Серверы · 8 min read · Sep 11, 2025

Идеальный сервер - Ubuntu 18.04 (Bionic Beaver) с Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot и ISPConfig 3.1

Этот учебник показывает установку веб-хостинг-сервера Ubuntu 18.04 (Bionic Beaver) с Apache 2.4, Postfix, Dovecot, Bind и PureFTPD для подготовки его к установке ISPConfig 3.1. Полученная система будет предоставлять веб-сервер, почтовый сервер, сервер рассылок, DNS и FTP-сервер.

ISPConfig - это панель управления веб-хостингом, которая позволяет вам настраивать следующие службы через веб-браузер: веб-сервер Apache или Nginx, почтовый сервер Postfix, IMAP/POP3 сервер Courier или Dovecot, MySQL, BIND или MyDNS сервер имен, PureFTPd, SpamAssassin, ClamAV и многое другое. Эта настройка охватывает установку Apache (вместо Nginx), BIND (вместо MyDNS) и Dovecot (вместо Courier).

1. Предварительная заметка

В этом учебнике я использую имя хоста server1.example.com с IP-адресом 192.168.1.100 и шлюзом 192.168.1.1. Эти настройки могут отличаться для вас, поэтому вам нужно заменить их, где это необходимо. Прежде чем продолжить, вам необходимо иметь базовую минимальную установку Ubuntu 18.04, как объяснено в учебнике.

Команды в этом учебнике должны выполняться с правами root. Чтобы избежать добавления sudo перед каждой командой, вам нужно стать пользователем root, выполнив:

sudo -s

прежде чем продолжить.

2. Редактирование /etc/apt/sources.list и обновление вашей установки Linux

Отредактируйте /etc/apt/sources.list. Закомментируйте или удалите установочный CD из файла и убедитесь, что репозитории universe и multiverse включены. После этого он должен выглядеть так:

nano /etc/apt/sources.list

#  
# deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted  
#deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted  

# См. http://help.ubuntu.com/community/UpgradeNotes для получения информации о том, как обновиться до  
# более новых версий дистрибутива.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic main restricted  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic main restricted  

## Основные обновления исправлений ошибок, выпущенные после окончательного релиза  
## дистрибутива.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted  

## Внимание. Программное обеспечение из этого репозитория полностью не поддерживается  
## командой Ubuntu. Также обратите внимание, что программное обеспечение в universe не будет получать  
## никаких проверок или обновлений от команды безопасности Ubuntu.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic universe  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic universe  
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe  

## Внимание. Программное обеспечение из этого репозитория полностью не поддерживается  
## командой Ubuntu и может не находиться под свободной лицензией. Пожалуйста, убедитесь, что вы  
## имеете право использовать это программное обеспечение. Также обратите внимание, что программное обеспечение в  
## multiverse не будет получать никаких проверок или обновлений от команды безопасности Ubuntu.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic multiverse  
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse  

## Внимание. Программное обеспечение из этого репозитория могло не быть протестировано так  
## тщательно, как то, что содержится в основном релизе, хотя оно включает  
## более новые версии некоторых приложений, которые могут предоставить полезные функции.  
## Также обратите внимание, что программное обеспечение в backports не будет получать никаких проверок  
## или обновлений от команды безопасности Ubuntu.  
deb http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse  
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse  

## Уберите комментарий с следующих двух строк, чтобы добавить программное обеспечение из репозитория  
## 'партнера' Canonical.  
## Это программное обеспечение не является частью Ubuntu, но предлагается Canonical и  
## соответствующими поставщиками как услуга для пользователей Ubuntu.  
# deb http://archive.canonical.com/ubuntu bionic partner  
# deb-src http://archive.canonical.com/ubuntu bionic partner  


deb http://security.ubuntu.com/ubuntu bionic-security main restricted  
# deb-src http://security.ubuntu.com/ubuntu bionic-security main restricted  
deb http://security.ubuntu.com/ubuntu bionic-security universe  
# deb-src http://security.ubuntu.com/ubuntu bionic-security universe  
deb http://security.ubuntu.com/ubuntu bionic-security multiverse  
# deb-src http://security.ubuntu.com/ubuntu bionic-security multiverse

Затем выполните

apt-get update

для обновления базы данных пакетов apt и

apt-get upgrade

для установки последних обновлений (если они есть). Если вы увидите, что новая версия ядра устанавливается в рамках обновлений, вам следует перезагрузить систему после этого:

reboot

3. Измените оболочку по умолчанию

/bin/sh является символической ссылкой на /bin/dash, однако нам нужна /bin/bash, а не /bin/dash. Поэтому мы делаем это:

dpkg-reconfigure dash

Использовать dash в качестве оболочки по умолчанию системы (/bin/sh)? <– Нет

Если вы этого не сделаете, установка ISPConfig завершится неудачей.

4. Отключите AppArmor

AppArmor - это расширение безопасности (аналог SELinux), которое должно обеспечивать расширенную безопасность. На мой взгляд, вам не нужно это для настройки безопасной системы, и оно обычно вызывает больше проблем, чем преимуществ (подумайте об этом после того, как вы провели неделю, устраняя неполадки, потому что какая-то служба не работала так, как ожидалось, а затем вы обнаруживаете, что все было в порядке, только AppArmor вызывал проблему). Поэтому я отключаю его (это обязательно, если вы хотите установить ISPConfig позже).

Мы можем отключить его следующим образом:

service apparmor stop  
update-rc.d -f apparmor remove   
apt-get remove apparmor apparmor-utils

5. Синхронизация системных часов

Хорошей идеей является синхронизация системных часов с сервером NTP ( n etwork t ime p rotocol) через Интернет, когда вы запускаете физический сервер. Если вы запускаете виртуальный сервер, то вы можете пропустить этот шаг. Просто выполните

apt-get -y install ntp

и ваше системное время всегда будет синхронизировано.

6. Установка Postfix, Dovecot, MariaDB, rkhunter и binutils

Для установки postfix нам нужно убедиться, что sendmail не установлен и не работает. Чтобы остановить и удалить sendmail, выполните эту команду:

service sendmail stop; update-rc.d -f sendmail remove

Сообщение об ошибке:

Failed to stop sendmail.service: Unit sendmail.service not loaded.

Это нормально, это просто означает, что sendmail не был установлен, поэтому нечего было удалять.

Теперь мы можем установить Postfix, Dovecot, MariaDB (в качестве замены MySQL), rkhunter и binutils одной командой:

apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo

Вам будут заданы следующие вопросы:

Общий тип конфигурации почты: <-- Интернет-сайт  
Имя системной почты: <-- server1.example.com

Важно, чтобы вы использовали поддомен в качестве “имени системной почты”, например server1.example.com или server1.yourdomain.com, а не домен, который вы хотите использовать в качестве почтового домена (например, yourdomain.tld) позже.

Далее откройте порты TLS/SSL и отправки в Postfix:

nano /etc/postfix/master.cf

Раскомментируйте секции submission и smtps следующим образом - добавьте строку -o smtpd_client_restrictions=permit_sasl_authenticated,reject в обе секции и оставьте все остальное закомментированным:

[...]  
submission inet n       -       y       -       -       smtpd  
  -o syslog_name=postfix/submission  
  -o smtpd_tls_security_level=encrypt  
  -o smtpd_sasl_auth_enable=yes  
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
#  -o smtpd_reject_unlisted_recipient=no  
#  -o smtpd_client_restrictions=$mua_client_restrictions  
#  -o smtpd_helo_restrictions=$mua_helo_restrictions  
#  -o smtpd_sender_restrictions=$mua_sender_restrictions  
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject  
#  -o milter_macro_daemon_name=ORIGINATING  
smtps     inet  n       -       y       -       -       smtpd  
  -o syslog_name=postfix/smtps  
  -o smtpd_tls_wrappermode=yes  
  -o smtpd_sasl_auth_enable=yes  
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject  
#  -o smtpd_reject_unlisted_recipient=no  
#  -o smtpd_client_restrictions=$mua_client_restrictions  
#  -o smtpd_helo_restrictions=$mua_helo_restrictions  
#  -o smtpd_sender_restrictions=$mua_sender_restrictions  
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject  
#  -o milter_macro_daemon_name=ORIGINATING  
[...]

ПРИМЕЧАНИЕ: Пробелы перед строками “-o …. “ важны!

Перезапустите Postfix после этого:

service postfix restart

Мы хотим, чтобы MySQL слушал на всех интерфейсах, а не только на localhost. Поэтому мы редактируем /etc/mysql/mariadb.conf.d/50-server.cnf и закомментируем строку bind-address = 127.0.0.1:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]  
# Вместо skip-networking по умолчанию теперь слушает только на  
# localhost, что более совместимо и не менее безопасно.  
#bind-address           = 127.0.0.1  
[...]

Теперь мы устанавливаем пароль root в MariaDB. Выполните:

mysql_secure_installation

Вам будут заданы эти вопросы:

Введите текущий пароль для root (нажмите Enter, если нет): <-- нажмите Enter  
Установить пароль root? [Y/n] <-- y  
Новый пароль: <-- Введите новый пароль root для MariaDB здесь  
Повторите новый пароль: <-- Повторите пароль  
Удалить анонимных пользователей? [Y/n] <-- y  
Запретить удаленный вход root? [Y/n] <-- y  
Перезагрузить таблицы привилегий сейчас? [Y/n] <-- y

Установите метод аутентификации пароля в MariaDB на native, чтобы мы могли использовать PHPMyAdmin позже для подключения как пользователь root:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Отредактируйте файл /etc/mysql/debian.cnf и дважды установите пароль root MYSQL / MariaDB в строках, которые начинаются с password.

nano /etc/mysql/debian.cnf

Пароль root MySQL, который необходимо добавить, показан в чтении, в этом примере пароль - “howtoforge”. Замените слово “howtoforge” на пароль, который вы установили для пользователя root MySQL с помощью команды mysql_secure_installation.

# Автоматически сгенерировано для скриптов Debian. НЕ ТРОГАЙТЕ!  
[client]  
host = localhost  
user = root  
password = howtoforge  
socket = /var/run/mysqld/mysqld.sock  
[mysql_upgrade]  
host = localhost  
user = root  
password = howtoforge  
socket = /var/run/mysqld/mysqld.sock  
basedir = /usr

Затем перезапустите MariaDB:

service mysql restart

Теперь проверьте, что сеть включена. Выполните

netstat -tap | grep mysql

Вывод должен выглядеть так:

root@server1:~# netstat -tap | grep mysql  
tcp6 0 0 [::]:mysql [::]:* LISTEN 30591/mysqld  
root@server1:~#

7. Установка Amavisd-new, SpamAssassin и Clamav

Чтобы установить amavisd-new, SpamAssassin и ClamAV, мы выполняем

apt-get -y install amavisd-new spamassassin clamav clamav-daemon unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl libdbd-mysql-perl postgrey

Настройка ISPConfig 3 использует amavisd, который загружает библиотеку фильтра SpamAssassin внутренне, поэтому мы можем остановить SpamAssassin, чтобы освободить немного оперативной памяти:

service spamassassin stop  
update-rc.d -f spamassassin remove

Чтобы запустить ClamAV, используйте:

freshclam  
service clamav-daemon start

Следующую ошибку можно игнорировать при первом запуске freshclam.

ERROR: /var/log/clamav/freshclam.log is locked by another process  
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

Программа amavisd-new в настоящее время имеет ошибку в Ubuntu 18.04, которая предотвращает правильную подпись электронных писем с помощью Dkim. Выполните следующие команды, чтобы исправить amavisd-new.

cd /tmp  
wget https://git.ispconfig.org/ispconfig/ispconfig3/raw/stable-3.1/helper_scripts/ubuntu-amavisd-new-2.11.patch  
cd /usr/sbin  
cp -pf amavisd-new amavisd-new_bak  
patch < /tmp/ubuntu-amavisd-new-2.11.patch

Если вы получите ошибку для последней команды ‘patch’, то, вероятно, Ubuntu уже исправила проблему, поэтому эту ошибку можно безопасно игнорировать.

7.1 Установка сервера XMPP Metronome (по желанию)

Сервер XMPP Metronome предоставляет сервер чата XMPP. Этот шаг является необязательным, если вам не нужен сервер чата, вы можете пропустить этот шаг. Никакие другие функции ISPConfig не зависят от этого программного обеспечения.

Установите следующие пакеты с помощью apt.

apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks

luarocks install lpc

Добавьте пользователя оболочки для Metronome.

adduser --no-create-home --disabled-login --gecos 'Metronome' metronome

Скачайте Metronome в директорию /opt и скомпилируйте его.

cd /opt; git clone https://github.com/maranda/metronome.git metronome  
cd ./metronome; ./configure --ostype=debian --prefix=/usr  
make  
make install

Metronome теперь установлен в /opt/metronome.

Share: X/Twitter LinkedIn

#Серверы

Get new posts in your inbox

No spam. Unsubscribe anytime.