Dieses Tutorial zeigt, wie man einen Debian 9-Server (mit Apache2, BIND, Dovecot) für die Installation von ISPConfig 3.1 vorbereitet und ISPConfig installiert. Das Webhosting-Kontrollfeld ISPConfig 3 ermöglicht Ihnen die Konfiguration der folgenden Dienste über einen Webbrowser:Apache- oder Nginx-Webserver, Postfix-Mailserver, Courier- oder Dovecot-IMAP/POP3-Server, MySQL-, BIND- oder MyDNS-Nameserver, PureFTPd, SpamAssassin, ClamAV, und viele mehr. Dieses Setup deckt Apache (anstelle von nginx), BIND und Dovecot ab.
1 Vorbemerkung
In diesem Tutorial verwende ich den Hostnamen server1.example.com mit der IP-Adresse 192.168.1.100 und dem Gateway 192.168.1.1. Diese Einstellungen können für Sie unterschiedlich sein, daher müssen Sie sie gegebenenfalls ersetzen. Bevor Sie fortfahren, benötigen Sie eine minimale Installation von Debian 9. Dies kann ein minimales Debian-Image von Ihrem Hosting-Anbieter sein, oder Sie verwenden das Tutorial für minimalen Debian-Server, um das Basissystem einzurichten.
2 Installieren Sie den SSH-Server (optional)
Wenn Sie den OpenSSH-Server nicht während der Systeminstallation installiert haben, können Sie dies jetzt tun:
apt-get install ssh openssh-server
Von nun an können Sie einen SSH-Client wie PuTTY verwenden und sich von Ihrer Workstation aus mit Ihrem Debian 9-Server verbinden und den verbleibenden Schritten dieses Tutorials folgen.
3 Installieren Sie einen Shell-Texteditor (optional)
Wir werden Nano verwenden Texteditor in diesem Tutorial. Einige Benutzer bevorzugen den klassischen vi-Editor, daher werden wir hier beide Editoren installieren. Das standardmäßige vi-Programm zeigt unter Debian und Ubuntu ein seltsames Verhalten; Um dies zu beheben, installieren wir vim-nox:
apt-get install nano vim-nox
Wenn vi Ihr Lieblingseditor ist, ersetzen Sie in den folgenden Befehlen zum Bearbeiten von Dateien nano durch vi.
4 Konfigurieren Sie den Hostnamen
Der Hostname Ihres Servers sollte eine Subdomain wie "server1.example.com" sein. Verwenden Sie als Hostnamen keinen Domainnamen ohne Subdomain-Anteil wie "example.com", da dies später zu Problemen mit Ihrer Mail-Einrichtung führen wird. Zuerst sollten Sie den Hostnamen in /etc/hosts überprüfen und bei Bedarf ändern. Die Zeile sollte lauten:"IP Address - space - full hostname incl. domain - space - subdomain part". Für unseren Hostnamen server1.example.com sollte die Datei so aussehen:
nano /etc/hosts
127.0.0.1 localhost.localdomain localhost192.168.1.100 server1.example.com server1# Die folgenden Zeilen sind für IPv6-fähige Hosts wünschenswert::1 localhost ip6-localhost ip6-loopbackff02::1 ip6-allnodesff02::2 ip6 -allrouter
Bearbeiten Sie dann die Datei /etc/hostname:
nano /etc/hostname
Sie soll nur den Teil der Subdomain enthalten, in unserem Fall:
server1
Starten Sie abschließend den Server neu, um die Änderung zu übernehmen:
Neustart
Melden Sie sich erneut an und überprüfen Sie jetzt mit diesen Befehlen, ob der Hostname korrekt ist:
Hostname
Hostname -f
Die Ausgabe soll wie folgt aussehen:
[E-Mail-geschützt]:/tmp# Hostname
server1
[E-Mail-geschützt]:/tmp# Hostname -f
server1.example.com
5 Aktualisieren Sie Ihre Debian-Installation
Stellen Sie zunächst sicher, dass Ihre /etc/apt/sources.list das stretch/updates-Repository enthält (dies stellt sicher, dass Sie immer die neuesten Sicherheitsupdates erhalten) und dass die contrib- und non-free-Repositorys aktiviert sind, da einige erforderliche Pakete dies nicht sind im Haupt-Repository.
nano /etc/apt/sources.list
deb http://ftp.us.debian.org/debian/ stretch main contrib non-free
deb-src http://ftp.us.debian.org/debian/ stretch main contrib non- free
deb http://security.debian.org/debian-security stretch/updates main contrib non-free
deb-src http://security.debian.org/debian- Sicherheitsstretching/Updates Hauptbeitrag unfrei
Ausführen:
apt-get-Update
So aktualisieren Sie die apt-Paketdatenbank
apt-get-Upgrade
und um die neuesten Updates zu installieren (falls vorhanden).
6 Standard-Shell ändern
/bin/sh ist ein symbolischer Link zu /bin/dash, wir brauchen jedoch /bin/bash, nicht /bin/dash. Deshalb machen wir das:
dpkg-reconfigure dash
Dash als Standardsystem-Shell verwenden (/bin/sh)? <- nein
Andernfalls schlägt die Installation von ISPConfig fehl.
7 Synchronisieren Sie die Systemuhr
Es ist eine gute Idee, die Systemuhr mit einem NTP (n Netzwerk t ich bin p rotocol)-Server über das Internet. Einfach ausführen
apt-get install ntp
und Ihre Systemzeit wird immer synchron sein.
8 Installieren Sie Postfix, Dovecot, MySQL, rkhunter und Binutils
Wir können Postfix, Dovecot, MySQL, rkhunter und Binutils mit einem einzigen Befehl installieren:
apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo
Wenn Sie MySQL gegenüber MariaDB bevorzugen, ersetzen Sie die Pakete „mariadb-client mariadb-server“ im obigen Befehl durch „mysql-client mysql-server“.
Ihnen werden die folgenden Fragen gestellt:
Allgemeine Art der E-Mail-Konfiguration:<-- Internet Site
System-Mail-Name:<-- server1.example.com
Um die MariaDB/MySQL-Installation zu sichern und die Testdatenbank zu deaktivieren, führen Sie diesen Befehl aus:
mysql_secure_installation
Beantworten Sie die Fragen wie folgt:
Das Root-Passwort ändern? [J/n] <-- j
Neues Passwort:<-- Geben Sie ein neues MySQL-Root-Passwort ein
Neues Passwort erneut eingeben:<-- Wiederholen Sie das MySQL-Root-Passwort
Entfernen Sie anonyme Benutzer ? [Y/n] <-- y
Root-Anmeldung aus der Ferne nicht zulassen? [Y/n] <-- y
Testdatenbank und Zugriff darauf entfernen? [Y/n] <-- y
Berechtigungstabellen jetzt neu laden? [J/n] <-- ja
Öffnen Sie als Nächstes die TLS/SSL- und Übermittlungsports in Postfix:
nano /etc/postfix/master.cf
Entkommentieren Sie die Abschnitte „submission“ und „smtps“ wie folgt und fügen Sie gegebenenfalls Zeilen hinzu, sodass dieser Abschnitt der Datei „master.cf“ genauso aussieht wie der untenstehende.
[...]submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
- o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions.
# -o smtpd_helo_restrictions=$mua_sender_restrictions br /># -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=sasl_authentifiziert zulassen, ablehnen
# -o milter_macro_daemon_name=ORIGINIEREN
smtps inet n - - - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions =$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_r estrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING[...]
Danach Postfix neu starten:
Service Postfix-Neustart
Wir möchten, dass MySQL auf allen Schnittstellen lauscht, nicht nur auf localhost. Daher bearbeiten wir /etc/mysql/mariadb.conf.d/50-server.cnf und kommentieren die Zeile bind-address =127.0.0.1 aus und fügen die Zeile sql-mode="NO_ENGINE_SUBSTITUTION" hinzu :
nano /etc/mysql/mariadb.conf.d/50-server.cnf
[...]# Anstelle des Überspringens von Netzwerken wird jetzt standardmäßig nur auf # localhost gelauscht, was kompatibler und nicht weniger sicher ist.# Bindungsadresse =127.0.0.1
sql-mode="NO_ENGINE_SUBSTITUTION"
[...]
Stellen Sie die Passwort-Authentifizierungsmethode in MariaDB auf nativ ein, damit wir später PHPMyAdmin verwenden können, um uns als Root-Benutzer zu verbinden:
echo "update mysql.user set plugin ='mysql_native_password' where user='root';" | mysql -u root
Bearbeiten Sie die Datei /etc/mysql/debian.cnf und setzen Sie das MYSQL/MariaDB-Root-Passwort dort zweimal in den Zeilen, die mit password beginnen.
nano /etc/mysql/debian.cnf
Das MySQL-Root-Passwort, das hinzugefügt werden muss, wird in read angezeigt, in diesem Beispiel lautet das Passwort "howtoforge".
# Automatisch generiert für Debian-Skripte. NICHT ANFASSEN!
[client]
host =localhost
user =root
password = howtoforge
socket =/var/run/mysqld/mysqld.sock
[mysql_upgrade]
host =localhost
user =root
password = howtoforge
socket =/var/run/mysqld/mysqld.sock
basedir =/usr
Um den Fehler 'Fehler beim Akzeptieren:Zu viele offene Dateien zu verhindern ' werden wir jetzt höhere Limits für offene Dateien für MariaDB festlegen.
Öffnen Sie die Datei /etc/security/limits.conf mit einem Editor:
nano /etc/security/limits.conf
und fügen Sie diese Zeilen am Ende der Datei hinzu.
mysql soft nofile 65535
mysql hard nofile 65535
Erstellen Sie als Nächstes mit dem Befehl mkdir ein neues Verzeichnis /etc/systemd/system/mysql.service.d/.
mkdir -p /etc/systemd/system/mysql.service.d/
und fügen Sie eine neue Datei darin hinzu:
nano /etc/systemd/system/mysql.service.d/limits.conf
Fügen Sie die folgenden Zeilen in diese Datei ein:
[Dienst]
LimitNOFILE=unendlich
Speichern Sie die Datei und schließen Sie den Nano-Editor.
Dann laden wir systemd neu und starten MariaDB neu:
systemctl daemon-reload
service mysql restart
Überprüfen Sie nun, ob das Netzwerk aktiviert ist. Ausführen
netstat -tap | grep mysql
Die Ausgabe sollte so aussehen:
[email protected]:/home/administrator# netstat -tap | grep mysql
tcp6 0 0 [::]:mysql [::]:* LISTEN 17776/mysqld
[email protected]:/home/administrator#
9 Installieren Sie Amavisd-new, SpamAssassin und ClamAV
Um amavisd-new, SpamAssassin und ClamAV zu installieren, führen wir
ausapt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl- perl libnet-ident-perl zip libnet-dns-perl libdbd-mysql-perl postgrey
Das ISPConfig 3-Setup verwendet amavisd, das die SpamAssassin-Filterbibliothek intern lädt, sodass wir SpamAssassin stoppen können, um etwas RAM freizugeben:
Dienst Spamassassin stoppen
systemctl Spamassassin deaktivieren
9.1 Metronome XMPP Server installieren (optional)
Dieser Schritt installiert den Metronome XMPP Server, der einen Chat-Server bereitstellt, der mit dem XMPP-Protokoll kompatibel ist. Dieser Schritt ist optional, wenn Sie keinen Chatserver benötigen, können Sie diesen Schritt überspringen. Keine anderen ISPConfig-Funktionen hängen von dieser Software ab.
Fügen Sie das Prosody-Paket-Repository in Debian hinzu.
echo "deb http://packages.prosody.im/debian stretch main"> /etc/apt/sources.list.d/metronome.list
wget http://prosody.im/files/ prosody-debian-packages.key -O - | sudo apt-key add -
Aktualisieren Sie die Paketliste:
apt-get-Update
und installieren Sie die Pakete mit apt.
apt-get install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks
luarocks installiert lpc
Fügen Sie einen Shell-Benutzer für Metronom hinzu.
adduser --no-create-home --disabled-login --gecos 'Metronom'-Metronom
Laden Sie Metronome in das Verzeichnis /opt herunter und kompilieren Sie es.
cd /opt; Git-Klon https://github.com/maranda/metronome.git metronome
cd ./metronome; ./configure --ostype=debian --prefix=/usr
make
make install
Metronome wurde nun nach /opt/metronome.
installiert
10 Installieren Sie Apache2, PHP, FCGI, suExec, Pear, phpMyAdmin und mcrypt
Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear und mcrypt können wie folgt installiert werden:
apt-get -y install apache2 apache2-doc apache2-utils libapache2-mod-php php7.0 php7.0-common php7.0-gd php7.0-mysql php7.0-imap phpmyadmin php7.0-cli php7.0-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear php7.0-mcrypt mcrypt imagemagick libruby libapache2-mod-python php7.0-curl php7.0-intl php7.0-pspell php7.0- recode php7.0-sqlite3 php7.0-tidy php7.0-xmlrpc php7.0-xsl memcached php-memcache php-imagick php-gettext php7.0-zip php7.0-mbstring memcached libapache2-mod-passenger php7.0 -Seife
Sie sehen die folgenden Fragen:
Webserver zur automatischen Neukonfiguration: <- apache2
Datenbank für phpmyadmin mit dbconfig-common konfigurieren? <- ja
Passwort der phpmyadmin-Anwendung eingeben? <- Drücken Sie einfach die Eingabetaste
Führen Sie dann den folgenden Befehl aus, um die Apache-Module suexec, rewrite, ssl, actions und include (plus dav, dav_fs und auth_digest, wenn Sie WebDAV verwenden möchten) zu aktivieren:
a2enmod suexec rewrite SSL-Aktionen enthalten dav_fs dav auth_digest CGI-Header
Um sicherzustellen, dass der Server nicht durch die HTTPOXY-Schwachstelle angegriffen werden kann, werden wir den HTTP_PROXY-Header in Apache global deaktivieren, indem wir die Konfigurationsdatei /etc/apache2/conf-available/httpoxy.conf hinzufügen.
nano /etc/apache2/conf-available/httpoxy.conf
Fügen Sie den folgenden Inhalt in die Datei ein:
RequestHeader setzt Proxy früh zurück
Und aktivieren Sie das Modul, indem Sie Folgendes ausführen:
a2enconf httpoxy
Dienst Apache2 Neustart
10.1 Installieren Sie HHVM (HipHop Virtual Machine)
Es sind noch keine HHVM-Pakete für Debian 9 verfügbar. HHVM ist ein optionaler PHP-Modus, Ihr Server funktioniert also ohne ihn, Sie können den PHP-Modus HHVM einfach nicht für Websites verwenden.
10.2 SuPHP
SuPHP ist für Debian 9 nicht mehr verfügbar, die SuPHP-Funktionen sind veraltet und werden auch aus ISPConfig entfernt. Verwenden Sie die verfügbaren PHP-Modi PHP-FPM oder PHP-FCGI zusammen mit suexec anstelle von SuPHP.
11 Installieren Sie Let's Encrypt
ISPConfig 3.1 unterstützt die kostenlose SSL-Zertifizierungsstelle Let's encrypt. Mit der Let's Encrypt-Funktion können Sie innerhalb von ISPConfig kostenlose SSL-Zertifikate für Ihre Website erstellen.
Jetzt werden wir Unterstützung für Let's encrypt hinzufügen.
cd /usr/local/bin
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto -- nur installieren
Es sind keine weiteren Schritte erforderlich als die Installation von LE. Die Website-SSL-Zertifikate werden von ISPConfig erstellt, wenn Sie die Websites hinzufügen.
12 Installieren Sie PHP-FPM
Um PHP-FPM mit Apache zu verwenden, benötigen wir das Apache-Modul mod_proxy_fcgi, das standardmäßig installiert ist und nur aktiviert werden muss. Wir können PHP-FPM und wie folgt installieren:
apt-get -y installiere php7.0-fpm
Stellen Sie sicher, dass Sie die Module aktivieren und Apache neu starten:
a2enmod-Aktionen proxy_fcgi alias
Dienst Apache2 neu starten
12.2 PHP-Opcode-Cache installieren (optional)
Opcache ist ein kostenloser PHP-Opcode-Cacher zum Zwischenspeichern und Optimieren von PHP-Zwischencode. APCu ist ein Kompatibilitätsmodul, das APC-kompatible Funktionen für Opcache bereitstellt, das von vielen CMS-Caching-Systemen verwendet wird. Es wird empfohlen, diese PHP-Erweiterungen zu installieren, um Ihre PHP-Seite zu beschleunigen.
APCu kann wie folgt installiert werden:
apt-get -y install php7.0-opcache php-apcu
Starten Sie nun Apache neu:
service apache2 neu starten
13 Mailman installieren
Mit ISPConfig können Sie Mailman-Mailinglisten verwalten (erstellen/ändern/löschen). Wenn Sie diese Funktion nutzen möchten, installieren Sie Mailman wie folgt:
apt-get install mailman
Wählen Sie mindestens eine Sprache aus, z. B.:
Unterstützte Sprachen: <-- de (Englisch)
Fehlende Websiteliste <-- Ok
Bevor wir Mailman starten können, muss eine erste Mailingliste namens mailman erstellt werden:
Newlist-Mailman
[email protected]:~# newlist mailman
Geben Sie die E-Mail-Adresse der Person ein, die die Liste führt: <-- Admin-E-Mail-Adresse, z. B. [email protected]
Anfängliches Mailman-Passwort: <-- Admin-Passwort für die Mailman-Liste
Um das Erstellen Ihrer Mailingliste abzuschließen, müssen Sie Ihre /etc/aliases (oder
äquivalente) Datei bearbeiten indem Sie die folgenden Zeilen hinzufügen und möglicherweise das
`newaliases"-Programm ausführen:
## mailman mailing list
mailman: "|/var/lib/mailman/mail/mailman post mailman"
mailman-admin: "|/var/lib/mailman/mail/mailman admin mailman"
mailman-bounces: "|/var/lib/mailman/mail/mailman bounces mailman"
mailman-confirm: "|/var/lib/mailman/mail/mailman confirm mailman"
mailman-join: "|/var/lib/mailman/mail/mailman join mailman"
mailman- Leave: "|/var/lib/mailman/mail/mailman leave mailman"
mailman-owner: "|/var/lib/mailman/mail/mailman owner mailman"
mailman-request: "| /var/lib/mailman/mail/mailman request mailman"
mailman-subscribe: "|/var/lib/mailman/mail/mailman subscribe mailman"
mailman-unsu bscribe: "|/var/lib/mailman/mail/mailman unsubscribe mailman"
Drücken Sie die Eingabetaste, um den Mailman-Besitzer zu benachrichtigen... <-- ENTER
[email protected] :~#
Danach /etc/aliases öffnen...
nano /etc/aliases
... und fügen Sie die folgenden Zeilen hinzu:
[...]## mailman mailing listmailman:"|/var/lib/mailman/mail/mailman post mailman"mailman-admin:"|/var/lib/mailman/mail/mailman admin mailman"mailman- Bounces:"|/var/lib/mailman/mail/mailman Bounces mailman"mailman-confirm:"|/var/lib/mailman/mail/mailman bestätigen mailman"mailman-join:"|/var/lib/mailman/mail /mailman mailman beitreten"mailman-leave:"|/var/lib/mailman/mail/mailman mailman verlassen"mailman-owner:"|/var/lib/mailman/mail/mailman Eigentümer mailman"mailman-request:"|/ var/lib/mailman/mail/mailman mailman anfordern"mailman-subscribe:"|/var/lib/mailman/mail/mailman mailman abonnieren"mailman-unsubscribe:"|/var/lib/mailman/mail/mailman Mailman abmelden"
Ausführen:
newaliases
und starten Sie Postfix neu:
Service Postfix-Neustart
Schließlich müssen wir die Mailman-Apache-Konfiguration aktivieren:
ln -s /etc/mailman/apache.conf /etc/apache2/conf-enabled/mailman.conf
Dies definiert den Alias /cgi-bin/mailman/ für alle Apache vhosts, was bedeutet, dass Sie auf die Mailman-Admin-Oberfläche für eine Liste unter http://server1.example.com/cgi-bin/mailman/admin/ zugreifen können, und die Webseite für Benutzer einer Mailingliste finden Sie unter http://server1.example.com/cgi-bin/mailman/listinfo/.
Unter http://server1.example.com/pipermail finden Sie die Mailinglisten-Archive.
Danach Apache neu starten:
Dienst Apache2 neu starten
Starten Sie dann den Mailman-Daemon:
Service Mailman starten
14 Installieren Sie PureFTPd und Quota
PureFTPd und Quota können mit dem folgenden Befehl installiert werden:
apt-get install pure-ftpd-common pure-ftpd-mysql Kontingent Kontingenttool
Erstellen Sie die dhparam-Datei für pure-ftpd:
openssl dhparam -out /etc/ssl/private/pure-ftpd-dhparams.pem 2048
Bearbeiten Sie die Datei /etc/default/pure-ftpd-common...
nano /etc/default/pure-ftpd-common
... und stellen Sie sicher, dass der Startmodus auf Standalone eingestellt ist und setzen Sie VIRTUALCHROOT=true:
[...]STANDALONE_OR_INETD=eigenständig[...]VIRTUALCHROOT=true[...]
Jetzt konfigurieren wir PureFTPd so, dass FTP- und TLS-Sitzungen zugelassen werden. FTP ist ein sehr unsicheres Protokoll, da alle Passwörter und alle Daten im Klartext übertragen werden. Durch die Verwendung von TLS kann die gesamte Kommunikation verschlüsselt werden, wodurch FTP viel sicherer wird.
Wenn Sie FTP- und TLS-Sitzungen zulassen möchten, führen Sie
ausecho 1> /etc/pure-ftpd/conf/TLS
Um TLS verwenden zu können, müssen wir ein SSL-Zertifikat erstellen. Ich erstelle es in /etc/ssl/private/, also erstelle ich zuerst dieses Verzeichnis:
mkdir -p /etc/ssl/private/
Anschließend können wir das SSL-Zertifikat wie folgt generieren:
openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem
Ländername (2-Buchstaben-Code) [AU]:<-- Geben Sie Ihren Ländernamen ein (z. B. "DE").
Staats- oder Provinzname (vollständiger Name) [Some-State]:<-- Geben Sie Ihren Bundesstaat oder Ihre Provinz ein.
Ortsname (z. B. Stadt) []:<-- Geben Sie Ihre Stadt ein.
Organisationsname (z. B. Unternehmen) [Internet Widgits Pty Ltd]:<-- Geben Sie ein Ihr Organisationsname (z. B. der Name Ihres Unternehmens).
Name der Organisationseinheit (z. B. Abschnitt) []:<-- Geben Sie den Namen Ihrer Organisationseinheit ein (z. B. "IT-Abteilung").
Allgemeiner Name (z. B. IHR Name) []:<-- Geben Sie den vollständig qualifizierten Domänennamen des Systems ein (z. B. "server1.example.com").
E-Mail-Adresse []: <-- Geben Sie Ihre E-Mail-Adresse ein.
Ändern Sie die Berechtigungen des SSL-Zertifikats:
chmod 600 /etc/ssl/private/pure-ftpd.pem
Starten Sie dann PureFTPd neu:
Dienst pure-ftpd-mysql neu starten
Bearbeiten Sie /etc/fstab. Meine sieht so aus (ich habe ,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 zur Partition mit dem Einhängepunkt / hinzugefügt):
nano /etc/fstab
# /etc/fstab:Statische Dateisysteminformationen.
#
# Verwenden Sie 'blkid', um die universell eindeutige Kennung für ein
# Gerät auszugeben; Dies kann mit UUID=als robustere Methode zum Benennen von Geräten verwendet werden,
# die auch dann funktioniert, wenn Festplatten hinzugefügt und entfernt werden. Siehe fstab(5).
#
#
# / war während der Installation auf /dev/sda1
UUID=f539c5cb-624f-4c27-a149-1446a251a453 / ext4 error=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1
# Swap war auf /dev /sda5 während der Installation
UUID=8d3194e7-edb5-4492-937d-d066b4994baf none swap sw 0 0
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0
Führen Sie die folgenden Befehle aus, um Kontingente zu aktivieren:
mount -o remount /
quotacheck -avugm
quotaon -avug
15 Installieren Sie den BIND-DNS-Server
BIND kann wie folgt installiert werden:
apt-get install bind9 dnsutils
Wenn Ihr Server eine virtuelle Maschine ist, wird dringend empfohlen, den Haveged-Daemon zu installieren, um eine höhere Entropie für die DNSSEC-Signatur zu erhalten. Sie können haveged auch auf nicht-virtuellen Servern installieren, es sollte nicht schaden.
apt-get install muss
Eine Erklärung zu diesem Thema finden Sie hier.
16 Installieren Sie Webalizer und AWStats
Webalizer und AWStats können wie folgt installiert werden:
apt-get install webalizer awstats geoip-database libclass-dbi-mysql-perl libtimedate-perl
Danach /etc/cron.d/awstats öffnen...
nano /etc/cron.d/awstats
... und alles in dieser Datei auskommentieren:
#MAILTO=root#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] &&/usr/share/awstats/tools/update.sh# Statik generieren report:#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] &&/usr/share/awstats/tools/buildstatic.sh
17 Jailkit installieren
Jailkit wird nur benötigt, wenn Sie SSH-Benutzer chrooten möchten. Es kann wie folgt installiert werden:
apt-get install build-essential autoconf automake libtool flex bison debhelper binutils
cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz
tar xvfz jailkit-2.20.tar.gz
cd jailkit- 2.20
echo 5> debian/compat
./debian/rules binär
Sie können nun das Jailkit .deb-Paket wie folgt installieren:
cd ..
dpkg -i jailkit_2.20-1_*.deb
rm -rf jailkit-2.20*
18 Installieren Sie fail2ban und die UFW-Firewall
Dies ist optional, wird aber empfohlen, da der ISPConfig-Monitor versucht, das Protokoll anzuzeigen:
apt-get install fail2ban
Damit fail2ban PureFTPd und Dovecot überwacht, erstellen Sie die Datei /etc/fail2ban/jail.local:
nano /etc/fail2ban/jail.local
Und fügen Sie die folgende Konfiguration hinzu.
[pure-ftpd]
enabled =true
port =ftp
filter =pure-ftpd
logpath =/var/log/syslog
maxretry =3
[Dovecot]
enabled =true
filter =dovecot
logpath =/var/log/mail.log
maxretry =5
[postfix-sasl]
enabled =true
port =smtp
filter =postfix-sasl
logpath =/var/log/mail.log
maxretry =3
Danach fail2ban neu starten:
Dienst fail2ban Neustart
Um die UFW-Firewall zu installieren, führen Sie diesen apt-Befehl aus:
apt-get install ufw
19 RoundCube installieren
Installieren Sie RoundCube mit diesem Befehl:
apt-get installiere roundcube roundcube-core roundcube-mysql roundcube-plugins
Das Installationsprogramm stellt die folgenden Fragen:
Datenbank für Roundcube mit dbconfig.common konfigurieren? <-- ja
MySQL-Anwendungspasswort für Roundcube:<-- drücken Sie die Eingabetaste
Passwort des administrativen Benutzers der Datenbank:<-- geben Sie hier das MySQL-Root-Passwort ein.
Bearbeiten Sie dann die RoundCube-Datei /etc/roundcube/config.inc.php und passen Sie einige Einstellungen an:
nano /etc/roundcube/config.inc.php
Setzen Sie default_host und smtp_server auf localhost.
$config['default_host'] ='localhost';
$config['smtp_server'] ='localhost';
Bearbeiten Sie dann die Apache-Roundcube-Konfigurationsdatei /etc/apache2/conf-enabled/roundcube.conf:
nano /etc/apache2/conf-enabled/roundcube.conf
Und fügen Sie eine Alias-Zeile für den Apache /webmail-Alias hinzu, Sie können die Zeile direkt am Anfang der Datei hinzufügen. HINWEIS:Verwenden Sie nicht /mail als Alias, sonst funktioniert das E-Mail-Modul von ispconfig nicht mehr!
Alias /webmail /var/lib/roundcube
Laden Sie dann Apache neu:
Dienst Apache2 neu laden
Jetzt können Sie wie folgt auf RoundCube zugreifen:
http://192.168.1.100/webmail
http://www.example.com/webmail
http://server1.example.com:8080/webmail (nachdem Sie ISPConfig installiert haben, sehen Sie sich die nächstes Kapitel)
20 ISPConfig 3 herunterladen
20.1 Laden Sie die stabile Version herunter (empfohlen)
Gehen Sie wie folgt vor, um ISPConfig 3 von der neuesten veröffentlichten Version zu installieren:
cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install/
20.2 Laden Sie eine Beta-Version der nächsten 3.1-Version herunter (nur für Test-Setups empfohlen!)
Wenn Sie die Vorabversion einer kommenden Version 3.1 ausprobieren möchten, laden Sie sie mit diesem Befehl herunter:
cd /tmp
wget -O ISPConfig-3.1-dev.tar.gz https://git.ispconfig.org/ispconfig/ispconfig3/repository/archive.tar.gz?ref=stable-3.1
tar xfz ISPConfig-3.1-dev.tar.gz
cd ispconfig3-stable-3.1*
cd install
21 ISPConfig installieren
Der nächste Schritt besteht darin, das ISPConfig-Installationsprogramm auszuführen.
php -q install.php
Dadurch wird das ISPConfig 3-Installationsprogramm gestartet. Der Installer konfiguriert alle Dienste wie Postfix, Dovecot usw. für Sie. Eine manuelle Einrichtung wie bei ISPConfig 2 (perfekte Einrichtungsanleitungen) ist nicht erforderlich.
# php -q install.php
----------------------------------------- -------------------------------------
_____ ___________ _____ __ _ ____
|_ _/ ___| ___ \ / __ \ / _(_) /__ \
| | \ `--.| |_/ / | / \/ ___ _ __ | |_ _ __ _ _/ /
| | `--. \ __/ | | / _ \| '_ \| _| |/ _` | |_ |
_| |_/\__/ / | | \__/\ (_) | | | | | | | (_| | ___\ \
\___/\____/\_| \____/\___/|_| |_|_| |_|\__, | \____/
__/ |
|___/
--------------------------------------------------- -------------------------------------------
>> Erstkonfiguration
Betriebssystem:Debian 9.0 (Stretch) oder kompatibel
Es folgen ein paar Fragen zur primären Konfiguration, also seien Sie vorsichtig.
Standardwerte stehen in [Klammern] und können mitübernommen werden.
Tippen Sie auf "Beenden" (ohne die Anführungszeichen) um den Installer zu stoppen.
Sprache auswählen (en,de) [en]:<-- Enter drücken
Installationsmodus (Standard, Experte) [Standard]: <-- Drücken Sie die Eingabetaste
Vollqualifizierter Hostname (FQDN) des Servers, z. B. server1.domain.tld [server1.canomi.com]: <-- Drücken Sie die Eingabetaste
Hostname des MySQL-Servers [localhost]: <-- Drücken Sie die Eingabetaste
MySQL-Serverport [3306]: <-- Drücken Sie die Eingabetaste
MySQL-Root-Benutzername [root]: <-- Drücken Sie die Eingabetaste
MySQL-Root-Passwort []: <-- Geben Sie Ihr MySQL-Root-Passwort ein
MySQL-Datenbank zum Erstellen von [dbispconfig]: <-- Drücken Sie die Eingabetaste
MySQL-Zeichensatz [utf8]: <-- Drücken Sie die Eingabetaste
Konfigurieren von Postgrey
Konfigurieren von Postfix
Generieren eines privaten 4096-Bit-RSA-Schlüssels
........................ ...............................................++
................................................. .................................................... .........................................++
Schreiben eines neuen privaten Schlüssels in 'smtpd.key'
-----
Sie werden gleich aufgefordert, Informationen einzugeben, die
in Ihre Zertifikatsanforderung aufgenommen werden.
Was Sie gleich eingeben werden wird Distinguished Name oder DN genannt.
Es gibt einige Felder, aber Sie können einige leer lassen
Für einige Felder gibt es einen Standardwert,
Wenn Sie '. ', das Feld bleibt leer.
-----
Landesname (2-Buchstaben-Code) [AU]:<-- Geben Sie den 2-Buchstaben-Ländercode ein
Staats- oder Provinzname ( vollständiger Name) [Some-State]:<-- Geben Sie den Namen des Staates ein
Ortsname (z. B. Stadt) []:<-- Geben Sie Ihre Stadt ein
Name der Organisation (z. B. Unternehmen) [ Int ernet Widgits Pty Ltd]:<-- Geben Sie den Firmennamen ein oder drücken Sie die Eingabetaste
Name der Organisationseinheit (z. B. Abschnitt) []: <-- Drücken Sie die Eingabetaste
Common Name (z. B. Server-FQDN oder IHR Name) []:<-- Geben Sie den Hostnamen des Servers ein, in meinem Fall:server1.example.com
E-Mail-Adresse []: <-- Drücken Sie die Eingabetaste
Konfigurieren von Mailman
Dovecot konfigurieren
Spamassassin konfigurieren
Amavisd konfigurieren
Getmail konfigurieren
BIND konfigurieren
Jailkit konfigurieren
Pureftpd konfigurieren
Apache konfigurieren
vlogger konfigurieren
Konfigurieren des Metronom-XMPP-Servers
Schreiben des neuen privaten Schlüssels in „localhost.key“
-----
Landesname (2-Buchstaben-Code) [AU]: <-- Enter 2-Buchstaben-Ländercode
Ortsname (z. B. Stadt) []: <-- Geben Sie Ihre Stadt ein
Organisationsname (z. B. Firma) [Internet Widgits Pty Ltd]: <-- Geben Sie den Firmennamen ein oder drücken Sie
Name der Organisationseinheit eingeben (z. B. Abschnitt) []: <-- Drücken Sie die Eingabetaste
Allgemeiner Name (z. B. Server-FQDN oder IHR Name) [server1.canomi.com]: <-- Geben Sie den Hostnamen des Servers ein , in meinem Fall:server1.example.com
E-Mail-Adresse []: <-- Drücken Sie die Eingabetaste
Ubuntu Firewall konfigurieren
Fail2ban konfigurieren
[INFO] Dienst OpenVZ nicht erkannt
Apps vhost konfigurieren
ISPConfig installieren
ISPConfig Port [8080]:
Admin-Passwort [admin]:
Möchten Sie eine sichere (SSL-)Verbindung zur ISPConfig-Weboberfläche (y,n) [y]: <-- Drücken Sie die Eingabetaste
Generieren des privaten RSA-Schlüssels, 4096 Bit langer Modulus
.......................++
..... .................................................... .................................................... .........................++
e ist 65537 (0x10001)
Sie werden gleich aufgefordert, Informationen einzugeben, die dies erfordern in Ihren Zertifikatsantrag
einbezogen werden.
Was Sie jetzt eingeben werden, ist ein sogenannter Distinguished Name oder DN.
Es gibt einige Felder, aber Sie können einige leer lassen
Für einige Felder gibt es einen Standardwert.
Wenn Sie '.' eingeben, bleibt das Feld leer.
-----
Landesname (2-Buchstaben-Code) [AU]: <-- Geben Sie den 2-Buchstaben-Ländercode ein
Name des Staates oder der Provinz (vollständiger Name) [Some-State]: <-- Geben Sie den Namen des Staates ein
Name des Ortes (z. B. Stadt) []: <-- Geben Sie Ihre Stadt ein
Organisationsname (z. B. Firma) [Internet Widgits Pty Ltd]: <-- Geben Sie den Firmennamen ein oder drücken Sie die Eingabetaste
Name der Organisationseinheit (z. B. Abschnitt) [] : <-- Drücken Sie die Eingabetaste
Allgemeiner Name (z. B. Server-FQDN oder IHR Name) []: <-- Geben Sie den Hostnamen des Servers ein, in meinem Fall:server1.example.com
E-Mail-Adresse []: <-- Drücken Sie die Eingabetaste
Bitte geben Sie die folgenden „zusätzlichen“ Attribute ein,
die mit Ihrer Zertifikatsanforderung gesendet werden sollen
Ein Challenge-Passwort []: <-- Drücken Sie die Eingabetaste
Einen optionalen Firmennamen []: <- - Drücken Sie die Eingabetaste
Schreiben des RSA-Schlüssels
DBServer konfigurieren
ISPConfig crontab installieren
keine crontab für root
keine crontab für getmail
IP-Adressen erkennen
Dienste neu starten ...
Installation abgeschlossen.
Das Installationsprogramm konfiguriert automatisch alle zugrunde liegenden Dienste, sodass keine manuelle Konfiguration erforderlich ist.
Danach erreichen Sie ISPConfig 3 unter http(s)://server1.example.com:8080/ oder http(s)://192.168.1.100:8080/ ( http oder https hängt davon ab, was Sie bei der Installation gewählt haben). Melden Sie sich mit dem Benutzernamen admin und dem Passwort admin an (das voreingestellte Passwort sollten Sie nach Ihrer ersten Anmeldung ändern):
Das System ist jetzt einsatzbereit.
21.1 ISPConfig 3 Handbuch
Um zu lernen, wie man ISPConfig 3 verwendet, empfehle ich dringend, das ISPConfig 3-Handbuch herunterzuladen.
Auf mehr als 300 Seiten behandelt es das Konzept hinter ISPConfig (Admin, Wiederverkäufer, Kunden), erklärt, wie ISPConfig 3 installiert und aktualisiert wird, enthält eine Referenz für alle Formulare und Formularfelder in ISPConfig zusammen mit Beispielen für gültige Eingaben und bietet Tutorials für die häufigsten Aufgaben in ISPConfig 3. Es beschreibt auch, wie Sie Ihren Server sicherer machen können, und enthält am Ende einen Abschnitt zur Fehlerbehebung.
22 Zusätzliche Hinweise
22.1 OpenVZ
Wenn der Debian-Server, den Sie gerade in diesem Tutorial eingerichtet haben, ein OpenVZ-Container (virtuelle Maschine) ist, sollten Sie dies auf dem Hostsystem tun (ich gehe davon aus, dass die ID des OpenVZ-Containers 101 ist - ersetzen Sie sie durch die korrekte VPSID auf Ihrem System):
VPSID=101
für CAP in CHOWN DAC_READ_SEARCH SETGID SETUID NET_BIND_SERVICE NET_ADMIN SYS_CHROOT SYS_NICE CHOWN DAC_READ_SEARCH SETGID SETUID NET_BIND_SERVICE NET_ADMIN SYS_CHROOT SYS_NICE
do
vzctl set $VPSID --capability ${CAP}:on --save
fertig
22.2 Herunterladen des Images der virtuellen Maschine von diesem Tutorial
Dieses Tutorial ist als gebrauchsfertiges Image der virtuellen Maschine im ovf/ova-Format verfügbar, das mit VMWare und Virtualbox kompatibel ist. Das Image der virtuellen Maschine verwendet die folgenden Anmeldedaten:
SSH-/Shell-Anmeldung
Benutzername:administrator
Passwort:howtoforge
Benutzername: root
Passwort:howtoforge
ISPConfig-Anmeldung
Nutzername:admin
Passwort: admin
MySQL-Anmeldung
Benutzername:root
Passwort:howtoforge
Die IP der VM ist 192.168.1.100, sie kann in der Datei /etc/network/interfaces geändert werden. Bitte ändern Sie alle oben genannten Passwörter, um die virtuelle Maschine zu sichern.
23 Links
- Debian:http://www.debian.org/
- ISPConfig:http://www.ispconfig.org/