Ceci est un "copier-coller" Comment ! La façon la plus simple de suivre ce tutoriel est d'utiliser un client en ligne de commande/client SSH (comme PuTTY pour Windows) et de simplement copier et coller les commandes (sauf si vous devez fournir vos propres informations comme les adresses IP, les noms d'hôte, les mots de passe,... ). Cela permet d'éviter les fautes de frappe.
La configuration parfaite - Debian Woody (3.0)
Version 1.6
Auteur :Falko Timme
Ceci est une description détaillée des étapes à suivre pour configurer Debian basé sur un serveur (Debian Woody alias Debian 3.0) qui offre tous les services nécessaires aux FAI et aux hébergeurs (serveur Web (compatible SSL), serveur de messagerie (avec SMTP-AUTH et TLS !), serveur DNS, serveur FTP, serveur MySQL, POP3/IMAP, quota, pare-feu, etc.).
J'utiliserai les logiciels suivants :
- Serveur Web :Apache 1.3.x
- Serveur de messagerie :Postfix (plus facile à configurer que sendmail ; a un historique de failles de sécurité plus court que sendmail)
- Serveur DNS :BIND9
- Serveur FTP :proftpd (vous pouvez également utiliser vsftpd)
- POP3/IMAP :dans cet exemple, vous pouvez choisir entre le format de boîte aux lettres UNIX traditionnel (nous utilisons alors qpopper/uw-imapd) ou le Format Maildir (dans ce cas nous utiliserons Courier-POP3/Courier-IMAP).
- Webalizer pour les statistiques de sites Web
En fin de compte, vous devriez avoir un système qui fonctionne de manière fiable et qui est prêt pour le panneau de contrôle d'hébergement Web gratuit ISPConfig (c'est-à-dire que ISPConfig s'exécute dessus à partir du boîte).
Je veux d'abord dire que ce n'est pas la seule façon de mettre en place un tel système. Il existe de nombreuses façons d'atteindre cet objectif, mais c'est la voie que je prends. Je n'émets aucune garantie que cela fonctionnera pour vous !
Exigences
Pour installer un tel système, vous aurez besoin des éléments suivants :
- CD 1 de la version Debian Woody (Debian 3.0) (disponible sur http://www.debian.org)
- CD 1 de la dernière version de Mandrake Linux (9.2 au moment de la rédaction de cet article) (disponible sur http://www.mandrake -linux.com)(vous n'en avez pas besoin si vous n'avez pas besoin de créer des partitions sur votre disque dur)
- une connexion internet puisque je vais décrire une installation réseau dans ce document
1 Système TheBase
Si vous avez un disque dur inutilisé, vous devrez d'abord créer des partitions dessus (vous pouvez ignorer cette étape si vous avez déjà des partitions sur votre disque dur ). Vous pouvez utiliser l'installateur Debian pour le faire mais je pense qu'il est difficile à utiliser (surtout pour les débutants). C'est là que je triche un peu :j'insère le CD Mandrake dans mon CD-ROM et lance l'installateur Mandrake (juste jusqu'à ce que mon des partitions ont été créées avec l'outil de partitionnement de Mandrake qui, à mon avis, est le meilleur du monde Linux).
Je crée deux partitions :/dev/hda1 (avec /boot comme point de montage) et /dev/hda6 (avec / comme point de montage). De plus, je crée une partition de swap (généralement sur /dev/hda5 ).Je pense que 50 Mo à 100 Mo est une bonne taille pour /dev/hda1;500 Mo devraient suffire pour la partition swap; le reste est pour /dev/hda6 (où se trouveront les sites Web des utilisateurs, etc.).
Une fois les partitions créées, j'arrête l'installation de Mandrake, insère mon CD Debian et redémarre le système.
À l'invite de démarrage, saisissez bf24 pour installer Debian avec un noyau Linux 2.4 :
Sélectionnez ensuite votre langue :
Ensuite, vous entrerez dans le menu principal de l'installateur Debian. Configurez votre clavier :
Initialiser et activer une partition swap :
Lorsqu'on lui a demandé Scanfor Bad Blocks ? , choisissez Non .
Ensuite, initialisez une partition Linux :
Sélectionnez le système de fichiers souhaité. Je prends ext3 ici.
Sélectionnez /dev/hda1 comme partition à initialiser :
Lorsqu'on lui a demandé Scanfor Bad Blocks ? , saisissez Non .
Sélectionnez /boot comme point de montage pour /dev/hda1 :
Vous devez maintenant initialiser votre deuxième partition Linux :
Sélectionnez votre système de fichiers préféré (encore une fois, je prends ext3 ici). Sélectionnez ensuite /dev/hda6 comme partition à initialiser :
Lorsqu'on lui a demandé Scanfor Bad Blocks ? , saisissez Non .
Sélectionnez / comme point de montage pour /dev/hda6 :
Une fois vos partitions formatées et initialisées, sélectionnez Installer les modules Kernel et Driver depuis le menu principal. Je pense que cela n'a pas besoin d'explications supplémentaires.
Configurer les modules DeviceDriver :
Assurez-vous d'installer le pilote de votre carte réseau (si vous ne connaissez pas le bon, vous pouvez installer plusieurs pilotes en toute sécurité) :
Assurez-vous maintenant d'inclure le support d'iptables (pare-feu !) dans votre noyau :
Après avoir quitté le menu des modules du pilote, vous devez configurer votre réseau :
Pour le nom d'hôte, je recommande fortement un sous-domaine qui ne sera pas utilisé pour un site virtuel sur ce serveur plus tard. Quelque chose comme server1 ,serveur2 , ... serait très pratique car cela vous permet de distinguer vos serveurs si vous en exécutez plusieurs. Donc, si votre domaine est example.com (un vrai domaine est recommandé !) vous pouvez accéder au serveur sous server1.example.com (n'oubliez pas de mettre à jour l'enregistrement DNS pour example.com !).
Lorsque vous êtes invité à Configuration automatique du réseau ,sélectionnez Non .
Entrez ensuite l'adresse IP principale du système, son masque réseau, l'adresse de la passerelle et le domaine du système (ici :example.com ).
Spécifiez les serveurs DNS que le système doit utiliser (par exemple 193.174.32.18 et 145.253.2.11 ).
Installez le système de base :
Rendez le système amorçable :
Sélectionnez InstallLILO dans le MBR :
Puis redémarrez le système. Assurez-vous de retirer le CD Debian de votre CD-ROM :
Après le redémarrage, configurez votre fuseau horaire :
Ne pas activer md5passwords :
Activer les mots de passe masqués :
Définissez ensuite le rootpassword , créez l'utilisateur supplémentaire admin et entrer son mot de passe.
Si vous n'avez pas besoin de packages pcmcia, supprimez-les.
N'utilisez pas de connexion PPP pour installer le système (un serveur doit avoir une connexion permanente à Internet) :
Je veux faire une installation réseau (c'est pourquoi je n'ai besoin que du disque 1 des sept CD-ROM Debian). Je choisis donc http comme méthode d'accès à l'archive Debian sous AptConfiguration :
Sélectionnez un miroir près de chez vous :
Normalement, vous n'utilisez pas de proxy, alors laissez le champ vide :
Lorsqu'on lui a demandé Utiliser les mises à jour de sécurité de security.debian.org ? répondez Oui .
Important : Depuis juin 2005, Debian Sarge (3.1) est la version stable de Debian. Comme nous voulons installer Debian Woody (3.0) ici au lieu de Sarge, nous devons modifier le fichier /etc/apt/sources.list maintenant avant de continuer ! L'installateur de Woody pense toujours que Woody est la version stable. Appuyez sur Ctrl + Alt + F2 sur votre clavier. Vous êtes maintenant sur le shell. Connectez-vous en tant que root . Modifiez ensuite /etc/apt/sources.list avec un éditeur de texte (par exemple vi )et remplacez stable avec boisé où qu'il apparaisse.Exécutez ensuite
apt-getupdate
et appuyez sur Ctrl+ Alt + F1 pour revenir à l'écran d'installation.
Ensuite, exécutez tasksel :
Je veux avoir un système minimal au début donc je ne sélectionne que serveur de messagerie et C et C++ (afin que je puisse compiler les sources si j'en ai besoin). Les autres logiciels seront installés ultérieurement.
Ne pas exécuter dselect (n'y pensez même pas, vous serez perdu !):
Pour les étapes suivantes, vous pouvez accepter les valeurs par défaut.
Configurez ensuite vos paramètres régionaux. Choisissez au moins en_USISO-8859-1 :
Comme paramètre régional par défaut, je sélectionne en_US :
Configurez ensuite votre serveur ssh :
L'installation commence. À la fin, il vous sera demandé si vous souhaitez supprimer les fichiers.deb précédemment téléchargés. Vous pouvez répondre O ici.
Lorsque l'installateur veut configurer exim entrez 5 (pas de configuration) car nous utiliserons postfix comme serveur de messagerie.
Maintenant, le système de base est prêt :
2 Installation et configuration du reste du système
Configurer des adresses IP supplémentaires
Si vous avez plusieurs adresses IP, vous pouvez ajouter vos adresses IP supplémentaires en modifiant /etc/network/interfaces .Il ressemblera à ceci :
# /etc/network/interfaces -- configuration file for ifup(8), ifdown(8) |
Si vous souhaitez ajouter l'adresse IP 192.168.0.101 à l'interface eth0 vous devez modifier le fichier pour qu'il ressemble à ceci :
# /etc/network/interfaces -- configuration file for ifup(8), ifdown(8) |
Puis redémarrez votre réseau :
/etc/init.d/networkingrestart
Définition du nom d'hôte
echo server1.example.com> /etc/hostname
/bin/hostname -F /etc/hostname
Installer/supprimer des logiciels
Ajouter
deb http://backports.debian.skynet.be woody cyrus-sasl2
à /etc/apt/sources.list et lancez
apt-getupdate
apt-get install wgetbzip2 rdate fetchmail libdb3++-dev unzip zip ncftp xlispstat libarchive-zip-perlzlib1g-dev libpopt -dev nmap ouvressl (1line !)
apt-get remove lpr nfs-commonportmap pidentd pcmcia-cs pppoe pppoeconf ppp pppconfig
update-rc.d -f exim remove
update-inetd --removedaytime
update-inetd --remove telnet
update-inetd - -remove time
update-inetd --remove finger
update-inetd --remove talk
update-inetd --remove ntalk
update-inetd --remove ftp
update-inetd --remove rejet
<- Oui [y]
/etc/init.d/inetd reload
Quota
apt-get install quota quotatool
Modifier /etc/fstab pour ressembler à ceci (j'ai ajouté ,usrquota,grpquota pour partitionner /dev/hda6 ):
# /etc/fstab: static file system information. |
Ensuite, exécutez :
appuyez sur /quota.user /quota.group
chmod 600 /quota.*
mount -o remount /
quotacheck -avugm
quotaon -avug
Serveur DNS
apt-getinstall bind9
Pour des raisons de sécurité, nous souhaitons exécuter BIND chrooté, nous devons donc suivre les étapes suivantes :
/etc/init.d/bind9 stop
Modifier le script de démarrage /etc/init.d/bind9 pour que le démon s'exécute en tant qu'utilisateur non privilégié 'nobody ', chrooté sur /var/lib/named .Modifiez la ligne :OPTS="" pour qu'il lise OPTS="-u personne-t /var/lib/named" :
#!/bin/sh |
Créez les répertoires nécessaires sous /var/lib :
mkdir -p /var/lib/named/etc
mkdir /var/lib/named/dev
mkdir -p /var/lib/named/var/cache/bind
mkdir /var/lib/named/var/run
Ensuite, déplacez le répertoire de configuration de /etc à /var/lib/named/etc :
mv /etc/bind /var/lib/named/etc
Créez un lien symbolique vers le nouveau répertoire de configuration à partir de l'ancien emplacement (pour éviter les problèmes lors de la mise à jour future de bindis) :
ln -s /var/lib/named/etc/bind/etc/bind
Rendez les périphériques nuls et aléatoires, et corrigez les autorisations des répertoires :
mknod /var/lib/named/dev/nullc 1 3
mknod /var/lib/named/dev /random c 1 8
chmod 666 /var/lib/named/dev/null /var/lib/named/dev/random
chown -R persons:nogroup /var/lib/named/var/ *
chown -R persons:nogroup /var/lib/named/etc/bind
Nous devons modifier le script de démarrage /etc/init.d/ sysklogd de sysklogd afin que nous puissions toujours obtenir des messages importants enregistrés dans les journaux système. Modifiez la ligne : SYSLOGD="" de sorte qu'il indique :SYSLOGD="-a/var/lib/named/dev/log" :
#! /bin/sh |
Redémarrez le démon de journalisation :
/etc/init.d/sysklogd restart
Démarrez BIND et vérifiez /var/log/syslog pour toute erreur :
/etc/init.d/bind9 start
MySQL
apt-getinstall mysql-server mysql-client libmysqlclient10-dev
<- Non
<- Oui
mysqladmin -u root passwordyourrootsqlpassword
mysqladmin -h server1.example.com -u root password votrerootsqlpassword
Dans /etc/mysql/my.cnf commentez la ligne suivante :
ignorer le réseau
Il devrait maintenant ressembler à ceci :
# You can copy this to one of: |
Redémarrez MySQL :
/etc/init.d/mysqlrestart
afin que MySQL soit accessible sur le port 3306 (vous pouvez vérifier cela avec netstat-tap ).
Suffixe/Qpopper
addgroup sasl
apt-get install postfix-tlsqpopper sasl-bin libsasl-modules-plain libsasl2 libsasl-gssapi-mit libsasl -digestmd5-dessasl2-bin libsasl2-modules (1line!)
<- Kerberos:acceptdefault value (I don't want to use Kerberos so I don't really care about it)
<- Internetsite
<- Domainname
<- No
<- accept default values
<- Kerberos:accept default value
<- NONE
cd /etc/init.d/
wget http://hanselan.de/postfix/pwcheck
In case you cannotaccess http://hanselan.de/postfix/pwcheck here's the pwcheck script:
#! /bin/sh |
chmod 755 /etc/init.d/pwcheck
update-rc.d pwcheck defaults
mkdir -p /var/spool/postfix/var/run/pwcheck
chown postfix.root /var/spool/postfix/var/run/pwcheck/
chmod 700 /var/spool/postfix/var/run/pwcheck/
ln -s /var/spool/postfix/var/run/pwcheck /var/run/pwcheck
postconf -e 'smtpd_sasl_local_domain=$myhostname'
postconf -e 'smtpd_sasl_auth_enable =yes'
postconf -e 'smtpd_sasl_security_options =noanonymous'
postconf -e 'broken_sasl_auth_clients =yes'
postconf -e 'smtpd_recipient_restrictions =permit_sasl_authenticated,permit_mynetworks,check_relay_domains'
postconf -e 'inet_interfaces =all'
echo 'pwcheck_method:pwcheck'>> /etc/postfix/sasl/smtpd.conf
mkdir /etc/postfix/ssl
cd /etc/postfix/ssl/
openssl genrsa - des3 -rand /etc/hosts -out smtpd.key 1024
chmod 600 smtpd.key
openssl req -new -key smtpd.key -out smtpd.csr
openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
openssl rsa -in smtpd.key -out smtpd.key.unencrypted
mv -f smtpd.key.unencrypted smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days3650
postconf -e 'smtpd_tls_auth_only=no'
postconf -e 'smtp_use_tls =yes'
postconf -e 'smtpd_use_tls =yes'
postconf -e 'smtp_tls_note_starttls_offer =yes'
postconf -e 'smtpd_tls_key_file =/etc/postfix/ssl/smtpd.key'
postconf -e 'smtpd_tls_cert_file =/etc/postfix/ssl/smtpd.crt'
postconf -e 'smtpd_tls_CAfile =/etc/postfix/ssl/cacert.pem'
postconf -e 'smtpd_tls_loglevel =1'
postconf -e 'smtpd_tls_received_header =yes'
postconf -e 'smtpd_tls_session_cache_timeout =3600s'
postconf -e 'tls_random_source =dev:/dev/urandom'
Le fichier /etc/postfix/main.cf devrait maintenant ressembler à ceci :
# see /usr/share/postfix/main.cf.dist for a commented, fuller |
/etc/init.d/pwcheckstart
/etc/init.d/postfix restart
To see if SMTP-AUTHand TLS work properly now run the following command:
telnetlocalhost 25
After you haveestablished the connection to your postfix mail server type
ehlolocalhost
If you see thelines
250-STARTTLS
and
250-AUTH
everything is fine.
Type
quit
to return to thesystem's shell.
Courier-IMAP/Courier-POP3
If you want touse a POP3/IMAP daemon that has Maildir support (if you do not want to use thetraditional Unix mailbox format) you can install Courier-IMAP and Courier-POP3.Otherwise you can proceed with the Apache configuration.
apt-get install courier-imapcourier-pop
qpopper and UW-IMAPwill then be replaced.
Then configurePostfix to deliver emails to a user's Maildir*:
postconf -e 'home_mailbox=Maildir/'
postconf -e 'mailbox_command ='
/etc/init.d/postfix restart
*Please note:Youdo not have to do this if you intend to use ISPConfigon your system as ISPConfig does the necessary configuration using procmailrecipes. But please go sure to enable Maildir under Management -> Settings ->EMail in the ISPConfig web interface.
Apache
Add
deb http://packages.dotdeb.org ./
to /etc/apt/sources.list and run
apt-getupdate
apt-getinstall apache apache-doc libapache-mod-ssl libapache-mod-ssl-doc
apt-get install libapache-mod-php4php4 php4-cli php4-common php4-curl php4-dev php4-domxml php4-gd php4-gmp php4-imapphp4-ldap php4-mcal php4-mcrypt php4-mhash php4-ming php4-mysql php4-odbc php4-pearphp4-xslt curl libwww-perl imagemagick (1 line!)
Edit /etc/apache/httpd.conf .Under LoadModules add:
LoadModulephp4_module /usr/lib/apache/1.3/libphp4.so
LoadModule ssl_module /usr/lib/apache/1.3/mod_ssl.so
Under Listen add:
Listen80
Listen 443
Under "Addtypeapplication" insert:
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
Before "Section3 :Virtual Hosts" add:
SSLCACertificateFile /etc/apache/ssl.crt/ca-bundle.crt
SSLPassPhraseDialog builtin
SSLSessionCache dbm:/var/run/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/var/run/ssl_mutex
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
Change
DirectoryIndexindex.html index.htm index.shtml index.cgi
à
DirectoryIndexindex.html index.htm index.shtml index.cgi index.php index.php3 index.pl
Save /etc/apache/httpd.conf and run
/etc/init.d/apacherestart
Proftpd
apt-getinstall proftpd
<- No
For security reasonsyou can add the following lines to /etc/proftpd.conf (thanks to Reinaldo Carvalho; more information can be found here:http://proftpd.linux.co.uk/localsite/Userguide/linked/userguide.html):
DefaultRoot ~
IdentLookups off
ServerIdent on "FTP Server ready."
and restart Proftpd:
/etc/init.d/proftpd restart
Webalizer
apt-getinstall webalizer
<- accept default values
Synchronizethe System Clock
If you want tohave the system clock synchronized with an NTP server you can add the followinglines to /var/spool/cron/crontabs/root (if the file does not exist, create it by running
touch/var/spool/cron/crontabs/root ):
#update time with ntp server
0 3,9,15,21 * * * /usr/sbin/rdate time.nist.gov | logger -t NTP
Then run
chmod600 /var/spool/cron/crontabs/root
/etc/init.d/cronrestart
Install somePerl Modules needed by SpamAssassin (comes with ISPConfig)
Installationusing the Perl Shell
Login to your commandline as root and run the following command to start the Perl shell:
perl -MCPAN -e shell
If you run thePerl shell for the first time you will be asked some questions. In most casesthe default answers are ok.
Please note:Ifyou run a firewall on your system you might have to turn it off while workingon the Perl shell in order for the Perl shell to be able to fetch the neededmodules without a big delay. You can switch it on afterwards.
The big advantageof the Perl shell compared to the two other methods described here is that itcares about dependencies when installing new modules. I.e., if it turns outthat a prerequisite Perl module is missing when you install another module thePerl shell asks you if it should install the prerequisite module for you. Youshould answer that question with "Yes".
Run the followingcommands to install the modules needed by SpamAssassin:
install HTML::Parser
install DB_File
install Net::DNS (when prompted to enable tests, choose no)
install Digest::SHA1
q (to leave the Perl shell)
If a module isalready installed on your system you will get a message similar to this one:
HTML::Parseris up to date.
Successful installationof a module looks like this:
/usr/bin/makeinstall -- OK
Compile a CustomKernel
If you need tocompile a new kernel for some reason (e.g. because you want to use the latestbleeding-edge kernel or need a feature that the standard Debian kernel doesnot offer), you can find more information here:Debian-Kernel-Compile-Howto.
The End
The configurationof the server is now finished, and if you wish you can now install ISPConfigon it.
A Note On SuExec
If you want torun CGI scripts under suExec, you should specify /var/www as the home directory for websites created by ISPConfig as Debian's suExec iscompiled with /var/www as Doc_Root .Run /usr/lib/apache/suexec -V ,and the output should look like this:
To select /var/www as the home directory for websites during the installation of ISPConfig do thefollowing:When you are asked for the installation mode, select the expertmode .
Later during theinstallation you are asked if the default directory /home/www should be the directory where ISPConfig will create websites in. Answer n and enter /var/www asthe home directory for websites.
Links
- http://www.debian.org
- http://www.debianplanet.org
- http://www.debianforum.de(German)
- http://www.debianhowto.de(German/English)
- http://www.ispconfig.org