Ce tutoriel montre l'installation d'un serveur d'hébergement Web Ubuntu 18.04 (Bionic Beaver) avec Apache 2.4, Postfix, Dovecot, Bind et PureFTPD pour le préparer à l'installation d'ISPConfig 3.1. Le système résultant fournira un serveur Web, de messagerie, de liste de diffusion, DNS et FTP.
ISPConfig est un panneau de contrôle d'hébergement Web qui vous permet de configurer les services suivants via un navigateur Web :serveur Web Apache ou Nginx, serveur de messagerie Postfix, serveur Courier ou Dovecot IMAP/POP3, serveur de noms MySQL, BIND ou MyDNS, PureFTPd, SpamAssassin, ClamAV , et beaucoup plus. Cette configuration couvre l'installation d'Apache (au lieu de Nginx), BIND (au lieu de MyDNS) et Dovecot (au lieu de Courier).
1. Remarque préliminaire
Dans ce tutoriel, j'utilise le nom d'hôte server1.example.com avec l'adresse IP 192.168.1.100 et la passerelle 192.168.1.1 Ces paramètres peuvent différer pour vous, vous devez donc les remplacer le cas échéant. Avant de continuer, vous devez disposer d'une installation minimale de base d'Ubuntu 18.04, comme expliqué dans le tutoriel.
Les commandes de ce didacticiel doivent être exécutées avec les autorisations root. Pour éviter d'ajouter sudo devant chaque commande, vous devrez passer en tant qu'utilisateur root en exécutant :
sudo -s
avant de continuer.
2. Modifiez /etc/apt/sources.list et mettez à jour votre installation Linux
Modifiez /etc/apt/sources.list. Commentez ou supprimez le CD d'installation du fichier et assurez-vous que les référentiels univers et multivers sont activés. Cela devrait ressembler à ceci après :
nano /etc/apt/sources.list
#
# deb cdrom :[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main limited
#deb cdrom :[Ubuntu- Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main limited
# Voir http://help.ubuntu.com/community/UpgradeNotes pour savoir comment mettre à niveau vers
# plus récent versions de la distribution.
deb http://de.archive.ubuntu.com/ubuntu/ bionic main restreint
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic principal restreint
## Mises à jour majeures de correctifs de bogues produites après la version finale de la
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restreint
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restreint
## N.B. les logiciels de ce référentiel ne sont ENTIÈREMENT PAS SUPPORTÉS par l'équipe Ubuntu
##. Veuillez également noter que les logiciels de l'univers ne recevront AUCUNE
## révision ou mise à jour de la part de l'équipe de sécurité d'Ubuntu.
deb http://de.archive.ubuntu.com/ubuntu/ bionic universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ univers bionique
deb http://de.archive.ubuntu.com/ubuntu/ univers de mises à jour bioniques
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe
## N.B. les logiciels de ce dépôt sont ENTIÈREMENT NON SUPPORTÉS par l'équipe Ubuntu
##, et peuvent ne pas être sous licence libre. Veuillez vous assurer de
## vos droits d'utilisation du logiciel. Veuillez également noter que les logiciels dans
## multiverse NE RECEVRONT AUCUNE révision ou mise à jour de la part de l'équipe de sécurité Ubuntu
##.
deb http://de.archive.ubuntu.com/ ubuntu/ bionic multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic multiverse
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse
## N.B. les logiciels de ce référentiel peuvent ne pas avoir été
## testés de manière aussi approfondie que ceux contenus dans la version principale, bien qu'ils incluent
## des versions plus récentes de certaines applications qui peuvent fournir des fonctionnalités utiles.
# # Veuillez également noter que les logiciels dans les rétroportages NE RECEVRONT AUCUNE révision
## ou mises à jour de la part de l'équipe de sécurité d'Ubuntu.
deb http://de.archive.ubuntu.com/ubuntu/bionic-backports univers restreint principal multivers
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-backports univers restreint principal multivers
## Décommentez les deux lignes suivantes pour ajouter logiciel du
## référentiel « partenaire » de Canonical.
## Ce logiciel ne fait pas partie d'Ubuntu, mais est proposé par Canonical et les
## fournisseurs respectifs en tant que service aux utilisateurs d'Ubuntu.
# deb http://archive.canonical.com/ubuntu bionic partner
# deb-src http://archive.canonical.com/ubuntu bionic partner
deb http ://security.ubuntu.com/ubuntu bionic-security main r restreint
# deb-src http://security.ubuntu.com/ubuntu bionic-security main restreint
deb http://security.ubuntu.com/ubuntu bionic-security universe
# deb-src http://security.ubuntu.com/ubuntu bionic-security universal
deb http://security.ubuntu.com/ubuntu bionic-security multiverse
# deb-src http:// security.ubuntu.com/ubuntu bionic-security multiverse
Puis lancez
apt-obtenir la mise à jour
pour mettre à jour la base de données des packages apt et
apt-get upgrade
pour installer les dernières mises à jour (s'il y en a). Si vous constatez qu'un nouveau noyau est installé dans le cadre des mises à jour, vous devez ensuite redémarrer le système :
redémarrer
3. Changer le shell par défaut
/bin/sh est un lien symbolique vers /bin/dash, cependant nous avons besoin de /bin/bash, pas de /bin/dash. Par conséquent, nous procédons comme suit :
dpkg-reconfigure dash
Utiliser dash comme shell système par défaut (/bin/sh) ? <-- Non
Si vous ne le faites pas, l'installation d'ISPConfig échouera.
4. Désactiver AppArmor
AppArmor est une extension de sécurité (similaire à SELinux) qui devrait fournir une sécurité étendue. À mon avis, vous n'en avez pas besoin pour configurer un système sécurisé, et cela cause généralement plus de problèmes que d'avantages (pensez-y après avoir effectué une semaine de dépannage car un service ne fonctionnait pas comme prévu, puis vous découvrez que tout allait bien, seul AppArmor était à l'origine du problème). Par conséquent, je le désactive (c'est indispensable si vous souhaitez installer ISPConfig plus tard).
Nous pouvons le désactiver comme ceci :
service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils
5. Synchroniser l'horloge système
C'est une bonne idée de synchroniser l'horloge système avec un NTP (n réseau t temps p rotocol) sur Internet lorsque vous exécutez un serveur physique. Si vous exécutez un serveur virtuel, vous devez ignorer cette étape. Courez
apt-get -y install ntp
et l'heure de votre système sera toujours synchronisée.
6. Installez Postfix, Dovecot, MariaDB, rkhunter et binutils
Pour installer postfix, nous devons nous assurer que sendmail n'est pas installé et en cours d'exécution. Pour arrêter et supprimer sendmail, exécutez cette commande :
arrêt du service sendmail ; update-rc.d -f sendmail remove
Le message d'erreur :
Échec de l'arrêt de sendmail.service :l'unité sendmail.service n'est pas chargée.
C'est bon, cela signifie simplement que sendmail n'a pas été installé, donc il n'y avait rien à supprimer.
Nous pouvons maintenant installer Postfix, Dovecot, MariaDB (en remplacement de MySQL), rkhunter et binutils avec une seule commande :
apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo
Les questions suivantes vous seront posées :
Type général de configuration de messagerie :<-- Site Internet
Nom de messagerie système :<-- serveur1.exemple.com
Il est important que vous utilisiez un sous-domaine comme "nom de messagerie système" comme serveur1.exemple.com ou serveur1.votredomaine.com et non un domaine que vous souhaitez utiliser plus tard comme domaine de messagerie (par exemple, votredomaine.tld).
Ensuite, ouvrez les ports TLS/SSL et de soumission dans Postfix :
nano /etc/postfix/master.cf
Décommentez les sections de soumission et smtps comme suit - ajoutez la ligne -o smtpd_client_restrictions=permit_sasl_authenticated,reject aux deux sections et laissez tout commenté par la suite :
[...]soumission inet n - y - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated, rejeter # -O smtpd_reject_unlisted_recipient =no # -o smtpd_client_restrictions =$ mua_client_restrictions # -o smtpd_helo_restrictions =$ mua_helo_restrictions # -o smtpd_sender_restrictions =$ mua_sender_restrictions # -o smtpd_recipient_restrictions permit_sasl_authenticated, rejeter # -o milter_macro_daemon_name =ORIGINATINGsmtps iNet n - y - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -O smtpd_reject_unlisted_recipient =no # -o smtpd_client_restrictions =$ mua_client_restrictions # -o smtpd_helo_restrictions =$ mua_helo_restrictions # -o smtpd_sender_restrictions =$ mua_sender_restrictions # -o smtpd_recipient_restrictions permit_sasl_authenticated, rejeter # -o milter_macro_daemon_name =ORIGINAIRE [...]
REMARQUE : Les espaces devant les lignes "-o .... " sont importants !
Redémarrez ensuite Postfix :
redémarrage postfix du service
Nous voulons que MySQL écoute sur toutes les interfaces, pas seulement sur localhost. Par conséquent, nous éditons /etc/mysql/mariadb.conf.d/50-server.cnf et commentons la ligne bind-address =127.0.0.1 :
nano /etc/mysql/mariadb.conf.d/50-server.cnf
[...]# Au lieu d'ignorer la mise en réseau, la valeur par défaut est désormais d'écouter uniquement sur# localhost qui est plus compatible et n'est pas moins sécurisé.# adresse-liaison =127.0.0.1
Maintenant, nous définissons un mot de passe root dans MariaDB. Exécuter :
mysql_secure_installationCes questions vous seront posées :
Entrez le mot de passe actuel pour root (entrez pour aucun) :<-- appuyez sur entrée
Définir le mot de passe root ? [O/n] <-- y
Nouveau mot de passe :<-- Saisissez ici le nouveau mot de passe root MariaDB
Saisissez à nouveau le nouveau mot de passe :<-- Répétez le mot de passe
Supprimer les utilisateurs anonymes ? [O/n] <-- o
Interdire la connexion root à distance ? [O/n] <-- o
Recharger les tables de privilèges maintenant ? [O/n] <-- oDéfinissez la méthode d'authentification par mot de passe dans MariaDB sur native afin que nous puissions utiliser PHPMyAdmin plus tard pour nous connecter en tant qu'utilisateur root :
echo "mettre à jour mysql.user set plugin ='mysql_native_password' where user='root';" | mysql -u racineModifiez le fichier /etc/mysql/debian.cnf et définissez-y le mot de passe root MYSQL / MariaDB deux fois dans les lignes commençant par password.
nano /etc/mysql/debian.cnfLe mot de passe root MySQL qui doit être ajouté est affiché en lecture, dans cet exemple le mot de passe est "howtoforge". Remplacez le mot "howtoforge" par le mot de passe que vous avez défini pour l'utilisateur root MySQL avec la commande mysql_secure_installation.
# Généré automatiquement pour les scripts Debian. NE PAS TOUCHER !
[client]
host =localhost
user =root
password = howtoforge
socket =/var/run/mysqld/mysqld.sock
[mysql_upgrade]
host =localhost
user =root
password =howtoforge
socket =/var/run/mysqld/mysqld.sock
basedir =/usrEnsuite, nous redémarrons MariaDB :
redémarrer service mysqlVérifiez maintenant que la mise en réseau est activée. Exécuter
netstat -tap | grep mysqlLe résultat devrait ressembler à ceci :
[email protected] :~# netstat -tap | grep mysql
tcp6 0 0 [::]:mysql [::]:* LISTEN 30591/mysqld
[email protected] :~#7. Installez Amavisd-new, SpamAssassin et Clamav
Pour installer amavisd-new, SpamAssassin et ClamAV, nous exécutons
apt-get -y install amavisd-new spamassassin clamav clamav-daemon unzip bzip2 arj noarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl -perl libnet-ident-perl zip libnet-dns-perl libdbd-mysql-perl postgreyLa configuration d'ISPConfig 3 utilise amavisd qui charge la bibliothèque de filtres SpamAssassin en interne, nous pouvons donc arrêter SpamAssassin pour libérer de la RAM :
service spamassassin stop
update-rc.d -f spamassassin removePour commencer à utiliser ClamAV :
freshclam
service clamav-daemon startL'erreur suivante peut être ignorée lors de la première exécution de freshclam.
ERREUR :/var/log/clamav/freshclam.log est verrouillé par un autre processus
ERREUR :problème avec l'enregistreur interne (UpdateLogFile =/var/log/clamav/freshclam.log).Le programme amavisd-new a actuellement un bogue dans Ubuntu 18.04 qui empêche que les e-mails soient correctement signés avec Dkim. Exécutez les commandes suivantes pour patcher amavisd-new.
cd /tmp
wget https://git.ispconfig.org/ispconfig/ispconfig3/raw/stable-3.1/helper_scripts/ubuntu-amavisd-new-2.11.patch
cd /usr/ sbin
cp -pf amavisd-new amavisd-new_bak
correctifSi vous obtenez une erreur pour la dernière commande 'patch', alors Ubuntu a probablement résolu le problème entre-temps, il devrait donc être prudent d'ignorer cette erreur.
7.1 Installer le serveur Metronome XMPP (facultatif)
Le serveur Metronome XMPP fournit un serveur de chat XMPP. Cette étape est facultative, si vous n'avez pas besoin d'un serveur de chat, vous pouvez ignorer cette étape. Aucune autre fonction ISPConfig ne dépend de ce logiciel.
Installez les packages suivants avec apt.
apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocksluarocks installer lpcAjoutez un utilisateur shell pour Metronome.
adduser --no-create-home --disabled-login --gecos Métronome 'Metronome'Téléchargez Metronome dans le répertoire /opt et compilez-le.
cd /opt ; git clone https://github.com/maranda/metronome.git metronome
cd ./metronome; ./configure --ostype=debian --prefix=/usr
make
make installMetronome a maintenant été installé sur /opt/metronome.