O Servidor Perfeito - Ubuntu 17.10 (Artful Aardvark) com Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot e ISPConfig 3.1 - Página 2

8. Instalar Apache, PHP, phpMyAdmin, FCGI, SuExec, Pear e mcrypt

Apache2, PHP 7.1, phpMyAdmin, FCGI, suExec, Pear e mcrypt podem ser instalados da seguinte forma:

apt-get -y install apache2 apache2-doc apache2-utils libapache2-mod-php php7.1 php7.1-common php7.1-gd php7.1-mysql php7.1-imap phpmyadmin php7.1-cli php7.1-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear php7.1-mcrypt mcrypt imagemagick libruby libapache2-mod-python php7.1-curl php7.1-intl php7.1-pspell php7.1-recode php7.1-sqlite3 php7.1-tidy php7.1-xmlrpc php7.1-xsl memcached php-memcache php-imagick php-gettext php7.1-zip php7.1-mbstring

Você verá a seguinte pergunta:

Web server to reconfigure automatically: <-- apache2   
Configure database for phpmyadmin with dbconfig-common? <-- Yes  
MySQL application password for phpmyadmin: <-- Press enter  

Em seguida, execute o seguinte comando para habilitar os módulos do Apache suexec, rewrite, ssl, actions e include (mais dav, dav_fs e auth_digest se você quiser usar WebDAV):

a2enmod suexec rewrite ssl actions include cgi

a2enmod dav_fs dav auth_digest headers

Para garantir que o servidor não possa ser atacado através da vulnerabilidade HTTPOXY, desabilitarei o cabeçalho HTTP_PROXY no apache globalmente. Crie um novo arquivo httpoxy.conf com nano:

nano /etc/apache2/conf-available/httpoxy.conf

Cole este conteúdo no arquivo:

    RequestHeader unset Proxy early

Habilite o arquivo de configuração executando:

a2enconf httpoxy

Reinicie o Apache em seguida:

service apache2 restart

Se você quiser hospedar arquivos Ruby com a extensão .rb em seus sites criados através do ISPConfig, deve comentar a linha application/x-ruby rb em /etc/mime.types:

nano /etc/mime.types

[...]
#application/x-ruby                             rb
[...]

(Isso é necessário apenas para arquivos .rb; arquivos Ruby com a extensão .rbx funcionam fora da caixa.)

Reinicie o Apache em seguida:

service apache2 restart

8.1 Cache de Opcode PHP (opcional)

Opcache é um cache de opcode PHP gratuito para armazenar em cache e otimizar o código intermediário PHP. APCu é um módulo de compatibilidade que fornece funções compatíveis com APC para Opcache, que é usado por muitos sistemas de cache CMS. É recomendado ter essas extensões PHP instaladas para acelerar sua página PHP.

APCu pode ser instalado da seguinte forma:

apt-get -y install php7.1-opcache php-apcu

Agora reinicie o Apache:

service apache2 restart

8.2 PHP-FPM

Para usar PHP-FPM com Apache, precisamos do módulo mod_proxy_fcgi do Apache, que é instalado por padrão e só precisa ser habilitado. Podemos instalar o PHP-FPM da seguinte forma:

apt-get -y install php7.1-fpm

Certifique-se de habilitar os módulos e reiniciar o Apache:

a2enmod actions proxy_fcgi alias   
service apache2 restart

10.1 Instalar HHVM (HipHop Virtual Machine), opcional

Neste passo, instalaremos o HHVM com apt. HHVM é um motor PHP rápido desenvolvido pelo Facebook.

apt-get -y install hhvm

9. Instalar Let’s Encrypt

O ISPConfig 3.1 tem suporte embutido para a Autoridade Certificadora SSL gratuita Let’s Encrypt. A função Let’s Encrypt permite que você crie Certificados SSL gratuitos para seu site no ISPConfig.

Agora adicionaremos suporte para Let’s Encrypt.

apt-get -y install certbot

10. Instalar Mailman

O ISPConfig permite que você gerencie (crie/modifique/exclua) listas de discussão do Mailman. Se você quiser usar esse recurso, instale o Mailman da seguinte forma:

apt-get -y install mailman

Selecione pelo menos um idioma, por exemplo:

Languages to support: <– en (Inglês)
Missing site list <– Ok

Antes de podermos iniciar o Mailman, uma primeira lista de discussão chamada mailman deve ser criada:

newlist mailman

root@server1:~# newlist mailman
Digite o email da pessoa que está gerenciando a lista: <– endereço de email do admin, por exemplo, [email protected]
Senha inicial do mailman: <– senha do admin para a lista mailman
Para terminar de criar sua lista de discussão, você deve editar seu arquivo /etc/aliases (ou equivalente) adicionando as seguintes linhas, e possivelmente executando o programa newaliases:

lista de discussão mailman

mailman: “|/var/lib/mailman/mail/mailman post mailman”
mailman-admin: “|/var/lib/mailman/mail/mailman admin mailman”
mailman-bounces: “|/var/lib/mailman/mail/mailman bounces mailman”
mailman-confirm: “|/var/lib/mailman/mail/mailman confirm mailman”
mailman-join: “|/var/lib/mailman/mail/mailman join mailman”
mailman-leave: “|/var/lib/mailman/mail/mailman leave mailman”
mailman-owner: “|/var/lib/mailman/mail/mailman owner mailman”
mailman-request: “|/var/lib/mailman/mail/mailman request mailman”
mailman-subscribe: “|/var/lib/mailman/mail/mailman subscribe mailman”
mailman-unsubscribe: “|/var/lib/mailman/mail/mailman unsubscribe mailman”

Pressione enter para notificar o proprietário do mailman… <– ENTER

root@server1:~#

Abra /etc/aliases depois…

nano /etc/aliases

… e adicione as seguintes linhas:

[...]
## lista de discussão mailman
mailman:              "|/var/lib/mailman/mail/mailman post mailman"
mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"
mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"
mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"
mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"
mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"
mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"
mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"
mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"
mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"

Execute

newaliases

depois e reinicie o Postfix:

service postfix restart

Finalmente, devemos habilitar a configuração do Mailman no Apache:

ln -s /etc/mailman/apache.conf /etc/apache2/conf-available/mailman.conf

Isso define o alias /cgi-bin/mailman/ para todos os vhosts do Apache, o que significa que você pode acessar a interface de administração do Mailman para uma lista em http:///cgi-bin/mailman/admin/, e a página da web para usuários de uma lista de discussão pode ser encontrada em http:///cgi-bin/mailman/listinfo/.

Em http:///pipermail você pode encontrar os arquivos de lista de discussão.

Reinicie o Apache em seguida:

service apache2 restart

Em seguida, inicie o daemon do Mailman:

service mailman start

11. Instalar PureFTPd e Quota

PureFTPd e quota podem ser instalados com o seguinte comando:

apt-get -y install pure-ftpd-common pure-ftpd-mysql quota quotatool

Edite o arquivo /etc/default/pure-ftpd-common…

nano /etc/default/pure-ftpd-common

… e certifique-se de que o modo de inicialização esteja definido como standalone e defina VIRTUALCHROOT=true:

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Agora configuramos o PureFTPd para permitir sessões FTP e TLS. FTP é um protocolo muito inseguro porque todas as senhas e todos os dados são transferidos em texto claro. Ao usar TLS, toda a comunicação pode ser criptografada, tornando o FTP muito mais seguro.

Se você quiser permitir sessões FTP e TLS, execute

echo 1 > /etc/pure-ftpd/conf/TLS

Para usar TLS, devemos criar um certificado SSL. Eu o crio em /etc/ssl/private/, portanto, primeiro crio esse diretório:

mkdir -p /etc/ssl/private/

Depois, podemos gerar o certificado SSL da seguinte forma:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Nome do País (código de 2 letras) [AU]: <– Digite o Nome do seu País (por exemplo, “DE”).
Nome do Estado ou Província (nome completo) [Some-State]: <– Digite o Nome do seu Estado ou Província.
Nome da Localidade (por exemplo, cidade) []: <– Digite sua Cidade.
Nome da Organização (por exemplo, empresa) [Internet Widgits Pty Ltd]: <– Digite o Nome da sua Organização (por exemplo, o nome da sua empresa).
Nome da Unidade Organizacional (por exemplo, seção) []: <– Digite o Nome da sua Unidade Organizacional (por exemplo, “Departamento de TI”).
Nome Comum (por exemplo, SEU nome) []: <– Digite o Nome de Domínio Totalmente Qualificado do sistema (por exemplo, “server1.example.com”).
Endereço de Email []: <– Digite seu Endereço de Email.

Altere as permissões do certificado SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Em seguida, reinicie o PureFTPd:

service pure-ftpd-mysql restart

Edite /etc/fstab. O meu se parece com isso (adicionei, usrjquota=quota.user, grpjquota=quota.group, jqfmt=vfsv0 à partição com o ponto de montagem /):

nano /etc/fstab

# /etc/fstab: informações estáticas do sistema de arquivos.  
#  
# Use 'blkid' para imprimir o identificador universalmente único para um  
# dispositivo; isso pode ser usado com UUID= como uma forma mais robusta de nomear dispositivos  
# que funciona mesmo se discos forem adicionados e removidos. Veja fstab(5).  
#  
#        
/dev/mapper/server1--vg-root / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1  
/dev/mapper/server1--vg-swap_1 none swap sw 0 0  
/dev/fd0 /media/floppy0 auto rw,user,noauto,exec,utf8 0 0

Para habilitar quota, execute estes comandos:

mount -o remount /

quotacheck -avugm  
quotaon -avug

O que mostrará a seguinte saída:

root@server1:/# quotacheck -avugm  
quotacheck: Scanning /dev/mapper/server1--vg-root [/] done  
quotacheck: Cannot stat old user quota file //quota.user: No such file or directory. Usage will not be subtracted.  
quotacheck: Cannot stat old group quota file //quota.group: No such file or directory. Usage will not be subtracted.  
quotacheck: Cannot stat old user quota file //quota.user: No such file or directory. Usage will not be subtracted.  
quotacheck: Cannot stat old group quota file //quota.group: No such file or directory. Usage will not be subtracted.  
quotacheck: Checked 19755 directories and 117639 files  
quotacheck: Old file not found.  
quotacheck: Old file not found.  
root@server1:/opt/metronome# quotaon -avug  
/dev/mapper/server1--vg-root [/]: group quotas turned on  
/dev/mapper/server1--vg-root [/]: user quotas turned on

12. Instalar Servidor DNS BIND

BIND pode ser instalado da seguinte forma:

apt-get -y install bind9 dnsutils haveged

Habilite e inicie o Daemon haveged:

systemctl enable haveged  
systemctl start haveged

13. Instalar Vlogger, Webalizer e AWStats

Vlogger, Webalizer e AWStats podem ser instalados da seguinte forma:

apt-get -y install vlogger webalizer awstats geoip-database libclass-dbi-mysql-perl

Abra /etc/cron.d/awstats depois…

nano /etc/cron.d/awstats

… e comente tudo nesse arquivo:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Gerar relatórios estáticos:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

14. Instalar Jailkit

Jailkit é necessário apenas se você quiser chroot usuários SSH. Pode ser instalado da seguinte forma (importante: Jailkit deve ser instalado antes do ISPConfig - não pode ser instalado depois!):

apt-get -y install build-essential autoconf automake1.11 libtool flex bison debhelper binutils

cd /tmp   
wget http://olivier.sessink.nl/jailkit/jailkit-2.19.tar.gz   
tar xvfz jailkit-2.19.tar.gz   
cd jailkit-2.19   
echo 5 > debian/compat

A versão atual 2.19 do Jailkit tem um erro de sintaxe que impede sua compilação. Para corrigir isso, abra o arquivo debian/changelog com nano:

nano debian/changelog

E adicione a seguinte linha na linha 5, além de uma linha em branco depois:

 -- Olivier   Wed, 18 Nov 2015 20:38:44 +0100

Para que a primeira parte resultante do arquivo fique assim (a linha inserida em vermelho):

jailkit (2.19-1) UNRELEASED; urgency=medium

* de alguma forma uma URL de bug foi colada na localização do ini no código fonte para jk_chrootsh na versão 2.18. Corrigido.

-- Olivier  Wed, 18 Nov 2015 20:38:44 +0100

jailkit (2.18-1) UNRELEASED; urgency=medium

* versão de manutenção, corrigir impressão de uid_t para números uid muito altos  
* pequenas melhorias no jk_init.ini  
* adicionar possibilidade de forçar --login em jk_chrootsh

-- Olivier  Wed, 18 Nov 2015 20:38:44 +0100

Em seguida, construa o pacote jailkit executando este comando:

./debian/rules binary

Agora você pode instalar o pacote Jailkit.deb da seguinte forma:

cd ..  
dpkg -i jailkit_2.19-1_*.deb  
rm -rf jailkit-2.19*

15. Instalar fail2ban e UFW

Isso é opcional, mas recomendado, porque o monitor do ISPConfig tenta mostrar o log:

apt-get -y install fail2ban

Para fazer o fail2ban monitorar o PureFTPd e o Dovecot, crie o arquivo /etc/fail2ban/jail.local:

nano /etc/fail2ban/jail.local

[pureftpd]
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
maxretry = 3

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5

[postfix-sasl]
enabled  = true
port     = smtp
filter   = postfix-sasl
logpath  = /var/log/mail.log
maxretry = 3

Em seguida, crie os seguintes dois arquivos de filtro:

nano /etc/fail2ban/filter.d/pureftpd.conf

[Definition]
failregex = .*pure-ftpd: \(.*@\) \[WARNING\] Authentication failed for user.*
ignoreregex =

nano /etc/fail2ban/filter.d/dovecot-pop3imap.conf

[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P\S*),.*
ignoreregex =

Adicione a linha ignoreregex ausente no arquivo postfix-sasl:

echo "ignoreregex =" >> /etc/fail2ban/filter.d/postfix-sasl.conf

Reinicie o fail2ban em seguida:

service fail2ban restart

Para instalar o firewall UFW, execute este comando apt:

apt-get install ufw