Este tutorial muestra los pasos para instalar un servidor Ubuntu 18.04 (Bionic Beaver) con Nginx, PHP, MariaDB, Postfix, pure-ftpd, BIND, Dovecot e ISPConfig 3.1. ISPConfig es un panel de control de alojamiento web que le permite configurar los servicios instalados a través de un navegador web. Esta configuración proporciona un servidor de alojamiento completo con servicios web, de correo electrónico (incluido el filtro de correo no deseado y antivirus), base de datos, FTP y DNS.
1. Nota Preliminar
En este tutorial, usaré el nombre de host server1.example.com con la dirección IP 192.168.1.100 y la puerta de enlace 192.168.1.1 para la configuración de la red. Estas configuraciones pueden diferir para usted, por lo que debe reemplazarlas cuando corresponda. Antes de continuar, debe tener una instalación mínima básica de Ubuntu 18.04 como se explica en este tutorial.
Los pasos de este tutorial deben ejecutarse como usuario raíz, por lo que no antepondré "sudo" delante de los comandos. Inicie sesión como usuario raíz en su servidor antes de continuar o ejecute:
sudo -s
para convertirse en root cuando inicie sesión como un usuario diferente en el shell.
Los comandos para editar archivos usarán el editor "nano", puede reemplazarlo con un editor de su elección. Nano es un editor de archivos fácil de usar para el shell. Si te gusta usar nano y aún no lo has instalado, ejecuta:
apt-get install nano
2. Actualice su instalación de Linux
Edite /etc/apt/sources.list. Comente o elimine el CD de instalación del archivo y asegúrese de que los repositorios Universe y Multiverse estén habilitados. Debería verse así:
nano /etc/apt/sources.list
#
# deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted
#deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://de.archive.ubuntu.com/ubuntu/ bionic main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic main restricted
## Major bug fix updates produced after the final release of the
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic universe
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic multiverse
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse
## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu bionic partner
# deb-src http://archive.canonical.com/ubuntu bionic partner
deb http://security.ubuntu.com/ubuntu bionic-security main restricted
# deb-src http://security.ubuntu.com/ubuntu bionic-security main restricted
deb http://security.ubuntu.com/ubuntu bionic-security universe
# deb-src http://security.ubuntu.com/ubuntu bionic-security universe
deb http://security.ubuntu.com/ubuntu bionic-security multiverse
# deb-src http://security.ubuntu.com/ubuntu bionic-security multiverse
Luego ejecuta:
apt-get update
Para actualizar la base de datos del paquete apt y luego:
apt-get upgrade
para instalar las últimas actualizaciones (si las hay). Si ve que se instala un nuevo kernel como parte de las actualizaciones, debe reiniciar el sistema después:
reboot
3. Cambiar la carcasa predeterminada
/bin/sh es un enlace simbólico a /bin/dash, sin embargo, necesitamos /bin/bash, no /bin/dash. Por lo tanto hacemos esto:
dpkg-reconfigure dash
¿Usar guión como shell del sistema predeterminado (/bin/sh)? <-- No
Si no hace esto, la instalación de ISPConfig fallará.
4. Deshabilitar AppArmor
AppArmor es una extensión de seguridad (similar a SELinux) que debería proporcionar seguridad extendida. Verificaremos si está instalado y lo eliminaremos si es necesario. En mi opinión, no lo necesitas para configurar un sistema seguro, y suele causar más problemas que ventajas (piensa en ello después de haber realizado una semana de resolución de problemas porque algún servicio no estaba funcionando como se esperaba, y luego descubra que todo estaba bien, solo AppArmor estaba causando el problema). Por lo tanto, lo deshabilito (esto es obligatorio si desea instalar ISPConfig más adelante).
Podemos desactivarlo así:
service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils
5. Sincronizar el Reloj del Sistema
Es una buena idea sincronizar el reloj del sistema con un NTP (n red t tiempo p rotocol) servidor a través de Internet. Simplemente ejecuta
apt-get -y install ntp ntpdate
y la hora de su sistema siempre estará sincronizada.
6. Instale Postfix, Dovecot, MariaDB, phpMyAdmin, rkhunter, Binutils
Para instalar postfix, debemos asegurarnos de que sendmail no esté instalado y ejecutándose. Para detener y eliminar sendmail, ejecute este comando:
service sendmail stop; update-rc.d -f sendmail remove
El mensaje de error:
Failed to stop sendmail.service: Unit sendmail.service not loaded.
Está bien, solo significa que no se instaló sendmail, por lo que no había nada que eliminar.
Podemos instalar Postfix, Dovecot, MariaDB (como reemplazo de MySQL), rkhunter y binutils con un solo comando:
apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo
MariaDB es una bifurcación del servidor de base de datos MySQL, desarrollado por el desarrollador original de MySQL, Monty Widenius. De acuerdo con las pruebas encontradas en Internet, MariaDB es más rápido que MySQL y su desarrollo avanza con más ritmo, por lo tanto, la mayoría de las distribuciones de Linux reemplazaron MySQL con MariaDB como servidor de base de datos predeterminado "similar a MySQL". En caso de que prefiera MySQL sobre MariaDB, reemplace "mariadb-client mariadb-server" en el comando anterior con "mysql-client mysql-server".
Se le harán las siguientes preguntas:
General type of mail configuration: <-- Internet Site
System mail name: <-- server1.example.com
A continuación, abra TLS/SSL y los puertos de envío en Postfix:
nano /etc/postfix/master.cf
Descomente las secciones de envío y smtps de la siguiente manera:agregue la línea -o smtpd_client_restrictions=permit_sasl_authenticated, rechace ambas secciones y deje todo lo comentado a partir de entonces:
[...] submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions # -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions # -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING [...]
Reinicie Postfix después:
service postfix restart
Queremos que MariaDB/MySQL escuche en todas las interfaces, no solo en localhost. Por lo tanto, editamos /etc/mysql/mariadb.conf.d/50-server.cnf (para MariaDB o /etc/mysql/my.cnf (para MySQL) y comentamos la línea bind-address =127.0.0.1:
MariaDB
nano /etc/mysql/mariadb.conf.d/50-server.cnf
[...] # Instead of skip-networking the default is now to listen only on # localhost which is more compatible and is not less secure. #bind-address = 127.0.0.1 [...]
Ahora establecemos una contraseña de root en MariaDB. Ejecutar:
mysql_secure_installation
Se le harán estas preguntas:
Enter current password for root (enter for none): <-- press enter
Set root password? [Y/n] <-- y
New password: <-- Enter the new MariaDB root password here
Re-enter new password: <-- Repeat the password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y
Configure el método de autenticación de contraseña en MariaDB como nativo para que podamos usar PHPMyAdmin más tarde para conectarnos como usuario root:
echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root
Edite el archivo /etc/mysql/debian.cnf y configure la contraseña raíz de MYSQL/MariaDB allí dos veces en las filas que comienzan con contraseña.
nano /etc/mysql/debian.cnf
La contraseña raíz de MySQL que debe agregarse se muestra en lectura, en este ejemplo, la contraseña es "howtoforge".
# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
basedir = /usr
Luego reiniciamos MariaDB:
service mysql restart
El nombre del servicio systemd para MariaDB y MySQL es "mysql", por lo que el comando de reinicio es el mismo para ambos servidores de bases de datos.
nano /etc/mysql/my.cnf
[...] # Instead of skip-networking the default is now to listen only on # localhost which is more compatible and is not less secure. #bind-address = 127.0.0.1 [...]
Luego reiniciamos MySQL:
service mysql restart
El nombre del servicio systemd para MariaDB y MySQL es "mysql", por lo que el comando de reinicio es el mismo para ambos servidores de bases de datos.
Para MySQL y MariaDB:
Ahora verifique que la red esté habilitada. Ejecutar:
netstat -tap | grep mysql
La salida debería verse así:
[email protected]:~# netstat -tap | grep mysql
tcp6 0 0 [::]:mysql [::]:* LISTEN 12210/mysqld
7. Instale Amavisd-new, SpamAssassin y ClamAV
Para instalar amavisd-new, SpamAssassin y ClamAV, ejecutamos
apt-get -y install amavisd-new spamassassin clamav clamav-daemon unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl postgrey libdbd-mysql-perl
La configuración de ISPConfig 3 usa amavisd-new que carga la biblioteca de filtros de SpamAssassin internamente, por lo que podemos detener SpamAssassin para liberar RAM:
service spamassassin stop
update-rc.d -f spamassassin remove
Para actualizar las firmas antivirus ClamAV e iniciar el servicio Clamd. El proceso de actualización puede llevar algún tiempo, no lo interrumpa.
freshclam
service clamav-daemon start
El siguiente error se puede ignorar en la primera ejecución de freshclam.
ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).
El programa amavisd-new tiene actualmente un error en Ubuntu 18.04 que impide que los correos electrónicos se firmen correctamente con Dkim. Ejecute los siguientes comandos para parchear amavisd-new.
cd /tmp
wget https://git.ispconfig.org/ispconfig/ispconfig3/raw/stable-3.1/helper_scripts/ubuntu-amavisd-new-2.11.patch
cd /usr/sbin
cp -pf amavisd-new amavisd-new_bak
patch < /tmp/ubuntu-amavisd-new-2.11.patch
En caso de que obtenga un error para el último comando de 'parche', es probable que Ubuntu haya solucionado el problema mientras tanto, por lo que debería ser seguro ignorar ese error en ese momento.
7.1 Instalar el servidor Metronome XMPP (opcional)
El servidor Metronome XMPP proporciona un servidor de chat XMPP. Este paso es opcional, si no necesita un servidor de chat, puede omitir este paso. Ninguna otra función de ISPConfig depende de este software.
Instale los siguientes paquetes con apt.
apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks
luarocks install lpc
Agregue un usuario shell para Metronome.
adduser --no-create-home --disabled-login --gecos 'Metronome' metronome
Descargue Metronome en el directorio /opt y compílelo.
cd /opt; git clone https://github.com/maranda/metronome.git metronome
cd ./metronome; ./configure --ostype=debian --prefix=/usr
make
make install
El metrónomo ahora se ha instalado en /opt/metronome.