Site icon Vavik96

Веб-сервер “под ключ” на базе CentOS 7.1

В этой статье рассмотрим установку ISPConfig 3 на сервер CentOS 7.1 (64-Bit). ISPConfig 3 представляет собой интерфейс, с помощью которого можно настраивать следующие службы из браузера: веб-сервер Apache или nginx, почтовый сервер Postfix , MySQL, BIND nameserver, PureFTPd, SpamAssassin, ClamAV, Mailman и т.д. С версии 3.0.4, ISPConfig полностью поддерживает веб-сервер nginx; однако, в этой статье рассмотрим установку сервера, использующего Apache, а не nginx.

1 Системные требования

Для установки системы потребуется:

  • Установленная система либо на реальную машину, либо на виртуальную Centos 7.1.
  • Высокоскоростное соединение с сетью.

2 Предварительные замечания

В данной статье будем использовать имя хоста server1.example.com, IP-адрес 10.4.0.10. В конкретном случае эти параметры могут отличаться, вам необходимо будет заменить их на свои там, где это требуется.

3 Установка раскладки клавиатуры

В случае, если необходимо переключиться на правильную раскладку (например “ru” для русской раскладки клавиатуры), используем команду localectl:

localectl set-keymap ru

Для получения списка выполним:

localectl list-keymaps

Установку ISPConfig рассмотрим в конце статьи, однако ISPConfig идёт вместе с межсетевым экраном Bastille, который будет использоваться, как основной межсетевой экран, поэтому потребуется отключить стандартный межсетевой экран CentOS. Вы также можете использовать стандартный межсетевой экран (но затем Вы не сможете использовать другой межсетевой экран, так как он будет конфликтовать с межсетевым экраном CentOS).

Выполним…

yum -y install net-tools
systemctl stop firewalld.service
systemctl disable firewalld.service

для остановки и отключения межсетевого экрана CentOS.

Затем необходимо проверить, отключён ли межсетевой экран, выполним следующее:

iptables -L

Выходные данные должны выглядеть следующим образом:

[root@server1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Или воспользуемся командой firewall-cmd:

firewall-cmd --state
[root@server1 ~]# firewall-cmd --state
not running
[root@server1 ~]#

Теперь установим редактор настроек интернета и оболочки “nano”, который будем использовать для редактирования файлов конфигурации:

yum -y install nano wget NetworkManager-tui

Если сетевая карта не настроена, выполним…

nmtui

… и выберем пункт Edit a connection:

Выберем сетевой интерфейс.

Затем заполним настройки интернета – отключим DHCP и введём статический IP адрес, сетевую маску, шлюз и один или два NSа (имени сервера), затем нажимаем Ok:

Далее выбираем OK для подтверждения изменений в настройках интернета.

И нажимаем Quit для выхода из программы настройки.

Далее выполним

ifconfig

для проверки получения установщиком нашего IP-адреса:

[root@server1 ~]# ifconfig<br>
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500<br>
        inet 10.4.0.10  netmask 255.255.255.0  broadcast 10.4.0.255<br>
        inet6 fe80::20c:29ff:fecd:cc52  prefixlen 64  scopeid 0x20<br>
        ether 00:0c:29:cd:cc:52  txqueuelen 1000  (Ethernet)<br>
        RX packets 55621  bytes 79601094 (75.9 MiB)<br>
        RX errors 0  dropped 0  overruns 0  frame 0<br>
        TX packets 28115  bytes 2608239 (2.4 MiB)<br>
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0<br>
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536<br>
        inet 127.0.0.1  netmask 255.0.0.0<br>
        inet6 ::1  prefixlen 128  scopeid 0x10<br>
        loop  txqueuelen 0  (Local Loopback)<br>
        RX packets 0  bytes 0 (0.0 B)<br>
        RX errors 0  dropped 0  overruns 0  frame 0<br>
        TX packets 0  bytes 0 (0.0 B)<br>
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Если сетевая карта здесь не представлена, значит она не включена при загрузке, в этом случае откроем файл /etc/sysconfig/network-scripts/ifcfg-eth0

nano /etc/sysconfig/network-scripts/ifcfg-ens33

и сменим значение ONBOOT на yes:

[...]
ONBOOT=yes
[...]

И перезагрузим сервер.

Проверим файл /etc/resolv.conf, в котором NSы должны совпадать с заданными ранее:

cat /etc/resolv.conf

Если NSы отсутствуют, выполним:

nmtui

и снова добавим пропущенные NS.

Перейдём к настроке…

4 Корректировка /etc/hosts

Отредактируем /etc/hosts. Должно получиться следующее:

nano /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4
 localhost4.localdomain4
10.4.0.10   server1.example.com     server1

::1         localhost localhost.localdomain localhost6
 localhost6.localdomain6

5 Отключение SELinux

SELinux представляет собой расширение безопасности в CentOS, которое обеспечивает дополнительную защиту. На практике это расширение создаёт много проблем, поэтому его придётся отключить (более того, это необходимо для дальнейшей установки ISPConfig).

Отредактируем /etc/selinux/config и установим SELINUX=disabled:

nano /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Далее перезагрузим систему:

reboot

6 Включение дополнительных репозиторий и установка ПО

В начале импортируем ключи GPG для пакетов ПО:

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY*

Затем включим репозиторий EPEL в системе CentOS, так как большинство пакетов, которые будут установлены, недоступны в официальной репозитории CentOS 7:

yum -y install epel-release
yum -y install yum-priorities

Отредактируем /etc/yum.repos.d/epel.repo…

nano /etc/yum.repos.d/epel.repo

… и добавим строку priority=10 в секции [epel]:

[epel]
name=Extra Packages for Enterprise Linux 7 - $basearch
#baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$basearch
failovermethod=priority
enabled=1
priority=10
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
[...]

Затем обновим существующие пакеты в системе:

yum update

Далее установим ПО, которое потребует в дальнейшем:

yum -y groupinstall ‘Development Tools’

7 Quota

(Если Вы выбрали другую схему разбиения, замените quota, там, где необходимо.)

Для установки quota выполним:

yum -y install quota

Теперь проверим, включена ли quota для файловом системы, в которой расположены сайт (/var/www) и данные maildir (var/vmail). Например, есть один root раздел, поэтому будем искать ‘ / ‘:

mount | grep ' / '
[root@server1 ~]# mount | grep ' / '
/dev/mapper/centos-root on / type xfs (rw,relatime,attr2,inode64,noquota)
[root@server1 ~]#

Если существует несколько разделов /var partition, выполним следующее:

mount | grep ' /var '

Если строка содержит слово “noquota”, потребуется выполнить следующее, для включения quota.

Включение quota в/ (root) разделе

Обычно можно включить quota в файле /etc/fstab, но если файловая система является файловой системой root “/”, quota включается, как параметр загрузки ядра Linuх.

Отредактируем файл конфигурации grub:

nano /etc/default/grub

ищем строку, которая начинается с GRUB_CMDLINE_LINUX и добавляем rootflags=uquota,gquota к параметрам командной строки, результат должен быть следующий:

GRUB_CMDLINE_LINUX="rd.lvm.lv=centos/swap vconsole.font=latarcyrheb-sun16 rd.lvm.lv=centos/root crashkernel=auto  vconsole.keymap=us rhgb quiet rootflags=uquota,gquota"

Сохраним изменения, выполнив следующее:

cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg_bak
grub2-mkconfig -o /boot/grub2/grub.cfg

и перезагрузим сервер.

reboot

Теперь проверим, включена ли quota:

mount | grep ' / '
[root@server1 ~]# mount | grep ' / '
/dev/mapper/centos-root on / type xfs (rw,relatime,attr2,inode64,usrquota,grpquota)
[root@server1 ~]#

Когда quota запущена, появится “usrquota,grpquota” в списке опций.

Включение quota в разделённых /var разделах

Если разделы /var разделены, отредактируем файл /etc/fstab и добавим, uquota,gquota в

/ partition (/dev/mapper/centos-var):
nano /etc/fstab
#
# /etc/fstab
# Created by anaconda on Sun Sep 21 16:33:45 2014
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/centos-root /                       xfs     defaults        1 1
/dev/mapper/centos-var /var                     xfs
     defaults,uquota,gquota        1 2
UUID=9ac06939-7e43-4efd-957a-486775edd7b4 /boot                   xfs    defaults        1 3
/dev/mapper/centos-swap swap                    swap    defaults        0 0

Далее выполним

mount -o remount /var
quotacheck -avugm
quotaon -avug

для включения quota. Когда возникнет ошибка oartition с включенной quota, перезапустим сервер, перед тем, как продолжить.

8 Установка Apache, MySQL, phpMyAdmin

Установка происходит с использованием одной команды:

yum -y install ntp httpd mod_ssl mariadb-server php php-mysql php-mbstring phpmyadmin

9 Установка Dovecot

Dovecot устанавливается следующим образом:

yum -y install dovecot dovecot-mysql dovecot-pigeonhole

Создадим пустой файл dovecot-sql.conf file и символьную ссылку:

touch /etc/dovecot/dovecot-sql.conf
ln -s /etc/dovecot/dovecot-sql.conf /etc/dovecot-sql.conf

Теперь создадим автозагрузку и запустим Dovecot:

systemctl enable dovecot
systemctl start dovecot

10 Установка Postfix

Postfix устанавливается следующим образом:

yum -y install postfix

Далее отключаем Sendmail и запускаем Postfix и Mariadb (MySQL):

systemctl enable mariadb.service
systemctl start mariadb.service

systemctl stop sendmail.service
systemctl disable sendmail.service
systemctl enable postfix.service
systemctl restart postfix.service

Отключим sendmail, чтобы он не запускался, затем ошибка “Failed to issue method call: Unit sendmail.service not loaded.” Может быть проигнорирована.

11 Установка Getmail

Getmail устанавливается следующим образом:

yum -y install getmail

12 Установка паролей MySQL и настройка phpMyAdmin

Установим пароли для аккаунта root в MySQL:

mysql_secure_installation
[root@server1 tmp]# mysql_secure_installation

Далее потребуется ответить на ряд вопросов, для всех вопросов нажимаем Enter, кроме New Password и Re-enter new password, где потребуется задать и повторить пароль.

Теперь настроим phpMyAdmin. Изменим настройку Apache таким образом, что phpMyAdmin разрешает соединения не только с локального хоста (удалив две строки “Require ip”и добавив новую строку “Require all granted” в строфу ):

nano /etc/httpd/conf.d/phpMyAdmin.conf
# phpMyAdmin - Web based MySQL browser written in php<br>
#<br>
# Allows only localhost by default<br>
#<br>
# But allowing phpMyAdmin to anyone other than localhost should be considered<br>
# dangerous unless properly secured by SSL<br>
Alias /phpMyAdmin /usr/share/phpMyAdmin<br>
Alias /phpmyadmin /usr/share/phpMyAdmin<br>
<br>
   <br>
     # Apache 2.4<br>
     <br>
     #  Require ip 127.0.0.1<br>
     #  Require ip ::1<br>
        Require all granted<br>
     <br>
   <br>
   <br>
     # Apache 2.2<br>
     Order Deny,Allow<br>
     Deny from All<br>
     Allow from 127.0.0.1<br>
     Allow from ::1<br>
   <br>

Далее изменим аутентификацию в phpMyAdmin с cookie на http:

nano /etc/phpMyAdmin/config.inc.php

[...]
/* Authentication type */
$cfg['Servers'][$i]['auth_type'] = 'http';
[...]

Далее создадим автозагрузку для Apache и запустим его:

systemctl enable  httpd.service
systemctl restart  httpd.service

Теперь можно в браузере перейти по адресу http://server1.example.com/phpmyadmin/ или http://10.4.0.10/phpmyadmin/ и войти с использованием имени пользователя root и пароля root MySQL.

13 Установка Amavisd-new, SpamAssassin и ClamAV

Для установки amavisd-new, spamassassin и clamav выполним следующее:

yum -y install amavisd-new spamassassin clamav clamav-update unzip bzip2 perl-DBD-mysql

Отредактируем файл конфигурации freshclam /etc/freshclam.conf

nano /etc/freshclam.conf

и удалим строку “Example”

[....]
# Example
[....]

Затем запустим freshclam, amavisd и clamd.amavisd:

sa-update
freshclam 
systemctl enable amavisd.service

14 Установка Apache2 с mod_php, mod_fcgi/PHP5, PHP-FPM и suPHP

ISPConfig 3 позволяет использовать mod_php, mod_fcgi/PHP5, cgi/PHP5 и suPHP в основе каждого сайта.

Установим Apache2 с mod_php5, mod_fcgid и PHP5 следующим образом:

yum -y install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-pecl-apc php-mbstring php-mcrypt php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel php-fpm

Далее откроем /etc/php.ini…

nano /etc/php.ini

… и изменим отчёт об ошибках (сообщения больше не будут), установим timezone(часовой пояс) и удалим cgi.fix_pathinfo=1:

[...]<br>
;error_reporting = E_ALL & ~E_DEPRECATED<br>
error_reporting = E_ALL & ~E_NOTICE & ~E_DEPRECATED<br>
[...]<br>
; cgi.fix_pathinfo provides *real* PATH_INFO/PATH_TRANSLATED support for<br> CGI. PHP's<br>
; previous behaviour was to set PATH_TRANSLATED to SCRIPT_FILENAME, and to<br> not grok<br>
; what PATH_INFO is.  For more information on PAppp.tldTH_INFO, see the cgi<br> specs. Setting<br>
; this to 1 will cause PHP CGI to fix its paths to conform to the spec.  A<br>setting<br>
; of zero causes PHP to behave as before.  Default is 1. <br>  
You should fix your scripts<br>
; to use SCRIPT_FILENAME rather than PATH_TRANSLATED.<br>
; http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo<br>
cgi.fix_pathinfo=1<br>
[...]<br>
date.timezone = 'Europe/Berlin'<br>
[...]

Далее установим suPHP (в репозиториях доступен пакет mod_suphp, но к сожалению он не совместим с ISPConfig, поэтому нам придётся установить suPHP самостоятельно):

cd /usr/local/src
wget http://suphp.org/download/suphp-0.7.2.tar.gz
tar zxvf suphp-0.7.2.tar.gz

CentOS 7.1 использует apache-2.4, поэтому нам придётся поставить исправление для suphp перед тем, как скомпилировать его перед Apache. Исправление применяется следующим образом:

wget -O suphp.patch 
https://lists.marsching.com/pipermail/suphp/attachments/20130520/74f3ac02/attachment.patch
patch -Np1 -d suphp-0.7.2 < suphp.patch
cd suphp-0.7.2
autoreconf -if
[root@server1 suphp-0.7.2]# autoreconf -if<br>
libtoolize: putting auxiliary files in AC_CONFIG_AUX_DIR, `config'.<br>
libtoolize: copying file `config/ltmain.sh'<br>
libtoolize: Consider adding `AC_CONFIG_MACRO_DIR([m4])' to configure.ac and<br>
libtoolize: rerunning libtoolize, to keep the correct libtool macros in-tree.<br>
libtoolize: Consider adding `-I m4' to ACLOCAL_AMFLAGS in Makefile.am.<br>
configure.ac:9: warning: AM_INIT_AUTOMAKE: two- and three-arguments forms are<br>deprecated.  For more info, see:<br>
configure.ac:9: http://www.gnu.org/software/automake/manual/automake.html#Modernize-AM_005fINIT_005fAUTOMAKE-invocation<br>
configure.ac:24: installing 'config/config.guess'<br>
configure.ac:24: installing 'config/config.sub'<br>
configure.ac:9: installing 'config/install-sh'<br>
configure.ac:9: installing 'config/missing'<br>
src/Makefile.am: installing 'config/depcomp'<br>
[root@server1 suphp-0.7.2]#

Затем скомпилируем новый источник следующим образом:

./configure --prefix=/usr/ --sysconfdir=/etc/ --with-apr=/usr/bin/apr-1-config --with-apache-user=apache --with-setid-mode=owner --with-logfile=/var/log/httpd/suphp_log
make
make install

Далее добавим модуль suPHP в конфигурацию Apache…

nano /etc/httpd/conf.d/suphp.conf
LoadModule suphp_module modules/mod_suphp.so

… и создадим файл /etc/suphp.conf:

nano /etc/suphp.conf
[global]<br>
;Path to logfile<br>
logfile=/var/log/httpd/suphp.log<br>
;Loglevel<br>
loglevel=info<br>
;User Apache is running as<br>
webserver_user=apache<br>
;Path all scripts have to be in<br>
docroot=/<br>
;Path to chroot() to before executing script<br>
;chroot=/mychroot<br>
; Security options<br>
allow_file_group_writeable=true<br>
allow_file_others_writeable=false<br>
allow_directory_group_writeable=true<br>
allow_directory_others_writeable=false<br>
;Check wheter script is within DOCUMENT_ROOT<br>
check_vhost_docroot=true<br>
;Send minor error messages to browser<br>
errors_to_browser=false<br>
;PATH environment variable<br>
env_path=/bin:/usr/bin<br>
;Umask to set, specify in octal notation<br>
umask=0077<br>
; Minimum UID<br>
min_uid=100<br>
; Minimum GID<br>
min_gid=100<br>
[handlers]<br>
;Handler for php-scripts<br>
x-httpd-suphp="php:/usr/bin/php-cgi"<br>
;Handler for CGI-scripts<br>
x-suphp-cgi="execute:!self"

Отредактируем файл etc/httpd/conf.d/php.conf для включения синтаксического анализа php только для phpmyadmin, roundcube и других пакетов в /usr/share, но не для сайтов в /var/www, как ISPConfig активирует PHP для каждого сайта индивидуально.

nano /etc/httpd/conf.d/php.conf

Изменим строки:

SetHandler application/x-httpd-php

на:

SetHandler application/x-httpd-php

Теперь обработчик PHP находится в директории Directory.

Включим httpd и PHP-FPM, для включения автозагрузки и запуска службы PHP-FPM.

systemctl start php-fpm.service
systemctl enable php-fpm.service
systemctl enable httpd.service

Перезапустим Apache:

systemctl restart httpd.service

15 Установка mod_python

Модуль apache mod_python недоступен, как пакет RPM, поэтому скомпилируем его из источника. Первым шагом будет установка файлов разработки python и загрузка нынешней версии mod_python в файле tar.gz

yum -y install python-devel
cd /usr/local/src/
wget http://dist.modpython.org/dist/mod_python-3.5.0.tgz
tar xfz mod_python-3.5.0.tgz
cd mod_python-3.5.0

и затем настроим и скомпилируем модуль

./configure
make
make install

И включим модуль в apache

echo 'LoadModule python_module modules/mod_python.so' > 
/etc/httpd/conf.modules.d/10-python.conf
systemctl restart httpd.service

16 Установка PureFTPd

PureFTPd устанавливается следующим образом:

yum -y install pure-ftpd

Далее создадим автозагрузку и запустим PureFTPd:

systemctl enable pure-ftpd.service
systemctl start pure-ftpd.service

Теперь настроим PureFTPd, для того, чтобы разрешить сессии FTP и TLS. FTP является очень ненадёжным протоколом, потому что все пароли и данные передаются в виде текста. При использовании TLS, вся коммуникации зашифрована, что делает FTP гораздо более защищённым.

OpenSSL требуется для установкиis TLS; установим OpenSSL:

yum install openssl

Откроем /etc/pure-ftpd/pure-ftpd.conf…

nano /etc/pure-ftpd/pure-ftpd.conf

Если требуется разрешить сессии FTP и TLS, присвоим TLS значение 1:

[...]
# This option can accept three values :
# 0 : disable SSL/TLS encryption layer (default).
# 1 : accept both traditional and encrypted sessions.
# 2 : refuse connections that don't use SSL/TLS security mechanisms, 
#     including anonymous sessions.
# Do _not_ uncomment this blindly. Be sure that :
# 1) Your server has been compiled with SSL/TLS support (--with-tls),
# 2) A valid certificate is in place,
# 3) Only compatible clients will log in.
TLS
                      1
[...]

Для использования TLS необходимо создать сертификат SSL. Создадим директорию /etc/ssl/private/, в которой будет находится данный сертификат.

mkdir -p /etc/ssl/private/

Далее сгенерируем сертификат SSL следующим образом:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem
Country Name (2 letter code) [AU]: 
State or Province Name (full name) [Some-State]: 
Locality Name (eg, city) []: <--Ввести название города.
 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []: 
Common Name (eg, YOUR name) []:
Email Address []:

Изменим права доступа сертификата SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Затем перезапустим PureFTPd:

systemctl restart pure-ftpd.service

Теперь можно подключиться, используя клиент FTP; в любом случае потребуется настроить клиент FTP для использования TLS.

17 Установка BIND

BIND устанавливается следующим образом:

yum -y install bind bind-utils

Создадим резервную копию файла /etc/named.conf и сделаем новый файл:

cp /etc/named.conf /etc/named.conf_bak
cat /dev/null > /etc/named.conf
nano /etc/named.conf
//<br>
// named.conf<br>
//<br>
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS<br>
// server as a caching only nameserver (as a localhost DNS resolver only).<br>
//<br>
// See /usr/share/doc/bind*/sample/ for example named configuration files.<br>
//<br>
options {<br>
        listen-on port 53 { any; };<br>
        listen-on-v6 port 53 { any; };<br>
        directory       "/var/named";<br>
        dump-file       "/var/named/data/cache_dump.db";<br>
        statistics-file "/var/named/data/named_stats.txt";<br>
        memstatistics-file "/var/named/data/named_mem_stats.txt";<br>
        allow-query     { any; };<br>
				allow-recursion {"none";};<br>
        recursion no;
};<br>
logging {<br>
        channel default_debug {<br>
                file "data/named.run";<br>
                severity dynamic;<br>
        };<br>
};<br>
zone "." IN {<br>
        type hint; <br>
        file "named.ca";<br>
};<br>
include "/etc/named.conf.local";

Создадим файл /etc/named.conf.local that is included at the end of /etc/named.conf (/etc/named.conf.local will later on get populated by ISPConfig if you create DNS zones in ISPConfig):

touch /etc/named.conf.local

Затем создадим автозагрузку и запустим BIND:

systemctl enable named.service
systemctl start named.service

18 Установка Webalizer и AWStats

Webalizer и AWStats устанавливаются следующим образом:

yum -y install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder

19 Установка Jailkit

Jailkit потребуется, если вы хотите сделать chroot для пользователей SSH. Установка производится следующим образом: (важно: Jailkit может быть установлен только перед установкой ISPConfig –после его уже не получится установить!):

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.17.tar.gz
tar xvfz jailkit-2.17.tar.gz
cd jailkit-2.17
./configure
make
make install
cd .. 
rm -rf jailkit-2.17*

20 Установка fail2ban

Установка fail2ban необязательна, но рекомендована, так как монитор ISPConfig попытается показать запись событий:

yum -y install iptables-services fail2ban fail2ban-systemd
systemctl mask firewalld.service
systemctl enable iptables.service
systemctl enable ip6tables.service
systemctl stop firewalld.service
systemctl start iptables.service
systemctl start ip6tables.service

Создадим файл /etc/fail2ban/jail.local и включим мониторинг для ssh, email и службы ftp.

nano /etc/fail2ban/jail.local

Добавим следующее в файл jail.local:

[sshd]
enabled = true
action = iptables[name=sshd, port=ssh, protocol=tcp]

[pure-ftpd]
enabled = true
action = iptables[name=FTP, port=ftp, protocol=tcp]
maxretry = 3

[dovecot]
enabled = true
action = iptables-multiport[name=dovecot, port="pop3,pop3s,imap,imaps",
protocol=tcp]
maxretry = 5

[postfix-sasl]
enabled = true
action = iptables-multiport[name=postfix-sasl, port="smtp,smtps,submission", protocol=tcp]
maxretry = 3

Далее создадим автозагрузку и запустим fail2ban:

systemctl enable fail2ban.service
systemctl start fail2ban.service

21 Установка rkhunter

rkhunter устанавливается следующим образом:

yum -y install rkhunter

22 Установка Mailman

Mailman используется для управления адресным списком на сервере. Mailman поддерживается ISPConfig, следовательно можно создавать новые адресные списки через ISPConfigr.

yum -y install mailman

Перед запуском Mailman необходимо создать список, под названием mailman:

touch /var/lib/mailman/data/aliases
postmap /var/lib/mailman/data/aliases
/usr/lib/mailman/bin/newlist mailman

Далее потребуется ввести адрес электрнной почты, задать пароль для списка и для подтврерждения создания спика нажать Enter.

Далее откроем /etc/aliases…

vi /etc/aliases

… и добавим следующие строки:

[...]
mailman:              "|/usr/lib/mailman/mail/mailman post mailman"
mailman-admin:        "|/usr/lib/mailman/mail/mailman admin mailman"
mailman-bounces:      "|/usr/lib/mailman/mail/mailman bounces mailman"
mailman-confirm:      "|/usr/lib/mailman/mail/mailman confirm mailman"
mailman-join:         "|/usr/lib/mailman/mail/mailman join mailman"
mailman-leave:        "|/usr/lib/mailman/mail/mailman leave mailman"
mailman-owner:        "|/usr/lib/mailman/mail/mailman owner mailman"
mailman-request:      "|/usr/lib/mailman/mail/mailman request mailman"
mailman-subscribe:    "|/usr/lib/mailman/mail/mailman subscribe mailman"
mailman-unsubscribe:  "|/usr/lib/mailman/mail/mailman unsubscribe
 mailman"

Выполним

newaliases

и перезапустим Postfix:

systemctl restart postfix.service

Теперь откроем файл конфигурации Mailman Apache /etc/httpd/conf.d/mailman.conf…

nano /etc/httpd/conf.d/mailman.conf

… и добавим строку ScriptAlias /cgi-bin/mailman/ /usr/lib/mailman/cgi-bin/. Alias /pipermail/ /var/lib/mailman/archives/public/ и добавим строку Alias /pipermail /var/lib/mailman/archives/public/:

#<br>
#  httpd configuration settings for use with mailman.<br>
#<br>
ScriptAlias /mailman/ /usr/lib/mailman/cgi-bin/<br>
ScriptAlias /cgi-bin/mailman/ /usr/lib/mailman/cgi-bin/<br>
<br>
    AllowOverride None<br>
    Options ExecCGI<br>
    Order allow,deny<br>
    Allow from all<br>
<br>
#Alias /pipermail/ /var/lib/mailman/archives/public/<br>
Alias /pipermail /var/lib/mailman/archives/public/<br>
<br>
    Options Indexes MultiViews FollowSymLinks<br>
    AllowOverride None<br>
    Order allow,deny<br>
    Allow from all<br>
    AddDefaultCharset Off<br>
<br>
# Uncomment the following line, to redirect queries to /mailman to the<br>
# listinfo page (recommended).<br>
# RedirectMatch ^/mailman[/]*$ /mailman/listinfo

Перезапустим Apache:

systemctl restart httpd.service

Создадим автозагрузку и запустим Mailman:

systemctl enable mailman.service
systemctl start mailman.service

После установки ISPConfig 3 можно будет получить доступ к Mailman следующим образом:

Можно использовать alias /cgi-bin/mailman для всех виртуальных хостов Apache (Внимание: suExec и CGI должны быть отключены для всех виртуальных хостов, которые будут иметь доступ к Mailman!), это значит, что можно получить доступ к интерфейсу администратора Mailman через http:///cgi-bin/mailman/admin/ и веб-страница для пользователей в списке адресатов находится по адресу http:///cgi-bin/mailman/listinfo/.

В http:///pipermail/ можно найти архивы адресных списков.

23 Установка Roundcube webmail

Установим клиент Roundcube:

yum -y install roundcubemail

Отредактируем файл конфигурации roundcubemail следующим образом:

nano /etc/httpd/conf.d/roundcubemail.conf
#<br>
# Round Cube Webmail is a browser-based multilingual IMAP client<br>
#<br>
Alias /roundcubemail /usr/share/roundcubemail<br>
Alias /webmail /usr/share/roundcubemail<br>
# Define who can access the Webmail<br>
# You can enlarge permissions once configured<br>
#<br>
#    <br>
#        # Apache 2.4<br>
#        Require local<br>
#    <br>
#    <br>
#        # Apache 2.2<br>
#        Order Deny,Allow<br>
#        Deny from all<br>
#        Allow from 127.0.0.1<br>
#        Allow from ::1<br>
#    <br>
#<br>
<br>
        Options none<br>
        AllowOverride Limit<br>
        Require all granted<br>
<br>
# Define who can access the installer<br>
# keep this secured once configured<br>
#<br>
#    <br>
#        # Apache 2.4<br>
#        Require local<br>
#    <br>
#    <br>
#        # Apache 2.2<br>
#        Order Deny,Allow<br>
#        Deny from all<br>
#        Allow from 127.0.0.1<br>
#        Allow from ::1<br>
#    <br>
#<br>
<br>
        Options none<br>
        AllowOverride Limit<br>
        Require all granted<br>
# Those directories should not be viewed by Web clients.

    Order Allow,Deny
    Deny from all


    Order Allow,Deny
    Deny from all

Перезапустим Apache:

systemctl restart httpd.service

Теперь потребуются базы данных для roundcube, инициализировать их можно следующим образом:

mysql -u root –p

В mariadb введём:

CREATE DATABASE roundcubedb;
CREATE USER roundcubeuser@localhost IDENTIFIED BY 'roundcubepassword';
GRANT ALL PRIVILEGES on roundcubedb.* to roundcubeuser@localhost ;
FLUSH PRIVILEGES;
exit

Значения в базе данных roundcube используются для теста, их следует заменить по Вашему выбору из соображений безопасности.

Теперь установим roundcube в браузере по адресу http://10.4.0.10/roundcubemail/installer

Далее заполним элементы в

nano /etc/roundcubemail/config.inc.php
/* Local configuration for Roundcube Webmail */<br>
// ----------------------------------<br>
// SQL DATABASE<br>
// ----------------------------------<br>
// Database connection string (DSN) for read+write operations<br>
// Format (compatible with PEAR MDB2):<br>db_provider://user:password@host/database<br>
// Currently supported db_providers: mysql, pgsql, sqlite, mssql or sqlsrv<br>
// For examples see<br>http://pear.php.net/manual/en/package.database.mdb2.intro-dsn.php<br>
// NOTE: for SQLite use absolute path:<br>'sqlite:////full/path/to/sqlite.db?mode=0646'<br>
$config['db_dsnw'] =<br>'mysql://roundcubeuser:roundcubepassword@localhost/roundcubedb';<br>
// ----------------------------------<br>
// IMAP<br>
// ----------------------------------<br>
// The mail host chosen to perform the log-in.<br>
// Leave blank to show a textbox at login, give a list of hosts<br>
// to display a pulldown menu or set one host as string.<br>
// To use SSL/TLS connection, enter hostname with prefix ssl:// or tls://<br>
// Supported replacement variables:<br>
// %n - hostname ($_SERVER['SERVER_NAME'])<br>
// %t - hostname without the first part<br>
// %d - domain (http hostname $_SERVER['HTTP_HOST'] without the first part)<br>
// %s - domain name after the '@' from e-mail address provided at login<br> screen<br>
// For example %n = mail.domain.tld, %t = domain.tld<br>
// WARNING: After hostname change update of mail_host column in users table is<br>
//          required to match old user data records with the new host.<br>
$config['default_host'] = 'localhost';<br>
// provide an URL where a user can get support for this Roundcube<br> installation<br>
// PLEASE DO NOT LINK TO THE ROUNDCUBE.NET WEBSITE HERE!<br>
$config['support_url'] = '';<br>
// this key is used to encrypt the users imap password which is stored<br>
// in the session record (and the client cookie if remember password is<br> enabled).<br>
// please provide a string of exactly 24 chars.<br>
$config['des_key'] = 'FHgaM7ihtMkM1cBwckOcxPdT';<br>
// ----------------------------------<br>
// PLUGINS<br>
// ----------------------------------<br>
// List of active plugins (in plugins/ directory)<br>
$config['plugins'] = array();<br>
// Set the spell checking engine. Possible values:<br>
// - 'googie'  - the default<br>
// - 'pspell'  - requires the PHP Pspell module and aspell installed<br>
// - 'enchant' - requires the PHP Enchant module<br>
// - 'atd'     - install your own After the Deadline server or check with the<br> people at http://www.afterthedeadline.com before using their API
// Since Google shut down their public spell checking service, you need to<br> 
// connect to a Nox Spell Server when using 'googie' here. Therefore specify the 'spellcheck_uri'<br>
$config['spellcheck_engine'] = 'pspell';

Далее нажмём кнопку “continue” в веб-установщике. Затем нажимаем кнопку “Initialize database”.

Наконец, отключим установщик Roundecubemail. Изменим файл конфигурации apacheroundcubemail:

nano /etc/httpd/conf.d/roundcubemail.conf
#<br>
# Round Cube Webmail is a browser-based multilingual IMAP client<br>
#<br>
Alias /roundcubemail /usr/share/roundcubemail<br>
Alias /webmail /usr/share/roundcubemail<br>
# Define who can access the Webmail<br>
# You can enlarge permissions once configured<br>
#<br>
#    <br>
#        # Apache 2.4<br>
#        Require local<br>
#    <br>
#    <br>
#       # Apache 2.2<br>
#        Order Deny,Allow<br>
#        Deny from all<br>
#        Allow from 127.0.0.1<br>
#        Allow from ::1<br>
#    <br>
#<br>
<br>
        Options none<br>
        AllowOverride Limit<br>
        Require all granted<br>
<br>
# Define who can access the installer<br>
# keep this secured once configured<br>
<br>
    <br>
        # Apache 2.4<br>
       Require local<br>
   <br>
    <br>
        # Apache 2.2<br>
        Order Deny,Allow<br>
        Deny from all<br>
       Allow from 127.0.0.1<br>
        Allow from ::1<br>
    <br>
<br>
# Those directories should not be viewed by Web clients.<br>
<br>
    Order Allow,Deny<br>
    Deny from all<br>
<br>
<br>
    Order Allow,Deny<br>
    Deny from all<br>
<br>
~

Перезапустим Apache:

systemctl restart httpd.service

24 Установка ISPConfig 3

Загрузим и установим последнюю версию(http://www.ispconfig.org/files/category/1-ispconfig) ISPConfig 3. Установщик ISPConfig настроит такие службы, как Postfix, Dovecot и т.д. Ручная установка, как для ISPConfig 2, больше не требуется.

Также установщик может создать виртуальный хост SSL для панели управления ISPConfig control panel, таким образом ISPConfig будет доступен по адресу https:// вместо http://. Для этого необходимо нажать ENTER в вопросе: Do you want a secure (SSL) connection to the ISPConfig web interface (y,n) [y]:.

Для установки последней версии ISPConfig 3 сделаем следующее:

cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install/

Далее выполним:

php -q install.php

Запустится установщик ISPConfig 3:

[root@server1 install]# php -q install.php

Далее потребуется ввести данные для установки ISPConfig 3, для всех вопросов нажимаем Enter, кроме Enter your root password, где потребуется ввести пароль.

Сообщение об ошибке “usage: doveadm [-Dv] [-f ] []” можно проигнорировать, если оно появилось во время установки ispconfig.

Для исправления ошибок Mailman во время установки ISPConfig, откроем /usr/lib/mailman/Mailman/mm_cfg.py…

vi /usr/lib/mailman/Mailman/mm_cfg.py

… и зададим DEFAULT_SERVER_LANGUAGE = ‘en’:

[...]
#-------------------------------------------------------------  
# The default language for this server.
DEFAULT_SERVER_LANGUAGE = 'en'
[...]

Далее перезапустим Mailman:

systemctl restart mailman.service

25 Первая авторизация в ISPConfig

Теперь ISPConfig 3 доступен по адресу http(s)://server1.example.com:8080/ или http(s)://10.4.0.10:8080/, причём протокол http или https зависит от нашего выбора при установке. Авторизоваться можно, введя имя пользователя admin и пароль admin (стандартный пароль следует сменить после первого входа).

Далее потребуется задать пути настройки BIND в ISPConfig. Выбираем меню “System”, затем “Server config” в правом меню. Далее, в появившимся списке выбираем server name.

Перейдём на вкладку “DNS”.

И введём пути DNS:

BIND zonefiles directory: /var/named
BIND named.conf path: /etc/named.conf
BIND named.conf.local path: /etc/named.conf.local

Теперь система готова к использованию.

Источник

Exit mobile version