Серверы · 7 min read · Oct 01, 2025
Идеальный сервер - Ubuntu 16.10 (Yakkety Yak) с Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot и ISPConfig 3.1
Этот учебник показывает установку веб-хостинг-сервера Ubuntu 16.10 (Yakkety Yak) с Apache2, Postfix, Dovecot, Bind и PureFTPD для подготовки его к установке ISPConfig 3.1. Полученная система будет предоставлять веб-сервер, почтовый сервер, сервер рассылок, DNS и FTP сервер.
ISPConfig 3 - это панель управления веб-хостингом, которая позволяет вам настраивать следующие службы через веб-браузер: веб-сервер Apache или nginx, почтовый сервер Postfix, IMAP/POP3 сервер Courier или Dovecot, MySQL, BIND или MyDNS сервер имен, PureFTPd, SpamAssassin, ClamAV и многие другие. Эта настройка охватывает установку Apache (вместо Nginx), BIND (вместо MyDNS) и Dovecot (вместо Courier).
Этот учебник посвящен Ubuntu 16.10, версии без длительной поддержки (LTS). Большинство пользователей предпочитают версию LTS, которая получает обновления и патчи безопасности гораздо дольше. Последний выпуск LTS - это Ubuntu 16.04, этот учебник также существует в версии Ubuntu 16.04. Тщательно подумайте, нужны ли вам последние пакеты (и нет ли у вас проблем с коротким сроком поддержки), тогда продолжайте с этим учебником. Если вам нужна длительная поддержка, то, пожалуйста, используйте учебник по идеальному серверу Ubuntu 16.04 вместо этого.
1. Предварительная заметка
В этом учебнике я использую имя хоста server1.example.com с IP-адресом 192.168.1.100 и шлюзом 192.168.1.1. Эти настройки могут отличаться у вас, поэтому вам нужно заменить их, где это необходимо. Прежде чем продолжить, вам нужно иметь базовую минимальную установку Ubuntu 16.10, как описано в учебнике.
2. Редактирование /etc/apt/sources.list и обновление вашей установки Linux
Отредактируйте /etc/apt/sources.list. Закомментируйте или удалите установочный CD из файла и убедитесь, что репозитории universe и multiverse включены. После этого он должен выглядеть так:
nano /etc/apt/sources.list#
# deb cdrom:[Ubuntu-Server 16.10 _Yakkety Yak_ - Release amd64 (20161012.1)]/ yakkety main restricted
#deb cdrom:[Ubuntu-Server 16.10 _Yakkety Yak_ - Release amd64 (20161012.1)]/ yakkety main restricted
# См. http://help.ubuntu.com/community/UpgradeNotes, чтобы узнать, как обновиться до
# более новых версий дистрибутива.
deb http://de.archive.ubuntu.com/ubuntu/ yakkety main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety main restricted
## Основные обновления исправлений ошибок, выпущенные после окончательного релиза
## дистрибутива.
deb http://de.archive.ubuntu.com/ubuntu/ yakkety-updates main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety-updates main restricted
## Примечание. программное обеспечение из этого репозитория полностью не поддерживается
## командой Ubuntu. Также обратите внимание, что программное обеспечение в universe НЕ ПОЛУЧИТ
## никакой проверки или обновлений от команды безопасности Ubuntu.
deb http://de.archive.ubuntu.com/ubuntu/ yakkety universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety universe
deb http://de.archive.ubuntu.com/ubuntu/ yakkety-updates universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety-updates universe
## Примечание. программное обеспечение из этого репозитория полностью не поддерживается
## командой Ubuntu и может не находиться под свободной лицензией. Пожалуйста, убедитесь в
## своих правах на использование программного обеспечения. Также обратите внимание, что программное обеспечение в
## multiverse НЕ ПОЛУЧИТ никакой проверки или обновлений от команды безопасности Ubuntu.
deb http://de.archive.ubuntu.com/ubuntu/ yakkety multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety multiverse
deb http://de.archive.ubuntu.com/ubuntu/ yakkety-updates multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety-updates multiverse
## Примечание. программное обеспечение из этого репозитория могло быть не протестировано так
## тщательно, как то, что содержится в основном релизе, хотя оно включает
## более новые версии некоторых приложений, которые могут предоставить полезные функции.
## Также обратите внимание, что программное обеспечение в backports НЕ ПОЛУЧИТ никакой проверки
## или обновлений от команды безопасности Ubuntu.
deb http://de.archive.ubuntu.com/ubuntu/ yakkety-backports main restricted universe multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ yakkety-backports main restricted universe multiverse
## Уберите комментарий с следующих двух строк, чтобы добавить программное обеспечение из репозитория
## 'партнер' Canonical.
## Это программное обеспечение не является частью Ubuntu, но предлагается Canonical и
## соответствующими поставщиками как услуга для пользователей Ubuntu.
# deb http://archive.canonical.com/ubuntu yakkety partner
# deb-src http://archive.canonical.com/ubuntu yakkety partner
deb http://security.ubuntu.com/ubuntu yakkety-security main restricted
# deb-src http://security.ubuntu.com/ubuntu yakkety-security main restricted
deb http://security.ubuntu.com/ubuntu yakkety-security universe
# deb-src http://security.ubuntu.com/ubuntu yakkety-security universe
deb http://security.ubuntu.com/ubuntu yakkety-security multiverse
# deb-src http://security.ubuntu.com/ubuntu yakkety-security multiverseЗатем выполните
apt-get updateдля обновления базы данных пакетов apt и
apt-get upgradeдля установки последних обновлений (если они есть). Если вы видите, что новая версия ядра устанавливается в рамках обновлений, вам следует перезагрузить систему после этого:
reboot3. Измените оболочку по умолчанию
/bin/sh является символической ссылкой на /bin/dash, однако нам нужна /bin/bash, а не /bin/dash. Поэтому мы делаем это:
dpkg-reconfigure dashИспользовать dash в качестве оболочки по умолчанию для системы (/bin/sh)? <– Нет
Если вы этого не сделаете, установка ISPConfig завершится неудачей.
4. Отключите AppArmor
AppArmor - это расширение безопасности (аналог SELinux), которое должно обеспечивать расширенную безопасность. На мой взгляд, вам не нужно это для настройки безопасной системы, и оно обычно вызывает больше проблем, чем преимуществ (подумайте об этом после того, как вы провели неделю, устраняя неполадки, потому что какая-то служба не работала так, как ожидалось, а затем вы обнаруживаете, что все было в порядке, только AppArmor вызывал проблему). Поэтому я отключаю его (это обязательно, если вы хотите установить ISPConfig позже).
Мы можем отключить его так:
service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils5. Синхронизация системного времени
Хорошая идея - синхронизировать системное время с сервером NTP ( n etwork t ime p rotocol) через Интернет, когда вы запускаете физический сервер. Если вы запускаете виртуальный сервер, то вы можете пропустить этот шаг. Просто выполните
apt-get -y install ntp ntpdateи ваше системное время всегда будет синхронизировано.
6. Установка Postfix, Dovecot, MariaDB, rkhunter и binutils
Для установки postfix нам нужно убедиться, что sendmail не установлен и не работает. Чтобы остановить и удалить sendmail, выполните эту команду:
service sendmail stop; update-rc.d -f sendmail removeСообщение об ошибке:
Failed to stop sendmail.service: Unit sendmail.service not loaded.Это нормально, это просто означает, что sendmail не был установлен, поэтому нечего было удалять.
Теперь мы можем установить Postfix, Dovecot, MariaDB (в качестве замены MySQL), rkhunter и binutils одной командой:
apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudoВам будут заданы следующие вопросы:
Общий тип конфигурации почты: <-- Интернет-сайт
Системное имя почты: <-- server1.example.com
Важно, чтобы вы использовали поддомен в качестве “системного имени почты”, например server1.example.com или server1.yourdomain.com, а не домен, который вы хотите использовать в качестве почтового домена (например, yourdomain.tld) позже.
Далее откройте порты TLS/SSL и отправки в Postfix:
nano /etc/postfix/master.cfУберите комментарий с секций submission и smtps следующим образом - добавьте строку -o smtpd_client_restrictions=permit_sasl_authenticated,reject в обе секции и оставьте все остальное закомментированным:
[...]
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
smtps inet n - - - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
[...] ПРИМЕЧАНИЕ: Пробелы перед строками “-o …. “ важны!
Перезапустите Postfix после этого:
service postfix restartМы хотим, чтобы MySQL слушал на всех интерфейсах, а не только на localhost. Поэтому мы редактируем /etc/mysql/mariadb.conf.d/50-server.cnf и закомментируем строку bind-address = 127.0.0.1:
nano /etc/mysql/mariadb.conf.d/50-server.cnf[...]
# Вместо skip-networking по умолчанию теперь слушать только на
# localhost, что более совместимо и не менее безопасно.
#bind-address = 127.0.0.1
[...] Теперь мы устанавливаем пароль root в MariaDB. Выполните:
mysql_secure_installationВам будут заданы эти вопросы:
Введите текущий пароль для root (нажмите enter, если нет): <-- нажмите enter
Установить пароль root? [Y/n] <-- y
Новый пароль: <-- Введите новый пароль root для MariaDB здесь
Повторите новый пароль: <-- Повторите пароль
Удалить анонимных пользователей? [Y/n] <-- y
Запретить удаленный вход root? [Y/n] <-- y
Перезагрузить таблицы привилегий сейчас? [Y/n] <-- yУстановите метод аутентификации пароля в MariaDB на native, чтобы мы могли использовать PHPMyAdmin позже для подключения как пользователь root:
echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u rootОтредактируйте файл /etc/mysql/debian.cnf и дважды установите пароль root MYSQL / MariaDB в строках, которые начинаются с password.
nano /etc/mysql/debian.cnfПароль root MySQL, который нужно добавить, показан в примере, в этом примере пароль “howtoforge”.
# Автоматически сгенерировано для скриптов Debian. НЕ ТРОГАЙТЕ!
[client]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
basedir = /usrЗатем мы перезапускаем MariaDB:
service mysql restartТеперь проверьте, что сеть включена. Выполните
netstat -tap | grep mysqlВывод должен выглядеть так:
root@server1:~# netstat -tap | grep mysql
tcp6 0 0 [::]:mysql [::]:* LISTEN 23476/mysqld
root@server1:~# 7. Установка Amavisd-new, SpamAssassin и Clamav
Чтобы установить amavisd-new, SpamAssassin и ClamAV, мы выполняем
apt-get -y install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl postgreyНастройка ISPConfig 3 использует amavisd, который загружает библиотеку фильтра SpamAssassin внутренне, поэтому мы можем остановить SpamAssassin, чтобы освободить немного оперативной памяти:
service spamassassin stop
update-rc.d -f spamassassin removeЧтобы запустить ClamAV, используйте:
freshclam
service clamav-daemon startСледующую ошибку можно игнорировать при первом запуске freshclam.
ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).7.1 Установка сервера XMPP Metronome (по желанию)
Сервер XMPP Metronome предоставляет сервер чата XMPP. Этот шаг является необязательным, если вам не нужен сервер чата, то вы можете пропустить этот шаг. Никакие другие функции ISPConfig не зависят от этого программного обеспечения.
Установите следующие пакеты с помощью apt.
apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocksluarocks install lpcДобавьте пользователя оболочки для Metronome.
adduser --no-create-home --disabled-login --gecos 'Metronome' metronomeСкачайте Metronome в директорию /opt и скомпилируйте его.
cd /opt; git clone https://github.com/maranda/metronome.git metronome
cd ./metronome; ./configure --ostype=debian --prefix=/usr
make
make installMetronome теперь установлен в /opt/metronome.
Get new posts in your inbox
No spam. Unsubscribe anytime.