Dokonalý server – Ubuntu 14.10 s Apache, PHP, MySQL, PureFTPD, BIND , Postfix, Dovecot a ISPConfig

Tento tutoriál ukazuje, jak nainstalovat server Ubuntu 14.10 (Utopic  Unicorn) (s Apache2, BIND, Dovecot) pro instalaci ISPConfig 3 a jak nainstalovat ISPConfig 3. ISPConfig 3 je ovládací panel webhostingu, který umožňuje konfigurovat následující služby prostřednictvím webového prohlížeče:webový server Apache nebo nginx, poštovní server Postfix, server IMAP/POP3 Courier nebo Dovecot, jmenný server MySQL, BIND nebo MyDNS, PureFTPd, SpamAssassin, ClamAV a mnoho dalších. Toto nastavení pokrývá instalaci Apache (místo nginx), BIND (místo MyDNS) a Dovecot (místo Courier).

Příručka ISPConfig 3

Abyste se naučili používat ISPConfig 3, důrazně doporučuji stáhnout si příručku ISPConfig 3.

Na více než 300 stránkách pokrývá koncept ISPConfig (administrátoři, prodejci, klienti), vysvětluje, jak nainstalovat a aktualizovat ISPConfig 3, obsahuje odkaz na všechny formuláře a pole formulářů v ISPConfig spolu s příklady platných vstupů a poskytuje výukové programy. pro nejběžnější úkoly v ISPConfig 3. Také uvádí, jak zvýšit zabezpečení serveru, a na konci je dodávána část pro odstraňování problémů.

1. Předběžná poznámka

V tomto tutoriálu používám název hostitele server1.example.com s IP adresou 192.168.0.100 a bránou 192.168.0.1. Tato nastavení se pro vás mohou lišit, takže je musíte v případě potřeby nahradit. Než budete pokračovat dále, musíte mít základní minimální instalaci Ubuntu 14.10, jak je vysvětleno v tutoriálu.

2. Upravte /etc/apt/sources.list a aktualizujte svou instalaci Linuxu

Upravte /etc/apt/sources.list. Zakomentujte nebo odeberte instalační CD ze souboru a ujistěte se, že jsou povolena úložiště vesmíru a multiverse. Mělo by to vypadat takto:

nano /etc/apt/sources.list

# # deb cdrom:[Ubuntu-Server 14.10 _Utopic Unicorn_ - Vydání amd64 (20141022.2)]/ utopic hlavní omezené#deb cdrom:[Ubuntu-Server 14.10 _Utopic Unicorn_ - Omezené vydání amd64 (201241)] http://help.ubuntu.com/community/UpgradePoznámky k upgradu na # novější verze distribuce.deb http://de.archive.ubuntu.com/ubuntu/ utopic main limitededdeb-src http://de .archive.ubuntu.com/ubuntu/ utopic main limited## Aktualizace hlavních oprav chyb vytvořené po konečném vydání## distribution.deb http://de.archive.ubuntu.com/ubuntu/ utopic-updates main limiteddeb- src http://de.archive.ubuntu.com/ubuntu/ utopic-updates main limited## N.B. software z tohoto úložiště je ZCELA NEPODPOROVÁN týmem Ubuntu##. Vezměte prosím na vědomí, že software ve vesmíru NEOBDRŽÍ žádnou## recenzi ani aktualizace od bezpečnostního týmu Ubuntu.deb http://de.archive.ubuntu.com/ubuntu/ utopic Universdeb-src http://de.archive. ubuntu.com/ubuntu/ utopic universedeb http://de.archive.ubuntu.com/ubuntu/ utopic-updates universedeb-src http://de.archive.ubuntu.com/ubuntu/ utopic-updates universe## N.B. software z tohoto úložiště je ZCELA NEPODPOROVÁN týmem Ubuntu ## a nemusí být pod bezplatnou licencí. Přesvědčte se prosím o ## svých právech k používání softwaru. Vezměte prosím na vědomí, že software v ## multiverse NEBUDE dostávat žádnou recenzi ani aktualizace od týmu zabezpečení Ubuntu##.deb http://de.archive.ubuntu.com/ubuntu/utopic multiversedeb-src http://de. archive.ubuntu.com/ubuntu/ utopic multiversedeb http://de.archive.ubuntu.com/ubuntu/ utopic-updates multiversedeb-src http://de.archive.ubuntu.com/ubuntu/ utopic-updates multiverse## N.B. software z tohoto úložiště možná nebyl důkladně testován## jako software obsažený v hlavním vydání, ačkoli obsahuje## novější verze některých aplikací, které mohou poskytovat užitečné funkce.## Také si prosím uvědomte, že software v backportech NEBUDE jakákoli recenze## nebo aktualizace od týmu zabezpečení Ubuntu.deb http://de.archive.ubuntu.com/ubuntu/ utopic-backports hlavní omezený vesmír multiversedeb-src http://de.archive.ubuntu.com/ubuntu/ utopic-backports hlavní omezený vesmír multiversedeb http://security.ubuntu.com/ubuntu utopic-security hlavní limiteddeb-src http://security.ubuntu.com/ubuntu utopic-security main limiteddeb http://security.ubuntu.com /ubuntu utopic-security universedeb-src http://security.ubuntu.com/ubuntu utopic-security universedeb http://security.ubuntu.com/ubuntu utopic-security multiversedeb-src http://security.ubuntu.com/ ubuntu utopic-security multiverse## Odkomentujte následující dva řádky a přidejte software od ## „partnerského“ zástupce společnosti Canonical ository.## Tento software není součástí Ubuntu, ale je nabízen společností Canonical a## příslušnými prodejci jako služba uživatelům Ubuntu.# deb http://archive.canonical.com/ubuntu utopic partner# deb-src http ://archive.canonical.com/ubuntu utopic partner## Odkomentujte následující dva řádky a přidejte software z úložiště## 'extras' Ubuntu.## Tento software není součástí Ubuntu, ale je nabízen třetí stranou## vývojáři, kteří chtějí dodávat svůj nejnovější software.# deb http://extras.ubuntu.com/ubuntu utopic main# deb-src http://extras.ubuntu.com/ubuntu utopic main

Potom spusťte

aktualizace apt-get

pro aktualizaci databáze balíčků apt a

upgrade apt-get

k instalaci nejnovějších aktualizací (pokud nějaké existují). Pokud uvidíte, že se v rámci aktualizací nainstaluje nové jádro, měli byste poté restartovat systém:

restartovat

3. Změňte výchozí prostředí

/bin/sh je symbolický odkaz na /bin/dash, ale potřebujeme /bin/bash, ne /bin/dash. Proto děláme toto:

dpkg-reconfigure dash

Použít pomlčku jako výchozí systémové prostředí (/bin/sh)? <-- Ne

Pokud to neuděláte, instalace ISPConfig se nezdaří.

4. Zakázat AppArmor

AppArmor je bezpečnostní rozšíření (podobně jako SELinux), které by mělo poskytovat rozšířené zabezpečení. Podle mého názoru to ke konfiguraci zabezpečeného systému nepotřebujete a obvykle to způsobí více problémů než výhod (přemýšlejte o tom, až týden řešíte problémy, protože některá služba nefungovala podle očekávání, a pak zjistěte, že vše bylo v pořádku, problém způsoboval pouze AppArmor). Proto jsem to zakázal (to je nutnost, pokud chcete ISPConfig nainstalovat později).

Můžeme to zakázat takto:

service apparmor stop 
update-rc.d -f apparmor remove 
apt-get remove apparmor apparmor-utils

5. Synchronizujte systémové hodiny

Je vhodné synchronizovat systémové hodiny s NTP (n síť t ime p rotocol) server přes internet. Jednoduše spusťte

apt-get install ntp ntpdate

a váš systémový čas bude vždy synchronizován.

6. Nainstalujte Postfix, Dovecot, MySQL, phpMyAdmin, rkhunter, binutils

Pro instalaci postfixu musíme zastavit a odstranit sendmail 

service sendmail stop; update-rc.d -f sendmail remove

Nyní můžeme nainstalovat Postfix, Dovecot, MySQL, rkhunter a binutils jediným příkazem:

apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve sudo

Budou vám položeny následující otázky:

Nové heslo pro uživatele „root“ MySQL:<-- yourrootsqlpassword
Opakujte heslo pro uživatele „root“ MySQL:<-- yourrootsqlpassword
Vytvořit certifikát SSL s vlastním podpisem?:<-- Ano
Název hostitele:<-- server1.example.com
Pouze místní:<-- OK
Obecný typ konfigurace pošty:<-- Internetový server
Název systémové pošty:<- - server1.example.com

Dále otevřete TLS/SSL a porty pro odesílání v Postfixu:

nano /etc/postfix/master.cf

Odkomentujte sekce odeslání a smtps následovně - přidejte řádek -o smtpd_client_restrictions=permit_sasl_authenticated, odmítněte obě sekce a ponechte vše komentované:

[...]submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_susltic=perjectrestrictions, silný> # -o smtpd_reject_unlisted_recipient=no# -o smtpd_client_restrictions=$mua_client_restrictions# -o smtpd_helo_restrictions=$mua_helo_restrictions# -o smtpd_sender_restrictions=$mua_sender_restrictions# -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject# -o milter_macro_daemon_name=ORIGINATINGsmtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o smtpd_reject_unlisted_recipient=no# -o smtpd_client_restrictions=$mua_client_restrictions# -o smtpd_helo_restrictions=$mua_helo_restrictions# -o smtpd_sender_restrictions=$mua_sender_restrictions# -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject# -o milter_macro_daemon_name=ORIGINATING[...]

restart služby postfix

nano /etc/mysql/my.cnf

[...]# Místo přeskočení sítě je nyní výchozím nastavením poslouchat pouze na # localhost, který je více kompatibilní a není méně bezpečný.# bind-address =127.0.0.1[...]

restart služby mysql

netstat -tap | grep mysql

[email protected]:~# netstat -tap | grep mysql
tcp        0      0 *:mysql                 *:*                      POSLECHNOUT       24603/mysqld on line:preample@ # 
online:presqld un 

 
 
7. Nainstalujte Amavisd-new, SpamAssassin a Clamav
 

 Chcete-li nainstalovat amavisd-new, SpamAssassin a ClamAV, spustíme
 
apt-get install amavisd-new spamassassin clamav clamav-daemon zoo rozbalte bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs démon libio-biosocket-sperl perl libnet-ident-perl zip libnet-dns-perl
 

 Nastavení ISPConfig 3 používá amavisd, který interně načítá knihovnu filtrů SpamAssassin, takže můžeme zastavit SpamAssassin, abychom uvolnili RAM:
 
service spamassassin stop 
update-rc.d -f spamassassin remove
 

 Ke spuštění clamav použijte
 
freshclam
spuštění služby clamav-daemon
 

 
 

 
 
Dokonalý server – Ubuntu 14.10 s Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot a ISPConfig – Strana 2
 
8. Nainstalujte Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear a mcrypt
 

 Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear a mcrypt lze nainstalovat následovně:
 
apt-get install apache2 apache2-doc apache2-utils libapache2-mod-php5 php5 php5-common php5-gd php5-mysql php5-imap phpmyadmin php5-cli php5-cgi libapache2-mod-fcgid-phparexec 2- php-auth php5-mcrypt mcrypt php5-imagick imagemagick libapache2-mod-suphp libruby libapache2-mod-python php5-curl php5-intl php5-memcache php5-memcached php5-ming php5-ps php5-pspellcode php5-pspellcode -tidy php5-xmlrpc php5-xsl memcached
 

 Uvidíte následující otázku:
 

 Webový server se automaticky překonfiguruje:<-- apache2 
Nakonfigurujte databázi pro phpmyadmin pomocí dbconfig-common? <-- Ne 
 

 Poté spusťte následující příkaz pro povolení modulů Apache suexec, rewrite, ssl, actions a include (plus dav, dav_fs a auth_digest, pokud chcete používat WebDAV):
 
Akce a2enmod suexec přepisující ssl zahrnují cgi
 
a2enmod dav_fs dav auth_digest
 

 Dále otevřete /etc/apache2/mods-available/suphp.conf...
 
nano /etc/apache2/mods-available/suphp.conf
 

 ... a zakomentujte sekci  a přidejte řádek AddType application/x-httpd-suphp .php .php3 .php4 .php5 .phtml - jinak všechny soubory PHP bude provozován SuPHP:
 
 #  # SetHandler application/x-httpd-suphp #  suPHP_AddHandler application/x-httpd-suphp  suPHP_Engine on  # Ve výchozím nastavení zakažte suPHP pro webové aplikace zabalené v debianu, protože soubory # jsou vlastnictvím uživatele root a suPHP je nemůže spustit kvůli min_uid.  suPHP_Engine off # # # Použít konkrétní konfigurační soubor php (adresář, který obsahuje soubor php.ini)# suPHP_ConfigPath /etc/php5/cgi/suphp/# ​​# Řekne mod_suphp, že se nemá zpracovávat požadavky s typem .# suPHP_RemoveHandler 
 

 Poté restartujte Apache:
 
restart služby apache2
 

 Pokud chcete hostovat soubory Ruby s příponou .rb na svých webových stránkách vytvořených prostřednictvím ISPConfig, musíte zakomentovat řádek application/x-ruby rb v /etc/mime.types:
 
nano /etc/mime.types
 
[...]# application/x-ruby rb[...]
 

 (Toto je potřeba pouze pro soubory .rb; soubory Ruby s příponou .rbx fungují hned po vybalení.)
 

 Poté restartujte Apache:
 
restart služby apache2
 

 
 
8.1 Xcache
 

 Xcache je bezplatný a otevřený PHP opcode cacher pro ukládání do mezipaměti a optimalizaci PHP přechodného kódu. Je to podobné jako u jiných PHP cacherů operačních kódů, jako je eAccelerator a APC. Důrazně se doporučuje mít jeden z nich nainstalovaný, aby se urychlila vaše stránka PHP.
 

 Xcache lze nainstalovat následovně:
 
apt-get install php5-xcache
 

 Nyní restartujte Apache:
 
restart služby apache2
 

 
 
8.2 PHP-FPM
 

 Počínaje ISPConfig 3.0.5 existuje další režim PHP, který si můžete vybrat pro použití s ​​Apache:PHP-FPM.
 

 Pro použití PHP-FPM s Apache potřebujeme modul mod_fastcgi Apache (nepleťte si to prosím s mod_fcgid - jsou velmi podobné, ale nemůžete použít PHP-FPM s mod_fcgid). PHP-FPM a mod_fastcgi můžeme nainstalovat následovně:
 
apt-get install libapache2-mod-fastcgi php5-fpm
 

 Ujistěte se, že modul povolíte a restartujete Apache:
 
a2enmod akce fastcgi alias 
restart služby apache2
 

 
 
8.3 Další verze PHP
 

 Počínaje ISPConfig 3.0.5 je možné mít na jednom serveru více verzí PHP (lze vybrat pomocí ISPConfig), které lze spustit pomocí FastCGI a PHP-FPM. Chcete-li se dozvědět, jak vytvořit další verze PHP (PHP-FPM a FastCGI) a jak nakonfigurovat ISPConfig, podívejte se na tento tutoriál:Jak používat více verzí PHP (PHP-FPM a FastCGI) s ISPConfig 3 (Ubuntu 12.10) (funguje pro Ubuntu 14.10 také).
 

 
 
9. Nainstalujte Mailman
 

 Od verze 3.0.4 vám ISPConfig také umožňuje spravovat (vytvářet/upravovat/mazat) Mailman mailing listy. Pokud chcete tuto funkci využívat, nainstalujte Mailman následovně:
 
apt-get install mailman
 

 Vyberte alespoň jeden jazyk, např.:
 

 Podporované jazyky:<-- en (angličtina) 
Seznam chybějících stránek <-- OK
 

 Než budeme moci spustit Mailman, musí být vytvořen první mailing list s názvem mailman:
 
newlist mailman
 

 [email protected]:~# newlist mailman 
Zadejte e-mail osoby vedoucí seznam: <-- e-mailová adresa administrátora, např. [email protected] 
Počáteční heslo poštovního doručovatele: <-- heslo správce pro seznam poštovních doručovatelů 
Chcete-li dokončit vytváření seznamu adresátů, musíte upravit svůj /etc/aliases (nebo 
ekvivalentní) soubor přidáním následujících řádků a případně spuštěním programu 
`newaliases':

## mailman mailing list 
mailman:              "|/var/lib/mailman/mail/mailman post mailman" 
mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman“ 
mailman-bounces:       "|/var/lib/mailman/mail/mailman odskočí poštáře" 
mailman-confirm:      "|/var/lib/mailman/mail/mailman potvrdit poštáře" 
mailman-join:          "|/var/lib/mailman/mail/mailman připojit se k mailmanovi" 
mailman -leave:         "|/var/lib/mailman/mail/mailman opustit pošťáka" 
majitel pošty:        "|/var/lib/mailman/mail/majitel pošty poštář" 
požadavek poštovního doručovatele:      " |/var/lib/mailman/mail/mailman požadavek mailmana“ 
mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailma n" 
mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman“ 

Stiskněte vstup a upozorněte vlastníka mailmana... <-- ENTER 
 
[email protected]:~#
 

 Poté otevřete /etc/aliases...
 
nano /etc/aliases
 

 ... a přidejte následující řádky:
 
[...]## mailman mailing listmailman:"|/var/lib/mailman/mail/mailman post mailman"mailman-admin:"|/var/lib/mailman/mail/mailman admin mailman "mailman-bounces:"|/var/lib/mailman/mail/mailman bounces mailman"mailman-confirm:"|/var/lib/mailman/mail/mailman potvrdit mailman"mailman-join:"|/var/lib/ mailman/mail/mailman připojit se mailman"mailman-leave:"|/var/lib/mailman/mail/mailman opustit mailman"mailman-owner:"|/var/lib/mailman/mail/mailman vlastník mailman"požadavek mailman:"|/var/lib/mailman/mail/mailman request mailman"mailman-subscribe:"|/var/lib/mailman/mail/mailman přihlásit mailman"mailman-unsubscribe:"|/var/lib/mailman/mail/mailman odhlásit mailman“ 
 

 Spustit
 
newaliases
 

 poté a restartujte Postfix:
 
restart služby postfix
 

 Nakonec musíme povolit konfiguraci Mailman Apache:
 
ln -s /etc/mailman/apache.conf /etc/apache2/conf-available/mailman.conf
 

 Toto definuje alias /cgi-bin/mailman/ pro všechny hostitele Apache, což znamená, že máte přístup k administrátorskému rozhraní Mailman pro seznam na http:///cgi-bin/mailman/admin/ a webovou stránku pro uživatele konference lze nalézt na adrese http:///cgi-bin/mailman/listinfo/.
 

 Pod http:///pipermail najdete archivy konference.
 

 Poté restartujte Apache:
 
restart služby apache2
 

 Poté spusťte démona Mailman:
 
spuštění služby mailman
 

 
 
10. Nainstalujte PureFTPd And Quota
 

 PureFTPd a kvótu lze nainstalovat pomocí následujícího příkazu:
 
apt-get install pure-ftpd-common pure-ftpd-mysql kvóta kvóty
 

 Upravte soubor /etc/default/pure-ftpd-common...
 
nano /etc/default/pure-ftpd-common
 

 ... a ujistěte se, že je režim spuštění nastaven na samostatný a nastavte VIRTUALCHROOT=true:
 
[...]STANDALONE_OR_INETD=samostatný [...]VIRTUALCHROOT=pravda [...]
 

 Nyní nakonfigurujeme PureFTPd tak, aby umožňoval FTP a TLS relace. FTP je velmi nezabezpečený protokol, protože všechna hesla a všechna data jsou přenášena jako prostý text. Pomocí TLS lze celou komunikaci šifrovat, čímž je FTP mnohem bezpečnější.
 

 Pokud chcete povolit relace FTP a TLS, spusťte
 
echo 1> /etc/pure-ftpd/conf/TLS
 

 Abychom mohli používat TLS, musíme vytvořit SSL certifikát. Vytvořím jej v /etc/ssl/private/, proto nejprve vytvořím tento adresář:
 
mkdir -p /etc/ssl/private/
 

 Poté můžeme vygenerovat certifikát SSL následovně:
 
openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem
 

 Název země (2 písmenný kód) [AU]:<-- Zadejte název země (např. „DE“). 
Název státu nebo provincie (celé jméno) [Some-State]:<-- Zadejte název svého státu nebo provincie. 
Název lokality (např. město) []:<-- Zadejte své město. 
Název organizace (např. společnost) [Internet Widgits Pty Ltd]:<-- Zadejte název organizace (např. název vaší společnosti). 
Název organizační jednotky (např. sekce) []:<-- Zadejte název organizační jednotky (např. „IT oddělení“). 
Běžný název (např. VAŠE jméno) []:<-- Zadejte plně kvalifikovaný název domény systému (např. „server1.example.com“). 
E-mailová adresa []:<-- Zadejte svou e-mailovou adresu.
 

 Změňte oprávnění certifikátu SSL:
 
chmod 600 /etc/ssl/private/pure-ftpd.pem
 

 Poté restartujte PureFTPd:
 
restart služby pure-ftpd-mysql
 
[email protected]:~# služba pure-ftpd-mysql restart
Restartování ftp serveru:Spuštěno:/usr/sbin/pure-ftpd-mysql-virtualchroot -l mysql:/etc/pure-ftpd /db/mysql.conf -l pam -8 UTF-8 -u 1000 -E -O clf:/var/log/pure-ftpd/transfer.log -Y 1 -B
[email protected]:~#
 

 Upravit /etc/fstab. Můj vypadá takto (do oddílu s bodem připojení / jsem přidal ,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0):
 
nano /etc/fstab
 
# /etc/fstab:informace o statickém systému souborů.## Použijte 'blkid' k vytištění univerzálně jedinečného identifikátoru pro # zařízení; toto lze použít s UUID=jako robustnější způsob pojmenování zařízení#, který funguje, i když jsou přidány a odebrány disky. Viz fstab(5).##   
  
 /dev/mapper/server1--vg-root / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1# /boot byl na /dev/sda1 během instalaceUUID=9b8299f1-b2a2-4231-9ba1-4540fad76b0f /boot ext2 defaults 0 2/dev/mapper/server1--vg-swap_1 žádný swap sw> 

 Chcete-li kvótu povolit, spusťte tyto příkazy:
 
mount -o remount /
 
quotacheck -avugm 
quotaon -avug
 

 
 
11. Nainstalujte BIND DNS Server
 

 BIND lze nainstalovat následovně:
 
apt-get install bind9 dnsutils
 

 
 
12. Nainstalujte Vlogger, Webalizer a AWstats
 

 Vlogger, webalizer a AWstats lze nainstalovat následovně:
 
apt-get install vlogger webalizer awstats geoip-database libclass-dbi-mysql-perl
 

 Poté otevřete /etc/cron.d/awstats...
 
nano /etc/cron.d/awstats
 

 ... a okomentujte vše v tomto souboru:
 
# MAILTO=kořen# */10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] &&/usr/share/awstats/tools/update.sh# Generovat statické sestavy:# 10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] &&/usr/share/awstats/tools/buildstatic.sh
 

 
 
13. Nainstalujte Jailkit
 

 Jailkit je potřeba pouze v případě, že chcete chrootovat uživatele SSH. Lze jej nainstalovat následovně (důležité:Jailkit musí být nainstalován před ISPConfig – nelze jej nainstalovat později!):
 
apt-get install build-essential autoconf automake1.9 libtool flex bison debhelper binutils-gold
 
cd /tmp 
wget http://olivier.sessink.nl/jailkit/jailkit-2.17.tar.gz 
tar xvfz jailkit-2.17.tar.gz 
cd jailkit- 2.17 
./debian/rules binární
 

 Nyní můžete nainstalovat balíček Jailkit .deb následovně:
 
cd .. 
dpkg -i jailkit_2.17-1_*.deb 
rm -rf jailkit-2.17*
 

 
 
14. Nainstalujte fail2ban
 

 Toto je volitelné, ale doporučené, protože monitor ISPConfig se snaží zobrazit protokol:
 
apt-get install fail2ban
 

 Chcete-li, aby fail2ban monitoroval PureFTPd a Dovecot, vytvořte soubor /etc/fail2ban/jail.local:
 
nano /etc/fail2ban/jail.local
 
[pureftpd]enabled =trueport =ftpfilter =pureftpdlogpath =/var/log/syslogmaxretry =3[dovecot-pop3imap]enabled =truefilter =dovecot-pop3imapaction =iptables-multiport[name=dovecot-pop3imap, port="pop3imap, port pop3s,imap,imaps", protocol=tcp]logpath =/var/log/mail.logmaxretry =5[postfix-sasl]enabled =trueport =smtpfilter =postfix-sasllogpath =/var/log/mail.logmaxretry =3 

 Poté vytvořte následující dva soubory filtru:
 
nano /etc/fail2ban/filter.d/pureftpd.conf
 
[Definice]failregex =.*pure-ftpd:\(.*@\) \[VAROVÁNÍ\] Ověření uživatele selhalo.*ignoreregex =
 
nano /etc/fail2ban/filter.d/dovecot-pop3imap.conf
 
[Definice]failregex =(?:pop3-login|imap-login):.*(?:Selhání ověření|Přerušené přihlášení \(auth selhalo|Přerušené přihlášení \(zkuseno použít zakázáno|Odpojeno \(auth se nezdařilo|| Přerušené přihlášení \(\d+ pokusy o ověření).*rip=(?P\S*),.*ignoreregex =
 

 
 

 Přidejte chybějící řádek ignoreregex do souboru postfix-sasl:
 
echo "ignoreregex =">> /etc/fail2ban/filter.d/postfix-sasl.conf
 

 Poté restartujte fail2ban:
 
restart služby fail2ban
 

 
 

 
 
Dokonalý server – Ubuntu 14.10 s Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot a ISPConfig – Strana 3
 
15 Nainstalujte SquirrelMail
 

 Chcete-li nainstalovat webového poštovního klienta SquirrelMail, spusťte
 
apt-get install squirrelmail
 

 Poté nakonfigurujte SquirrelMail:
 
squirrelmail-configure
 

 Musíme SquirrelMail sdělit, že používáme Dovecot-IMAP/-POP3:
 

 Konfigurace SquirrelMail : Přečtěte si: config.php (1.4.0) 
--------------------------------- ------------------------ 
Hlavní nabídka -- 
1. Předvolby organizace 
2. Nastavení serveru 
3. Výchozí složka 
4. Obecné možnosti 
5. Témata 
6. Adresáře 
7. Zpráva dne (MOTD) 
8. Pluginy 
9. Databáze 
10. Jazyky 

D. Nastavit předdefinovaná nastavení pro konkrétní IMAP servery 

C   Zapnout barvu 
S   Uložit data 
Q   Ukončit 

Příkaz >> <-- D 


Konfigurace SquirrelMail : Přečtěte si: config.php 
---------------------------- ------------------------------ 
Zatímco budujeme SquirrelMail , objevili jsme některé 
předvolby které fungují lépe s některými servery, které nefungují tak 
tak dobře s ostatními. Pokud vyberete svůj IMAP server, tato možnost 
nastaví některá předdefinovaná nastavení pro tento server. 

Upozorňujeme, že budete stále musíte procházet a ujistit se, že je 
všechno správně. To nemění všechno. Existuje 
pouze několik nastavení , která se změní. 

Vyberte svůj IMAP server:
    bincimap    = Binc IMAP server 
    kurýr     = Curier IMAP server 
 S    cyrus             server IM IM AP = Cyrus IM AP = Cyrus IM AP = Cyrus IM AP server 
    exchange    = Server IMAP Microsoft Exchange 
    hmailserver = hMailServer 
    macosx       = Mac OS X Mailserver 
   
 verze W W   
 mercury s u        verze W     
 server           verze         
 mercury            verze            
 server                        
 server          mercury  / IM 3 />    gmail       = Přístup IMAP k účtům Google mail (Gmail) 

    ukončit         = Nic neměnit 
Příkaz >> <-- dovecot 


 Konfigurace SquirrelMail : Přečtěte si: config.php 
-------------------------------------- ------------------- 
Zatímco jsme vytvářeli SquirrelMail, objevili jsme některá 
předvolby, které fungují lépe s některými nefungujícími servery takže 
dobře s ostatními. Pokud vyberete svůj IMAP server, tato možnost 
nastaví některá předdefinovaná nastavení pro tento server. 

Upozorňujeme, že budete stále musíte procházet a ujistit se, že je 
všechno správně. To nemění všechno. Existuje 
pouze několik nastavení , která se změní. 

Vyberte svůj IMAP server:
    bincimap    = Binc IMAP server 
    kurýr     = Curier IMAP server 
 S    cyrus             server IM IM AP = Cyrus IM AP = Cyrus IM AP = Cyrus IM AP server 
    exchange    = Server IMAP Microsoft Exchange 
    hmailserver = hMailServer 
    macosx       = Mac OS X Mailserver 
   
 verze W W   
 mercury s u        verze W     
 server           verze         
 mercury            verze            
 server                        
 server          mercury  / IM 3 />    gmail       = Přístup IMAP k účtům Google mail (Gmail) 

    ukončit         = Nic neměnit 
Příkaz >> dovecot 

      > dovec     typ        server     type Default_Folder_PREFIX = 
 Trash_Folder =Trash 
 Send_Folder =odeslán 
 Draft_Folder =Drafts 
 show_prefix_option =false 
 default_sub_of_inbox =false 
 show_contain_subfolders_option =false 
            volitelný_del imiter = detect 
                  delete_folder = false 

Stisknutím libovolné klávesy pokračujte... <-- stiskněte klávesu 


Konfigurace SquirrelMail : Přečtěte si: .php (1.4.0) 
--------------------------------------- ------------------ 
Hlavní nabídka -- 
1. Předvolby organizace 
2. Nastavení serveru 
3. Výchozí složka 
4. Obecné možnosti 
5. Témata 
6. Adresáře 
7. Zpráva dne (MOTD) 
8. Pluginy 
9. Databáze 
10. Jazyky 

D. Nastavit předdefinovaná nastavení pro konkrétní IMAP servery 

C   Zapnout barvu 
S   Uložit data 
Q   Ukončit 

Příkaz >> <-- S 


Konfigurace SquirrelMail : Přečtěte si: config.php (1.4.0) 
---------------------- ----------------------------------- 
Hlavní nabídka -- 
1. Předvolby organizace 
2. Nastavení serveru 
3. Výchozí složka 
4. Obecné možnosti 
5. Témata 
6. Adresáře 
7. Zpráva dne (MOTD) 
8. Pluginy 
9. Databáze 
10. Jazyky 

D. Nastavit předdefinovaná nastavení pro konkrétní IMAP servery 

C   Zapnout barvu 
S   Uložit data 
Q   Ukončit 

Příkaz >> <-- Q
 

 Nyní nakonfigurujeme SquirrelMail tak, abyste jej mohli používat ze svých webových stránek (vytvořených pomocí ISPConfig) pomocí aliasů /squirrelmail nebo /webmail. Pokud je tedy váš web www.example.com, budete mít přístup k SquirrelMail pomocí www.example.com/squirrelmail nebo www.example.com/webmail.
 

 Konfigurace Apache SquirrelMail je v souboru /etc/squirrelmail/apache.conf, ale tento soubor Apache nenačítá, protože není v adresáři /etc/apache2/conf.d/. Proto vytvoříme symbolický odkaz nazvaný squirrelmail.conf v adresáři /etc/apache2/conf.d/, který ukazuje na /etc/squirrelmail/apache.conf a poté znovu načteme Apache:
 
cd /etc/apache2/conf-available/ 
ln -s ../../squirrelmail/apache.conf squirrelmail.conf 
reload služby apache2
 

 Nyní otevřete /etc/apache2/conf.d/squirrelmail.conf...
 
 nano /etc/apache2/conf-available/squirrelmail.conf
 

 ... a do kontejneru  přidejte následující řádky, které zajistí, že mod_php se používá pro přístup ke SquirrelMail, bez ohledu na to, jaký režim PHP vyberete pro svůj web v ISPConfig:
 
[...] Možnosti FollowSymLinks  AddType application/x-httpd-php .php php_flag magic_quotes_gpc Vypnuto php_flag include track_vars Zapnuto php_admin_flag allow_url_fopen. php_admin_value upload_tmp_dir /var/lib/squirrelmail/tmp php_admin_value open_basedir /usr/share/squirrelmail:/etc/squirrelmail:/var/lib/squirrelmail:/etc/hostname:/etc/mailname php_Module offModule_Ifir register_globals .c> DirectoryIndex index.php  # přístup ke configtestu je ve výchozím nastavení omezen, aby se zabránilo úniku informací 
 order deny,allow deny from all allow from 127.0.0.1 [ ...]
 

 Vytvořte adresář /var/lib/squirrelmail/tmp...
 
mkdir /var/lib/squirrelmail/tmp
 

 ... a převést jej do vlastnictví uživatele www-data:
 
chown www-data /var/lib/squirrelmail/tmp
 

 Dále musíme povolit squirrelmail s apache2.
 
a2enconf squirrelmail
 

 
 

 Znovu načtěte Apache:
 
reload služby apache2
 

 To už je ono – /etc/apache2/conf.d/squirrelmail.conf definuje alias nazvaný /squirrelmail, který ukazuje na instalační adresář SquirrelMail /usr/share/squirrelmail.
 

 Nyní můžete přistupovat ke SquirrelMail ze svých webových stránek následovně:
 
http://192.168.0.100/squirrelmail 
http://www.example.com/squirrelmail
 

 Můžete k němu také přistupovat z ovládacího panelu ISPConfig vhost (po instalaci ISPConfig, viz další kapitola) následovně (nepotřebuje žádnou konfiguraci v ISPConfig):
 
http://server1.example.com:8080/squirrelmail
 

 Pokud byste chtěli použít alias /webmail místo /squirrelmail, jednoduše otevřete /etc/apache2/conf.d/squirrelmail.conf...
 
nano /etc/apache2/conf-available/squirrelmail.conf
 

 ... a přidejte řádek Alias ​​/webmail /usr/share/squirrelmail:
 
Alias ​​/squirrelmail /usr/share/squirrelmailAlias ​​/webmail /usr/share/squirrelmail [...]
 

 Poté znovu načtěte Apache:
 
reload služby apache2
 

 Nyní můžete přistupovat ke Squirrelmail následovně:
 

 http:// 192.168.0.100/webmail 
http://www.example.com/webmail 
http://server1.example.com:8080/webmail (po instalaci ISPConfig se podívejte na další kapitola)
 

 
 
 

 Pokud byste chtěli definovat vhost, jako je webmail.example.com, kde mohou vaši uživatelé přistupovat ke SquirrelMail, museli byste do /etc/apache2/conf.d/squirrelmail.conf přidat následující konfiguraci vhost:
 
nano /etc/apache2/conf.d/squirrelmail.conf
 
[...] DocumentRoot /usr/share/squirrelmail ServerName webmail.example.com
 

 Samozřejmě musí existovat DNS záznam pro webmail.example.com, který ukazuje na IP adresu, kterou používáte v konfiguraci vhost. Také se ujistěte, že v ISPConfig neexistuje vhost webmail.example.com (jinak se oba vhosty budou vzájemně rušit!).
 

 Nyní znovu načtěte Apache...
 
reload služby apache2
 

 ... a ke SquirrelMail můžete přistupovat pod http://webmail.example.com
 

 
 
16. Nainstalujte ISPConfig 3
 

 Chcete-li nainstalovat ISPConfig 3 z nejnovější vydané verze, postupujte takto:
 
cd /tmp 
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz 
tar xfz ISPConfig-3-stable.tar.gz 
cd ispconfig3_install/install/
 

 Dalším krokem je spuštění
 
php -q install.php
 

 Tím se spustí instalační program ISPConfig 3. Instalační program nakonfiguruje všechny služby jako Postfix, Dovecot atd. za vás. Ruční nastavení požadované pro ISPConfig 2 (dokonalé průvodce nastavením) není nutné.
 

 [email protected]:/tmp/ispconfig3_install/install# php -q install.php 


------------------- -------------------------------------------------- ----------- 
 _____ ___________   _____               __ _         ____ 
|_   _/  ___| ___ \ /  __ \            / _(_)       /__  \ 
  | | \ `--.| |_/ / | /  \/ ___  _ __ | |_ _  __ _    _/ / 
  | | `--. \  __/  | | / _ \| '_ \| _| |/ _` | |_ | 
 _| |_/\__/ / | | \__/\ (_) | | | | | | | (_| | ___\ \ 
 \___/\____/\_|      \____/\___/|_| |_|_| |_|\__, | \____/ 
                                                                         | 
                                               |___/ 
-------------------------------------- ------------------------------------------- 

 
>> Počáteční konfigurace 

Operační systém:14.10 NEZNÁMÝ 

    Následovat bude několik otázek pro primární konfiguraci , takže buďte opatrní. 
    Výchozí hodnoty jsou [závorky] a lze přijmout s . 
    Klepnutím na „konec“ (bez uvozovek) zastavíte instalátor. 


Vyberte jazyk (en,de) [cs]: <-- ENTER 

Režim instalace (standardní, expertní) [standardní]: <-- ENTER 

Úplný kvalifikovaný název hostitele (FQDN) serveru, např. server1.domain.tld  [server1.example.com]: <-- ENTER 

Název hostitele serveru MySQL [místní hostitel]: <-- ENTER 

Uživatelské jméno kořenového MySQL [root] : <-- ENTER 

MySQL root password []: <-- yourroot sqlpassword 

MySQL database to create [dbispconfig]: <-- ENTER 

MySQL charset [utf8]: <-- ENTER 

Generating a 4096 bit RSA private key 
............................................................................++ 
.....................++ 
writing new private key to 'smtpd.key' 
----- 
You are about to be asked to enter information that will be incorporated 
into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 
If you enter '.', the field will be left blank. 
----- 
Country Name (2 letter code) [AU]: <-- ENTER 
State or Province Name (full name) [Some-State]: <-- ENTER 
Locality Name (eg, city) []: <-- ENTER 
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- ENTER 
Organizational Unit Name (eg, section) []: <-- ENTER 
Common Name (e.g. server FQDN or YOUR name) []: <-- ENTER 
Email Address []: <-- ENTER 
Configuring Jailkit 
Configuring Dovecot 
Configuring Spamassassin 
Configuring Amavisd 
Configuring Getmail 
Configuring Pureftpd 
Configuring BIND 
Configuring Apache 
Configuring Vlogger 
Configuring Apps vhost 
Configuring Bastille Firewall 
Configuring Fail2ban 
Installing ISPConfig 
ISPConfig Port [8080]: <-- ENTER 

Do you want a secure (SSL) connection to the ISPConfig web interface (y,n) [y]: <-- ENTER 

Generating RSA private key, 4096 bit long modulus 
..........++ 
......++ e is 65537 (0x10001) 
You are about to be asked to enter information that will be incorporated 
into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 
If you enter '.', the field will be left blank. 
----- 
Country Name (2 letter code) [AU]: <-- ENTER 
State or Province Name (full name) [Some-State]: <-- ENTER 
Locality Name (eg, city) []: <-- ENTER 
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- ENTER 
Organizational Unit Name (eg, section) []: <-- ENTER 
Common Name (e.g. server FQDN or YOUR name) []: <-- ENTER 
Email Address []: <-- ENTER 

Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password []: <-- ENTER 
An optional company name []: <-- ENTER 
writing RSA key 
Configuring DBServer 
Installing ISPConfig crontab 
no crontab for root 
no crontab for getmail 
Restarting services ... 
Rather than invoking init scripts through /etc/init.d, use the service(8) 
utility, e.g. service mysql restart 

Since the script you are attempting to invoke has been converted to an 
Upstart job, you may also use the stop(8) and then start(8) utilities, 
e.g. stop mysql ; start mysql. The restart(8) utility is also available. 
mysql stop/waiting 
mysql start/running, process 2817 
 * Stopping Postfix Mail Transport Agent postfix 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
   ...done. 
 * Starting Postfix Mail Transport Agent postfix 
postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: und efined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr /sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
/usr/sbin/postconf: warning: /etc/postfix/main.cf: undefined parameter: virtual_mailbox_limit_maps 
   ...done. 
Stopping amavisd: amavisd-new. 
Starting amavisd: amavisd-new. 
 * Stopping ClamAV daemon clamd 
   ...done. 
 * Starting ClamAV daemon clamd 
   ...done. 
Rather than invoking init scripts through /etc/init.d, use the service(8) 
utility, e.g. service dovecot restart 

Since the script you are attempting to invoke has been converted to an 
Upstart job, you may also use the stop(8) and then start(8) utilities, 
e.g. stop dovecot ; start dovecot. The restart(8) utility is also available. 
dovecot stop/waiting 
dovecot start/running, process 3962 
 * Restarting web server apache2 
[Fri Apr 26 00:55:00 2013] [warn] NameVirtualHost *:443 has no VirtualHosts 
[Fri Apr 26 00:55:00 2013] [warn] NameVirtualHost *:80 has no VirtualHosts 
[Fri Apr 26 00:55:01 2013] [warn] NameVirtualHost *:443 has no VirtualHosts 
[Fri Apr 26 00:55:01 2013] [warn] NameVirtualHost *:80 has no VirtualHosts 
 ... waiting    ...done. 
Restarting ftp server: Running: /usr/sbin/pure-ftpd-mysql-virtualchroot -l mysql:/etc/pure-ftpd/db/mysql.conf -l pam -A -b -u 1000 -D -H -Y 1 -E -8 UTF-8 -O clf:/var/log/pure-ftpd/transfer.log -B 
Installation completed. 
[email protected]:/tmp/ispconfig3_install/install#
 

 The installer automatically configures all underlying services, so no manual configuration is needed.
 

 Nyní máte také možnost nechat instalátor vytvořit SSL vhost pro ovládací panel ISPConfig, takže ISPConfig bude přístupný pomocí https:// místo http://. Chcete-li toho dosáhnout, stiskněte ENTER, když uvidíte tuto otázku:Chcete zabezpečené (SSL) připojení k webovému rozhraní ISPConfig (y,n) [y]:.
 

 Afterwards you can access ISPConfig 3 under http(s)://server1.example.com:8080/ or http(s)://192.168.0.100:8080/ ( http or https depends on what you chose during installation). Přihlaste se pomocí uživatelského jména admin a hesla admin (po prvním přihlášení byste měli změnit výchozí heslo):
 

  


 


 

 The system is now ready to be used.
 

 
 
16.1 ISPConfig 3 Manual
 

 Abyste se naučili používat ISPConfig 3, důrazně doporučuji stáhnout si příručku ISPConfig 3.
 

 Na více než 300 stránkách pokrývá koncept ISPConfig (administrátoři, prodejci, klienti), vysvětluje, jak nainstalovat a aktualizovat ISPConfig 3, obsahuje odkaz na všechny formuláře a pole formulářů v ISPConfig spolu s příklady platných vstupů a poskytuje výukové programy. pro nejběžnější úkoly v ISPConfig 3. Také uvádí, jak zvýšit zabezpečení serveru, a na konci je dodávána část pro odstraňování problémů.
 

 
 
17. Additional Notes
 
17.1 OpenVZ
 

 If the Ubuntu server that you've just set up in this tutorial is an OpenVZ container (virtual machine), you should do this on the host system (I'm assuming that the ID of the OpenVZ container is 101 - replace it with the correct VPSID on your system):
 
VPSID=101 
for CAP in CHOWN DAC_READ_SEARCH SETGID SETUID NET_BIND_SERVICE NET_ADMIN SYS_CHROOT SYS_NICE CHOWN DAC_READ_SEARCH SETGID SETUID NET_BIND_SERVICE NET_ADMIN SYS_CHROOT SYS_NICE 
do 
  vzctl set $VPSID --capability ${CAP}:on --save 
done
 

 
 
18. Links
 
 
Ubuntu:http://www.ubuntu.com/
 
ISPConfig:http://www.ispconfig.org/