The Perfect Server – Ubuntu 15.04 (Vivid Vervet) s Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot a ISPConfig 3

Tento návod existuje pro tyto verze OS

• Ubuntu 20.04 (Focal Fossa)
• Ubuntu 18.04 (Bionic Beaver)
• Ubuntu 17.10 (Artful Aardvark)
• Ubuntu 17.04 (Zesty Zapus)
• Ubuntu 16.10 (Yakkety Yak)
• Ubuntu 16.04 (Xenial Xerus)

Na této stránce

1. Příručka ISPConfig 3

1. Předběžná poznámka

2. Upravte /etc/apt/sources.list a aktualizujte svou instalaci Linuxu

3. Změnit výchozí prostředí

4. Zakázat AppArmor

5. Synchronizujte systémové hodiny

6. Nainstalujte Postfix, Dovecot, MariaDB, phpMyAdmin, rkhunter, binutils

7. Nainstalujte Amavisd-new, SpamAssassin a Clamav

Tento tutoriál ukazuje instalaci serveru webhostingového serveru Ubuntu 15.04 (Vivid Vervet) s Apache2, Postfix, Dovecot, Bind a PureFTPD pro přípravu na instalaci ISPConfig 3. Výsledný systém poskytne web, mail, mailinglist, DNS a FTP server.

ISPConfig 3 je webhostingový ovládací panel, který umožňuje konfigurovat následující služby prostřednictvím webového prohlížeče:webový server Apache nebo nginx, poštovní server Postfix, server IMAP/POP3 Courier nebo Dovecot, jmenný server MySQL, BIND nebo MyDNS, PureFTPd, SpamAssassin, ClamAV , a mnoho dalších. Toto nastavení pokrývá instalaci Apache (místo nginx), BIND (místo MyDNS) a Dovecot (místo Courier).

Příručka ISPConfig 3

Abyste se naučili používat ISPConfig 3, důrazně doporučuji stáhnout si příručku ISPConfig 3.

Na více než 300 stránkách pokrývá koncept ISPConfig (administrátoři, prodejci, klienti), vysvětluje, jak nainstalovat a aktualizovat ISPConfig 3, obsahuje odkaz na všechny formuláře a pole formulářů v ISPConfig spolu s příklady platných vstupů a poskytuje výukové programy. pro nejběžnější úkoly v ISPConfig 3. Také uvádí, jak zvýšit zabezpečení serveru, a na konci je dodávána část pro odstraňování problémů.

1. Předběžná poznámka

V tomto tutoriálu používám název hostitele server1.example.com s IP adresou 192.168.1.100 a bránou 192.168.1.1. Tato nastavení se pro vás mohou lišit, takže je musíte v případě potřeby nahradit. Než budete pokračovat dále, musíte mít základní minimální instalaci Ubuntu 15.04, jak je vysvětleno v tutoriálu.

2. Upravte /etc/apt/sources.list a aktualizujte svou instalaci Linuxu

Upravte /etc/apt/sources.list. Zakomentujte nebo odeberte instalační CD ze souboru a ujistěte se, že jsou povolena úložiště vesmíru a multiverse. Poté by to mělo vypadat takto:

nano /etc/apt/sources.list

#

# deb cdrom:[Ubuntu-Server 15.04 _Vivid Vervet_ – Vydání amd64 (20150422)]/ vivid hlavní omezené

#deb cdrom:[Ubuntu-Server 15.04 _Vivid Vervet_ – Vydání amd64 (20150422)]/ hlavní omezení vivid

# Jak upgradovat na
# novější verze naleznete na adrese http://help.ubuntu.com/community/UpgradeNotes distribuce.
deb http://de.archive.ubuntu.com/ubuntu/ vivid hlavní omezené
deb-src http://de.archive.ubuntu.com/ubuntu/ vivid hlavní omezené

## Aktualizace hlavních oprav chyb vytvořené po konečném vydání
## distribuce.
deb http://de.archive.ubuntu.com/ubuntu/ vivid-updates hlavní omezené
deb-src http://de.archive.ubuntu.com/ubuntu/ vivid-updates hlavní omezené

## N.B. software z tohoto úložiště je ZCELA NEPODPOROVÁN týmem Ubuntu
##. Vezměte prosím na vědomí, že software ve vesmíru NEOBDRŽÍ žádnou
## recenzi ani aktualizace od bezpečnostního týmu Ubuntu.
deb http://de.archive.ubuntu.com/ubuntu/ vivid universe
deb-src http://de.archive.ubuntu.com/ubuntu/ živý vesmír
deb http://de.archive.ubuntu.com/ubuntu/ vivid-updates vesmír
deb- src http://de.archive.ubuntu.com/ubuntu/ vivid-updates universe

## N.B. software z tohoto úložiště je ZCELA NEPODPOROVÁN týmem Ubuntu
## a nemusí být pod bezplatnou licencí. Ujistěte se prosím, zda
## svá práva k používání softwaru. Vezměte prosím na vědomí, že software v
## multiverse NEBUDE od bezpečnostního týmu Ubuntu dostávat žádnou recenzi ani aktualizace
##.
deb http://de.archive.ubuntu.com/ ubuntu/ vivid multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ vivid multiverse
deb http://de.archive.ubuntu.com/ubuntu/ vivid-updates multiverse 
deb-src http://de.archive.ubuntu.com/ubuntu/ vivid-updates multiverse

## N.B. software z tohoto úložiště nemusel být testován tak 
## rozsáhle jako software obsažený v hlavní verzi, i když obsahuje
## novější verze některých aplikací, které mohou poskytovat užitečné funkce.
## # Vezměte prosím na vědomí, že software v backportech NEOBDRŽÍ žádnou recenzi
## ani aktualizace od bezpečnostního týmu Ubuntu.
deb http://de.archive.ubuntu.com/ubuntu/ vivid-backports hlavní omezený vesmír multivesmír
deb-src http://de.archive.ubuntu.com/ubuntu/ vivid-backports hlavní omezený vesmír multivesmír

deb http://security.ubuntu.com /ubuntu vivid-security hlavní omezené
deb-src http://security.ubuntu.com/ubuntu vivid-security main omezené
deb http://security.ubuntu.com/ubuntu vivid-security universe 
deb-src http://security.ubuntu.com/ubuntu vivid-security universe
deb http://security.ubuntu.com/ubuntu vivid-security multiverse
deb-src http ://security.ubuntu.com/ubuntu vivid-security multiverse

## Odkomentujte následující dva řádky a přidejte software z 
## 'partnerského' úložiště Canonical.
## Tento software není součástí Ubuntu, ale je nabízen společností Canonical a
## příslušnými prodejci jako službu uživatelům Ubuntu.
# deb http://archive.canonical.com/ubuntu vivid partner
# deb-src http://archive.canonical.com/ubuntu vivid partner

Potom spusťte

aktualizace apt-get

pro aktualizaci databáze balíčků apt a

upgrade apt-get

k instalaci nejnovějších aktualizací (pokud nějaké existují). Pokud uvidíte, že se v rámci aktualizací nainstaluje nové jádro, měli byste poté restartovat systém:

restartovat

3. Změňte výchozí prostředí

/bin/sh je symbolický odkaz na /bin/dash, ale potřebujeme /bin/bash, ne /bin/dash. Proto děláme toto:

dpkg-reconfigure dash

Použít pomlčku jako výchozí systémové prostředí (/bin/sh)? <-- Ne

Pokud to neuděláte, instalace ISPConfig se nezdaří.

4. Zakázat AppArmor

AppArmor je bezpečnostní rozšíření (podobně jako SELinux), které by mělo poskytovat rozšířené zabezpečení. Podle mého názoru to ke konfiguraci zabezpečeného systému nepotřebujete a obvykle to způsobuje více problémů než výhod (přemýšlejte o tom, až týden řešíte problémy, protože některá služba nefungovala podle očekávání, a pak zjistěte, že vše bylo v pořádku, problém způsoboval pouze AppArmor). Proto jsem to zakázal (to je nutnost, pokud chcete ISPConfig nainstalovat později).

Můžeme to zakázat takto:

service apparmor stop 
update-rc.d -f apparmor remove 
apt-get remove apparmor apparmor-utils

5. Synchronizujte systémové hodiny

Je vhodné synchronizovat systémové hodiny s NTP (n síť t ime p rotocol) server přes internet, když provozujete fyzický server. V případě, že provozujete virtuální server, měli byste tento krok přeskočit. Stačí spustit

apt-get install ntp ntpdate

a váš systémový čas bude vždy synchronizován.

6. Nainstalujte Postfix, Dovecot, MariaDB, phpMyAdmin, rkhunter, binutils

Pro instalaci postfixu musíme zajistit, že sendmail není nainstalován a spuštěn. Chcete-li zastavit a odstranit sendmail, spusťte tento příkaz:

service sendmail stop; update-rc.d -f sendmail remove

Chybová zpráva:

Nepodařilo se zastavit sendmail.service:Jednotka sendmail.service nebyla načtena.

Je v pořádku, jen to znamená, že sendmail nebyl nainstalován, takže nebylo co odstraňovat.

Nyní můžeme nainstalovat Postfix, Dovecot, MariaDB (jako náhradu MySQL), rkhunter a binutils jediným příkazem:

apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve sudo

Budou vám položeny následující otázky:

Vytvořit certifikát SSL s vlastním podpisem? <-- yes
Název hostitele:<-- server1.example.com
Obecný typ konfigurace pošty:<-- Internetový server
Název systémové pošty:<-- server1.example.com 

Dále otevřete TLS/SSL a porty pro odesílání v Postfixu:

nano /etc/postfix/master.cf

Odkomentujte sekce odeslání a smtps následovně - přidejte řádek -o smtpd_client_restrictions=permit_sasl_authenticated, odmítněte obě sekce a ponechte vše komentované:

[...]submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_klient_restrictions=l_clientt_sstrictions odmítní # -O smtpd_reject_unlisted_recipient =no # -o smtpd_client_restrictions =$ mua_client_restrictions # -o smtpd_helo_restrictions =$ mua_helo_restrictions # -o smtpd_sender_restrictions =$ mua_sender_restrictions # -o smtpd_recipient_restrictions =permit_sasl_authenticated, odmítnout # -o milter_macro_daemon_name =ORIGINATINGsmtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -O smtpd_reject_unlisted_recipient =no # -o smtpd_client_restrictions =$ mua_client_restrictions # -o smtpd_helo_restrictions =$ mua_helo_restrictions # -o smtpd_sender_restrictions =$ mua_sender_restrictions # -o smtpd_recipient_restrictions =permit_sasl_authenticated, odmítnout # -o milter_macro_daemon_name =POCHÁZEJÍCÍ [...] 

Poté restartujte Postfix:

restart služby postfix

Chceme, aby MySQL naslouchalo na všech rozhraních, nejen na localhost, proto upravíme /etc/mysql/my.cnf a zakomentujeme řádek bind-address =127.0.0.1:

nano /etc/mysql/mariadb.conf.d/mysqld.cnf

[...]# Místo přeskočení sítě je nyní výchozím nastavením poslouchat pouze na # localhost, který je kompatibilnější a není méně bezpečný.# bind-address =127.0.0.1[...]

Nyní nastavíme heslo root v MariaDB. Spustit:

mysql_secure_installation

Budou vám položeny tyto otázky:

Zadejte aktuální heslo pro root (zadejte pro žádné):<-- stiskněte enter
Nastavit heslo root? [A/n] <-- y
Nové heslo:<-- Zde zadejte nové root heslo MariaDB
Znovu zadejte nové heslo:<-- Opakujte heslo
Odstranit anonymní uživatele? [A/n] <-- y
Zakázat vzdálené přihlášení root? [A/n] <-- y
Načíst nyní tabulky oprávnění? [A/n] <-- y

Poté restartujeme MariaDB:

restart služby mysql

Nyní zkontrolujte, zda je síť povolena. Spustit

netstat -tap | grep mysql

Výstup by měl vypadat takto:

[e-mail chráněn]:~# netstat -tap | grep mysql
tcp        0      0 *:mysql                 *:*                      POSLECHNOUT       24603/mysqld / mysqld / předem chráněno >    

 
 
7. Nainstalujte Amavisd-new, SpamAssassin a Clamav
 

 Chcete-li nainstalovat amavisd-new, SpamAssassin a ClamAV, spustíme
 
apt-get install amavisd-new spamassassin clamav clamav-daemon zoo rozbalit bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs démon libio-libio-string-sperl perl libnet-ident-perl zip libnet-dns-perl
 

 Nastavení ISPConfig 3 používá amavisd, který interně načítá knihovnu filtrů SpamAssassin, takže můžeme zastavit SpamAssassin, abychom uvolnili RAM:
 
service spamassassin stop 
update-rc.d -f spamassassin remove
 

 Upravte konfigurační soubor clamd:
 
nano /etc/clamav/clamd.conf
 

 a změňte řádek:
 
AllowSupplementaryGroups false
 

 komu:
 
AllowSupplementaryGroups true 
 

 A uložte soubor. Pro spuštění clamav použijte
 
freshclam
spuštění služby clamav-daemon