Dieses Tutorial zeigt die Installation eines Webhosting-Servers mit Ubuntu 17.10 (Artful Aardvark) mit Apache2, Postfix, Dovecot, Bind und PureFTPD, um ihn für die Installation von ISPConfig 3.1 vorzubereiten. Das resultierende System stellt einen Web-, Mail-, Mailinglisten-, DNS- und FTP-Server bereit.
ISPConfig 3 ist ein Webhosting-Kontrollfeld, mit dem Sie die folgenden Dienste über einen Webbrowser konfigurieren können:Apache- oder Nginx-Webserver, Postfix-Mailserver, Courier- oder Dovecot-IMAP/POP3-Server, MySQL-, BIND- oder MyDNS-Nameserver, PureFTPd, SpamAssassin, ClamAV und viele mehr. Dieses Setup umfasst die Installation von Apache (anstelle von Nginx), BIND (anstelle von MyDNS) und Dovecot (anstelle von Courier).
Dieses Tutorial handelt von Ubuntu 17.10, einer Version ohne LTS (Long Term Support). Die meisten Nutzer bevorzugen eine LTS-Version als Server, die Updates und Sicherheitspatches viel länger erhält. Die neueste LTS-Version ist Ubuntu 16.04, dieses Tutorial existiert auch in einer Ubuntu 16.04-Version. Überlegen Sie sorgfältig, ob Sie die neuesten Pakete benötigen (und kein Problem mit einem kurzen Supportzeitraum haben), und fahren Sie dann mit diesem Tutorial fort. Wenn Sie langjährige Unterstützung benötigen, verwenden Sie stattdessen bitte das Ubuntu 16.04 Perfect Server Tutorial .
1. Vorbemerkung
In diesem Tutorial verwende ich den Hostnamen server1.example.com mit der IP-Adresse 192.168.0.100 und dem Gateway 192.168.0.1 . Diese Einstellungen können für Sie unterschiedlich sein, daher müssen Sie sie gegebenenfalls ersetzen. Bevor Sie fortfahren, benötigen Sie eine einfache Minimalinstallation von Ubuntu 17.10, wie im Tutorial erklärt.
2. Bearbeiten Sie /etc/apt/sources.list und aktualisieren Sie Ihre Linux-Installation
Bearbeiten Sie /etc/apt/sources.list. Kommentieren Sie die Installations-CD aus oder entfernen Sie sie aus der Datei und stellen Sie sicher, dass die Universe- und Multiverse-Repositories aktiviert sind. Danach sollte es so aussehen:
nano /etc/apt/sources.list
#
# deb cdrom:[Ubuntu-Server 17.10 _Artful Aardvark_ - Release amd64 (20171017.1)]/ artful main restricted
#deb cdrom:[Ubuntu-Server 17.10 _Artful Aardvark_ - Release amd64 (20171017.1)]/ artful main restricted
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://de.archive.ubuntu.com/ubuntu/ artful main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ artful main restricted
## Major bug fix updates produced after the final release of the
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ artful-updates main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ artful-updates main restricted
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ artful universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ artful universe
deb http://de.archive.ubuntu.com/ubuntu/ artful-updates universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ artful-updates universe
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://de.archive.ubuntu.com/ubuntu/ artful multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ artful multiverse
deb http://de.archive.ubuntu.com/ubuntu/ artful-updates multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ artful-updates multiverse
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ artful-backports main restricted universe multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ artful-backports main restricted universe multiverse
## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu artful partner
# deb-src http://archive.canonical.com/ubuntu artful partner
deb http://security.ubuntu.com/ubuntu artful-security main restricted
# deb-src http://security.ubuntu.com/ubuntu artful-security main restricted
deb http://security.ubuntu.com/ubuntu artful-security universe
# deb-src http://security.ubuntu.com/ubuntu artful-security universe
deb http://security.ubuntu.com/ubuntu artful-security multiverse
# deb-src http://security.ubuntu.com/ubuntu artful-security multiverse
Dann ausführen
apt-get update
um die apt-Paketdatenbank zu aktualisieren und
apt-get upgrade
um die neuesten Updates zu installieren (falls vorhanden). Wenn Sie sehen, dass im Rahmen der Updates ein neuer Kernel installiert wird, sollten Sie das System danach neu starten:
reboot
3. Ändern Sie die Standard-Shell
/bin/sh ist ein symbolischer Link zu /bin/dash, wir brauchen jedoch /bin/bash, nicht /bin/dash. Deshalb machen wir das:
dpkg-reconfigure dash
Dash als Standardsystem-Shell verwenden (/bin/sh)? <-- Nein
Andernfalls schlägt die Installation von ISPConfig fehl.
4. AppArmor deaktivieren
AppArmor ist eine Sicherheitserweiterung (ähnlich wie SELinux), die erweiterte Sicherheit bieten soll. Meiner Meinung nach brauchen Sie es nicht, um ein sicheres System zu konfigurieren, und es verursacht normalerweise mehr Probleme als Vorteile (denken Sie daran, nachdem Sie eine Woche lang Fehler behoben haben, weil ein Dienst nicht wie erwartet funktioniert hat, und dann Sie feststellen, dass alles in Ordnung war, nur AppArmor verursachte das Problem). Daher deaktiviere ich es (dies ist ein Muss, wenn Sie später ISPConfig installieren möchten).
Wir können es wie folgt deaktivieren:
service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils
5. Synchronisieren Sie die Systemuhr
Es ist eine gute Idee, die Systemuhr mit einem NTP (n Netzwerk t ich bin p rotocol)-Server über das Internet, wenn Sie einen physischen Server betreiben. Falls Sie einen virtuellen Server betreiben, sollten Sie diesen Schritt überspringen. Laufen Sie einfach
apt-get -y install ntp
und Ihre Systemzeit wird immer synchron sein.
6. Installieren Sie Postfix, Dovecot, MariaDB, rkhunter und binutils
Für die Installation von Postfix müssen wir sicherstellen, dass sendmail nicht installiert ist und ausgeführt wird. Um sendmail zu stoppen und zu entfernen, führen Sie diesen Befehl aus:
service sendmail stop; update-rc.d -f sendmail remove
Die Fehlermeldung:
Failed to stop sendmail.service: Unit sendmail.service not loaded.
Ist ok, es bedeutet nur, dass sendmail nicht installiert war, also gab es nichts zu entfernen.
Jetzt können wir Postfix, Dovecot, MariaDB (als MySQL-Ersatz), rkhunter und binutils mit einem einzigen Befehl installieren:
apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo
Ihnen werden die folgenden Fragen gestellt:
General type of mail configuration: <-- Internet Site
System mail name: <-- server1.example.com
Wichtig ist, dass Sie als "System-Mail-Name" eine Subdomain wie server1.example.com oder server1.ihredomain.com verwenden und keine Domain, die Sie später als E-Mail-Domain verwenden möchten (z. B. ihredomain.tld).
Öffnen Sie als Nächstes die TLS/SSL- und Übermittlungsports in Postfix:
nano /etc/postfix/master.cf
Kommentieren Sie die Abschnitte "submission" und "smtps" wie folgt aus - fügen Sie die Zeile -o smtpd_client_restrictions=permit_sasl_authenticated,reject zu beiden Abschnitten hinzu und lassen Sie alles danach auskommentiert:
[...] submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions # -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions # -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING [...]
HINWEIS:Die Leerzeichen vor den "-o .... "-Zeilen sind wichtig!
Postfix danach neu starten:
service postfix restart
Wir möchten, dass MySQL auf allen Schnittstellen lauscht, nicht nur auf localhost. Daher bearbeiten wir /etc/mysql/mariadb.conf.d/50-server.cnf und kommentieren die Zeile bind-address =127.0.0.1 aus und fügen die Zeile sql-mode="NO_ENGINE_SUBSTITUTION" hinzu :
nano /etc/mysql/mariadb.conf.d/50-server.cnf
[...] # Instead of skip-networking the default is now to listen only on # localhost which is more compatible and is not less secure. #bind-address = 127.0.0.1
sql-mode="NO_ENGINE_SUBSTITUTION"
[...]
Jetzt setzen wir ein Root-Passwort in MariaDB. Ausführen:
mysql_secure_installation
Ihnen werden folgende Fragen gestellt:
Enter current password for root (enter for none): <-- press enter
Set root password? [Y/n] <-- y
New password: <-- Enter the new MariaDB root password here
Re-enter new password: <-- Repeat the password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y
Stellen Sie die Passwort-Authentifizierungsmethode in MariaDB auf nativ ein, damit wir später PHPMyAdmin verwenden können, um uns als Root-Benutzer zu verbinden:
echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root
Bearbeiten Sie die Datei /etc/mysql/debian.cnf und setzen Sie das MYSQL/MariaDB-Root-Passwort dort zweimal in den Zeilen, die mit password beginnen.
nano /etc/mysql/debian.cnf
Das MySQL-Root-Passwort, das hinzugefügt werden muss, wird in read angezeigt, in diesem Beispiel lautet das Passwort "howtoforge".
# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
basedir = /usr
Dann starten wir MariaDB neu:
service mysql restart
Überprüfen Sie nun, ob das Netzwerk aktiviert ist. Ausführen
netstat -tap | grep mysql
Die Ausgabe sollte so aussehen:
[email protected]:~# netstat -tap | grep mysql
tcp6 0 0 [::]:mysql [::]:* LISTEN 30591/mysqld
[email protected]:~#
7. Installieren Sie Amavisd-new, SpamAssassin und Clamav
Um amavisd-new, SpamAssassin und ClamAV zu installieren, führen wir
ausapt-get -y install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl postgrey
Das ISPConfig 3-Setup verwendet amavisd, das die SpamAssassin-Filterbibliothek intern lädt, sodass wir SpamAssassin stoppen können, um etwas RAM freizugeben:
service spamassassin stop
update-rc.d -f spamassassin remove
Um ClamAV zu starten, verwenden Sie:
freshclam
service clamav-daemon start
Der folgende Fehler kann bei der ersten Ausführung von freshclam ignoriert werden.
ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).
7.1 Metronome XMPP Server installieren (optional)
Der Metronome XMPP-Server stellt einen XMPP-Chat-Server bereit. Dieser Schritt ist optional, wenn Sie keinen Chat-Server benötigen, können Sie diesen Schritt überspringen. Keine anderen ISPConfig-Funktionen hängen von dieser Software ab.
Installieren Sie die folgenden Pakete mit apt.
apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks
luarocks install lpc
Fügen Sie einen Shell-Benutzer für Metronom hinzu.
adduser --no-create-home --disabled-login --gecos 'Metronome' metronome
Laden Sie Metronome in das Verzeichnis /opt herunter und kompilieren Sie es.
cd /opt; git clone https://github.com/maranda/metronome.git metronome
cd ./metronome; ./configure --ostype=debian --prefix=/usr
make
make install
Metronome wurde nun nach /opt/metronome.
installiert