The Perfect Server – Ubuntu 14.10 (nginx, BIND, Dovecot, ISPConfig 3)

Tento návod existuje pro tyto verze OS

• Ubuntu 18.04 (Bionic Beaver)
• Ubuntu 16.04 (Xenial Xerus)
• Ubuntu 15.10 (Wily Werewolf)
• Ubuntu 15.04 (Vivid Vervet)
• Ubuntu 14.10 (Utopic Unicorn)
• Ubuntu 14.04 LTS (Trusty Tahr)

Na této stránce

1. Příručka ISPConfig 3

Tento tutoriál ukazuje, jak připravit server Ubuntu 14.10 (Utopic Unicorn) (s nginx, BIND, Dovecot) pro instalaci ISPConfig 3 a jak nainstalovat ISPConfig 3. ISPConfig 3 je ovládací panel webhostingu, který vám umožňuje konfigurovat následující služby prostřednictvím webového prohlížeče:webový server Apache nebo nginx, poštovní server Postfix, server IMAP/POP3 Courier nebo Dovecot, jmenný server MySQL, BIND nebo MyDNS, PureFTPd, SpamAssassin, ClamAV a mnoho dalších. Toto nastavení pokrývá nginx (místo Apache), BIND (místo MyDNS) a Dovecot (místo Courier).

Příručka ISPConfig 3

Abyste se naučili používat ISPConfig 3, důrazně doporučuji stáhnout si příručku ISPConfig 3.

Na více než 300 stránkách pokrývá koncept ISPConfig (administrátoři, prodejci, klienti), vysvětluje, jak nainstalovat a aktualizovat ISPConfig 3, obsahuje odkaz na všechny formuláře a pole formulářů v ISPConfig spolu s příklady platných vstupů a poskytuje výukové programy. pro nejběžnější úkoly v ISPConfig 3. Také uvádí, jak zvýšit zabezpečení serveru, a na konci je dodávána část pro odstraňování problémů.

1. Předběžná poznámka

V tomto tutoriálu používám název hostitele server1.example.com s IP adresou 192.168.0.100 a bránou 192.168.0.1. Tato nastavení se pro vás mohou lišit, takže je musíte v případě potřeby nahradit. Než budete pokračovat dále, musíte mít základní minimální instalaci Ubuntu 14.10, jak je vysvětleno v tutoriálu.

2. Upravte /etc/apt/sources.list a aktualizujte svou instalaci Linuxu

Upravte /etc/apt/sources.list. Zakomentujte nebo odeberte instalační CD ze souboru a ujistěte se, že jsou povolena úložiště vesmíru a multiverse. Mělo by to vypadat takto:

nano /etc/apt/sources.list

# # deb cdrom:[Ubuntu-Server 14.10 _Utopic Unicorn_ - Vydání amd64 (20141022.2)]/ utopic hlavní omezené#deb cdrom:[Ubuntu-Server 14.10 _Utopic Unicorn_ - Omezené vydání amd64 (201241)] http://help.ubuntu.com/community/UpgradePoznámky k upgradu na # novější verze distribuce.deb http://de.archive.ubuntu.com/ubuntu/ utopic main limitededdeb-src http://de .archive.ubuntu.com/ubuntu/ utopic main limited## Aktualizace hlavních oprav chyb vytvořené po konečném vydání## distribution.deb http://de.archive.ubuntu.com/ubuntu/ utopic-updates main limiteddeb- src http://de.archive.ubuntu.com/ubuntu/ utopic-updates main limited## N.B. software z tohoto úložiště je ZCELA NEPODPOROVÁN týmem Ubuntu##. Vezměte prosím na vědomí, že software ve vesmíru NEOBDRŽÍ žádnou## recenzi ani aktualizace od bezpečnostního týmu Ubuntu.deb http://de.archive.ubuntu.com/ubuntu/ utopic Universdeb-src http://de.archive. ubuntu.com/ubuntu/ utopic universedeb http://de.archive.ubuntu.com/ubuntu/ utopic-updates universedeb-src http://de.archive.ubuntu.com/ubuntu/ utopic-updates universe## N.B. software z tohoto úložiště je ZCELA NEPODPOROVÁN týmem Ubuntu ## a nemusí být pod bezplatnou licencí. Přesvědčte se prosím o ## svých právech k používání softwaru. Vezměte prosím na vědomí, že software v ## multiverse NEBUDE dostávat žádnou recenzi ani aktualizace od týmu zabezpečení Ubuntu##.deb http://de.archive.ubuntu.com/ubuntu/utopic multiversedeb-src http://de. archive.ubuntu.com/ubuntu/ utopic multiversedeb http://de.archive.ubuntu.com/ubuntu/ utopic-updates multiversedeb-src http://de.archive.ubuntu.com/ubuntu/ utopic-updates multiverse## N.B. software z tohoto úložiště nemusel být důkladně testován## jako software obsažený v hlavním vydání, ačkoli obsahuje## novější verze některých aplikací, které mohou poskytovat užitečné funkce.## Také si prosím uvědomte, že software v backportech NEBUDE jakákoli recenze## nebo aktualizace od týmu zabezpečení Ubuntu.deb http://de.archive.ubuntu.com/ubuntu/ utopic-backports hlavní omezený vesmír multiversedeb-src http://de.archive.ubuntu.com/ubuntu/ utopic-backports hlavní omezený vesmír multiversedeb http://security.ubuntu.com/ubuntu utopic-security main limiteddeb-src http://security.ubuntu.com/ubuntu utopic-security main limiteddeb http://security.ubuntu.com /ubuntu utopic-security universedeb-src http://security.ubuntu.com/ubuntu utopic-security universedeb http://security.ubuntu.com/ubuntu utopic-security multiversedeb-src http://security.ubuntu.com/ ubuntu utopic-security multiverse## Odkomentujte následující dva řádky a přidejte software od ## „partnerského“ zástupce společnosti Canonical ository.## Tento software není součástí Ubuntu, ale je nabízen společností Canonical a## příslušnými prodejci jako služba uživatelům Ubuntu.# deb http://archive.canonical.com/ubuntu utopic partner# deb-src http ://archive.canonical.com/ubuntu utopic partner## Odkomentujte následující dva řádky a přidejte software z úložiště## 'extras' Ubuntu.## Tento software není součástí Ubuntu, ale je nabízen třetí stranou## vývojáři, kteří chtějí dodávat svůj nejnovější software.# deb http://extras.ubuntu.com/ubuntu utopic main# deb-src http://extras.ubuntu.com/ubuntu utopic main~ 

Potom spusťte

aktualizace apt-get

pro aktualizaci databáze balíčků apt a

upgrade apt-get

k instalaci nejnovějších aktualizací (pokud nějaké existují). Pokud uvidíte, že se v rámci aktualizací nainstaluje nové jádro, měli byste poté restartovat systém:

restartovat

3. Změňte výchozí prostředí

/bin/sh je symbolický odkaz na /bin/dash, ale potřebujeme /bin/bash, ne /bin/dash. Proto děláme toto:

dpkg-reconfigure dash

Použít pomlčku jako výchozí systémové prostředí (/bin/sh)? <-- Ne

Pokud to neuděláte, instalace ISPConfig se nezdaří.

4. Zakázat AppArmor

AppArmor je bezpečnostní rozšíření (podobně jako SELinux), které by mělo poskytovat rozšířené zabezpečení. Od 13.10 se standardně neinstaluje. Zkontrolujeme, zda je nainstalován. Podle mého názoru to ke konfiguraci zabezpečeného systému nepotřebujete a obvykle to způsobuje více problémů než výhod (přemýšlejte o tom, až týden řešíte problémy, protože některá služba nefungovala podle očekávání, a pak zjistěte, že vše bylo v pořádku, problém způsoboval pouze AppArmor). Proto jsem to zakázal (to je nutnost, pokud chcete ISPConfig nainstalovat později).

Můžeme to zakázat takto:

service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils

5. Synchronizujte systémové hodiny

Je vhodné synchronizovat systémové hodiny s NTP (n síť t ime p rotocol) server přes internet. Jednoduše spusťte

apt-get install ntp ntpdate

a váš systémový čas bude vždy synchronizován.

6. Nainstalujte Postfix, Dovecot, MySQL, phpMyAdmin, rkhunter, binutils

Můžeme nainstalovat Postfix, Dovecot, MySQL, rkhunter a binutils jediným příkazem:

apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve sudo

Budou vám položeny následující otázky:

Nové heslo pro uživatele „root“ MySQL:<-- yourrootsqlpassword
Opakujte heslo pro uživatele „root“ MySQL:<-- yourrootsqlpassword
Vytvořit certifikát SSL s vlastním podpisem?:<-- Ano
Název hostitele:<-- server1.example.com
Pouze místní:<-- OK
Obecný typ konfigurace pošty:<-- Internetový server
Název systémové pošty:<- - server1.example.com

Dále otevřete TLS/SSL a porty pro odesílání v Postfixu:

nano /etc/postfix/master.cf

Odkomentujte sekce odeslání a smtps následovně - přidejte řádek -o smtpd_client_restrictions=permit_sasl_authenticated, odmítněte obě sekce a ponechte vše komentované:

[...]submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=šifrovat -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions>,remithensject=povolení # -O smtpd_reject_unlisted_recipient =no # -o smtpd_client_restrictions =$ mua_client_restrictions # -o smtpd_helo_restrictions =$ mua_helo_restrictions # -o smtpd_sender_restrictions =$ mua_sender_restrictions # -o smtpd_recipient_restrictions =permit_sasl_authenticated, odmítnout # -o milter_macro_daemon_name =ORIGINATINGsmtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -O smtpd_reject_unlisted_recipient =no # -o smtpd_client_restrictions =$ mua_client_restrictions # -o smtpd_helo_restrictions =$ mua_helo_restrictions # -o smtpd_sender_restrictions =$ mua_sender_restrictions # -o smtpd_recipient_restrictions =permit_sasl_authenticated, odmítnout # -o milter_macro_daemon_name =POCHÁZEJÍCÍ [...] 

restart služby postfix

nano /etc/mysql/my.cnf

[...]# Místo přeskočení sítě je nyní výchozím nastavením poslouchat pouze na # localhost, který je více kompatibilní a není méně bezpečný.# bind-address =127.0.0.1[...]

restart služby mysql

netstat -tap | grep mysql

[e-mail chráněn]:~# netstat -tap | grep mysql
tcp        0      0 *:mysql                 *:*                      POSLECHNUTÍ       23785/mysqld / mysqld předem POSLOUCHAT 

 
 
7. Nainstalujte Amavisd-new, SpamAssassin a Clamav
 

 Chcete-li nainstalovat amavisd-new, SpamAssassin a ClamAV, spustíme
 
apt-get install amavisd-new spamassassin clamav clamav-daemon zoo rozbalit bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs démon libio-libio-string-sperl perl libnet-ident-perl zip libnet-dns-perl
 

 Nastavení ISPConfig 3 používá amavisd, který interně načítá knihovnu filtrů SpamAssassin, takže můžeme zastavit SpamAssassin, abychom uvolnili RAM:
 
service spamassassin stop
update-rc.d -f spamassassin odstranit
 

 Ke spuštění clamav použijte
 
freshclam
spuštění služby clamav-daemon