Идеальный сервер - Ubuntu 10.10 [ISPConfig 3]

12 Установите Postfix, Courier, Saslauthd, MySQL, rkhunter, binutils

Мы можем установить Postfix, Courier, Saslauthd, MySQL, rkhunter и binutils одной командой:

aptitude install postfix postfix-mysql postfix-doc mysql-client mysql-server courier-authdaemon courier-authlib-mysql courier-pop courier-pop-ssl courier-imap courier-imap-ssl libsasl2-2 libsasl2-modules libsasl2-modules-sql sasl2-bin libpam-mysql openssl getmail4 rkhunter binutils maildrop

Вам будут заданы следующие вопросы:

Новый пароль для пользователя MySQL “root”: <– вашпарольsqlroot
Повторите пароль для пользователя MySQL “root”: <– вашпарольsqlroot
Создать каталоги для веб-администрирования? <– Нет
Общий тип конфигурации почты: <– Интернет-сайт
Системное имя почты: <– server1.example.com
Требуется SSL-сертификат <– Ок

Мы хотим, чтобы MySQL слушал на всех интерфейсах, а не только на localhost, поэтому мы редактируем /etc/mysql/my.cnf и комментируем строку bind-address = 127.0.0.1:

vi /etc/mysql/my.cnf

| [...] # Вместо skip-networking по умолчанию теперь слушает только на # localhost, что более совместимо и не менее безопасно. #bind-address = 127.0.0.1 [...] |

Затем мы перезапускаем MySQL:

/etc/init.d/mysql restart

Теперь проверьте, что сеть включена. Запустите

netstat -tap | grep mysql

Вывод должен выглядеть так:

root@server1:~# netstat -tap | grep mysql  
 tcp        0      0 *:mysql                 *:*                     LISTEN      9815/mysqld  
 root@server1:~#

Во время установки SSL-сертификаты для IMAP-SSL и POP3-SSL создаются с именем хоста localhost. Чтобы изменить это на правильное имя хоста (server1.example.com в этом учебнике), удалите сертификаты…

cd /etc/courier  
 rm -f /etc/courier/imapd.pem  
 rm -f /etc/courier/pop3d.pem

… и измените следующие два файла; замените CN=localhost на CN=server1.example.com (вы также можете изменить другие значения, если необходимо):

vi /etc/courier/imapd.cnf

| [...] CN=server1.example.com [...] |

vi /etc/courier/pop3d.cnf

| [...] CN=server1.example.com [...] |

Затем воссоздайте сертификаты…

mkimapdcert  
 mkpop3dcert

… и перезапустите Courier-IMAP-SSL и Courier-POP3-SSL:

/etc/init.d/courier-imap-ssl restart  
 /etc/init.d/courier-pop-ssl restart

13 Установите Amavisd-new, SpamAssassin и Clamav

Чтобы установить amavisd-new, SpamAssassin и ClamAV, мы выполняем

aptitude install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl

14 Установите Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear и mcrypt

Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear и mcrypt можно установить следующим образом:

aptitude install apache2 apache2.2-common apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libapache2-mod-php5 php5 php5-common php5-gd php5-mysql php5-imap phpmyadmin php5-cli php5-cgi libapache2-mod-fcgid apache2-suexec php-pear php-auth php5-mcrypt mcrypt php5-imagick imagemagick libapache2-mod-suphp libopenssl-ruby libapache2-mod-ruby

Вы увидите следующий вопрос:

Веб-сервер для автоматической перенастройки: <– apache2
Настроить базу данных для phpmyadmin с dbconfig-common? <– Нет

Затем выполните следующую команду, чтобы включить модули Apache suexec, rewrite, ssl, actions и include (плюс dav, dav_fs и auth_digest, если вы хотите использовать WebDAV):

a2enmod suexec rewrite ssl actions include

a2enmod dav_fs dav auth_digest

Перезапустите Apache после этого:

/etc/init.d/apache2 restart

15 Установите PureFTPd и Quota

PureFTPd и quota можно установить следующей командой:

aptitude install pure-ftpd-common pure-ftpd-mysql quota quotatool

Отредактируйте файл /etc/default/pure-ftpd-common…

vi /etc/default/pure-ftpd-common

… и убедитесь, что режим запуска установлен на standalone и VIRTUALCHROOT=true:

| [...] STANDALONE_OR_INETD=standalone [...] VIRTUALCHROOT=true [...] |

Теперь мы настраиваем PureFTPd для разрешения FTP и TLS-сессий. FTP - это очень небезопасный протокол, потому что все пароли и все данные передаются в открытом виде. Используя TLS, всю связь можно зашифровать, что делает FTP гораздо более безопасным.

Если вы хотите разрешить FTP и TLS-сессии, выполните

echo 1 > /etc/pure-ftpd/conf/TLS

Чтобы использовать TLS, мы должны создать SSL-сертификат. Я создаю его в /etc/ssl/private/, поэтому сначала создаю этот каталог:

mkdir -p /etc/ssl/private/

После этого мы можем сгенерировать SSL-сертификат следующим образом:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Название страны (2 буквы) [AU]: <– Введите название вашей страны (например, “DE”).
Название штата или провинции (полное название) [Some-State]: <– Введите название вашего штата или провинции.
Название населенного пункта (например, город) []: <– Введите ваш город.
Название организации (например, компания) [Internet Widgits Pty Ltd]: <– Введите название вашей организации (например, название вашей компании).
Название организационного подразделения (например, отдел) []: <– Введите название вашего организационного подразделения (например, “IT-отдел”).
Общее имя (например, ВАШЕ имя) []: <– Введите полное доменное имя системы (например, “server1.example.com”).
Адрес электронной почты []: <– Введите ваш адрес электронной почты.

Измените разрешения SSL-сертификата:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Затем перезапустите PureFTPd:

/etc/init.d/pure-ftpd-mysql restart

Отредактируйте /etc/fstab. Мой выглядит так (я добавил, usrjquota=quota.user, grpjquota=quota.group, jqfmt=vfsv0 к разделу с точкой монтирования /):

vi /etc/fstab

| # /etc/fstab: статическая информация о файловой системе. # # Используйте 'blkid -o value -s UUID', чтобы напечатать универсальный уникальный идентификатор # для устройства; это может быть использовано с UUID= как более надежный способ именования # устройств, который работает даже если диски добавляются и удаляются. См. fstab(5). # # <файловая система> <точка монтирования> <тип> <опции> <дамп> <передача> proc /proc proc nodev,noexec,nosuid 0 0 /dev/mapper/server1-root / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1 # /boot был на /dev/sda1 во время установки UUID=a8f37dcf-5836-485c-a451-3ae2f0f47720 /boot ext2 по умолчанию 0 2 /dev/mapper/server1-swap_1 none swap sw 0 0 /dev/fd0 /media/floppy0 auto rw,user,noauto,exec,utf8 0 0 |

Чтобы включить квоты, выполните эти команды:

mount -o remount /

quotacheck -avugm  
 quotaon -avug

16 Установите BIND DNS-сервер

BIND можно установить следующим образом:

aptitude install bind9 dnsutils

17 Установите Vlogger, Webalizer и AWstats

Vlogger, webalizer и AWstats можно установить следующим образом:

aptitude install vlogger webalizer awstats geoip-database

18 Установите Jailkit

Jailkit нужен только в том случае, если вы хотите chroot SSH пользователей. Его можно установить следующим образом (важно: Jailkit должен быть установлен перед ISPConfig - его нельзя установить позже!):

aptitude install build-essential autoconf automake1.9 libtool flex bison debhelper

cd /tmp  
 wget http://olivier.sessink.nl/jailkit/jailkit-2.13.tar.gz  
 tar xvfz jailkit-2.13.tar.gz  
 cd jailkit-2.13  
 ./debian/rules binary  
 cd ..  
 dpkg -i jailkit_2.13-1_*.deb  
 rm -rf jailkit-2.13*

19 Установите fail2ban

Это необязательно, но рекомендуется, потому что монитор ISPConfig пытается показать журнал fail2ban:

aptitude install fail2ban

Идеальный сервер - Ubuntu 10.10 [ISPConfig 3] - Страница 4