Идеальный сервер - CentOS 6.0 x86_64 [ISPConfig 3] - Страница 5

14 Установка Amavisd-new, SpamAssassin и ClamAV

Чтобы установить amavisd-new, spamassassin и clamav, выполните следующую команду:

yum install amavisd-new spamassassin clamav clamd unzip bzip2 unrar perl-DBD-mysql

Затем мы запускаем freshclam, amavisd и clamd:

sa-update
chkconfig –levels 235 amavisd on
chkconfig –levels 235 clamd on
/usr/bin/freshclam
/etc/init.d/amavisd start
/etc/init.d/clamd start

15 Установка Apache2 с mod_php, mod_fcgi/PHP5 и suPHP

ISPConfig 3 позволяет использовать mod_php, mod_fcgi/PHP5, cgi/PHP5 и suPHP на уровне каждого сайта.

Мы можем установить Apache2 с mod_php5, mod_fcgid и PHP5 следующим образом:

yum install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-eaccelerator php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel 

Далее открываем /etc/php.ini…

vi /etc/php.ini

… и изменяем отчет об ошибках (чтобы уведомления больше не отображались) и раскомментируем cgi.fix_pathinfo=1:

| [...] ;error_reporting = E_ALL & ~E_DEPRECATED error_reporting = E_ALL & ~E_NOTICE [...] ; cgi.fix_pathinfo предоставляет *реальную* поддержку PATH_INFO/PATH_TRANSLATED для CGI. PHP ; предыдущее поведение заключалось в том, чтобы установить PATH_TRANSLATED в SCRIPT_FILENAME и не понимать ; что такое PATH_INFO. Для получения дополнительной информации о PATH_INFO смотрите спецификации cgi. Установка ; этого в 1 заставит PHP CGI исправить свои пути в соответствии со спецификацией. Установка ; нуля заставляет PHP вести себя как раньше. По умолчанию 1. Вы должны исправить свои скрипты ; чтобы использовать SCRIPT_FILENAME вместо PATH_TRANSLATED. ; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo cgi.fix_pathinfo=1 [...] |

Далее мы устанавливаем suPHP (в репозиториях доступен пакет mod_suphp, но, к сожалению, он несовместим с ISPConfig, поэтому нам нужно собрать suPHP самостоятельно):

cd /tmp
wget http://suphp.org/download/suphp-0.7.1.tar.gz
tar xvfz suphp-0.7.1.tar.gz
cd suphp-0.7.1/
./configure –prefix=/usr –sysconfdir=/etc –with-apr=/usr/bin/apr-1-config –with-apxs=/usr/sbin/apxs –with-apache-user=apache –with-setid-mode=owner –with-php=/usr/bin/php-cgi –with-logfile=/var/log/httpd/suphp_log –enable-SUPHP_USE_USERGROUP=yes
make
make install

Затем мы добавляем модуль suPHP в нашу конфигурацию Apache…

vi /etc/httpd/conf.d/suphp.conf

| LoadModule suphp_module modules/mod_suphp.so |

… и создаем файл /etc/suphp.conf следующим образом:

vi /etc/suphp.conf

| [global] ;Путь к файлу журнала logfile=/var/log/httpd/suphp.log ;Уровень журнала loglevel=info ;Пользователь, от имени которого работает Apache webserver_user=apache ;Путь, в котором должны находиться все скрипты docroot=/ ;Путь для chroot() перед выполнением скрипта ;chroot=/mychroot ; Опции безопасности allow_file_group_writeable=true allow_file_others_writeable=false allow_directory_group_writeable=true allow_directory_others_writeable=false ;Проверка, находится ли скрипт в DOCUMENT_ROOT check_vhost_docroot=true ;Отправлять незначительные сообщения об ошибках в браузер errors_to_browser=false ;PATH переменная окружения env_path=/bin:/usr/bin ;Umask для установки, укажите в восьмеричной нотации umask=0077 ; Минимальный UID min_uid=100 ; Минимальный GID min_gid=100 [handlers] ;Обработчик для php-скриптов x-httpd-suphp="php:/usr/bin/php-cgi" ;Обработчик для CGI-скриптов x-suphp-cgi="execute:!self" |

Наконец, мы перезапускаем Apache:

/etc/init.d/httpd restart

15.1 Ruby

Начиная с версии 3.0.3, ISPConfig 3 имеет встроенную поддержку Ruby. Вместо использования CGI/FastCGI, ISPConfig зависит от наличия mod_ruby в Apache сервера.

Для CentOS 6.0 пакет mod_ruby недоступен, поэтому мы должны скомпилировать его самостоятельно. Сначала устанавливаем некоторые предварительные условия:

yum install httpd-devel ruby ruby-devel

Затем мы загружаем и устанавливаем mod_ruby следующим образом:

cd /tmp
wget http://modruby.net/archive/mod_ruby-1.3.0.tar.gz
tar zxvf mod_ruby-1.3.0.tar.gz
cd mod_ruby-1.3.0/
./configure.rb –with-apr-includes=/usr/include/apr-1
make
make install

Наконец, мы должны добавить модуль mod_ruby в конфигурацию Apache, поэтому создаем файл /etc/httpd/conf.d/ruby.conf…

vi /etc/httpd/conf.d/ruby.conf

| LoadModule ruby_module modules/mod_ruby.so RubyAddPath /1.8 |

… и перезапускаем Apache:

/etc/init.d/httpd restart

(Если вы пропустите директиву RubyAddPath /1.8, вы увидите ошибки, подобные следующим, в журнале ошибок Apache, когда вы вызываете Ruby файлы:

[Чт Май 26 02:05:05 2011] [ошибка] mod_ruby: ruby:0:in `require’: нет такого файла для загрузки – apache/ruby-run (LoadError)
[Чт Май 26 02:05:05 2011] [ошибка] mod_ruby: не удалось загрузить apache/ruby-run
[Чт Май 26 02:05:05 2011] [ошибка] mod_ruby: ошибка в ruby ) #### 15.2 WebDAV WebDAV должен быть уже включен, но чтобы проверить это, откройте /etc/httpd/conf/httpd.conf и убедитесь, что следующие три модуля активны: vi /etc/httpd/conf/httpd.conf | [...] LoadModule auth_digest_module modules/mod_auth_digest.so [...] LoadModule dav_module modules/mod_dav.so [...] LoadModule dav_fs_module modules/mod_dav_fs.so [...] | Если вам нужно изменить /etc/httpd/conf/httpd.conf, не забудьте перезапустить Apache после этого: /etc/init.d/httpd restart ### 16 Установка PureFTPd PureFTPd можно установить с помощью следующей команды: yum install pure-ftpd Затем создайте системные ссылки для автозагрузки и запустите PureFTPd: chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start Теперь мы настраиваем PureFTPd для разрешения FTP и TLS сессий. FTP - это очень небезопасный протокол, потому что все пароли и все данные передаются в открытом виде. Используя TLS, вся связь может быть зашифрована, что делает FTP гораздо более безопасным. OpenSSL необходим для TLS; чтобы установить OpenSSL, мы просто выполняем: yum install openssl Откройте /etc/pure-ftpd/pure-ftpd.conf… vi /etc/pure-ftpd/pure-ftpd.conf Если вы хотите разрешить FTP и TLS сессии, установите TLS в 1: | [...] # Эта опция может принимать три значения : # 0 : отключить уровень шифрования SSL/TLS (по умолчанию). # 1 : принимать как традиционные, так и зашифрованные сессии. # 2 : отклонять соединения, которые не используют механизмы безопасности SSL/TLS, # включая анонимные сессии. # Не раскомментируйте это бездумно. Убедитесь, что : # 1) Ваш сервер был скомпилирован с поддержкой SSL/TLS (--with-tls), # 2) Действительный сертификат установлен, # 3) Только совместимые клиенты смогут войти. TLS 1 [...] | Чтобы использовать TLS, мы должны создать SSL сертификат. Я создаю его в /etc/ssl/private/, поэтому сначала создаю этот каталог: mkdir -p /etc/ssl/private/ После этого мы можем сгенерировать SSL сертификат следующим образом: openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem Country Name (2 letter code) [XX]: <– Введите название вашей страны (например, “DE”).
State or Province Name (full name) []: <– Введите название вашего штата или провинции.
Locality Name (eg, city) [Default City]: <– Введите ваш город.
Organization Name (eg, company) [Default Company Ltd]: <– Введите название вашей организации (например, название вашей компании).
Organizational Unit Name (eg, section) []: <– Введите название вашего подразделения (например, “IT Department”).
Common Name (eg, your name or your server’s hostname) []: <– Введите полное доменное имя системы (например, “server1.example.com”).
Email Address []: <– Введите ваш адрес электронной почты. Измените разрешения SSL сертификата: chmod 600 /etc/ssl/private/pure-ftpd.pem Наконец, перезапустите PureFTPd: /etc/init.d/pure-ftpd restart Вот и все. Теперь вы можете попробовать подключиться с помощью вашего FTP клиента; однако вам следует настроить ваш FTP клиент для использования TLS. ### 17 Установка BIND Мы можем установить BIND следующим образом: yum install bind bind-utils Далее откройте /etc/sysconfig/named… vi /etc/sysconfig/named … и убедитесь, что строка ROOTDIR=/var/named/chroot закомментирована: | # Опции процесса BIND named # ~~~~~~~~~~~~~~~~~~~~~~~~~~ # В настоящее время вы можете использовать следующие опции: # # ROOTDIR="/var/named/chroot" -- будет запускать named в окружении chroot. # вы должны настроить окружение chroot # (установить пакет bind-chroot) перед # тем, как это сделать. # ЗАМЕТКА: # Эти каталоги автоматически монтируются в chroot, если они # пусты в каталоге ROOTDIR. Это упростит обслуживание вашего # окружения chroot. # - /var/named # - /etc/pki/dnssec-keys # - /etc/named # - /usr/lib64/bind или /usr/lib/bind (в зависимости от архитектуры) # # Эти файлы также монтируются, если целевой файл не существует в # chroot. # - /etc/named.conf # - /etc/rndc.conf # - /etc/rndc.key # - /etc/named.rfc1912.zones # - /etc/named.dnssec.keys # - /etc/named.iscdlv.key # # Не забудьте добавить "$AddUnixListenSocket /var/named/chroot/dev/log" # строку в ваш файл /etc/rsyslog.conf. В противном случае ваше # ведение журнала будет нарушено, когда демон rsyslogd будет перезапущен # (например, из-за обновления). # # OPTIONS="whatever" -- Эти дополнительные опции будут переданы named # при запуске. Не добавляйте -t здесь, используйте ROOTDIR вместо этого. # # KEYTAB_FILE="/dir/file" -- Укажите файл ключа службы named (для GSS-TSIG) #ROOTDIR=/var/named/chroot | Создайте резервную копию существующего файла /etc/named.conf и создайте новый следующим образом: cp /etc/named.conf /etc/named.conf_bak
cat /dev/null > /etc/named.conf
vi /etc/named.conf | // named.conf // // Предоставлено пакетом bind от Red Hat для настройки ISC BIND named(8) DNS // сервера как кэширующего только nameserver (только как локальный DNS резолвер). // // Смотрите /usr/share/doc/bind*/sample/ для примеров конфигурационных файлов named. // options { listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { any; }; recursion no; allow-recursion { none; }; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.ca"; }; include "/etc/named.conf.local"; | Создайте файл /etc/named.conf.local, который включается в конце /etc/named.conf ( /etc/named.conf.local позже будет заполнен ISPConfig, если вы создадите DNS зоны в ISPConfig): touch /etc/named.conf.local Затем создаем ссылки для автозагрузки и запускаем BIND: chkconfig –levels 235 named on
/etc/init.d/named start ### 18 Установка Vlogger, Webalizer и AWStats Vlogger, webalizer и AWStats можно установить следующим образом: yum install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder cd /tmp
wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz
tar xvfz vlogger-1.3.tar.gz
mv vlogger-1.3/vlogger /usr/sbin/
rm -rf vlogger ### 19 Установка Jailkit Jailkit необходим только в том случае, если вы хотите chroot SSH пользователей. Его можно установить следующим образом (важно: Jailkit должен быть установлен перед ISPConfig - его нельзя установить позже!): cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.14.tar.gz
tar xvfz jailkit-2.14.tar.gz
cd jailkit-2.14
./configure
make
make install
cd ..
rm -rf jailkit-2.14 ### 20 Установка fail2ban Это необязательно, но рекомендуется, потому что монитор ISPConfig пытается показать журнал: yum install fail2ban chkconfig –levels 235 fail2ban on
/etc/init.d/fail2ban start ### 21 Установка rkhunter rkhunter можно установить следующим образом: yum install rkhunter