Серверы · 6 min read · Oct 02, 2025
Идеальный сервер - Ubuntu 14.10 с Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot и ISPConfig
Идеальный сервер - Ubuntu 14.10 с Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot и ISPConfig
Версия 1.0
Автор: Фалко Тимме, обновлено Сриджаном Кишором
Следите за howtoforge в Twitter
Последнее редактирование 31/Окт/2014
Этот учебник показывает, как установить сервер Ubuntu 14.10 (Utopic Unicorn) (с Apache2, BIND, Dovecot) для установки ISPConfig 3 и как установить ISPConfig 3. ISPConfig 3 - это панель управления веб-хостингом, которая позволяет вам настраивать следующие службы через веб-браузер: веб-сервер Apache или nginx, почтовый сервер Postfix, IMAP/POP3 сервер Courier или Dovecot, MySQL, сервер имен BIND или MyDNS, PureFTPd, SpamAssassin, ClamAV и многие другие. Эта настройка охватывает установку Apache (вместо nginx), BIND (вместо MyDNS) и Dovecot (вместо Courier).
Руководство ISPConfig 3
Чтобы узнать, как использовать ISPConfig 3, я настоятельно рекомендую скачать Руководство ISPConfig 3.
На более чем 300 страницах оно охватывает концепцию ISPConfig (администраторы, реселлеры, клиенты), объясняет, как установить и обновить ISPConfig 3, включает справочник для всех форм и полей форм в ISPConfig вместе с примерами допустимых вводов и предоставляет учебники для самых распространенных задач в ISPConfig 3. Оно также описывает, как сделать ваш сервер более безопасным и включает раздел по устранению неполадок в конце.
1. Предварительная заметка
В этом учебнике я использую имя хоста server1.example.com с IP-адресом 192.168.0.100 и шлюзом 192.168.0.1. Эти настройки могут отличаться для вас, поэтому вам нужно заменить их, где это необходимо. Перед тем, как продолжить, вам нужно иметь базовую минимальную установку Ubuntu 14.10, как объяснено в учебнике.
2. Редактирование /etc/apt/sources.list и обновление вашей установки Linux
Отредактируйте /etc/apt/sources.list. Закомментируйте или удалите установочный CD из файла и убедитесь, что репозитории universe и multiverse включены. Он должен выглядеть так:
nano /etc/apt/sources.list#
# deb cdrom:[Ubuntu-Server 14.10 _Utopic Unicorn_ - Release amd64 (20141022.2)]/ utopic main restricted
#deb cdrom:[Ubuntu-Server 14.10 _Utopic Unicorn_ - Release amd64 (20141022.2)]/ utopic main restricted
# См. http://help.ubuntu.com/community/UpgradeNotes для того, как обновиться до
# более новых версий дистрибутива.
deb http://de.archive.ubuntu.com/ubuntu/ utopic main restricted
deb-src http://de.archive.ubuntu.com/ubuntu/ utopic main restricted
## Основные обновления исправлений ошибок, произведенные после окончательного выпуска
## дистрибутива.
deb http://de.archive.ubuntu.com/ubuntu/ utopic-updates main restricted
deb-src http://de.archive.ubuntu.com/ubuntu/ utopic-updates main restricted
## Обратите внимание. программное обеспечение из этого репозитория полностью
## НЕ ПОДДЕРЖИВАЕТСЯ командой Ubuntu. Также обратите внимание, что программное обеспечение в universe
## НЕ ПОЛУЧИТ никаких
## обзоров или обновлений от команды безопасности Ubuntu.
deb http://de.archive.ubuntu.com/ubuntu/ utopic universe
deb-src http://de.archive.ubuntu.com/ubuntu/ utopic universe
deb http://de.archive.ubuntu.com/ubuntu/ utopic-updates universe
deb-src http://de.archive.ubuntu.com/ubuntu/ utopic-updates universe
## Обратите внимание. программное обеспечение из этого репозитория полностью
## НЕ ПОДДЕРЖИВАЕТСЯ командой Ubuntu,
## и может не находиться под свободной лицензией. Пожалуйста, убедитесь в своих
## правах на использование программного обеспечения. Также обратите внимание, что программное обеспечение в
## multiverse НЕ ПОЛУЧИТ никаких обзоров
## или обновлений от команды безопасности Ubuntu.
deb http://de.archive.ubuntu.com/ubuntu/ utopic multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ utopic multiverse
deb http://de.archive.ubuntu.com/ubuntu/ utopic-updates multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ utopic-updates multiverse
## Обратите внимание. программное обеспечение из этого репозитория могло не быть протестировано так
## широко, как то, что содержится в основном выпуске, хотя оно включает
## более новые версии некоторых приложений, которые могут предоставить полезные функции.
## Также обратите внимание, что программное обеспечение в backports НЕ ПОЛУЧИТ никаких обзоров
## или обновлений от команды безопасности Ubuntu.
deb http://de.archive.ubuntu.com/ubuntu/ utopic-backports main restricted universe multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ utopic-backports main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu utopic-security main restricted
deb-src http://security.ubuntu.com/ubuntu utopic-security main restricted
deb http://security.ubuntu.com/ubuntu utopic-security universe
deb-src http://security.ubuntu.com/ubuntu utopic-security universe
deb http://security.ubuntu.com/ubuntu utopic-security multiverse
deb-src http://security.ubuntu.com/ubuntu utopic-security multiverse
## Уберите комментарий с следующих двух строк, чтобы добавить программное обеспечение из репозитория
## 'партнер' Canonical.
## Это программное обеспечение не является частью Ubuntu, но предлагается Canonical и
## соответствующими поставщиками как услуга для пользователей Ubuntu.
# deb http://archive.canonical.com/ubuntu utopic partner
# deb-src http://archive.canonical.com/ubuntu utopic partner
## Уберите комментарий с следующих двух строк, чтобы добавить программное обеспечение из
## 'дополнительного' репозитория Ubuntu.
## Это программное обеспечение не является частью Ubuntu, но предлагается сторонними
## разработчиками, которые хотят предоставить свое последнее программное обеспечение.
# deb http://extras.ubuntu.com/ubuntu utopic main
# deb-src http://extras.ubuntu.com/ubuntu utopic mainЗатем выполните
apt-get updateдля обновления базы данных пакетов apt и
apt-get upgradeдля установки последних обновлений (если они есть). Если вы видите, что новая версия ядра устанавливается в рамках обновлений, вам следует перезагрузить систему после этого:
reboot3. Измените оболочку по умолчанию
/bin/sh является символической ссылкой на /bin/dash, однако нам нужна /bin/bash, а не /bin/dash. Поэтому мы делаем это:
dpkg-reconfigure dashИспользовать dash в качестве оболочки по умолчанию системы (/bin/sh)? <– Нет
Если вы этого не сделаете, установка ISPConfig завершится неудачей.
4. Отключите AppArmor
AppArmor - это расширение безопасности (аналог SELinux), которое должно обеспечивать расширенную безопасность. На мой взгляд, вам не нужно это для настройки безопасной системы, и оно обычно вызывает больше проблем, чем преимуществ (подумайте об этом после того, как вы провели неделю, устраняя неполадки, потому что какая-то служба не работала так, как ожидалось, и затем вы обнаружите, что все было в порядке, только AppArmor вызывало проблему). Поэтому я отключаю его (это обязательно, если вы хотите установить ISPConfig позже).
Мы можем отключить его следующим образом:
service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils5. Синхронизация системных часов
Хорошей идеей является синхронизация системных часов с сервером NTP ( n etwork t ime p rotocol) через Интернет. Просто выполните
apt-get install ntp ntpdateи ваше системное время всегда будет синхронизировано.
6. Установка Postfix, Dovecot, MySQL, phpMyAdmin, rkhunter, binutils
Для установки postfix нам нужно остановить и удалить sendmail
service sendmail stop; update-rc.d -f sendmail removeТеперь мы можем установить Postfix, Dovecot, MySQL, rkhunter и binutils одной командой:
apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve sudoВам будут заданы следующие вопросы:
Новый пароль для пользователя MySQL “root”: <– вашпарольsqlroot
Повторите пароль для пользователя MySQL “root”: <– вашпарольsqlroot
Создать самоподписанный SSL сертификат?: <– Да
Имя хоста: <– server1.example.com
Только локально: <– ОК
Общий тип конфигурации почты: <– Интернет-сайт
Системное имя почты: <– server1.example.com
Далее откройте порты TLS/SSL и отправки в Postfix:
nano /etc/postfix/master.cfУберите комментарий с секций submission и smtps следующим образом - добавьте строку -o smtpd_client_restrictions=permit_sasl_authenticated,reject в обе секции и оставьте все остальное закомментированным:
[...]
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
smtps inet n - - - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
[...]Перезапустите Postfix после этого:
service postfix restartМы хотим, чтобы MySQL слушал на всех интерфейсах, а не только на localhost, поэтому мы редактируем /etc/mysql/my.cnf и закомментируем строку bind-address = 127.0.0.1:
nano /etc/mysql/my.cnf[...]
# Вместо skip-networking по умолчанию теперь слушает только на
# localhost, что более совместимо и не менее безопасно.
#bind-address = 127.0.0.1
[...]Затем мы перезапускаем MySQL:
service mysql restartТеперь проверьте, что сеть включена. Выполните
netstat -tap | grep mysqlВывод должен выглядеть так:
root@server1:~# netstat -tap | grep mysql
tcp 0 0 *:mysql *:* LISTEN 24603/mysqld
root@server1:~# 7. Установка Amavisd-new, SpamAssassin и Clamav
Чтобы установить amavisd-new, SpamAssassin и ClamAV, мы выполняем
apt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perlНастройка ISPConfig 3 использует amavisd, который загружает библиотеку фильтра SpamAssassin внутренне, поэтому мы можем остановить SpamAssassin, чтобы освободить немного оперативной памяти:
service spamassassin stop
update-rc.d -f spamassassin removeЧтобы запустить clamav используйте
freshclam
service clamav-daemon startGet new posts in your inbox
No spam. Unsubscribe anytime.