Dieses Tutorial zeigt die Schritte zur Installation eines Ubuntu 15.10 (Wiley Werewolf) Servers mit Nginx, PHP, MariaDB, Postfix, pure-ftpd, BIND, Dovecot und ISPConfig 3. ISPConfig 3 ist ein Webhosting Control Panel, mit dem Sie die installierten konfigurieren können Dienste über einen Webbrowser. Dieses Setup bietet einen vollständigen Hosting-Server mit Web-, E-Mail- (inkl. Spam- und Antivirenfilter), Datenbank-, FTP- und DNS-Diensten.
1. Vorbemerkung
In dieser Anleitung verwende ich den Hostnamen server1.example.com mit der IP-Adresse 192.168.1.100 und dem Gateway 192.168.1.1 für die Netzwerkkonfiguration. Diese Einstellungen können für Sie unterschiedlich sein, daher müssen Sie sie gegebenenfalls ersetzen. Bevor Sie fortfahren, benötigen Sie eine grundlegende Minimalinstallation von Ubuntu 15.10, wie im Tutorial erklärt.
Die Schritte in diesem Tutorial müssen als Root-Benutzer ausgeführt werden, daher werde ich den Befehlen kein "sudo" voranstellen. Melden Sie sich entweder als Root-Benutzer bei Ihrem Server an, bevor Sie fortfahren, oder führen Sie Folgendes aus:
sudo su
um root zu werden, wenn Sie als ein anderer Benutzer auf der Shell angemeldet sind.
Die Befehle zum Bearbeiten von Dateien verwenden den Editor "nano", Sie können ihn durch einen Editor Ihrer Wahl ersetzen. Nano ist ein einfach zu bedienender Dateieditor für die Shell. Wenn Sie Nano verwenden möchten und es noch nicht installiert haben, führen Sie Folgendes aus:
apt-get install nano
2. Aktualisieren Sie Ihre Linux-Installation
Bearbeiten Sie /etc/apt/sources.list. Kommentieren Sie die Installations-CD aus oder entfernen Sie sie aus der Datei und stellen Sie sicher, dass die Universe- und Multiverse-Repositories aktiviert sind. Es sollte so aussehen:
nano /etc/apt/sources.list
#
# deb cdrom:[Ubuntu-Server 15.10 _Wily Werewolf_ - Release amd64 (20151021)]/ wily main restricted
#deb cdrom:[Ubuntu-Server 15.10 _Wily Werewolf_ - Release amd64 (20151021)]/ wily main restricted
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://de.archive.ubuntu.com/ubuntu/ wily main restricted
deb-src http://de.archive.ubuntu.com/ubuntu/ wily main restricted
## Major bug fix updates produced after the final release of the
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ wily-updates main restricted
deb-src http://de.archive.ubuntu.com/ubuntu/ wily-updates main restricted
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ wily universe
deb-src http://de.archive.ubuntu.com/ubuntu/ wily universe
deb http://de.archive.ubuntu.com/ubuntu/ wily-updates universe
deb-src http://de.archive.ubuntu.com/ubuntu/ wily-updates universe
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://de.archive.ubuntu.com/ubuntu/ wily multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ wily multiverse
deb http://de.archive.ubuntu.com/ubuntu/ wily-updates multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ wily-updates multiverse
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ wily-backports main restricted universe multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ wily-backports main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu wily-security main restricted
deb-src http://security.ubuntu.com/ubuntu wily-security main restricted
deb http://security.ubuntu.com/ubuntu wily-security universe
deb-src http://security.ubuntu.com/ubuntu wily-security universe
deb http://security.ubuntu.com/ubuntu wily-security multiverse
deb-src http://security.ubuntu.com/ubuntu wily-security multiverse
## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu wily partner
# deb-src http://archive.canonical.com/ubuntu wily partner
Führen Sie dann Folgendes aus:
apt-get update
So aktualisieren Sie die apt-Paketdatenbank und dann:
apt-get upgrade
um die neuesten Updates zu installieren (falls vorhanden). Wenn Sie sehen, dass im Rahmen der Updates ein neuer Kernel installiert wird, sollten Sie das System danach neu starten:
reboot
3. Ändern Sie die Standard-Shell
/bin/sh ist ein symbolischer Link zu /bin/dash, wir brauchen jedoch /bin/bash, nicht /bin/dash. Deshalb machen wir das:
dpkg-reconfigure dash
Dash als Standardsystem-Shell verwenden (/bin/sh)? <-- Nein
Andernfalls schlägt die Installation von ISPConfig fehl.
4. AppArmor deaktivieren
AppArmor ist eine Sicherheitserweiterung (ähnlich wie SELinux), die erweiterte Sicherheit bieten soll. Es wird ab 13.10 nicht mehr standardmäßig installiert. Wir werden überprüfen, ob es installiert ist. Meiner Meinung nach brauchen Sie es nicht, um ein sicheres System zu konfigurieren, und es verursacht normalerweise mehr Probleme als Vorteile (denken Sie daran, nachdem Sie eine Woche lang Fehler behoben haben, weil ein Dienst nicht wie erwartet funktioniert hat, und dann Sie feststellen, dass alles in Ordnung war, nur AppArmor verursachte das Problem). Daher deaktiviere ich es (dies ist ein Muss, wenn Sie später ISPConfig installieren möchten).
Wir können es wie folgt deaktivieren:
service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils
5. Synchronisieren Sie die Systemuhr
Es ist eine gute Idee, die Systemuhr mit einem NTP (n Netzwerk t ich bin p rotocol)-Server über das Internet. Einfach ausführen
apt-get install ntp ntpdate
und Ihre Systemzeit wird immer synchron sein.
6. Installieren Sie Postfix, Dovecot, MariaDB, phpMyAdmin, rkhunter, Binutils
Wir können Postfix, Dovecot, MariaDB (als MySQL-Ersatz), rkhunter und binutils mit einem einzigen Befehl installieren:
apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve sudo
MariaDB ist ein Fork des MySQL-Datenbankservers, der vom ursprünglichen MySQL-Entwickler Monty Widenius entwickelt wurde. Laut im Internet gefundenen Tests ist MariaDB schneller als MySQL und seine Entwicklung schreitet schneller voran, daher haben die meisten Linux-Distributionen MySQL durch MariaDB als standardmäßigen "MySQL-ähnlichen" Datenbankserver ersetzt. Falls Sie MySQL gegenüber MariaDB bevorzugen, ersetzen Sie „mariadb-client mariadb-server“ im obigen Befehl durch „mysql-client mysql-server“.
Ihnen werden die folgenden Fragen gestellt:
General type of mail configuration: <-- Internet Site
System mail name: <-- server1.example.com
Öffnen Sie als nächstes die TLS/SSL- und Übermittlungsports in Postfix:
nano /etc/postfix/master.cf
Kommentieren Sie die Abschnitte "submission" und "smtps" wie folgt aus - fügen Sie die Zeile -o smtpd_client_restrictions=permit_sasl_authenticated,reject zu beiden Abschnitten hinzu und lassen Sie alles danach auskommentiert:
[...] submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions # -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions # -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING [...]
Postfix danach neu starten:
service postfix restart
Wir möchten, dass MariaDB/MySQL auf allen Schnittstellen lauscht, nicht nur auf localhost. Dazu bearbeiten wir /etc/mysql/mariadb.conf.d/mysqld.cnf (für MariaDB oder /etc/mysql/my.cnf (für MySQL) und kommentieren die Zeile bind-address =127.0.0.1 aus:
MariaDB
nano /etc/mysql/mariadb.conf.d/mysqld.cnf
[...] # Instead of skip-networking the default is now to listen only on # localhost which is more compatible and is not less secure. #bind-address = 127.0.0.1 [...]
Dann starten wir MariaDB neu:
service mysql restart
Der systemd-Dienstname für MariaDB und MySQL ist „mysql“, daher ist der Neustartbefehl für beide Datenbankserver gleich.
Jetzt setzen wir ein Root-Passwort in MariaDB. Ausführen:
mysql_secure_installation
Ihnen werden folgende Fragen gestellt:
Enter current password for root (enter for none): <-- press enter
Set root password? [Y/n] <-- y
New password: <-- Enter the new MariaDB root password here
Re-enter new password: <-- Repeat the password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y
Führen Sie dann diesen Befehl aus, um das UNIX-Authentifizierungs-Plugin für den Root-Benutzer zu deaktivieren:
echo "update user set plugin='' where User='root';flush privileges;" | mysql --defaults-file=/etc/mysql/debian.cnf mysql
Um eine passwortbasierte Authentifizierung von PHPMyAdmin zuzulassen.
MySQL
nano /etc/mysql/my.cnf
[...] # Instead of skip-networking the default is now to listen only on # localhost which is more compatible and is not less secure. #bind-address = 127.0.0.1 [...]
Dann starten wir MySQL neu:
service mysql restart
Der systemd-Dienstname für MariaDB und MySQL ist „mysql“, daher ist der Neustartbefehl für beide Datenbankserver gleich.
Für MySQL und MariaDB:
Überprüfen Sie nun, ob das Netzwerk aktiviert ist. Ausführen:
netstat -tap | grep mysql
Die Ausgabe sollte so aussehen:
[email protected]:~# netstat -tap | grep mysql
tcp 0 0 *:mysql *:* LISTEN 8032/mysqld
[email protected]:~#
7. Installieren Sie Amavisd-new, SpamAssassin und ClamAV
Um amavisd-new, SpamAssassin und ClamAV zu installieren, führen wir
ausapt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl
Das ISPConfig 3-Setup verwendet amavisd-new, das die SpamAssassin-Filterbibliothek intern lädt, sodass wir SpamAssassin stoppen können, um RAM freizugeben:
service spamassassin stop
update-rc.d -f spamassassin remove
Um die ClamAV Antivirus-Signaturen zu aktualisieren und den Clamd-Dienst zu starten. Der Aktualisierungsvorgang kann einige Zeit dauern, unterbrechen Sie ihn nicht.
freshclam
service clamav-daemon start