Идеальный сервер - Fedora 15 x86_64 [ISPConfig 3] - Страница 5

15 Установка Amavisd-new, SpamAssassin и ClamAV

Чтобы установить amavisd-new, spamassassin и clamav, выполните следующую команду:

yum install amavisd-new spamassassin clamav clamav-data clamav-server clamav-update unzip bzip2 perl-DBD-mysql

Когда мы установили ClamAV, была установлена задача cron, которая пытается обновить базу данных вирусов ClamAV каждые три часа. Но это работает только если мы включим это в /etc/sysconfig/freshclam и /etc/freshclam.conf:

vi /etc/sysconfig/freshclam

Закомментируйте строку FRESHCLAM_DELAY в конце:

| ## При изменении периодичности выполнения freshclam в crontab, ## это значение также должно быть скорректировано. Его значение - это промежуток времени между ## двумя последующими запусками freshclam в минутах. Например, для значения по умолчанию ## ## | 0 */3 * * * ... ## ## строка crontab, значение равно 180 (минут). # FRESHCLAM_MOD= ## Предопределенное значение для задержки в секундах. По умолчанию значение ## рассчитывается программой 'hostid'. Это предопределенное значение гарантирует ## постоянные промежутки времени в 3 часа между двумя последующими запусками freshclam. ## ## Эта опция принимает два специальных значения: ## 'disabled-warn' ... отключает автоматическое обновление freshclam и ## выдает предупреждение ## 'disabled' ... отключает автоматическое обновление freshclam без предупреждений # FRESHCLAM_DELAY= ### !!!!! УДАЛИТЕ МЕНЯ !!!!!! ### УДАЛИТЕ МЕНЯ: По умолчанию обновление freshclam отключено, чтобы избежать ### УДАЛИТЕ МЕНЯ: сетевого доступа без предварительной активации #FRESHCLAM_DELAY=disabled-warn # УДАЛИТЕ МЕНЯ |

vi /etc/freshclam.conf

Закомментируйте строку Example:

| [...] # Закомментируйте или удалите строку ниже. #Example [...] |

Затем мы запускаем freshclam, amavisd и clamd…

sa-update
chkconfig –levels 235 amavisd on
chkconfig –levels 235 clamd.amavisd on
/usr/bin/freshclam
/etc/init.d/amavisd start
/etc/init.d/clamd.amavisd start

Далее сделайте следующее:

rm -f /var/spool/amavisd/clamd.sock
mkdir /var/run/clamav.amavisd /var/run/clamd.amavisd /var/run/amavisd
chown amavis /var/run/clamav.amavisd
chown amavis /var/run/clamd.amavisd
chown amavis /var/run/amavisd
ln -sf /var/spool/amavisd/clamd.sock /var/run/clamav.amavisd/clamd.sock
ln -sf /var/spool/amavisd/clamd.sock /var/run/clamd.amavisd/clamd.sock
/etc/init.d/clamd.amavisd restart

Fedora 15 имеет каталог /run для хранения данных во время выполнения. /run теперь является tmpfs, а /var/run и /var/lock теперь смонтированы в /run и /run/lock из tmpfs, и, следовательно, очищаются при перезагрузке (см. https://docs.fedoraproject.org/en-US/Fedora/15/html/Release_Notes/sect-Release_Notes-Changes_for_SysAdmin.html для получения дополнительной информации).

Это означает, что после перезагрузки каталоги /var/run/clamav.amavisd, /var/run/clamd.amavisd и /var/run/amavisd, которые мы только что создали, больше не будут существовать, и, следовательно, clamd и amavisd не смогут запуститься. Поэтому мы создаем файл /etc/tmpfiles.d/amavisd.conf, который создаст эти каталоги при запуске системы (см. http://0pointer.de/public/systemd-man/tmpfiles.d.html для получения дополнительной информации):

vi /etc/tmpfiles.d/amavisd.conf

| D /var/run/clamav.amavisd 0755 amavis root - D /var/run/clamd.amavisd 0755 amavis root - D /var/run/amavisd 0755 amavis root - |

16 Установка mod_php, mod_fcgi/PHP5 и suPHP

ISPConfig 3 позволяет использовать mod_php, mod_fcgi/PHP5, cgi/PHP5 и suPHP на уровне каждого сайта.

Мы можем установить Apache2 с mod_php5, mod_fcgid и PHP5 следующим образом:

yum install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel

Затем мы открываем /etc/php.ini…

vi /etc/php.ini

… и изменяем отчет об ошибках (чтобы уведомления больше не отображались) и раскомментируем cgi.fix_pathinfo=1:

| [...] ;error_reporting = E_ALL & ~E_DEPRECATED error_reporting = E_ALL & ~E_NOTICE [...] ; cgi.fix_pathinfo предоставляет *реальную* поддержку PATH_INFO/PATH_TRANSLATED для CGI. PHP's ; предыдущее поведение заключалось в том, чтобы установить PATH_TRANSLATED в SCRIPT_FILENAME и не понимать, ; что такое PATH_INFO. Для получения дополнительной информации о PATH_INFO см. спецификации cgi. Установка ; этого в 1 заставит PHP CGI исправить свои пути в соответствии со спецификацией. Установка ; нуля заставляет PHP вести себя как раньше. По умолчанию 1. Вы должны исправить свои скрипты ; чтобы использовать SCRIPT_FILENAME вместо PATH_TRANSLATED. ; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo cgi.fix_pathinfo=1 [...] |

Далее мы устанавливаем suPHP:

cd /tmp
wget http://www.suphp.org/download/suphp-0.7.1.tar.gz
tar xvfz suphp-0.7.1.tar.gz
cd suphp-0.7.1/
./configure –prefix=/usr –sysconfdir=/etc –with-apr=/usr/bin/apr-1-config –with-apxs=/usr/sbin/apxs –with-apache-user=apache –with-setid-mode=owner –with-php=/usr/bin/php-cgi –with-logfile=/var/log/httpd/suphp_log –enable-SUPHP_USE_USERGROUP=yes
make
make install

Затем мы добавляем модуль suPHP в нашу конфигурацию Apache…

vi /etc/httpd/conf.d/suphp.conf

| LoadModule suphp_module modules/mod_suphp.so |

… и создаем файл /etc/suphp.conf следующим образом:

vi /etc/suphp.conf

| [global] ;Путь к файлу журнала logfile=/var/log/httpd/suphp.log ;Уровень журнала loglevel=info ;Пользователь, от имени которого работает Apache webserver_user=apache ;Путь, в котором должны находиться все скрипты docroot=/ ;Путь к chroot() перед выполнением скрипта ;chroot=/mychroot ; Опции безопасности allow_file_group_writeable=true allow_file_others_writeable=false allow_directory_group_writeable=true allow_directory_others_writeable=false ;Проверить, находится ли скрипт в DOCUMENT_ROOT check_vhost_docroot=true ;Отправлять незначительные сообщения об ошибках в браузер errors_to_browser=false ;PATH переменная окружения env_path=/bin:/usr/bin ;Umask для установки, укажите в восьмеричном формате umask=0077 ; Минимальный UID min_uid=100 ; Минимальный GID min_gid=100 [handlers] ;Обработчик для php-скриптов x-httpd-suphp="php:/usr/bin/php-cgi" ;Обработчик для CGI-скриптов x-suphp-cgi="execute:!self" |

Наконец, мы перезапускаем Apache:

/etc/init.d/httpd restart

16.1 Ruby

Начиная с версии 3.0.3, ISPConfig 3 имеет встроенную поддержку Ruby. Вместо использования CGI/FastCGI, ISPConfig зависит от наличия mod_ruby в Apache сервера.

Для Fedora 15 пакет mod_ruby недоступен, поэтому мы должны скомпилировать его самостоятельно. Сначала мы устанавливаем некоторые предварительные условия:

yum install ruby ruby-devel

Затем мы загружаем и устанавливаем mod_ruby следующим образом:

cd /tmp
wget http://modruby.net/archive/mod_ruby-1.3.0.tar.gz
tar zxvf mod_ruby-1.3.0.tar.gz
cd mod_ruby-1.3.0/
./configure.rb –with-apr-includes=/usr/include/apr-1
make
make install

Наконец, мы должны добавить модуль mod_ruby в конфигурацию Apache, поэтому создаем файл /etc/httpd/conf.d/ruby.conf…

vi /etc/httpd/conf.d/ruby.conf

| LoadModule ruby_module modules/mod_ruby.so RubyAddPath /1.8 |

… и перезапускаем Apache:

/etc/init.d/httpd restart

(Если вы пропустите директиву RubyAddPath /1.8, вы увидите ошибки, подобные следующим, в журнале ошибок Apache, когда вы вызываете Ruby файлы:

[Чт Май 26 02:05:05 2011] [ошибка] modruby: ruby:0:in `require’: нет такого файла для загрузки – apache/ruby-run (LoadError)
[Чт Май 26 02:05:05 2011] [ошибка] mod_ruby: не удалось загрузить apache/ruby-run
[Чт Май 26 02:05:05 2011] [ошибка] mod_ruby: ошибка в ruby ) #### 16.2 WebDAV WebDAV должен быть уже включен, но чтобы проверить это, откройте /etc/httpd/conf/httpd.conf и убедитесь, что следующие три модуля активны: vi /etc/httpd/conf/httpd.conf | [...] LoadModule auth_digest_module modules/mod_auth_digest.so [...] LoadModule dav_module modules/mod_dav.so [...] LoadModule dav_fs_module modules/mod_dav_fs.so [...] | Если вам нужно изменить /etc/httpd/conf/httpd.conf, не забудьте перезапустить Apache после этого: /etc/init.d/httpd restart ### 17 Установка PureFTPd PureFTPd можно установить с помощью следующей команды: yum install pure-ftpd Затем создайте ссылки для автозагрузки системы и запустите PureFTPd: chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start Теперь мы настраиваем PureFTPd для разрешения FTP и TLS-сессий. FTP - это очень небезопасный протокол, потому что все пароли и все данные передаются в открытом виде. Используя TLS, всю коммуникацию можно зашифровать, что делает FTP гораздо более безопасным. OpenSSL необходим для TLS; чтобы установить OpenSSL, мы просто выполняем: yum install openssl Откройте /etc/pure-ftpd/pure-ftpd.conf… vi /etc/pure-ftpd/pure-ftpd.conf Если вы хотите разрешить FTP и TLS-сессии, установите TLS в 1: | ``` […] # Эта опция может принимать три значения : # 0 : отключить слой шифрования SSL/TLS (по умолчанию). # 1 : принимать как традиционные, так и зашифрованные сессии. # 2 : отклонять соединения, которые не используют механизмы безопасности SSL/TLS, # включая анонимные сессии. # Не раскомментируйте_ это бездумно. Убедитесь, что : # 1) Ваш сервер был скомпилирован с поддержкой SSL/TLS (–with-tls), # 2) Действительный сертификат установлен, # 3) Только совместимые клиенты смогут войти. TLS 1 […] | Чтобы использовать TLS, мы должны создать SSL-сертификат. Я создаю его в /etc/ssl/private/, поэтому сначала создаю этот каталог: mkdir -p /etc/ssl/private/ После этого мы можем сгенерировать SSL-сертификат следующим образом: openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem Country Name (2 letter code) [XX]: <-- Введите название вашей страны (например, "DE"). State or Province Name (full name) []: <-- Введите название вашего штата или провинции. Locality Name (eg, city) [Default City]: <-- Введите ваш город. Organization Name (eg, company) [Default Company Ltd]: <-- Введите название вашей организации (например, название вашей компании). Organizational Unit Name (eg, section) []: <-- Введите название вашего подразделения (например, "IT Department"). Common Name (eg, your name or your server's hostname) []: <-- Введите полное доменное имя системы (например, "server1.example.com"). Email Address []: <-- Введите ваш адрес электронной почты. Измените разрешения SSL-сертификата: chmod 600 /etc/ssl/private/pure-ftpd.pem Наконец, перезапустите PureFTPd: /etc/init.d/pure-ftpd restart Вот и все. Теперь вы можете попробовать подключиться, используя ваш FTP-клиент; однако вы должны настроить ваш FTP-клиент для использования TLS. ### 18 Установка BIND Мы можем установить BIND следующим образом: yum install bind bind-utils Затем откройте /etc/sysconfig/named... vi /etc/sysconfig/named ... и закомментируйте строку ROOTDIR=/var/named/chroot: | # Опции процесса BIND named # ~~~~~~ # В настоящее время вы можете использовать следующие опции: # # ROOTDIR=”/var/named/chroot” – будет запускать named в chroot-окружении. # вы должны настроить chroot-окружение # (установить пакет bind-chroot) перед # тем, как это сделать. # ЗАМЕТКА: # Эти каталоги автоматически монтируются в chroot, если они пусты в # каталоге ROOTDIR. Это упростит обслуживание вашего # chroot-окружения. # - /var/named # - /etc/pki/dnssec-keys # - /etc/named # - /usr/lib64/bind или /usr/lib/bind (в зависимости от архитектуры) # # Эти файлы также монтируются, если целевой файл не существует в # chroot. # - /etc/named.conf # - /etc/rndc.conf # - /etc/rndc.key # - /etc/named.rfc1912.zones # - /etc/named.dnssec.keys # - /etc/named.iscdlv.key # # Не забудьте добавить “$AddUnixListenSocket /var/named/chroot/dev/log” # строку в ваш /etc/rsyslog.conf файл. В противном случае ваше ведение журнала будет # нарушено, когда демон rsyslogd будет перезапущен (например, из-за обновления). # # OPTIONS=”whatever” – Эти дополнительные опции будут переданы named # при запуске. Не добавляйте -t здесь, используйте ROOTDIR вместо этого. # # KEYTAB_FILE=”/dir/file” – Укажите файл ключа службы named (для GSS-TSIG) # # DISABLE_ZONE_CHECKING – По умолчанию, скрипт инициализации вызывает утилиту named-checkzone # для каждой зоны, чтобы убедиться, что все зоны действительны перед запуском named. Если вы установите эту опцию # на ‘yes’, то скрипт инициализации не будет выполнять эти # проверки. #ROOTDIR=/var/named/chroot | Затем мы создаем ссылки для автозагрузки: chkconfig –levels 235 named on Мы не запускаем BIND сейчас, потому что его нужно сначала настроить - это будет сделано автоматически установщиком ISPConfig 3 позже. ### 19 Установка Vlogger, Webalizer и AWStats Vlogger, webalizer и AWStats можно установить следующим образом: yum install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder cd /tmp wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz tar xvfz vlogger-1.3.tar.gz mv vlogger-1.3/vlogger /usr/sbin/ rm -rf vlogger* ### 20 Установка Jailkit Jailkit нужен только в том случае, если вы хотите chroot пользователей SSH. Его можно установить следующим образом (важно: Jailkit должен быть установлен до ISPConfig - его нельзя установить позже!): cd /tmp wget http://olivier.sessink.nl/jailkit/jailkit-2.14.tar.gz tar xvfz jailkit-2.14.tar.gz cd jailkit-2.14 ./configure make make install cd .. rm -rf jailkit-2.14* ### 21 Установка fail2ban Это необязательно, но рекомендуется, потому что монитор ISPConfig пытается показать журнал: yum install fail2ban chkconfig --levels 235 fail2ban on /etc/init.d/fail2ban start ### 22 Установка rkhunter rkhunter можно установить следующим образом: yum install rkhunter ```