Este tutorial muestra los pasos para instalar un servidor Ubuntu 15.10 (Wiley Werewolf) con Nginx, PHP, MariaDB, Postfix, pure-ftpd, BIND, Dovecot e ISPConfig 3. ISPConfig 3 es un panel de control de alojamiento web que le permite configurar la instalación servicios a través de un navegador web. Esta configuración proporciona un servidor de alojamiento completo con servicios web, de correo electrónico (incluido el filtro de correo no deseado y antivirus), base de datos, FTP y DNS.
1. Nota Preliminar
En este tutorial, usaré el nombre de host server1.example.com con la dirección IP 192.168.1.100 y la puerta de enlace 192.168.1.1 para la configuración de la red. Estas configuraciones pueden diferir para usted, por lo que debe reemplazarlas cuando corresponda. Antes de continuar, debe tener una instalación mínima básica de Ubuntu 15.10 como se explica en el tutorial.
Los pasos de este tutorial deben ejecutarse como usuario raíz, por lo que no antepondré "sudo" delante de los comandos. Inicie sesión como usuario raíz en su servidor antes de continuar o ejecute:
sudo su
para convertirse en root cuando inicie sesión como un usuario diferente en el shell.
Los comandos para editar archivos usarán el editor "nano", puede reemplazarlo con un editor de su elección. Nano es un editor de archivos fácil de usar para el shell. Si te gusta usar nano y aún no lo has instalado, ejecuta:
apt-get install nano
2. Actualice su instalación de Linux
Edite /etc/apt/sources.list. Comente o elimine el CD de instalación del archivo y asegúrese de que los repositorios Universe y Multiverse estén habilitados. Debería verse así:
nano /etc/apt/sources.list
#
# deb cdrom:[Ubuntu-Server 15.10 _Wily Werewolf_ - Release amd64 (20151021)]/ wily main restricted
#deb cdrom:[Ubuntu-Server 15.10 _Wily Werewolf_ - Release amd64 (20151021)]/ wily main restricted
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://de.archive.ubuntu.com/ubuntu/ wily main restricted
deb-src http://de.archive.ubuntu.com/ubuntu/ wily main restricted
## Major bug fix updates produced after the final release of the
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ wily-updates main restricted
deb-src http://de.archive.ubuntu.com/ubuntu/ wily-updates main restricted
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ wily universe
deb-src http://de.archive.ubuntu.com/ubuntu/ wily universe
deb http://de.archive.ubuntu.com/ubuntu/ wily-updates universe
deb-src http://de.archive.ubuntu.com/ubuntu/ wily-updates universe
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://de.archive.ubuntu.com/ubuntu/ wily multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ wily multiverse
deb http://de.archive.ubuntu.com/ubuntu/ wily-updates multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ wily-updates multiverse
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ wily-backports main restricted universe multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ wily-backports main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu wily-security main restricted
deb-src http://security.ubuntu.com/ubuntu wily-security main restricted
deb http://security.ubuntu.com/ubuntu wily-security universe
deb-src http://security.ubuntu.com/ubuntu wily-security universe
deb http://security.ubuntu.com/ubuntu wily-security multiverse
deb-src http://security.ubuntu.com/ubuntu wily-security multiverse
## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu wily partner
# deb-src http://archive.canonical.com/ubuntu wily partner
Luego ejecuta:
apt-get update
Para actualizar la base de datos del paquete apt y luego:
apt-get upgrade
para instalar las últimas actualizaciones (si las hay). Si ve que se instala un nuevo kernel como parte de las actualizaciones, debe reiniciar el sistema después:
reboot
3. Cambiar la carcasa predeterminada
/bin/sh es un enlace simbólico a /bin/dash, sin embargo, necesitamos /bin/bash, no /bin/dash. Por lo tanto hacemos esto:
dpkg-reconfigure dash
¿Usar guión como shell del sistema predeterminado (/bin/sh)? <-- No
Si no hace esto, la instalación de ISPConfig fallará.
4. Deshabilitar AppArmor
AppArmor es una extensión de seguridad (similar a SELinux) que debería proporcionar seguridad extendida. No se instala por defecto a partir de la 13.10. Verificaremos si está instalado. En mi opinión, no lo necesitas para configurar un sistema seguro, y suele causar más problemas que ventajas (piensa en ello después de haber realizado una semana de resolución de problemas porque algún servicio no estaba funcionando como se esperaba, y luego descubra que todo estaba bien, solo AppArmor estaba causando el problema). Por lo tanto, lo deshabilito (esto es obligatorio si desea instalar ISPConfig más adelante).
Podemos desactivarlo así:
service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils
5. Sincronizar el Reloj del Sistema
Es una buena idea sincronizar el reloj del sistema con un NTP (n red t tiempo p rotocol) servidor a través de Internet. Simplemente ejecuta
apt-get install ntp ntpdate
y la hora de su sistema siempre estará sincronizada.
6. Instale Postfix, Dovecot, MariaDB, phpMyAdmin, rkhunter, Binutils
Podemos instalar Postfix, Dovecot, MariaDB (como reemplazo de MySQL), rkhunter y binutils con un solo comando:
apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve sudo
MariaDB es una bifurcación del servidor de base de datos MySQL, desarrollado por el desarrollador original de MySQL, Monty Widenius. De acuerdo con las pruebas encontradas en Internet, MariaDB es más rápido que MySQL y su desarrollo avanza con más ritmo, por lo tanto, la mayoría de las distribuciones de Linux reemplazaron MySQL con MariaDB como servidor de base de datos predeterminado "similar a MySQL". En caso de que prefiera MySQL sobre MariaDB, reemplace "mariadb-client mariadb-server" en el comando anterior con "mysql-client mysql-server".
Se le harán las siguientes preguntas:
General type of mail configuration: <-- Internet Site
System mail name: <-- server1.example.com
A continuación, abra TLS/SSL y los puertos de envío en Postfix:
nano /etc/postfix/master.cf
Descomente las secciones de envío y smtps de la siguiente manera:agregue la línea -o smtpd_client_restrictions=permit_sasl_authenticated, rechace ambas secciones y deje todo comentado a partir de entonces:
[...] submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions # -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions # -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING [...]
Reinicie Postfix después:
service postfix restart
Queremos que MariaDB/MySQL escuche en todas las interfaces, no solo en localhost. Por lo tanto, editamos /etc/mysql/mariadb.conf.d/mysqld.cnf (para MariaDB o /etc/mysql/my.cnf (para MySQL) y comentamos la línea bind-address =127.0.0.1:
MariaDB
nano /etc/mysql/mariadb.conf.d/mysqld.cnf
[...] # Instead of skip-networking the default is now to listen only on # localhost which is more compatible and is not less secure. #bind-address = 127.0.0.1 [...]
Luego reiniciamos MariaDB:
service mysql restart
El nombre del servicio systemd para MariaDB y MySQL es "mysql", por lo que el comando de reinicio es el mismo para ambos servidores de bases de datos.
Ahora establecemos una contraseña de root en MariaDB. Ejecutar:
mysql_secure_installation
Se le harán estas preguntas:
Enter current password for root (enter for none): <-- press enter
Set root password? [Y/n] <-- y
New password: <-- Enter the new MariaDB root password here
Re-enter new password: <-- Repeat the password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y
Luego ejecute este comando para deshabilitar el complemento de autenticación de UNIX para el usuario root:
echo "update user set plugin='' where User='root';flush privileges;" | mysql --defaults-file=/etc/mysql/debian.cnf mysql
Para permitir la autenticación basada en contraseña de PHPMyAdmin.
nano /etc/mysql/my.cnf
[...] # Instead of skip-networking the default is now to listen only on # localhost which is more compatible and is not less secure. #bind-address = 127.0.0.1 [...]
Luego reiniciamos MySQL:
service mysql restart
El nombre del servicio systemd para MariaDB y MySQL es "mysql", por lo que el comando de reinicio es el mismo para ambos servidores de bases de datos.
Para MySQL y MariaDB:
Ahora verifique que la red esté habilitada. Ejecutar:
netstat -tap | grep mysql
La salida debería verse así:
[email protected]:~# netstat -tap | grep mysql
tcp 0 0 *:mysql *:* LISTEN 8032/mysqld
[email protected]:~#
7. Instale Amavisd-new, SpamAssassin y ClamAV
Para instalar amavisd-new, SpamAssassin y ClamAV, ejecutamos
apt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl
La configuración de ISPConfig 3 usa amavisd-new que carga la biblioteca de filtros de SpamAssassin internamente, por lo que podemos detener SpamAssassin para liberar RAM:
service spamassassin stop
update-rc.d -f spamassassin remove
Para actualizar las firmas antivirus ClamAV e iniciar el servicio Clamd. El proceso de actualización puede llevar algún tiempo, no lo interrumpa.
freshclam
service clamav-daemon start