GNU/Linux >> Tutoriels Linux >  >> Ubuntu

Le serveur parfait - Ubuntu 15.04 (Vivid Vervet) avec Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot et ISPConfig 3

Ce tutoriel existe pour ces versions d'OS

  • Ubuntu 20.04 (focal Fossa)
  • Ubuntu 18.04 (castor bionique)
  • Ubuntu 17.10 (Aardvark astucieux)
  • Ubuntu 17.04 (Zesty Zapus)
  • Ubuntu 16.10 (Yakkety Yak)
  • Ubuntu 16.04 (Xenial Xerus)

Sur cette page

  1. Manuel ISPConfig 3
  • 1. Remarque préliminaire
  • 2. Modifiez /etc/apt/sources.list et mettez à jour votre installation Linux
  • 3. Changer le shell par défaut
  • 4. Désactiver AppArmor
  • 5. Synchroniser l'horloge système
  • 6. Installez Postfix, Dovecot, MariaDB, phpMyAdmin, rkhunter, binutils
  • 7. Installez Amavisd-new, SpamAssassin et Clamav

    • Ce tutoriel montre l'installation d'un serveur d'hébergement Web Ubuntu 15.04 (Vivid Vervet) avec Apache2, Postfix, Dovecot, Bind et PureFTPD pour le préparer à l'installation d'ISPConfig 3. Le système résultant fournira un Web, Mail, Mailinglist, DNS et serveur FTP.

    ISPConfig 3 est un panneau de contrôle d'hébergement Web qui vous permet de configurer les services suivants via un navigateur Web :serveur Web Apache ou nginx, serveur de messagerie Postfix, serveur Courier ou Dovecot IMAP/POP3, serveur de noms MySQL, BIND ou MyDNS, PureFTPd, SpamAssassin, ClamAV , et beaucoup plus. Cette configuration couvre l'installation d'Apache (au lieu de nginx), BIND (au lieu de MyDNS) et Dovecot (au lieu de Courier).

    Manuel ISPConfig 3

    Afin d'apprendre à utiliser ISPConfig 3, je vous recommande fortement de télécharger le manuel ISPConfig 3.

    Sur plus de 300 pages, il couvre le concept derrière ISPConfig (administrateur, revendeurs, clients), explique comment installer et mettre à jour ISPConfig 3, inclut une référence pour tous les formulaires et champs de formulaire dans ISPConfig ainsi que des exemples d'entrées valides, et fournit des tutoriels pour les tâches les plus courantes dans ISPConfig 3. Il explique également comment rendre votre serveur plus sécurisé et est accompagné d'une section de dépannage à la fin.

    1. Remarque préliminaire

    Dans ce tutoriel, j'utilise le nom d'hôte server1.example.com avec l'adresse IP 192.168.1.100 et la passerelle 192.168.1.1 . Ces paramètres peuvent différer pour vous, vous devez donc les remplacer le cas échéant. Avant de continuer, vous devez avoir une installation minimale de base d'Ubuntu 15.04 comme expliqué dans le tutoriel.

    2. Modifiez /etc/apt/sources.list et mettez à jour votre installation Linux

    Modifiez /etc/apt/sources.list. Commentez ou supprimez le CD d'installation du fichier et assurez-vous que les référentiels univers et multivers sont activés. Cela devrait ressembler à ceci après :

    nano /etc/apt/sources.list
    #

    # deb cdrom:[Ubuntu-Server 15.04 _Vivid Vervet_ - Release amd64 (20150422)]/ vivid main restricted

    #deb cdrom:[Ubuntu-Server 15.04 _Vivid Vervet_ - Release amd64 (20150422)]/ vivid main restricted

    # See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
    # newer versions of the distribution.
    deb http://de.archive.ubuntu.com/ubuntu/ vivid main restricted
    deb-src http://de.archive.ubuntu.com/ubuntu/ vivid main restricted

    ## Major bug fix updates produced after the final release of the
    ## distribution.
    deb http://de.archive.ubuntu.com/ubuntu/ vivid-updates main restricted
    deb-src http://de.archive.ubuntu.com/ubuntu/ vivid-updates main restricted

    ## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
    ## team. Also, please note that software in universe WILL NOT receive any
    ## review or updates from the Ubuntu security team.
    deb http://de.archive.ubuntu.com/ubuntu/ vivid universe
    deb-src http://de.archive.ubuntu.com/ubuntu/ vivid universe
    deb http://de.archive.ubuntu.com/ubuntu/ vivid-updates universe
    deb-src http://de.archive.ubuntu.com/ubuntu/ vivid-updates universe

    ## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
    ## team, and may not be under a free licence. Please satisfy yourself as to
    ## your rights to use the software. Also, please note that software in
    ## multiverse WILL NOT receive any review or updates from the Ubuntu
    ## security team.
    deb http://de.archive.ubuntu.com/ubuntu/ vivid multiverse
    deb-src http://de.archive.ubuntu.com/ubuntu/ vivid multiverse
    deb http://de.archive.ubuntu.com/ubuntu/ vivid-updates multiverse
    deb-src http://de.archive.ubuntu.com/ubuntu/ vivid-updates multiverse

    ## N.B. software from this repository may not have been tested as
    ## extensively as that contained in the main release, although it includes
    ## newer versions of some applications which may provide useful features.
    ## Also, please note that software in backports WILL NOT receive any review
    ## or updates from the Ubuntu security team.
    deb http://de.archive.ubuntu.com/ubuntu/ vivid-backports main restricted universe multiverse
    deb-src http://de.archive.ubuntu.com/ubuntu/ vivid-backports main restricted universe multiverse

    deb http://security.ubuntu.com/ubuntu vivid-security main restricted
    deb-src http://security.ubuntu.com/ubuntu vivid-security main restricted
    deb http://security.ubuntu.com/ubuntu vivid-security universe
    deb-src http://security.ubuntu.com/ubuntu vivid-security universe
    deb http://security.ubuntu.com/ubuntu vivid-security multiverse
    deb-src http://security.ubuntu.com/ubuntu vivid-security multiverse

    ## Uncomment the following two lines to add software from Canonical's
    ## 'partner' repository.
    ## This software is not part of Ubuntu, but is offered by Canonical and the
    ## respective vendors as a service to Ubuntu users.
    # deb http://archive.canonical.com/ubuntu vivid partner
    # deb-src http://archive.canonical.com/ubuntu vivid partner

    Puis lancez

    apt-get update

    pour mettre à jour la base de données des packages apt et

    apt-get upgrade

    pour installer les dernières mises à jour (s'il y en a). Si vous constatez qu'un nouveau noyau est installé dans le cadre des mises à jour, vous devez ensuite redémarrer le système :

    reboot

    3. Changer le shell par défaut

    /bin/sh est un lien symbolique vers /bin/dash, cependant nous avons besoin de /bin/bash, pas de /bin/dash. C'est pourquoi nous procédons comme suit :

    dpkg-reconfigure dash

    Utiliser dash comme shell système par défaut (/bin/sh) ? <-- Non

    Si vous ne le faites pas, l'installation d'ISPConfig échouera.

    4. Désactiver AppArmor

    AppArmor est une extension de sécurité (similaire à SELinux) qui devrait fournir une sécurité étendue. À mon avis, vous n'en avez pas besoin pour configurer un système sécurisé, et cela cause généralement plus de problèmes que d'avantages (pensez-y après avoir effectué une semaine de dépannage car un service ne fonctionnait pas comme prévu, puis vous découvrez que tout allait bien, seul AppArmor était à l'origine du problème). Par conséquent, je le désactive (c'est indispensable si vous souhaitez installer ISPConfig plus tard).

    Nous pouvons le désactiver comme ceci :

    service apparmor stop 
    update-rc.d -f apparmor remove 
    apt-get remove apparmor apparmor-utils

    5. Synchroniser l'horloge système

    C'est une bonne idée de synchroniser l'horloge système avec un NTP (n réseau t temps p rotocol) sur Internet lorsque vous exécutez un serveur physique. Si vous exécutez un serveur virtuel, vous devez ignorer cette étape. Courez 

    apt-get install ntp ntpdate

    et l'heure de votre système sera toujours synchronisée.

    6. Installez Postfix, Dovecot, MariaDB, phpMyAdmin, rkhunter, binutils

    Pour installer postfix, nous devons nous assurer que sendmail n'est pas installé et en cours d'exécution. Pour arrêter et supprimer sendmail, exécutez cette commande :

    service sendmail stop; update-rc.d -f sendmail remove

    Le message d'erreur :

    Failed to stop sendmail.service: Unit sendmail.service not loaded.

    C'est bon, cela signifie simplement que sendmail n'a pas été installé, donc il n'y avait rien à supprimer.

    Nous pouvons maintenant installer Postfix, Dovecot, MariaDB (en remplacement de MySQL), rkhunter et binutils avec une seule commande :

    apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve sudo

    Les questions suivantes vous seront posées :

    Create a self-signed SSL certificate? <-- yes
    Host name: <-- server1.example.com
    General type of mail configuration: <-- Internet Site
    System mail name: <-- server1.example.com

    Ouvrez ensuite les ports TLS/SSL et de soumission dans Postfix :

    nano /etc/postfix/master.cf

    Décommentez les sections de soumission et smtps comme suit - ajoutez la ligne -o smtpd_client_restrictions=permit_sasl_authenticated,reject aux deux sections et laissez tout commenté par la suite :

    [...]
submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       -       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
[...]

    Redémarrez ensuite Postfix :

    service postfix restart

    Nous voulons que MySQL écoute sur toutes les interfaces, pas seulement sur localhost, donc nous éditons /etc/mysql/my.cnf et commentons la ligne bind-address =127.0.0.1 :

    nano /etc/mysql/mariadb.conf.d/mysqld.cnf
    [...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address           = 127.0.0.1
[...]

    Maintenant, nous définissons un mot de passe root dans MariaDB. Exécuter :

    mysql_secure_installation

    Ces questions vous seront posées :

    Enter current password for root (enter for none): <-- press enter
    Set root password? [Y/n] <-- y
    New password: <-- Enter the new MariaDB root password here
    Re-enter new password: <-- Repeat the password
    Remove anonymous users? [Y/n] <-- y
    Disallow root login remotely? [Y/n] <-- y
    Reload privilege tables now? [Y/n] <-- y

    Ensuite, nous redémarrons MariaDB :

    service mysql restart

    Vérifiez maintenant que la mise en réseau est activée. Exécuter

    netstat -tap | grep mysql

    Le résultat devrait ressembler à ceci :

    [email protected]:~# netstat -tap | grep mysql
    tcp        0      0 *:mysql                 *:*                     LISTEN      24603/mysqld    
    [email protected]:~# 

    7. Installez Amavisd-new, SpamAssassin et Clamav

    Pour installer amavisd-new, SpamAssassin et ClamAV, nous exécutons

    apt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl

    La configuration d'ISPConfig 3 utilise amavisd qui charge la bibliothèque de filtres SpamAssassin en interne, nous pouvons donc arrêter SpamAssassin pour libérer de la RAM :

    service spamassassin stop 
    update-rc.d -f spamassassin remove

    Modifiez le fichier de configuration clamd :

    nano /etc/clamav/clamd.conf

    et changez la ligne :

    AllowSupplementaryGroups false

    à :

    AllowSupplementaryGroups true 

    Et enregistrez le fichier. Pour commencer à utiliser clamav

    freshclam
    service clamav-daemon start


    Ubuntu

    1. Le serveur parfait - Ubuntu 15.10 (Wily Werewolf) avec Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot et ISPConfig 3

    2. Le serveur parfait - Ubuntu 17.10 (Artful Aardvark) avec Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot et ISPConfig 3.1

    3. Le serveur parfait - Ubuntu 16.04 (Nginx, MySQL, PHP, Postfix, BIND, Dovecot, Pure-FTPD et ISPConfig 3.1)

    4. Le serveur parfait - Ubuntu 16.04 (Xenial Xerus) avec Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot et ISPConfig 3.1

    5. Le serveur parfait - Ubuntu 18.04 (Bionic Beaver) avec Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot et ISPConfig 3.1

    Le serveur parfait CentOS 7.6 avec Apache, PHP 7.2, Postfix, Dovecot, Pure-FTPD, BIND et ISPConfig 3.1

    Le serveur parfait - Ubuntu 20.04 avec Apache, PHP, MariaDB, PureFTPD, BIND, Postfix, Dovecot et ISPConfig 3.2

    Le serveur parfait CentOS 8 avec Apache, PHP, Postfix, Dovecot, Pure-FTPD, BIND et ISPConfig 3.2

    Le serveur parfait - Ubuntu 14.04 (Apache2, PHP, MySQL, PureFTPD, BIND, Dovecot, ISPConfig 3)

    Le serveur parfait - Debian 9 (Stretch) avec Apache, BIND, Dovecot, PureFTPD et ISPConfig 3.1

    Le serveur parfait - Ubuntu 14.10 avec Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot et ISPConfig