Идеальный сервер - CentOS 6.5 x86_64 (Apache2, MySQL, PHP, PureFTPD, Postfix, Dovecot и ISPConfig 3) - Страница 4

13 Установите пароли MySQL и настройте phpMyAdmin

Установите пароли для учетной записи root MySQL:

mysql_secure_installation

[root@server1 tmp]# mysql_secure_installation

NOTE: РЕКОМЕНДУЕТСЯ ЗАПУСКАТЬ ВСЕ ЧАСТИ ЭТОГО СКРИПТА ДЛЯ ВСЕХ MySQL СЕРВЕРОВ В ПРОИЗВОДСТВЕ! Пожалуйста, внимательно прочитайте каждый шаг!

Для того чтобы войти в MySQL и обеспечить его безопасность, нам понадобится текущий пароль для пользователя root. Если вы только что установили MySQL и еще не установили пароль root, то пароль будет пустым, поэтому просто нажмите Enter здесь.

Введите текущий пароль для root (нажмите Enter для отсутствия): OK, пароль успешно использован, продолжаем…

Установка пароля root гарантирует, что никто не сможет войти в учетную запись root MySQL без надлежащей авторизации.

Установить пароль root? [Y/n] <– ВВОД Новый пароль: <– вашпарольrootsql Повторите новый пароль: <– вашпарольrootsql Пароль успешно обновлен! Перезагрузка таблиц привилегий.. … Успех!

По умолчанию установка MySQL имеет анонимного пользователя, позволяя любому войти в MySQL без необходимости создания учетной записи пользователя. Это предназначено только для тестирования и для того, чтобы установка прошла немного легче. Вы должны удалить их перед переходом в производственную среду.

Удалить анонимных пользователей? [Y/n] <– ВВОД … Успех!

Обычно root должен иметь возможность подключаться только с ‘localhost’. Это гарантирует, что кто-то не сможет угадать пароль root из сети.

Запретить удаленный вход root? [Y/n] <– ВВОД … Успех!

По умолчанию MySQL поставляется с базой данных под названием ‘test’, к которой может получить доступ любой. Это также предназначено только для тестирования и должно быть удалено перед переходом в производственную среду.

Удалить тестовую базу данных и доступ к ней? [Y/n] <– ВВОД

• Удаление тестовой базы данных… … Успех!
• Удаление привилегий на тестовую базу данных… … Успех!

Перезагрузка таблиц привилегий обеспечит немедленное применение всех изменений, сделанных до сих пор.

Перезагрузить таблицы привилегий сейчас? [Y/n] <– ВВОД … Успех!

Очистка…

Все готово! Если вы завершили все вышеперечисленные шаги, ваша установка MySQL теперь должна быть безопасной.

Спасибо за использование MySQL!

[root@server1 tmp]#

Теперь мы настраиваем phpMyAdmin. Мы изменяем конфигурацию Apache, чтобы phpMyAdmin разрешал подключения не только с localhost (закомментировав блок

vi /etc/httpd/conf.d/phpmyadmin.conf

CentOS непоследователен в именах файлов, которые используют пакеты, в зависимости от порядка вашего репозитория, может быть, что файл конфигурации phpmyadmin находится в camelcase. Поэтому, если вышеуказанная команда vi приводит к пустому новому файлу, используйте эту команду вместо этого:

vi /etc/httpd/conf.d/phpMyAdmin.conf

| # # Веб-приложение для управления MySQL # # # Order Deny,Allow # Deny from all # Allow from 127.0.0.1 # Alias /phpmyadmin /usr/share/phpmyadmin Alias /phpMyAdmin /usr/share/phpmyadmin Alias /mysqladmin /usr/share/phpmyadmin |

Далее мы изменяем аутентификацию в phpMyAdmin с cookie на http:

vi /usr/share/phpmyadmin/config.inc.php

| [...] /* Тип аутентификации */ $cfg['Servers'][$i]['auth_type'] = 'http'; [...] |

Затем мы создаем системные ссылки для запуска Apache и запускаем его:

chkconfig –levels 235 httpd on
/etc/init.d/httpd start

Теперь вы можете направить ваш браузер на http://server1.example.com/phpmyadmin/ или http://192.168.0.100/phpmyadmin/ и войти с именем пользователя root и вашим новым паролем root MySQL.

Если вы получите сообщение об ошибке, подобное этому:

[root@server1 tmp]# /etc/init.d/httpd start
Запуск httpd: httpd: apr_sockaddr_info_get() не удалось для server1.example.com
httpd: Не удалось надежно определить полное доменное имя сервера, используя 127.0.0.1 для ServerName

то ваше имя хоста не разрешается в DNS или еще не установлено в файле /etc/hosts. Чтобы исправить эту проблему, выполните:

echo “192.168.1.100 server1.example.com server1” >> /etc/hosts

замените “server1.example.com” в вышеуказанной команде на ваше полное имя хоста и “server1” на часть под именем хоста.

14 Установите Amavisd-new, SpamAssassin и ClamAV

Чтобы установить amavisd-new, spamassassin и clamav, выполните следующую команду:

yum -y install amavisd-new spamassassin clamav clamd unzip bzip2 unrar perl-DBD-mysql

Затем мы запускаем freshclam, amavisd и clamd.amavisd:

sa-update
chkconfig –levels 235 amavisd on
chkconfig –del clamd
chkconfig –levels 235 clamd.amavisd on
/usr/bin/freshclam
/etc/init.d/amavisd start
/etc/init.d/clamd.amavisd start

15 Установка Apache2 с mod_php, mod_fcgi/PHP5 и suPHP

ISPConfig 3 позволяет использовать mod_php, mod_fcgi/PHP5, cgi/PHP5 и suPHP на уровне каждого сайта.

Мы можем установить Apache2 с mod_php5, mod_fcgid и PHP5 следующим образом:

yum -y install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-pecl-apc php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel

Далее мы открываем /etc/php.ini…

vi /etc/php.ini

… и изменяем отчет об ошибках (так, чтобы уведомления больше не отображались) и раскомментируем cgi.fix_pathinfo=1:

| [...] ;error_reporting = E_ALL & ~E_DEPRECATED error_reporting = E_ALL & ~E_NOTICE & ~E_DEPRECATED [...] ; cgi.fix_pathinfo предоставляет *реальную* поддержку PATH_INFO/PATH_TRANSLATED для CGI. PHP's ; предыдущее поведение заключалось в том, чтобы установить PATH_TRANSLATED в SCRIPT_FILENAME и не понимать, ; что такое PATH_INFO. Для получения дополнительной информации о PAppp.tldTH_INFO смотрите спецификации cgi. Установка ; этого в 1 заставит PHP CGI исправить свои пути в соответствии со спецификацией. Установка ; нуля заставляет PHP вести себя как раньше. По умолчанию 1. Вы должны исправить свои скрипты ; чтобы использовать SCRIPT_FILENAME вместо PATH_TRANSLATED. ; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo cgi.fix_pathinfo=1 [...] |

Далее мы устанавливаем suPHP (в репозиториях доступен пакет mod_suphp, но, к сожалению, он несовместим с ISPConfig, поэтому нам нужно собрать suPHP самостоятельно):

cd /tmp
wget http://suphp.org/download/suphp-0.7.1.tar.gz
tar xvfz suphp-0.7.1.tar.gz
cd suphp-0.7.1/
./configure –prefix=/usr –sysconfdir=/etc –with-apr=/usr/bin/apr-1-config –with-apxs=/usr/sbin/apxs –with-apache-user=apache –with-setid-mode=owner –with-php=/usr/bin/php-cgi –with-logfile=/var/log/httpd/suphp_log –enable-SUPHP_USE_USERGROUP=yes
make
make install

Затем мы добавляем модуль suPHP в нашу конфигурацию Apache…

vi /etc/httpd/conf.d/suphp.conf

| LoadModule suphp_module modules/mod_suphp.so |

… и создаем файл /etc/suphp.conf следующим образом:

vi /etc/suphp.conf

| [global] ;Путь к файлу журнала logfile=/var/log/httpd/suphp.log ;Уровень журнала loglevel=info ;Пользователь, от имени которого работает Apache webserver_user=apache ;Путь, в котором должны находиться все скрипты docroot=/ ;Путь к chroot() перед выполнением скрипта ;chroot=/mychroot ; Опции безопасности allow_file_group_writeable=true allow_file_others_writeable=false allow_directory_group_writeable=true allow_directory_others_writeable=false ;Проверить, находится ли скрипт в DOCUMENT_ROOT check_vhost_docroot=true ;Отправлять незначительные сообщения об ошибках в браузер errors_to_browser=false ;Переменная окружения PATH env_path=/bin:/usr/bin ;Umask для установки, укажите в восьмеричной нотации umask=0077 ; Минимальный UID min_uid=100 ; Минимальный GID min_gid=100 [handlers] ;Обработчик для php-скриптов x-httpd-suphp="php:/usr/bin/php-cgi" ;Обработчик для CGI-скриптов x-suphp-cgi="execute:!self" |

Наконец, мы перезапускаем Apache:

/etc/init.d/httpd restart

15.1 Ruby

Начиная с версии 3.0.3, ISPConfig 3 имеет встроенную поддержку Ruby. Вместо использования CGI/FastCGI, ISPConfig зависит от наличия mod_ruby в Apache сервера.

Для CentOS 6.4 пакет mod_ruby недоступен, поэтому мы должны скомпилировать его самостоятельно. Сначала установим некоторые предварительные условия:

yum -y install httpd-devel ruby ruby-devel

Затем мы загружаем и устанавливаем mod_ruby следующим образом:

cd /tmp
wget http://fossies.org/unix/www/apache_httpd_modules/mod_ruby-1.3.0.tar.gz
tar zxvf mod_ruby-1.3.0.tar.gz
cd mod_ruby-1.3.0/
./configure.rb –with-apr-includes=/usr/include/apr-1
make
make install

Наконец, мы должны добавить модуль mod_ruby в конфигурацию Apache, поэтому создаем файл /etc/httpd/conf.d/ruby.conf…

vi /etc/httpd/conf.d/ruby.conf

| LoadModule ruby_module modules/mod_ruby.so RubyAddPath /1.8 |

… и перезапускаем Apache:

/etc/init.d/httpd restart

(Если вы пропустите директиву RubyAddPath /1.8, вы увидите ошибки, подобные следующим, в журнале ошибок Apache, когда вы вызываете Ruby файлы:

[Чт Май 26 02:05:05 2011] [ошибка] mod_ruby: ruby:0:in `require’: нет такого файла для загрузки – apache/ruby-run (LoadError)
[Чт Май 26 02:05:05 2011] [ошибка] mod_ruby: не удалось загрузить apache/ruby-run
[Чт Май 26 02:05:05 2011] [ошибка] mod_ruby: ошибка в ruby ) #### 15.2 Python Чтобы установить mod_python, мы просто выполняем… yum -y install mod_python … и затем перезапускаем Apache: /etc/init.d/httpd restart #### 15.3 WebDAV WebDAV должен уже быть включен, но чтобы проверить это, откройте /etc/httpd/conf/httpd.conf и убедитесь, что следующие три модуля активны: vi /etc/httpd/conf/httpd.conf | [...] LoadModule auth_digest_module modules/mod_auth_digest.so [...] LoadModule dav_module modules/mod_dav.so [...] LoadModule dav_fs_module modules/mod_dav_fs.so [...] | Если вам нужно изменить /etc/httpd/conf/httpd.conf, не забудьте перезапустить Apache после этого: /etc/init.d/httpd restart #### 15.4 Дополнительные версии PHP Начиная с ISPConfig 3.0.5, возможно иметь несколько версий PHP на одном сервере (выбираемых через ISPConfig), которые могут работать через FastCGI и PHP-FPM. Процедура сборки дополнительных версий PHP на CentOS описана в этом руководстве: Как использовать несколько версий PHP (PHP-FPM и FastCGI) с ISPConfig 3 (CentOS 6.3) ### 16 Установите PureFTPd PureFTPd можно установить с помощью следующей команды: yum -y install pure-ftpd Затем создайте системные ссылки для запуска и запустите PureFTPd: chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start Теперь мы настраиваем PureFTPd для разрешения FTP и TLS сессий. FTP - это очень небезопасный протокол, поскольку все пароли и все данные передаются в открытом виде. Используя TLS, всю коммуникацию можно зашифровать, что делает FTP гораздо более безопасным. OpenSSL необходим для TLS; чтобы установить OpenSSL, мы просто выполняем: yum install openssl Откройте /etc/pure-ftpd/pure-ftpd.conf… vi /etc/pure-ftpd/pure-ftpd.conf Если вы хотите разрешить FTP и TLS сессии, установите TLS в 1: | [...] # Эта опция может принимать три значения : # 0 : отключить шифрование SSL/TLS (по умолчанию). # 1 : принимать как традиционные, так и зашифрованные сессии. # 2 : отклонять соединения, которые не используют механизмы безопасности SSL/TLS, # включая анонимные сессии. # Не раскомментируйте это бездумно. Убедитесь, что : # 1) Ваш сервер был скомпилирован с поддержкой SSL/TLS (--with-tls), # 2) Действительный сертификат установлен, # 3) Только совместимые клиенты смогут войти. TLS 1 [...] | Чтобы использовать TLS, мы должны создать SSL сертификат. Я создаю его в /etc/ssl/private/, поэтому сначала создаю этот каталог: mkdir -p /etc/ssl/private/ После этого мы можем сгенерировать SSL сертификат следующим образом: openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem Название страны (2 буквы) [XX]: <– Введите название вашей страны (например, “DE”).
Название штата или провинции (полное название) []: <– Введите название вашего штата или провинции.
Название населенного пункта (например, город) [Default City]: <– Введите ваш город.
Название организации (например, компания) [Default Company Ltd]: <– Введите название вашей организации (например, название вашей компании).
Название подразделения (например, отдел) []: <– Введите название вашего подразделения (например, “IT Department”).
Общее название (например, ваше имя или имя хоста вашего сервера) []: <– Введите полное доменное имя системы (например, “server1.example.com”).
Адрес электронной почты []: <– Введите ваш адрес электронной почты. Измените разрешения SSL сертификата: chmod 600 /etc/ssl/private/pure-ftpd.pem Наконец, перезапустите PureFTPd: /etc/init.d/pure-ftpd restart Вот и все. Теперь вы можете попробовать подключиться с помощью вашего FTP клиента; однако вы должны настроить ваш FTP клиент для использования TLS.