O Servidor Perfeito - Ubuntu 18.04 (Nginx, MySQL, PHP, Postfix, BIND, Dovecot, Pure-FTPD e ISPConfig 3.1)

Este tutorial mostra os passos para instalar um servidor Ubuntu 18.04 (Bionic Beaver) com Nginx, PHP, MariaDB, Postfix, pure-ftpd, BIND, Dovecot e ISPConfig 3.1. O ISPConfig é um painel de controle de hospedagem na web que permite configurar os serviços instalados através de um navegador. Esta configuração fornece um servidor de hospedagem completo com serviços de web, email (incluindo filtro de spam e antivírus), banco de dados, FTP e DNS.

1. Nota Preliminar

Neste tutorial, usarei o nome do host server1.example.com com o endereço IP 192.168.1.100 e o gateway 192.168.1.1 para a configuração da rede. Essas configurações podem diferir para você, então você deve substituí-las onde apropriado. Antes de prosseguir, você precisa ter uma instalação mínima básica do Ubuntu 18.04, conforme explicado neste tutorial.

Os passos neste tutorial devem ser executados como usuário root, então não vou adicionar “sudo” na frente dos comandos. Faça login como usuário root no seu servidor antes de prosseguir ou execute:

sudo -s

para se tornar root quando você estiver logado como um usuário diferente no shell.

Os comandos para editar arquivos usarão o editor “nano”, você pode substituí-lo por um editor de sua escolha. O Nano é um editor de arquivos fácil de usar para o shell. Se você gosta de usar o nano e ainda não o instalou, execute:

apt-get install nano

2. Atualize Sua Instalação do Linux

Edite /etc/apt/sources.list. Comente ou remova o CD de instalação do arquivo e certifique-se de que os repositórios universe e multiverse estão habilitados. Deve parecer assim:

nano /etc/apt/sources.list

#  
# deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted  
#deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted  
# Veja http://help.ubuntu.com/community/UpgradeNotes para como atualizar para  
# versões mais novas da distribuição.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic main restricted  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic main restricted  
  
## Atualizações de correção de bugs importantes produzidas após o lançamento final da  
## distribuição.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted  
  
## N.B. software deste repositório é TOTALMENTE NÃO SUPORTADO pela equipe do Ubuntu  
## Também, por favor, note que o software no universe NÃO RECEBERÁ nenhuma  
## revisão ou atualizações da equipe de segurança do Ubuntu.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic universe  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic universe  
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe  
  
## N.B. software deste repositório é TOTALMENTE NÃO SUPORTADO pela equipe do Ubuntu  
## e pode não estar sob uma licença livre. Por favor, certifique-se de  
## seus direitos de usar o software. Também, por favor, note que o software em  
## multiverse NÃO RECEBERÁ nenhuma revisão ou atualizações da equipe de  
## segurança do Ubuntu.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic multiverse  
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse  
  
## N.B. software deste repositório pode não ter sido testado tão  
## extensivamente quanto aquele contido no lançamento principal, embora inclua  
## versões mais novas de algumas aplicações que podem fornecer recursos úteis.  
## Também, por favor, note que o software em backports NÃO RECEBERÁ nenhuma revisão  
## ou atualizações da equipe de segurança do Ubuntu.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse  
  
## Descomente as duas linhas a seguir para adicionar software do repositório  
## 'partner' da Canonical.  
## Este software não é parte do Ubuntu, mas é oferecido pela Canonical e pelos  
## respectivos fornecedores como um serviço para os usuários do Ubuntu.  
# deb http://archive.canonical.com/ubuntu bionic partner  
# deb-src http://archive.canonical.com/ubuntu bionic partner  
  
deb http://security.ubuntu.com/ubuntu bionic-security main restricted  
# deb-src http://security.ubuntu.com/ubuntu bionic-security main restricted  
deb http://security.ubuntu.com/ubuntu bionic-security universe  
# deb-src http://security.ubuntu.com/ubuntu bionic-security universe  
deb http://security.ubuntu.com/ubuntu bionic-security multiverse  
# deb-src http://security.ubuntu.com/ubuntu bionic-security multiverse

Em seguida, execute:

apt-get update

Para atualizar o banco de dados de pacotes apt e depois:

apt-get upgrade

para instalar as atualizações mais recentes (se houver). Se você ver que um novo kernel é instalado como parte das atualizações, você deve reiniciar o sistema depois:

reboot

3. Mudar o Shell Padrão

/bin/sh é um link simbólico para /bin/dash, no entanto, precisamos de /bin/bash, não /bin/dash. Portanto, fazemos isso:

dpkg-reconfigure dash

Usar dash como o shell padrão do sistema (/bin/sh)? <– Não

Se você não fizer isso, a instalação do ISPConfig falhará.

4. Desativar AppArmor

AppArmor é uma extensão de segurança (semelhante ao SELinux) que deve fornecer segurança estendida. Vamos verificar se está instalado e removê-lo se necessário. Na minha opinião, você não precisa dele para configurar um sistema seguro, e geralmente causa mais problemas do que vantagens (pense nisso depois de ter feito uma semana de resolução de problemas porque algum serviço não estava funcionando como esperado, e então você descobre que tudo estava ok, apenas o AppArmor estava causando o problema). Portanto, eu o desativo (isso é obrigatório se você quiser instalar o ISPConfig mais tarde).

Podemos desativá-lo assim:

service apparmor stop  
update-rc.d -f apparmor remove  
apt-get remove apparmor apparmor-utils

5. Sincronizar o Relógio do Sistema

É uma boa ideia sincronizar o relógio do sistema com um servidor NTP ( n etwork t ime p rotocol) pela Internet. Simplesmente execute

apt-get -y install ntp ntpdate

e seu horário do sistema estará sempre sincronizado.

6. Instalar Postfix, Dovecot, MariaDB, phpMyAdmin, rkhunter, Binutils

Para instalar o postfix, precisamos garantir que o sendmail não esteja instalado e em execução. Para parar e remover o sendmail, execute este comando:

service sendmail stop; update-rc.d -f sendmail remove

A mensagem de erro:

Failed to stop sendmail.service: Unit sendmail.service not loaded.

Está ok, isso apenas significa que o sendmail não estava instalado, então não havia nada a ser removido.

Podemos instalar Postfix, Dovecot, MariaDB (como substituto do MySQL), rkhunter e binutils com um único comando:

apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd  sudo

MariaDB é um fork do servidor de banco de dados MySQL, desenvolvido pelo desenvolvedor original do MySQL, Monty Widenius. De acordo com testes encontrados na internet, o MariaDB é mais rápido que o MySQL e seu desenvolvimento está ocorrendo com mais rapidez, portanto, a maioria das distribuições Linux substituiu o MySQL pelo MariaDB como servidor de banco de dados padrão “semelhante ao MySQL”. Caso você prefira o MySQL ao MariaDB, substitua “mariadb-client mariadb-server” no comando acima por “mysql-client mysql-server”.

Você será perguntado as seguintes questões:

General type of mail configuration: <-- Internet Site  
System mail name: <-- server1.example.com

Em seguida, abra as portas TLS/SSL e de envio no Postfix:

nano /etc/postfix/master.cf

Descomente as seções de envio e smtps da seguinte forma - adicione a linha -o smtpd_client_restrictions=permit_sasl_authenticated,reject a ambas as seções e deixe tudo o mais comentado:

[...]  
submission inet n       -       -       -       -       smtpd  
  -o syslog_name=postfix/submission  
  -o smtpd_tls_security_level=encrypt  
  -o smtpd_sasl_auth_enable=yes  
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
#  -o smtpd_reject_unlisted_recipient=no  
#  -o smtpd_client_restrictions=$mua_client_restrictions  
#  -o smtpd_helo_restrictions=$mua_helo_restrictions  
#  -o smtpd_sender_restrictions=$mua_sender_restrictions  
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject  
#  -o milter_macro_daemon_name=ORIGINATING  
smtps     inet  n       -       -       -       -       smtpd  
  -o syslog_name=postfix/smtps  
  -o smtpd_tls_wrappermode=yes  
  -o smtpd_sasl_auth_enable=yes  
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
#  -o smtpd_reject_unlisted_recipient=no  
#  -o smtpd_client_restrictions=$mua_client_restrictions  
#  -o smtpd_helo_restrictions=$mua_helo_restrictions  
#  -o smtpd_sender_restrictions=$mua_sender_restrictions  
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject  
#  -o milter_macro_daemon_name=ORIGINATING  
[...]

NOTA: Os espaços em branco na frente das linhas “-o …. “ são importantes!

Reinicie o Postfix depois:

service postfix restart

Queremos que o MariaDB/MySQL escute em todas as interfaces, não apenas no localhost. Portanto, editamos /etc/mysql/mariadb.conf.d/50-server.cnf (para MariaDB) ou /etc/mysql/my.cnf (para MySQL) e comentamos a linha bind-address = 127.0.0.1:

MariaDB

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]  
# Em vez de skip-networking, o padrão agora é escutar apenas em  
# localhost, que é mais compatível e não é menos seguro.  
#bind-address           = 127.0.0.1  
[...]

Agora definimos uma senha root no MariaDB. Execute:

mysql_secure_installation

Você será perguntado estas questões:

Enter current password for root (enter for none): <-- pressione enter  
Set root password? [Y/n] <-- y  
New password: <-- Digite a nova senha root do MariaDB aqui  
Re-enter new password: <-- Repita a senha  
Remove anonymous users? [Y/n] <-- y  
Disallow root login remotely? [Y/n] <-- y  
Reload privilege tables now? [Y/n] <-- y

Defina o método de autenticação de senha no MariaDB como nativo para que possamos usar o PHPMyAdmin mais tarde para conectar como usuário root:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Edite o arquivo /etc/mysql/debian.cnf e defina a senha root do MYSQL / MariaDB lá duas vezes nas linhas que começam com password.

nano /etc/mysql/debian.cnf

A senha root do MySQL que precisa ser adicionada é mostrada em leitura, neste exemplo a senha é “howtoforge”.

# Gerado automaticamente para scripts Debian. NÃO TOQUE!  
[client]  
host = localhost  
user = root  
password = howtoforge  
socket = /var/run/mysqld/mysqld.sock  
[mysql_upgrade]  
host = localhost  
user = root  
password = howtoforge  
socket = /var/run/mysqld/mysqld.sock  
basedir = /usr

Em seguida, reiniciamos o MariaDB:

service mysql restart

O nome do serviço systemd para MariaDB e MySQL é “mysql”, então o comando de reinício é o mesmo para ambos os servidores de banco de dados.

MySQL

nano /etc/mysql/my.cnf

[...]  
# Em vez de skip-networking, o padrão agora é escutar apenas em  
# localhost, que é mais compatível e não é menos seguro.  
#bind-address           = 127.0.0.1  
[...]

Em seguida, reiniciamos o MySQL:

service mysql restart

O nome do serviço systemd para MariaDB e MySQL é “mysql”, então o comando de reinício é o mesmo para ambos os servidores de banco de dados.

Para MySQL e MariaDB:

Agora verifique se a rede está habilitada. Execute:

netstat -tap | grep mysql

A saída deve parecer assim:

root@server1:~# netstat -tap | grep mysql  
tcp6 0 0 [::]:mysql [::]:* LISTEN 12210/mysqld

7. Instalar Amavisd-new, SpamAssassin e ClamAV

Para instalar amavisd-new, SpamAssassin e ClamAV, executamos

apt-get -y install amavisd-new spamassassin clamav clamav-daemon unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl postgrey libdbd-mysql-perl

A configuração do ISPConfig 3 usa amavisd-new que carrega a biblioteca de filtro SpamAssassin internamente, então podemos parar o SpamAssassin para liberar RAM:

service spamassassin stop  
update-rc.d -f spamassassin remove

Para atualizar as assinaturas do antivírus ClamAV e iniciar o serviço Clamd. O processo de atualização pode levar algum tempo, não o interrompa.

freshclam  
service clamav-daemon start

O seguinte erro pode ser ignorado na primeira execução do freshclam.

ERROR: /var/log/clamav/freshclam.log is locked by another process  
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

O programa amavisd-new tem atualmente um bug no Ubuntu 18.04 que impede que os emails sejam assinados corretamente com Dkim. Execute os seguintes comandos para corrigir o amavisd-new.

cd /tmp  
wget https://git.ispconfig.org/ispconfig/ispconfig3/raw/stable-3.1/helper_scripts/ubuntu-amavisd-new-2.11.patch  
cd /usr/sbin  
cp -pf amavisd-new amavisd-new_bak  
patch < /tmp/ubuntu-amavisd-new-2.11.patch

Caso você receba um erro para o último comando ‘patch’, então o Ubuntu provavelmente corrigiu o problema nesse meio tempo, então deve ser seguro ignorar esse erro.

7.1 Instalar o Servidor XMPP Metronome (opcional)

O Servidor XMPP Metronome fornece um servidor de chat XMPP. Este passo é opcional, se você não precisar de um servidor de chat, então pode pular este passo. Nenhuma outra função do ISPConfig depende deste software.

Instale os seguintes pacotes com apt.

apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks

luarocks install lpc

Adicione um usuário shell para o Metronome.

adduser --no-create-home --disabled-login --gecos 'Metronome' metronome

Baixe o Metronome para o diretório /opt e compile-o.

cd /opt; git clone https://github.com/maranda/metronome.git metronome  
cd ./metronome; ./configure --ostype=debian --prefix=/usr  
make  
make install

O Metronome agora foi instalado em /opt/metronome.