Идеальный сервер - Ubuntu 16.10 (Yakkety Yak) с Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot и ISPConfig 3.1 - Страница 2

8. Установка Apache, PHP, phpMyAdmin, FCGI, SuExec, Pear и mcrypt

Apache2, PHP 7, phpMyAdmin, FCGI, suExec, Pear и mcrypt можно установить следующим образом:

apt-get -y install apache2 apache2-doc apache2-utils libapache2-mod-php php7.0 php7.0-common php7.0-gd php7.0-mysql php7.0-imap phpmyadmin php7.0-cli php7.0-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear php7.0-mcrypt mcrypt imagemagick libruby libapache2-mod-python php7.0-curl php7.0-intl php7.0-pspell php7.0-recode php7.0-sqlite3 php7.0-tidy php7.0-xmlrpc php7.0-xsl memcached php-memcache php-imagick php-gettext php7.0-zip php7.0-mbstring

Вы увидите следующий вопрос:

Web server to reconfigure automatically: <-- apache2   
Configure database for phpmyadmin with dbconfig-common? <-- Yes  
MySQL application password for phpmyadmin: <-- Нажмите Enter  

Затем выполните следующую команду для включения модулей Apache suexec, rewrite, ssl, actions и include (плюс dav, dav_fs и auth_digest, если вы хотите использовать WebDAV):

a2enmod suexec rewrite ssl actions include cgi

a2enmod dav_fs dav auth_digest headers

Чтобы убедиться, что сервер не может быть атакован через уязвимость HTTPOXY, я отключу заголовок HTTP_PROXY в apache глобально.

sudo nano /etc/apache2/conf-available/httpoxy.conf

Вставьте этот контент в файл:

    RequestHeader unset Proxy early

Включите конфигурационный файл, выполнив:

a2enconf httpoxy

Перезапустите Apache после этого:

service apache2 restart

Если вы хотите размещать Ruby-файлы с расширением .rb на своих веб-сайтах, созданных через ISPConfig, вы должны закомментировать строку application/x-ruby rb в /etc/mime.types:

nano /etc/mime.types

[...]
#application/x-ruby                             rb
[...]

(Это нужно только для .rb файлов; Ruby файлы с расширением .rbx работают из коробки.)

Перезапустите Apache после этого:

service apache2 restart

8.1 Кэш опкодов PHP (по желанию)

Opcache - это бесплатный кэш опкодов PHP для кэширования и оптимизации промежуточного кода PHP. APCu - это модуль совместимости, который предоставляет функции, совместимые с APC для Opcache, который используется многими системами кэширования CMS. Рекомендуется установить эти расширения PHP для ускорения вашей PHP-страницы.

APCu можно установить следующим образом:

apt-get -y install php7.0-opcache php-apcu

Теперь перезапустите Apache:

service apache2 restart

8.2 PHP-FPM

Чтобы использовать PHP-FPM с Apache, нам нужен модуль mod_fastcgi Apache (пожалуйста, не путайте его с mod_fcgid - они очень похожи, но вы не можете использовать PHP-FPM с mod_fcgid). Мы можем установить PHP-FPM и mod_fastcgi следующим образом:

apt-get -y install libapache2-mod-fastcgi php7.0-fpm

Убедитесь, что вы включили модуль и перезапустили Apache:

a2enmod actions fastcgi alias   
service apache2 restart

8.3 Дополнительные версии PHP

Возможно иметь несколько версий PHP на одном сервере (выбор через ISPConfig), которые могут работать через FastCGI и PHP-FPM. Чтобы узнать, как создать дополнительные версии PHP (PHP-FPM и FastCGI) и как настроить ISPConfig, пожалуйста, ознакомьтесь с этим руководством: https://www.howtoforge.com/tutorial/how-to-install-php-5-6-on-ubuntu-16-04/ (работает и для Ubuntu 16.10).

10.1 Установка HHVM (HipHop Virtual Machine), по желанию

Пакет HHVM для Ubuntu 16.10 недоступен. Если вам нужен HHVM, используйте Ubuntu 16.04 LTS в качестве операционной системы с этим руководством: https://www.howtoforge.com/tutorial/perfect-server-ubuntu-16-04-with-apache-php-myqsl-pureftpd-bind-postfix-doveot-and-ispconfig/

9. Установка Let’s Encrypt

ISPConfig 3.1 имеет встроенную поддержку бесплатного удостоверяющего центра SSL Let’s Encrypt. Функция Let’s Encrypt позволяет вам создавать бесплатные SSL-сертификаты для вашего веб-сайта в ISPConfig.

Теперь мы добавим поддержку Let’s Encrypt.

apt-get -y install certbot

10. Установка Mailman

ISPConfig позволяет вам управлять (создавать/изменять/удалять) списками рассылки Mailman. Если вы хотите воспользоваться этой функцией, установите Mailman следующим образом:

apt-get install mailman

Выберите хотя бы один язык, например:

Языки для поддержки: <– en (English)
Отсутствующий список сайтов <– Ок

Перед тем как мы сможем запустить Mailman, необходимо создать первый список рассылки под названием mailman:

newlist mailman

root@server1:~# newlist mailman
Введите email человека, управляющего списком: <– адрес электронной почты администратора, например [email protected]
Первоначальный пароль mailman: <– пароль администратора для списка mailman
Чтобы завершить создание вашего списка рассылки, вам необходимо отредактировать файл /etc/aliases (или эквивалент), добавив следующие строки, и, возможно, запустив программу newaliases:

список рассылки mailman

mailman: “|/var/lib/mailman/mail/mailman post mailman”
mailman-admin: “|/var/lib/mailman/mail/mailman admin mailman”
mailman-bounces: “|/var/lib/mailman/mail/mailman bounces mailman”
mailman-confirm: “|/var/lib/mailman/mail/mailman confirm mailman”
mailman-join: “|/var/lib/mailman/mail/mailman join mailman”
mailman-leave: “|/var/lib/mailman/mail/mailman leave mailman”
mailman-owner: “|/var/lib/mailman/mail/mailman owner mailman”
mailman-request: “|/var/lib/mailman/mail/mailman request mailman”
mailman-subscribe: “|/var/lib/mailman/mail/mailman subscribe mailman”
mailman-unsubscribe: “|/var/lib/mailman/mail/mailman unsubscribe mailman”

Нажмите Enter, чтобы уведомить владельца mailman… <– ENTER

root@server1:~#

Откройте /etc/aliases после этого…

nano /etc/aliases

… и добавьте следующие строки:

[...]
## список рассылки mailman
mailman:              "|/var/lib/mailman/mail/mailman post mailman"
mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"
mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"
mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"
mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"
mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"
mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"
mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"
mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"
mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"

Запустите

newaliases

после этого и перезапустите Postfix:

service postfix restart

Наконец, мы должны включить конфигурацию Mailman для Apache:

ln -s /etc/mailman/apache.conf /etc/apache2/conf-available/mailman.conf

Это определяет псевдоним /cgi-bin/mailman/ для всех виртуальных хостов Apache, что означает, что вы можете получить доступ к интерфейсу администратора Mailman для списка по адресу http:///cgi-bin/mailman/admin/, а веб-страница для пользователей списка рассылки может быть найдена по адресу http:///cgi-bin/mailman/listinfo/.

По адресу http:///pipermail вы можете найти архивы списка рассылки.

Перезапустите Apache после этого:

service apache2 restart

Затем запустите демон Mailman:

service mailman start

11. Установка PureFTPd и Quota

PureFTPd и quota можно установить с помощью следующей команды:

apt-get -y install pure-ftpd-common pure-ftpd-mysql quota quotatool

Отредактируйте файл /etc/default/pure-ftpd-common…

nano /etc/default/pure-ftpd-common

… и убедитесь, что режим запуска установлен на standalone и VIRTUALCHROOT=true:

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Теперь мы настраиваем PureFTPd для разрешения FTP и TLS-сессий. FTP - это очень небезопасный протокол, так как все пароли и все данные передаются в открытом виде. Используя TLS, вся связь может быть зашифрована, что делает FTP гораздо более безопасным.

Если вы хотите разрешить FTP и TLS-сессии, выполните

echo 1 > /etc/pure-ftpd/conf/TLS

Чтобы использовать TLS, мы должны создать SSL-сертификат. Я создаю его в /etc/ssl/private/, поэтому сначала создаю этот каталог:

mkdir -p /etc/ssl/private/

После этого мы можем сгенерировать SSL-сертификат следующим образом:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Название страны (2 буквы) [AU]: <– Введите название вашей страны (например, “DE”).
Название штата или провинции (полное название) [Some-State]: <– Введите название вашего штата или провинции.
Название населенного пункта (например, город) []: <– Введите ваш город.
Название организации (например, компания) [Internet Widgits Pty Ltd]: <– Введите название вашей организации (например, название вашей компании).
Название подразделения (например, отдел) []: <– Введите название вашего подразделения (например, “IT Department”).
Общее название (например, ВАШЕ имя) []: <– Введите полное доменное имя системы (например, “server1.example.com”).
Адрес электронной почты []: <– Введите ваш адрес электронной почты.

Измените разрешения SSL-сертификата:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Затем перезапустите PureFTPd:

service pure-ftpd-mysql restart

Отредактируйте /etc/fstab. Мой выглядит так (я добавил, usrjquota=quota.user, grpjquota=quota.group, jqfmt=vfsv0 к разделу с точкой монтирования /):

nano /etc/fstab

# /etc/fstab: статическая информация о файловой системе.  
#  
# Используйте 'blkid', чтобы напечатать универсальный уникальный идентификатор для устройства; это может быть использовано с UUID= как более надежный способ именования устройств, который работает даже если диски добавляются и удаляются. См. fstab(5).  
#  
# <файловая система> <точка монтирования> <тип> <опции> <дамп> <проход>  
/dev/mapper/server1--vg-root / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1  
# /boot был на /dev/sda1 во время установки  
UUID=39762f15-3a49-4982-add3-139d5040b48a /boot ext2 defaults 0 2  
/dev/mapper/server1--vg-swap_1 none swap sw 0 0  
/dev/fd0 /media/floppy0 auto rw,user,noauto,exec,utf8 0 0

Чтобы включить квоты, выполните следующие команды:

mount -o remount /

quotacheck -avugm  
quotaon -avug

Что покажет следующий вывод:

root@server1:/# quotacheck -avugm  
quotacheck: Сканирование /dev/mapper/server1--vg-root [/] завершено  
quotacheck: Не удается получить старый файл квоты пользователя //quota.user: Нет такого файла или каталога. Использование не будет вычитаться.  
quotacheck: Не удается получить старый файл квоты группы //quota.group: Нет такого файла или каталога. Использование не будет вычитаться.  
quotacheck: Не удается получить старый файл квоты пользователя //quota.user: Нет такого файла или каталога. Использование не будет вычитаться.  
quotacheck: Не удается получить старый файл квоты группы //quota.group: Нет такого файла или каталога. Использование не будет вычитаться.  
quotacheck: Проверено 12563 каталога и 89343 файлов  
quotacheck: Старый файл не найден.  
quotacheck: Старый файл не найден.  
root@server1:/opt/metronome# quotaon -avug  
/dev/mapper/server1--vg-root [/]: квоты групп включены  
/dev/mapper/server1--vg-root [/]: квоты пользователей включены  
root@server1:/#

12. Установка DNS-сервера BIND

BIND можно установить следующим образом:

apt-get -y install bind9 dnsutils haveged

13. Установка Vlogger, Webalizer и AWstats

Vlogger, webalizer и AWstats можно установить следующим образом:

apt-get install vlogger webalizer awstats geoip-database libclass-dbi-mysql-perl

Откройте /etc/cron.d/awstats после этого…

nano /etc/cron.d/awstats

… и закомментируйте все в этом файле:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Генерировать статические отчеты:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

14. Установка Jailkit

Jailkit нужен только в том случае, если вы хотите chroot пользователей SSH. Его можно установить следующим образом (важно: Jailkit должен быть установлен до ISPConfig - его нельзя установить позже!):

apt-get -y install build-essential autoconf automake1.11 libtool flex bison debhelper binutils

cd /tmp   
wget http://olivier.sessink.nl/jailkit/jailkit-2.19.tar.gz  
tar xvfz jailkit-2.19.tar.gz  
cd jailkit-2.19  
echo 5 > debian/compat

Текущая версия 2.19 Jailkit имеет синтаксическую ошибку, которая мешает ее компиляции. Чтобы исправить это, откройте файл debian/changelog с помощью nano:

nano debian/changelog

И добавьте следующую строку в строку 5 и пустую строку после:

 -- Olivier   Wed, 18 Nov 2015 20:38:44 +0100

Таким образом, первая часть файла будет выглядеть так (вставленная строка выделена красным):

jailkit (2.19-1) UNRELEASED; urgency=medium

* каким-то образом был вставлен URL ошибки в местоположение ini файла в исходном коде для jk_chrootsh в релизе 2.18. Исправлено.

-- Olivier  Wed, 18 Nov 2015 20:38:44 +0100

jailkit (2.18-1) UNRELEASED; urgency=medium

* релиз для обслуживания, исправление uid_t печати для очень высоких uid номеров  
* незначительные улучшения jk_init.ini  
* добавлена возможность принудительно использовать --login в jk_chrootsh

-- Olivier  Wed, 18 Nov 2015 20:38:44 +0100

Затем соберите пакет jailkit, выполнив эту команду:

./debian/rules binary

Теперь вы можете установить пакет Jailkit.deb следующим образом:

cd ..  
dpkg -i jailkit_2.19-1_*.deb  
rm -rf jailkit-2.19*

15. Установка fail2ban и UFW

Это необязательно, но рекомендуется, потому что монитор ISPConfig пытается показать журнал:

apt-get -y install fail2ban

Чтобы сделать fail2ban монитором PureFTPd и Dovecot, создайте файл /etc/fail2ban/jail.local:

nano /etc/fail2ban/jail.local

[pureftpd]
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
maxretry = 3

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5

[postfix-sasl]
enabled  = true
port     = smtp
filter   = postfix-sasl
logpath  = /var/log/mail.log
maxretry = 3

Затем создайте следующие два файла фильтров:

nano /etc/fail2ban/filter.d/pureftpd.conf

[Definition]
failregex = .*pure-ftpd: \(.*@\) \[WARNING\] Authentication failed for user.*
ignoreregex =

nano /etc/fail2ban/filter.d/dovecot-pop3imap.conf

[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P\S*),.*
ignoreregex =

Добавьте отсутствующую строку ignoreregex в файл postfix-sasl:

echo "ignoreregex =" >> /etc/fail2ban/filter.d/postfix-sasl.conf

Перезапустите fail2ban после этого:

service fail2ban restart

Чтобы установить брандмауэр UFW, выполните эту команду apt:

apt-get install ufw