: ## 'disabled-warn' ... desabilita a atualização automática do freshclam e ## emite um aviso ## 'disabled' ... desabilita o freshclam automaticamente em silêncio # FRESHCLAM_DELAY= ### !!!!! REMOVA-ME !!!!!! ### REMOVA-ME: Por padrão, a atualização do freshclam está desabilitada para evitar ### REMOVA-ME: acesso à rede sem ativação prévia #FRESHCLAM_DELAY=disabled-warn # REMOVA-ME |

vi /etc/freshclam.conf

Comente a linha Exemplo:

| [...] # Comente ou remova a linha abaixo. #Exemplo [...] |

Então, iniciamos freshclam, amavisd e clamd…

sa-update
chkconfig –levels 235 amavisd on
chkconfig –levels 235 clamd.amavisd on
/usr/bin/freshclam
/etc/init.d/amavisd start
/etc/init.d/clamd.amavisd start

Em seguida, faça isso:

rm -f /var/spool/amavisd/clamd.sock
mkdir /var/run/clamav.amavisd /var/run/clamd.amavisd /var/run/amavisd
chown amavis /var/run/clamav.amavisd
chown amavis /var/run/clamd.amavisd
chown amavis /var/run/amavisd
ln -sf /var/spool/amavisd/clamd.sock /var/run/clamav.amavisd/clamd.sock
ln -sf /var/spool/amavisd/clamd.sock /var/run/clamd.amavisd/clamd.sock
/etc/init.d/clamd.amavisd restart

O Fedora 15 tem um diretório /run para armazenar dados de tempo de execução. /run agora é um tmpfs, e /var/run e /var/lock agora estão montados em /run e /run/lock a partir do tmpfs, e, portanto, esvaziados na reinicialização (veja https://docs.fedoraproject.org/en-US/Fedora/15/html/Release_Notes/sect-Release_Notes-Changes_for_SysAdmin.html para mais detalhes).

Isso significa que, após uma reinicialização, os diretórios /var/run/clamav.amavisd, /var/run/clamd.amavisd e /var/run/amavisd que acabamos de criar não existirão mais, e, portanto, clamd e amavisd falharão ao iniciar. Portanto, criamos o arquivo /etc/tmpfiles.d/amavisd.conf agora que criará esses diretórios na inicialização do sistema (veja http://0pointer.de/public/systemd-man/tmpfiles.d.html para mais detalhes):

vi /etc/tmpfiles.d/amavisd.conf

| D /var/run/clamav.amavisd 0755 amavis root - D /var/run/clamd.amavisd 0755 amavis root - D /var/run/amavisd 0755 amavis root - |

16 Instalando mod_php, mod_fcgi/PHP5, E suPHP

O ISPConfig 3 permite que você use mod_php, mod_fcgi/PHP5, cgi/PHP5 e suPHP em uma base por site.

Podemos instalar o Apache2 com mod_php5, mod_fcgid e PHP5 da seguinte forma:

yum install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel

Em seguida, abrimos /etc/php.ini…

vi /etc/php.ini

… e alteramos a configuração de relatórios de erro (para que os avisos não sejam mais exibidos) e descomentamos cgi.fix_pathinfo=1:

| [...] ;error_reporting = E_ALL & ~E_DEPRECATED error_reporting = E_ALL & ~E_NOTICE [...] ; cgi.fix_pathinfo fornece suporte *real* para PATH_INFO/PATH_TRANSLATED para CGI. O comportamento anterior do PHP era definir PATH_TRANSLATED como SCRIPT_FILENAME, e não entender o que é PATH_INFO. Para mais informações sobre PATH_INFO, veja as especificações cgi. Definir isso como 1 fará com que o PHP CGI corrija seus caminhos para se conformar à especificação. Um valor de zero faz com que o PHP se comporte como antes. O padrão é 1. Você deve corrigir seus scripts para usar SCRIPT_FILENAME em vez de PATH_TRANSLATED. ; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo cgi.fix_pathinfo=1 [...] |

Em seguida, instalamos o suPHP:

cd /tmp
wget http://www.suphp.org/download/suphp-0.7.1.tar.gz
tar xvfz suphp-0.7.1.tar.gz
cd suphp-0.7.1/
./configure –prefix=/usr –sysconfdir=/etc –with-apr=/usr/bin/apr-1-config –with-apxs=/usr/sbin/apxs –with-apache-user=apache –with-setid-mode=owner –with-php=/usr/bin/php-cgi –with-logfile=/var/log/httpd/suphp_log –enable-SUPHP_USE_USERGROUP=yes
make
make install

Então, adicionamos o módulo suPHP à nossa configuração do Apache…

vi /etc/httpd/conf.d/suphp.conf

| LoadModule suphp_module modules/mod_suphp.so |

… e criamos o arquivo /etc/suphp.conf da seguinte forma:

vi /etc/suphp.conf

| [global] ;Caminho para o arquivo de log logfile=/var/log/httpd/suphp.log ;Nível de log loglevel=info ;Usuário que o Apache está executando webserver_user=apache ;Caminho que todos os scripts devem estar docroot=/ ;Caminho para chroot() antes de executar o script ;chroot=/mychroot ; Opções de segurança allow_file_group_writeable=true allow_file_others_writeable=false allow_directory_group_writeable=true allow_directory_others_writeable=false ;Verifique se o script está dentro do DOCUMENT_ROOT check_vhost_docroot=true ;Enviar mensagens de erro menores para o navegador errors_to_browser=false ;Variável de ambiente PATH env_path=/bin:/usr/bin ;Umask a ser definida, especifique em notação octal umask=0077 ; UID mínimo min_uid=100 ; GID mínimo min_gid=100 [handlers] ;Manipulador para scripts php x-httpd-suphp="php:/usr/bin/php-cgi" ;Manipulador para scripts CGI x-suphp-cgi="execute:!self" |

Finalmente, reiniciamos o Apache:

/etc/init.d/httpd restart

16.1 Ruby

A partir da versão 3.0.3, o ISPConfig 3 tem suporte embutido para Ruby. Em vez de usar CGI/FastCGI, o ISPConfig depende do mod_ruby estar disponível no Apache do servidor.

Para o Fedora 15, não há pacote mod_ruby disponível, então devemos compilá-lo nós mesmos. Primeiro, instalamos algumas dependências:

yum install ruby ruby-devel

Em seguida, baixamos e instalamos o mod_ruby da seguinte forma:

cd /tmp
wget http://modruby.net/archive/mod_ruby-1.3.0.tar.gz
tar zxvf mod_ruby-1.3.0.tar.gz
cd mod_ruby-1.3.0/
./configure.rb –with-apr-includes=/usr/include/apr-1
make
make install

Finalmente, devemos adicionar o módulo mod_ruby à configuração do Apache, então criamos o arquivo /etc/httpd/conf.d/ruby.conf…

vi /etc/httpd/conf.d/ruby.conf

| LoadModule ruby_module modules/mod_ruby.so RubyAddPath /1.8 |

… e reiniciamos o Apache:

/etc/init.d/httpd restart

(Se você deixar de fora a diretiva RubyAddPath /1.8, você verá erros como os seguintes no log de erros do Apache quando chamar arquivos Ruby:

[Thu May 26 02:05:05 2011] [error] mod_ruby: ruby:0:in `require’: no such file to load – apache/ruby-run (LoadError)
[Thu May 26 02:05:05 2011] [error] mod_ruby: failed to require apache/ruby-run
[Thu May 26 02:05:05 2011] [error] mod_ruby: error in ruby ) #### 16.2 WebDAV O WebDAV deve já estar habilitado, mas para verificar isso, abra /etc/httpd/conf/httpd.conf e certifique-se de que os seguintes três módulos estão ativos: vi /etc/httpd/conf/httpd.conf | [...] LoadModule auth_digest_module modules/mod_auth_digest.so [...] LoadModule dav_module modules/mod_dav.so [...] LoadModule dav_fs_module modules/mod_dav_fs.so [...] | Se você tiver que modificar /etc/httpd/conf/httpd.conf, não se esqueça de reiniciar o Apache depois: /etc/init.d/httpd restart ### 17 Instalar PureFTPd O PureFTPd pode ser instalado com o seguinte comando: yum install pure-ftpd Em seguida, crie os links de inicialização do sistema e inicie o PureFTPd: chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start Agora configuramos o PureFTPd para permitir sessões FTP e TLS. O FTP é um protocolo muito inseguro porque todas as senhas e todos os dados são transferidos em texto claro. Ao usar TLS, toda a comunicação pode ser criptografada, tornando o FTP muito mais seguro. O OpenSSL é necessário pelo TLS; para instalar o OpenSSL, simplesmente executamos: yum install openssl Abra /etc/pure-ftpd/pure-ftpd.conf… vi /etc/pure-ftpd/pure-ftpd.conf Se você quiser permitir sessões FTP e TLS, defina TLS como 1: | [...] # Esta opção pode aceitar três valores : # 0 : desabilitar a camada de criptografia SSL/TLS (padrão). # 1 : aceitar tanto sessões tradicionais quanto criptografadas. # 2 : recusar conexões que não utilizam mecanismos de segurança SSL/TLS, # incluindo sessões anônimas. # Não descomente isso cegamente. Certifique-se de que : # 1) Seu servidor foi compilado com suporte a SSL/TLS (--with-tls), # 2) Um certificado válido está em vigor, # 3) Apenas clientes compatíveis farão login. TLS 1 [...] | Para usar TLS, devemos criar um certificado SSL. Eu o crio em /etc/ssl/private/, portanto, primeiro crio esse diretório: mkdir -p /etc/ssl/private/ Depois, podemos gerar o certificado SSL da seguinte forma: openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem Nome do País (código de 2 letras) [XX]: <– Insira o Nome do Seu País (por exemplo, “DE”).
Nome do Estado ou Província (nome completo) []: <– Insira o Nome do Seu Estado ou Província.
Nome da Localidade (por exemplo, cidade) [Cidade Padrão]: <– Insira Sua Cidade.
Nome da Organização (por exemplo, empresa) [Empresa Padrão Ltda]: <– Insira o Nome da Sua Organização (por exemplo, o nome da sua empresa).
Nome da Unidade Organizacional (por exemplo, seção) []: <– Insira o Nome da Sua Unidade Organizacional (por exemplo, “Departamento de TI”).
Nome Comum (por exemplo, seu nome ou o nome do host do seu servidor) []: <– Insira o Nome de Domínio Totalmente Qualificado do sistema (por exemplo, “server1.exemplo.com”).
Endereço de E-mail []: <– Insira seu Endereço de E-mail. Altere as permissões do certificado SSL: chmod 600 /etc/ssl/private/pure-ftpd.pem Finalmente, reinicie o PureFTPd: /etc/init.d/pure-ftpd restart É isso. Agora você pode tentar se conectar usando seu cliente FTP; no entanto, você deve configurar seu cliente FTP para usar TLS. ### 18 Instalar BIND Podemos instalar o BIND da seguinte forma: yum install bind bind-utils Em seguida, abra /etc/sysconfig/named… vi /etc/sysconfig/named … e comente a linha ROOTDIR=/var/named/chroot: | # Opções do processo BIND named # ~~~~~~~~~~~~~~~~~~~~~~~~~~ # Atualmente, você pode usar as seguintes opções: # # ROOTDIR="/var/named/chroot" -- executará named em um ambiente chroot. # você deve configurar o ambiente chroot # (instalar o pacote bind-chroot) antes # de fazer isso. # NOTA: # Esses diretórios são montados automaticamente no chroot se estiverem # vazios no diretório ROOTDIR. Isso simplificará a manutenção do seu # ambiente chroot. # - /var/named # - /etc/pki/dnssec-keys # - /etc/named # - /usr/lib64/bind ou /usr/lib/bind (dependente da arquitetura) # # Esses arquivos também são montados se o arquivo de destino não existir # no chroot. # - /etc/named.conf # - /etc/rndc.conf # - /etc/rndc.key # - /etc/named.rfc1912.zones # - /etc/named.dnssec.keys # - /etc/named.iscdlv.key # # Não se esqueça de adicionar "$AddUnixListenSocket /var/named/chroot/dev/log" # linha ao seu arquivo /etc/rsyslog.conf. Caso contrário, seu registro se tornará # quebrado quando o daemon rsyslogd for reiniciado (devido a uma atualização, por exemplo). # # OPTIONS="whatever" -- Essas opções adicionais serão passadas para named # na inicialização. Não adicione -t aqui, use ROOTDIR em vez disso. # # KEYTAB_FILE="/dir/file" -- Especifique o arquivo de chave do serviço named (para GSS-TSIG) # # DISABLE_ZONE_CHECKING -- Por padrão, o script de inicialização chama a # utilidade named-checkzone para cada zona para garantir que todas as zonas estão # válidas antes do named iniciar. Se você definir esta opção # como 'sim', então o script de inicialização não realizará essas # verificações. #ROOTDIR=/var/named/chroot | Então, criamos os links de inicialização: chkconfig --levels 235 named on Não iniciamos o BIND agora porque ele deve ser configurado primeiro - isso será feito automaticamente pelo instalador do ISPConfig 3 mais tarde. ### 19 Instalar Vlogger, Webalizer, E AWStats Vlogger, webalizer e AWStats podem ser instalados da seguinte forma: yum install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder cd /tmp
wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz
tar xvfz vlogger-1.3.tar.gz
mv vlogger-1.3/vlogger /usr/sbin/
rm -rf vlogger ### 20 Instalar Jailkit O Jailkit é necessário apenas se você quiser chroot usuários SSH. Ele pode ser instalado da seguinte forma (importante: o Jailkit deve ser instalado antes do ISPConfig - não pode ser instalado depois!): cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.14.tar.gz
tar xvfz jailkit-2.14.tar.gz
cd jailkit-2.14
./configure
make
make install
cd ..
rm -rf jailkit-2.14 ### 21 Instalar fail2ban Isso é opcional, mas recomendado, porque o monitor do ISPConfig tenta mostrar o log: yum install fail2ban chkconfig –levels 235 fail2ban on
/etc/init.d/fail2ban start ### 22 Instalar rkhunter rkhunter pode ser instalado da seguinte forma: yum install rkhunter