Серверы · 10 min read · Nov 03, 2025
Идеальный сервер - Debian 9 (Nginx, BIND, Dovecot, ISPConfig 3.1) - Страница 2
10 Установите Nginx, PHP (PHP-FPM) и Fcgiwrap
Nginx доступен в виде пакета для Debian, который мы можем установить следующим образом:
apt-get install nginxЕсли Apache2 уже установлен в системе, остановите его сейчас…
service apache2 stopСообщение “ Не удалось остановить apache2.service: единица apache2.service не загружена. “ нормально и не указывает на ошибку.
… и удалите системные ссылки автозагрузки Apache:
systemctl disable apache2Запустите nginx после этого:
service nginx start(Если оба Apache2 и nginx установлены, установщик ISPConfig 3 спросит, какой из них вы хотите использовать - в этом случае ответьте nginx. Если установлен только один из них, ISPConfig автоматически выполнит необходимую конфигурацию.)
Мы можем заставить PHP 7 работать в nginx через PHP-FPM (PHP-FPM (FastCGI Process Manager) - это альтернативная реализация PHP FastCGI с некоторыми дополнительными функциями, полезными для сайтов любого размера, особенно более загруженных сайтов), который мы устанавливаем следующим образом:
apt-get install php7.0-fpmPHP-FPM - это демон, который запускает сервер FastCGI на сокете /var/run/php/php7.0-fpm.sock.
Чтобы получить поддержку MySQL в PHP, мы можем установить пакет php7.0-mysql. Также неплохо установить некоторые другие модули PHP, так как они могут понадобиться для ваших приложений. Вы можете искать доступные модули PHP следующим образом:
apt-cache search php7Выберите необходимые и установите их следующим образом:
apt-get install php7.0 php7.0-common php7.0-gd php7.0-mysql php7.0-imap php7.0-cli php7.0-cgi php-pear php7.0-mcrypt mcrypt imagemagick libruby php7.0-curl php7.0-intl php7.0-pspell php7.0-recode php7.0-sqlite3 php7.0-tidy php7.0-xmlrpc php7.0-xsl memcached php-memcache php-imagick php-gettext php7.0-zip php7.0-mbstring memcached php7.0-soap php7.0-opcacheДалее откройте /etc/php/7.0/fpm/php.ini…
nano /etc/php/7.0/fpm/php.ini… и установите cgi.fix_pathinfo=0 и ваш часовой пояс:
[...]
cgi.fix_pathinfo=0
[...]
date.timezone="Europe/Berlin"
[...](Вы можете найти все доступные часовые пояса в директориях /usr/share/zoneinfo и их поддиректориях.)
Теперь перезагрузите PHP-FPM:
service php7.0-fpm reloadЧтобы получить поддержку CGI в nginx, мы устанавливаем Fcgiwrap.
Fcgiwrap - это обертка CGI, которая также должна работать для сложных CGI-скриптов и может использоваться для сред общего хостинга, так как позволяет каждому виртуальному хосту использовать свою собственную директорию cgi-bin.
Установите пакет fcgiwrap:
apt-get install fcgiwrapПосле установки демон fcgiwrap должен уже быть запущен; его сокет - /var/run/fcgiwrap.socket. Если он не работает, вы можете использовать скрипт fservice fcgiwrap для его запуска.
Вот и все! Теперь, когда вы создаете виртуальный хост nginx, ISPConfig позаботится о правильной конфигурации виртуального хоста.
10.1 Дополнительные версии PHP
Начиная с ISPConfig 3.0.5, возможно иметь несколько версий PHP на одном сервере (выбираемых через ISPConfig), которые могут работать через PHP-FPM, включая PHP 5.x и 7.x. Чтобы узнать, как собрать дополнительные версии PHP (PHP-FPM) и как настроить ISPConfig, пожалуйста, ознакомьтесь с этим руководством: Как установить PHP 7.1, 7.2 и 5.6 как PHP-FPM и FastCGI для ISPConfig 3 на Debian 9
10.2 Установите phpMyAdmin
Установите phpMyAdmin следующим образом:
apt-get install phpmyadminНе выбирайте вариант, когда установщик спрашивает “ Веб-сервер для автоматической перенастройки: “ и нажмите ok.
Настроить базу данных для phpmyadmin с dbconfig-common? <-- да
Пароль приложения MySQL для phpmyadmin: <-- Нажмите Enter
Пароль административного пользователя базы данных: <-- Введите пароль root MySQLТеперь вы можете найти phpMyAdmin в директории /usr/share/phpmyadmin/.
После установки ISPConfig 3.1 вы можете получить доступ к phpMyAdmin следующим образом:
Виртуальный хост приложений ISPConfig на порту 8081 для nginx поставляется с конфигурацией phpMyAdmin, так что вы можете использовать http://server1.example.com:8081/phpmyadmin или http://server1.example.com:8081/phpMyAdmin для доступа к phpMyAdmin.
Если вы хотите использовать псевдоним /phpmyadmin или /phpMyAdmin, который вы можете использовать с ваших веб-сайтов, это немного сложнее, чем для Apache, потому что nginx не имеет глобальных псевдонимов (т.е. псевдонимов, которые могут быть определены для всех виртуальных хостов). Поэтому вам нужно определить эти псевдонимы для каждого виртуального хоста, с которого вы хотите получить доступ к phpMyAdmin.
Для этого вставьте следующее в поле Директивы nginx на вкладке Опции веб-сайта в ISPConfig:
location /phpmyadmin {
root /usr/share/;
index index.php index.html index.htm;
location ~ ^/phpmyadmin/(.+\.php)$ {
try_files $uri =404;
root /usr/share/;
fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $request_filename;
include /etc/nginx/fastcgi_params;
fastcgi_param PATH_INFO $fastcgi_script_name;
fastcgi_buffer_size 128k;
fastcgi_buffers 256 4k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
fastcgi_intercept_errors on;
}
location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
root /usr/share/;
}
}
location /phpMyAdmin {
rewrite ^/* /phpmyadmin last;
}Если вы используете http s вместо http для вашего виртуального хоста, вы должны добавить строку fastcgi_param HTTPS on; в вашу конфигурацию phpMyAdmin следующим образом:
location /phpmyadmin {
root /usr/share/;
index index.php index.html index.htm;
location ~ ^/phpmyadmin/(.+\.php)$ {
try_files $uri =404;
root /usr/share/;
fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
fastcgi_param HTTPS on; # <-- добавьте эту строку
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $request_filename;
include /etc/nginx/fastcgi_params;
fastcgi_param PATH_INFO $fastcgi_script_name;
fastcgi_buffer_size 128k;
fastcgi_buffers 256 4k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
fastcgi_intercept_errors on;
}
location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
root /usr/share/;
}
}
location /phpMyAdmin {
rewrite ^/* /phpmyadmin last;
}Если вы используете как http, так и https для вашего виртуального хоста, вы можете использовать переменную $https. Снова перейдите в поле Директивы nginx и вместо fastcgi_param HTTPS on; добавьте строку fastcgi_param HTTPS $https; так, чтобы вы могли использовать phpMyAdmin как для http, так и для https запросов:
location /phpmyadmin {
root /usr/share/;
index index.php index.html index.htm;
location ~ ^/phpmyadmin/(.+\.php)$ {
try_files $uri =404;
root /usr/share/;
fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
fastcgi_param HTTPS $https; # <-- добавьте эту строку
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $request_filename;
include /etc/nginx/fastcgi_params;
fastcgi_param PATH_INFO $fastcgi_script_name;
fastcgi_buffer_size 128k;
fastcgi_buffers 256 4k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
fastcgi_intercept_errors on;
}
location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
root /usr/share/;
}
}
location /phpMyAdmin {
rewrite ^/* /phpmyadmin last;
}11 Установите Let’s Encrypt
ISPConfig 3.1 поддерживает бесплатный центр сертификации SSL Let’s Encrypt. Функция Let’s Encrypt позволяет вам создавать бесплатные SSL-сертификаты для вашего веб-сайта из ISPConfig.
cd /usr/local/bin
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto --install-only12 Установите Mailman
ISPConfig позволяет вам управлять (создавать/изменять/удалять) списками рассылки Mailman. Если вы хотите воспользоваться этой функцией, установите Mailman следующим образом:
apt-get install mailmanВыберите хотя бы один язык, например:
Языки для поддержки: <– en (английский)
Отсутствующий список сайтов <– Ок
Прежде чем мы сможем запустить Mailman, должен быть создан первый список рассылки под названием mailman:
newlist mailmanroot@server1:~# newlist mailman
Введите электронную почту человека, управляющего списком: <– адрес электронной почты администратора, например [email protected]
Первоначальный пароль mailman: <– пароль администратора для списка mailman
Чтобы завершить создание вашего списка рассылки, вы должны отредактировать ваш файл /etc/aliases (или эквивалентный), добавив следующие строки, и, возможно, запустив программу newaliases:
список рассылки mailman
mailman: “|/var/lib/mailman/mail/mailman post mailman”
mailman-admin: “|/var/lib/mailman/mail/mailman admin mailman”
mailman-bounces: “|/var/lib/mailman/mail/mailman bounces mailman”
mailman-confirm: “|/var/lib/mailman/mail/mailman confirm mailman”
mailman-join: “|/var/lib/mailman/mail/mailman join mailman”
mailman-leave: “|/var/lib/mailman/mail/mailman leave mailman”
mailman-owner: “|/var/lib/mailman/mail/mailman owner mailman”
mailman-request: “|/var/lib/mailman/mail/mailman request mailman”
mailman-subscribe: “|/var/lib/mailman/mail/mailman subscribe mailman”
mailman-unsubscribe: “|/var/lib/mailman/mail/mailman unsubscribe mailman”
Нажмите enter, чтобы уведомить владельца mailman… <– ENTER
root@server1:~#
Откройте /etc/aliases после этого…
nano /etc/aliases… и добавьте следующие строки:
[...]
## список рассылки mailman
mailman: "|/var/lib/mailman/mail/mailman post mailman"
mailman-admin: "|/var/lib/mailman/mail/mailman admin mailman"
mailman-bounces: "|/var/lib/mailman/mail/mailman bounces mailman"
mailman-confirm: "|/var/lib/mailman/mail/mailman confirm mailman"
mailman-join: "|/var/lib/mailman/mail/mailman join mailman"
mailman-leave: "|/var/lib/mailman/mail/mailman leave mailman"
mailman-owner: "|/var/lib/mailman/mail/mailman owner mailman"
mailman-request: "|/var/lib/mailman/mail/mailman request mailman"
mailman-subscribe: "|/var/lib/mailman/mail/mailman subscribe mailman"
mailman-unsubscribe: "|/var/lib/mailman/mail/mailman unsubscribe mailman"Запустите
newaliasesпосле этого и перезапустите Postfix:
service postfix restartЗатем запустите демон Mailman:
service mailman startПосле установки ISPConfig 3 вы можете получить доступ к Mailman следующим образом:
Виртуальный хост приложений ISPConfig на порту 8081 для nginx поставляется с конфигурацией Mailman, так что вы можете использовать http://server1.example.com:8081/cgi-bin/mailman/admin/
Если вы хотите использовать Mailman с ваших веб-сайтов, это немного сложнее, чем для Apache, потому что nginx не имеет глобальных псевдонимов (т.е. псевдонимов, которые могут быть определены для всех виртуальных хостов). Поэтому вам нужно определить эти псевдонимы для каждого виртуального хоста, с которого вы хотите получить доступ к Mailman.
Для этого вставьте следующее в поле Директивы nginx на вкладке Опции веб-сайта в ISPConfig:
location /cgi-bin/mailman {
root /usr/lib/;
fastcgi_split_path_info (^/cgi-bin/mailman/[^/]*)(.*)$;
include /etc/nginx/fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
fastcgi_intercept_errors on;
fastcgi_pass unix:/var/run/fcgiwrap.socket;
}
location /images/mailman {
alias /usr/share/images/mailman;
}
location /pipermail {
alias /var/lib/mailman/archives/public;
autoindex on;
}Это определяет псевдоним /cgi-bin/mailman/ для вашего виртуального хоста, что означает, что вы можете получить доступ к интерфейсу администратора Mailman для списка по адресу http://
По адресу http://
13 Установите PureFTPd и Quota
PureFTPd и quota можно установить с помощью следующей команды:
apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatoolОтредактируйте файл /etc/default/pure-ftpd-common…
nano /etc/default/pure-ftpd-common… и убедитесь, что режим запуска установлен на standalone и VIRTUALCHROOT=true:
[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]Теперь мы настраиваем PureFTPd для разрешения FTP и TLS-сессий. FTP - это очень небезопасный протокол, потому что все пароли и все данные передаются в открытом виде. Используя TLS, всю коммуникацию можно зашифровать, что делает FTP намного более безопасным.
Если вы хотите разрешить FTP и TLS-сессии, выполните
echo 1 > /etc/pure-ftpd/conf/TLSЧтобы использовать TLS, мы должны создать SSL-сертификат. Я создаю его в /etc/ssl/private/, поэтому сначала создаю эту директорию:
mkdir -p /etc/ssl/private/После этого мы можем сгенерировать SSL-сертификат следующим образом:
openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pemНазвание страны (2 буквы) [AU]: <– Введите название вашей страны (например, “DE”).
Название штата или провинции (полное название) [Some-State]: <– Введите название вашего штата или провинции.
Название населенного пункта (например, город) []: <– Введите ваш город.
Название организации (например, компания) [Internet Widgits Pty Ltd]: <– Введите название вашей организации (например, название вашей компании).
Название подразделения (например, отдел) []: <– Введите название вашего подразделения (например, “IT Department”).
Общее название (например, ВАШЕ имя) []: <– Введите полное доменное имя системы (например, “server1.example.com”).
Адрес электронной почты []: <– Введите ваш адрес электронной почты.
Измените разрешения SSL-сертификата:
chmod 600 /etc/ssl/private/pure-ftpd.pemЗатем перезапустите PureFTPd:
service pure-ftpd-mysql restartОтредактируйте /etc/fstab. Мой выглядит так (я добавил, usrjquota=quota.user, grpjquota=quota.group, jqfmt=vfsv0 к разделу с точкой монтирования /):
nano /etc/fstab# /etc/fstab: статическая информация о файловой системе.
#
# Используйте 'blkid', чтобы напечатать универсальный уникальный идентификатор для устройства; это может быть использовано с UUID= как более надежный способ наименования устройств, который работает даже если диски добавляются и удаляются. См. fstab(5).
#
# <файловая система> <точка монтирования> <тип> <опции> <дамп> <передача>
# / была на /dev/sda1 во время установки
UUID=f539c5cb-624f-4c27-a149-1446a251a453 / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1
# swap была на /dev/sda5 во время установки
UUID=8d3194e7-edb5-4492-937d-d066b4994baf none swap sw 0 0
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0Чтобы включить квоты, выполните эти команды:
mount -o remount /quotacheck -avugm
quotaon -avug14 Установите DNS-сервер BIND
BIND можно установить следующим образом:
apt-get install bind9 dnsutilsЕсли ваш сервер является виртуальной машиной, то настоятельно рекомендуется установить демон haveged для получения более высокой энтропии для подписания DNSSEC. Вы можете установить haveged и на не виртуальных серверах, это не повредит.
apt-get install haveged
systemctl enable haveged
service haveged startОбъяснение по этой теме можно найти здесь.
15 Установите Webalizer и AWStats
Webalizer и AWStats можно установить следующим образом:
apt-get install webalizer awstats geoip-database libtimedate-perl libclass-dbi-mysql-perlОткройте /etc/cron.d/awstats после этого…
nano /etc/cron.d/awstats… и закомментируйте все в этом файле:
#MAILTO=root
#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh
# Генерировать статические отчеты:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh16 Установите Jailkit
Jailkit нужен только если вы хотите chroot пользователей SSH. Его можно установить следующим образом (важно: Jailkit должен быть установлен до ISPConfig - его нельзя установить после!):
apt-get install build-essential autoconf automake libtool flex bison debhelper binutilscd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.19.tar.gz
tar xvfz jailkit-2.19.tar.gz
cd jailkit-2.19
echo 5 > debian/compat
./debian/rules binaryТеперь вы можете установить пакет Jailkit.deb следующим образом:
cd ..
dpkg -i jailkit_2.19-1_*.deb
rm -rf jailkit-2.19*17 Установите Fail2ban и UFW Firewall
Это необязательно, но рекомендуется, потому что монитор ISPConfig пытается показать журнал:
apt-get install fail2banЧтобы сделать fail2ban монитором PureFTPd и Dovecot, создайте файл /etc/fail2ban/jail.local:
nano /etc/fail2ban/jail.local[pure-ftpd]
enabled = true
port = ftp
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3
[dovecot]
enabled = true
filter = dovecot
logpath = /var/log/mail.log
maxretry = 5
[postfix-sasl]
enabled = true
port = smtp
filter = postfix-sasl
logpath = /var/log/mail.log
maxretry = 3Перезапустите fail2ban после этого:
service fail2ban restartЧтобы установить брандмауэр UFW, выполните эту команду apt:
apt-get install ufwGet new posts in your inbox
No spam. Unsubscribe anytime.