Серверные настройки · 8 min read · Sep 11, 2025
Идеальный сервер - Ubuntu 18.04 (Nginx, MySQL, PHP, Postfix, BIND, Dovecot, Pure-FTPD и ISPConfig 3.1)
Этот учебник показывает шаги по установке сервера Ubuntu 18.04 (Bionic Beaver) с Nginx, PHP, MariaDB, Postfix, pure-ftpd, BIND, Dovecot и ISPConfig 3.1. ISPConfig - это панель управления веб-хостингом, которая позволяет настраивать установленные службы через веб-браузер. Эта настройка предоставляет полный хостинг-сервер с веб, электронной почтой (включая фильтр спама и антивирус), базой данных, FTP и DNS-сервисами.
1. Предварительная заметка
В этом учебнике я буду использовать имя хоста server1.example.com с IP-адресом 192.168.1.100 и шлюзом 192.168.1.1 для настройки сети. Эти настройки могут отличаться у вас, поэтому вам нужно заменить их, где это необходимо. Прежде чем продолжить, вам необходимо иметь базовую минимальную установку Ubuntu 18.04, как объясняется в этом учебнике.
Шаги в этом учебнике должны выполняться от имени пользователя root, поэтому я не буду добавлять “sudo” перед командами. Либо войдите как пользователь root на ваш сервер перед тем, как продолжить, либо выполните:
sudo -sчтобы стать root, когда вы вошли как другой пользователь в оболочку.
Команды для редактирования файлов будут использовать редактор “nano”, вы можете заменить его на редактор по вашему выбору. Nano - это простой в использовании редактор файлов для оболочки. Если вы хотите использовать nano и еще не установили его, выполните:
apt-get install nano2. Обновите вашу установку Linux
Отредактируйте /etc/apt/sources.list. Закомментируйте или удалите установочный CD из файла и убедитесь, что репозитории universe и multiverse включены. Он должен выглядеть так:
nano /etc/apt/sources.list#
# deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted
#deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://de.archive.ubuntu.com/ubuntu/ bionic main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic main restricted
## Major bug fix updates produced after the final release of the
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic universe
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic multiverse
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse
## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu bionic partner
# deb-src http://archive.canonical.com/ubuntu bionic partner
deb http://security.ubuntu.com/ubuntu bionic-security main restricted
# deb-src http://security.ubuntu.com/ubuntu bionic-security main restricted
deb http://security.ubuntu.com/ubuntu bionic-security universe
# deb-src http://security.ubuntu.com/ubuntu bionic-security universe
deb http://security.ubuntu.com/ubuntu bionic-security multiverse
# deb-src http://security.ubuntu.com/ubuntu bionic-security multiverseЗатем выполните:
apt-get updateЧтобы обновить базу данных пакетов apt, а затем:
apt-get upgradeчтобы установить последние обновления (если они есть). Если вы увидите, что новая версия ядра устанавливается в рамках обновлений, вам следует перезагрузить систему после этого:
reboot3. Измените оболочку по умолчанию
/bin/sh является символической ссылкой на /bin/dash, однако нам нужна /bin/bash, а не /bin/dash. Поэтому мы делаем это:
dpkg-reconfigure dashИспользовать dash в качестве оболочки по умолчанию системы (/bin/sh)? <– Нет
Если вы этого не сделаете, установка ISPConfig завершится неудачей.
4. Отключите AppArmor
AppArmor - это расширение безопасности (аналог SELinux), которое должно обеспечивать расширенную безопасность. Мы проверим, установлено ли оно, и удалим его, если это необходимо. На мой взгляд, вам не нужно это для настройки безопасной системы, и оно обычно вызывает больше проблем, чем преимуществ (подумайте об этом после того, как вы провели неделю, устраняя неполадки, потому что какая-то служба не работала так, как ожидалось, а затем вы обнаруживаете, что все было в порядке, только AppArmor вызывал проблему). Поэтому я отключаю его (это обязательно, если вы хотите установить ISPConfig позже).
Мы можем отключить его так:
service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils5. Синхронизируйте системные часы
Хорошая идея - синхронизировать системные часы с сервером NTP ( n etwork t ime p rotocol) через Интернет. Просто выполните
apt-get -y install ntp ntpdateи ваше системное время всегда будет синхронизировано.
6. Установите Postfix, Dovecot, MariaDB, phpMyAdmin, rkhunter, Binutils
Для установки postfix нам нужно убедиться, что sendmail не установлен и не работает. Чтобы остановить и удалить sendmail, выполните эту команду:
service sendmail stop; update-rc.d -f sendmail removeСообщение об ошибке:
Failed to stop sendmail.service: Unit sendmail.service not loaded.Это нормально, это просто означает, что sendmail не был установлен, поэтому нечего было удалять.
Мы можем установить Postfix, Dovecot, MariaDB (в качестве замены MySQL), rkhunter и binutils одной командой:
apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudoMariaDB - это форк сервера баз данных MySQL, разработанный оригинальным разработчиком MySQL Монти Видениусом. Согласно тестам, найденным в Интернете, MariaDB быстрее, чем MySQL, и ее разработка идет более активно, поэтому большинство дистрибутивов Linux заменили MySQL на MariaDB в качестве стандартного сервера баз данных “похожего на MySQL”. В случае, если вы предпочитаете MySQL вместо MariaDB, замените “mariadb-client mariadb-server” в приведенной выше команде на “mysql-client mysql-server”.
Вам будут заданы следующие вопросы:
General type of mail configuration: <-- Internet Site
System mail name: <-- server1.example.comДалее откройте порты TLS/SSL и отправки в Postfix:
nano /etc/postfix/master.cfРаскомментируйте секции submission и smtps следующим образом - добавьте строку -o smtpd_client_restrictions=permit_sasl_authenticated,reject в обе секции и оставьте все остальное закомментированным:
[...]
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
smtps inet n - - - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
[...] ПРИМЕЧАНИЕ: Пробелы перед строками “-o …. “ важны!
Перезапустите Postfix после этого:
service postfix restartМы хотим, чтобы MariaDB/MySQL слушал на всех интерфейсах, а не только на localhost. Поэтому мы редактируем /etc/mysql/mariadb.conf.d/50-server.cnf (для MariaDB) или /etc/mysql/my.cnf (для MySQL) и закомментируем строку bind-address = 127.0.0.1:
MariaDB
nano /etc/mysql/mariadb.conf.d/50-server.cnf[...]
# Вместо skip-networking по умолчанию теперь слушает только на
# localhost, что более совместимо и не менее безопасно.
#bind-address = 127.0.0.1
[...] Теперь мы устанавливаем пароль root в MariaDB. Выполните:
mysql_secure_installationВам будут заданы эти вопросы:
Enter current password for root (enter for none): <-- нажмите enter
Set root password? [Y/n] <-- y
New password: <-- Введите новый пароль root для MariaDB здесь
Re-enter new password: <-- Повторите пароль
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- yУстановите метод аутентификации пароля в MariaDB на native, чтобы мы могли использовать PHPMyAdmin позже для подключения как пользователь root:
echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u rootОтредактируйте файл /etc/mysql/debian.cnf и дважды установите пароль root MYSQL / MariaDB в строках, которые начинаются с password.
nano /etc/mysql/debian.cnfПароль root MySQL, который необходимо добавить, показан в чтении, в этом примере пароль “howtoforge”.
# Автоматически сгенерировано для скриптов Debian. НЕ ТРОГАЙТЕ!
[client]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
basedir = /usrЗатем мы перезапускаем MariaDB:
service mysql restartИмя службы systemd для MariaDB и MySQL - “mysql”, поэтому команда перезапуска одинаковая для обоих серверов баз данных.
MySQL
nano /etc/mysql/my.cnf[...]
# Вместо skip-networking по умолчанию теперь слушает только на
# localhost, что более совместимо и не менее безопасно.
#bind-address = 127.0.0.1
[...] Затем мы перезапускаем MySQL:
service mysql restartИмя службы systemd для MariaDB и MySQL - “mysql”, поэтому команда перезапуска одинаковая для обоих серверов баз данных.
Для MySQL и MariaDB:
Теперь проверьте, что сеть включена. Выполните:
netstat -tap | grep mysqlВывод должен выглядеть так:
root@server1:~# netstat -tap | grep mysql
tcp6 0 0 [::]:mysql [::]:* LISTEN 12210/mysqld7. Установите Amavisd-new, SpamAssassin и ClamAV
Чтобы установить amavisd-new, SpamAssassin и ClamAV, мы выполняем
apt-get -y install amavisd-new spamassassin clamav clamav-daemon unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl postgrey libdbd-mysql-perlНастройка ISPConfig 3 использует amavisd-new, который загружает библиотеку фильтра SpamAssassin внутренне, поэтому мы можем остановить SpamAssassin, чтобы освободить оперативную память:
service spamassassin stop
update-rc.d -f spamassassin removeЧтобы обновить подписи антивируса ClamAV и запустить службу Clamd. Процесс обновления может занять некоторое время, не прерывайте его.
freshclam
service clamav-daemon startСледующую ошибку можно игнорировать при первом запуске freshclam.
ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).Программа amavisd-new в настоящее время имеет ошибку в Ubuntu 18.04, которая предотвращает правильную подпись электронных писем с помощью Dkim. Выполните следующие команды, чтобы исправить amavisd-new.
cd /tmp
wget https://git.ispconfig.org/ispconfig/ispconfig3/raw/stable-3.1/helper_scripts/ubuntu-amavisd-new-2.11.patch
cd /usr/sbin
cp -pf amavisd-new amavisd-new_bak
patch < /tmp/ubuntu-amavisd-new-2.11.patchВ случае, если вы получите ошибку для последней команды ‘patch’, то, вероятно, Ubuntu исправила проблему за это время, поэтому ее можно безопасно игнорировать.
7.1 Установите сервер Metronome XMPP (по желанию)
Сервер Metronome XMPP предоставляет сервер чата XMPP. Этот шаг является необязательным, если вам не нужен сервер чата, вы можете пропустить этот шаг. Никакие другие функции ISPConfig не зависят от этого программного обеспечения.
Установите следующие пакеты с помощью apt.
apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocksluarocks install lpcДобавьте пользователя оболочки для Metronome.
adduser --no-create-home --disabled-login --gecos 'Metronome' metronomeСкачайте Metronome в директорию /opt и скомпилируйте его.
cd /opt; git clone https://github.com/maranda/metronome.git metronome
cd ./metronome; ./configure --ostype=debian --prefix=/usr
make
make installMetronome теперь установлен в /opt/metronome.
Get new posts in your inbox
No spam. Unsubscribe anytime.