Идеальный сервер - Debian 9 (Stretch) с Apache, BIND, Dovecot, PureFTPD и ISPConfig 3.1

10 Установка Apache2, PHP, FCGI, suExec, Pear, phpMyAdmin и mcrypt

Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear и mcrypt можно установить следующим образом:

apt-get -y install apache2 apache2-doc apache2-utils libapache2-mod-php php7.0 php7.0-common php7.0-gd php7.0-mysql php7.0-imap phpmyadmin php7.0-cli php7.0-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear php7.0-mcrypt mcrypt imagemagick libruby libapache2-mod-python php7.0-curl php7.0-intl php7.0-pspell php7.0-recode php7.0-sqlite3 php7.0-tidy php7.0-xmlrpc php7.0-xsl memcached php-memcache php-imagick php-gettext php7.0-zip php7.0-mbstring memcached libapache2-mod-passenger php7.0-soap

Вы увидите следующие вопросы:

Web server to reconfigure automatically: <- apache2  
 Configure database for phpmyadmin with dbconfig-common? <- yes  
Enter the phpmyadmin application password? <-  Just press enter

Затем выполните следующую команду, чтобы включить модули Apache suexec, rewrite, ssl, actions и include (плюс dav, dav_fs и auth_digest, если вы хотите использовать WebDAV):

a2enmod suexec rewrite ssl actions include dav_fs dav auth_digest cgi headers

Чтобы убедиться, что сервер не может быть атакован через уязвимость HTTPOXY, мы отключим заголовок HTTP_PROXY в apache глобально, добавив файл конфигурации /etc/apache2/conf-available/httpoxy.conf.

nano /etc/apache2/conf-available/httpoxy.conf

Вставьте следующее содержимое в файл:


    RequestHeader unset Proxy early

И включите модуль, выполнив:

a2enconf httpoxy  
service apache2 restart

10.1 Установка HHVM (HipHop Virtual Machine)

Пакеты HHVM для Debian 9 пока недоступны. HHVM является необязательным режимом PHP, поэтому ваш сервер будет работать без него, вы просто не сможете использовать режим PHP HHVM для веб-сайтов.

10.2 SuPHP

SuPHP больше не доступен для Debian 9, функции SuPHP устарели и будут удалены из ISPConfig. Используйте доступные режимы PHP PHP-FPM или PHP-FCGI вместе с suexec вместо SuPHP.

11 Установка Let’s Encrypt

ISPConfig 3.1 поддерживает бесплатный сертификат SSL от Let’s Encrypt. Функция Let’s Encrypt позволяет вам создавать бесплатные SSL-сертификаты для вашего веб-сайта из ISPConfig.

Теперь мы добавим поддержку Let’s Encrypt.

cd /usr/local/bin  
wget https://dl.eff.org/certbot-auto  
chmod a+x certbot-auto  
./certbot-auto --install-only

Не требуется никаких дополнительных шагов, кроме установки LE. SSL-сертификаты для веб-сайтов создаются ISPConfig, когда вы добавляете веб-сайты.

12 Установка PHP-FPM

Чтобы использовать PHP-FPM с Apache, нам нужен модуль mod_proxy_fcgi Apache, который установлен по умолчанию и просто нуждается в активации. Мы можем установить PHP-FPM следующим образом:

apt-get -y install php7.0-fpm

Убедитесь, что вы включили модули и перезапустили Apache:

a2enmod actions proxy_fcgi alias  
service apache2 restart

12.2 Установка PHP Opcode Cache (по желанию)

Opcache - это бесплатный кэш PHP opcode для кэширования и оптимизации промежуточного кода PHP. APCu - это модуль совместимости, который предоставляет функции, совместимые с APC для Opcache, который используется многими системами кэширования CMS. Рекомендуется установить эти расширения PHP для ускорения вашей PHP-страницы.

APCu можно установить следующим образом:

apt-get -y install php7.0-opcache php-apcu

Теперь перезапустите Apache:

service apache2 restart

13 Установка Mailman

ISPConfig позволяет вам управлять (создавать/изменять/удалять) списками рассылки Mailman. Если вы хотите воспользоваться этой функцией, установите Mailman следующим образом:

apt-get install mailman

Выберите хотя бы один язык, например:

Languages to support: <-- en (English)  
 Missing site list <-- Ok

Перед тем как мы сможем запустить Mailman, необходимо создать первый список рассылки под названием mailman:

newlist mailman

root@server1:~# newlist mailman  
Enter the email of the person running the list: <-- admin email address, e.g. [email protected]  
Initial mailman password: <-- admin password for the mailman list  
To finish creating your mailing list, you must edit your /etc/aliases (or  
equivalent) file by adding the following lines, and possibly running the  
`newaliases' program:  
   
## mailman mailing list  
mailman:              |/var/lib/mailman/mail/mailman post mailman  
mailman-admin:        |/var/lib/mailman/mail/mailman admin mailman  
mailman-bounces:      |/var/lib/mailman/mail/mailman bounces mailman  
mailman-confirm:      |/var/lib/mailman/mail/mailman confirm mailman  
mailman-join:         |/var/lib/mailman/mail/mailman join mailman  
mailman-leave:        |/var/lib/mailman/mail/mailman leave mailman  
mailman-owner:        |/var/lib/mailman/mail/mailman owner mailman  
mailman-request:      |/var/lib/mailman/mail/mailman request mailman  
mailman-subscribe:    |/var/lib/mailman/mail/mailman subscribe mailman  
mailman-unsubscribe:  |/var/lib/mailman/mail/mailman unsubscribe mailman  
   
Hit enter to notify mailman owner... <-- ENTER  
   
root@server1:~#

Откройте /etc/aliases после этого…

nano /etc/aliases

… и добавьте следующие строки:

[...]  
## mailman mailing list  
mailman:              |/var/lib/mailman/mail/mailman post mailman  
mailman-admin:        |/var/lib/mailman/mail/mailman admin mailman  
mailman-bounces:      |/var/lib/mailman/mail/mailman bounces mailman  
mailman-confirm:      |/var/lib/mailman/mail/mailman confirm mailman  
mailman-join:         |/var/lib/mailman/mail/mailman join mailman  
mailman-leave:        |/var/lib/mailman/mail/mailman leave mailman  
mailman-owner:        |/var/lib/mailman/mail/mailman owner mailman  
mailman-request:      |/var/lib/mailman/mail/mailman request mailman  
mailman-subscribe:    |/var/lib/mailman/mail/mailman subscribe mailman  
mailman-unsubscribe:  |/var/lib/mailman/mail/mailman unsubscribe mailman

Запустите:

newaliases

и перезапустите Postfix:

service postfix restart

Наконец, мы должны включить конфигурацию Mailman для Apache:

ln -s /etc/mailman/apache.conf /etc/apache2/conf-enabled/mailman.conf

Это определяет псевдоним /cgi-bin/mailman/ для всех виртуальных хостов Apache, что означает, что вы можете получить доступ к интерфейсу администратора Mailman для списка по адресу http://server1.example.com/cgi-bin/mailman/admin/, а веб-страницу для пользователей списка рассылки можно найти по адресу http://server1.example.com/cgi-bin/mailman/listinfo/.

По адресу http://server1.example.com/pipermail вы можете найти архивы списка рассылки.

Перезапустите Apache после этого:

service apache2 restart

Затем запустите демон Mailman:

service mailman start

14 Установка PureFTPd и Quota

PureFTPd и quota можно установить с помощью следующей команды:

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

Создайте файл dhparam для pure-ftpd:

openssl dhparam -out /etc/ssl/private/pure-ftpd-dhparams.pem 2048

Отредактируйте файл /etc/default/pure-ftpd-common…

nano /etc/default/pure-ftpd-common

… и убедитесь, что режим запуска установлен на standalone и VIRTUALCHROOT=true:

[...]  
STANDALONE_OR_INETD=standalone  
[...]  
VIRTUALCHROOT=true  
[...]

Теперь мы настраиваем PureFTPd для разрешения FTP и TLS-сессий. FTP - это очень небезопасный протокол, так как все пароли и все данные передаются в открытом виде. Используя TLS, всю коммуникацию можно зашифровать, что делает FTP гораздо более безопасным.

Если вы хотите разрешить FTP и TLS-сессии, выполните

echo 1 > /etc/pure-ftpd/conf/TLS

Чтобы использовать TLS, мы должны создать SSL-сертификат. Я создаю его в /etc/ssl/private/, поэтому сначала создаю этот каталог:

mkdir -p /etc/ssl/private/

После этого мы можем сгенерировать SSL-сертификат следующим образом:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Country Name (2 letter code) [AU]: <-- Введите название вашей страны (например,

Идеальный сервер - Debian 9 (Stretch) с Apache, BIND, Dovecot, PureFTPD и ISPConfig 3.1 - Страница 2