De Perfecte Server – Ubuntu 18.04 (Bionic Beaver) met Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot en ISPConfig 3.1.
Deze handleiding toont de installatie van een Ubuntu 18.04 (Bionic Beaver) web hosting server met Apache 2.4, Postfix, Dovecot, Bind en PureFTPD om hem voor te bereiden op de installatie van ISPConfig 3.1. Het resulterende systeem zal een Web, Mail, Mailinglist, DNS en FTP Server bieden.
ISPConfig is een webhosting controlepaneel waarmee je via een webbrowser de volgende diensten kunt configureren: Apache of Nginx webserver, Postfix mailserver, Courier of Dovecot IMAP/POP3 server, MySQL, BIND of MyDNS nameserver, PureFTPd, SpamAssassin, ClamAV, en nog veel meer. Deze opzet behandelt de installatie van Apache (in plaats van Nginx), BIND (in plaats van MyDNS), en Dovecot (in plaats van Courier).
1. Opmerking vooraf
In deze zelfstudie gebruik ik de hostname server1.example.com met het IP adres 192.168.1.100 en de gateway 192.168.1.1 Deze instellingen kunnen voor jou anders zijn, dus je moet ze waar nodig vervangen. Voordat je verder gaat moet je een minimale basisinstallatie van Ubuntu 18.04 hebben, zoals in de zelfstudie wordt uitgelegd.
De commando’s in deze handleiding moeten met root rechten worden uitgevoerd. Om te voorkomen dat je voor elk commando sudo moet toevoegen, moet je root gebruiker worden door te draaien:
sudo -s
voordat je verder gaat.
2. Bewerk /etc/apt/sources.list en werk je Linux installatie bij
Bewerk /etc/apt/sources.list. Commentarieer of verwijder de installatie-CD uit het bestand en zorg ervoor dat de universum en multiverse repositories ingeschakeld zijn. Het zou er daarna zo uit moeten zien:
nano /etc/apt/sources.list
#
# deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted
#deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://de.archive.ubuntu.com/ubuntu/ bionic main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic main restricted
## Major bug fix updates produced after the final release of the
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic universe
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic multiverse
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse
## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu bionic partner
# deb-src http://archive.canonical.com/ubuntu bionic partner
deb http://security.ubuntu.com/ubuntu bionic-security main restricted
# deb-src http://security.ubuntu.com/ubuntu bionic-security main restricted
deb http://security.ubuntu.com/ubuntu bionic-security universe
# deb-src http://security.ubuntu.com/ubuntu bionic-security universe
deb http://security.ubuntu.com/ubuntu bionic-security multiverse
# deb-src http://security.ubuntu.com/ubuntu bionic-security multiverse
Voer dan
apt-get update
om de apt pakketdatabase bij te werken en
apt-get upgrade
om de laatste updates te installeren (als die er zijn). Als je ziet dat een nieuwe kernel geïnstalleerd wordt als onderdeel van de updates, moet je het systeem daarna opnieuw opstarten:
reboot
3. Verander de standaard shell
/bin/sh is een symlink naar /bin/dash, maar we hebben /bin/bash nodig, niet /bin/dash. Daarom doen we het volgende:
dpkg-reconfigure dash
Gebruik je dash als de standaard systeemshell (/bin/sh)? <- Nee
Als je dit niet doet, mislukt de installatie van ISPConfig.
4. Schakel AppArmor uit
AppArmor is een beveiligingsuitbreiding (vergelijkbaar met SELinux) die uitgebreide beveiliging moet bieden. Naar mijn mening heb je het niet nodig om een veilig systeem in te stellen, en het veroorzaakt meestal meer problemen dan voordelen (denk eraan als je een week lang problemen aan het zoeken bent geweest omdat een of andere dienst niet werkte zoals verwacht, en dan ontdek je dat alles in orde was, alleen AppArmor veroorzaakte het probleem). Daarom schakel ik het uit (dit is een must als je later ISPConfig wilt installeren).
We kunnen het als volgt uitschakelen:
service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils
5. Synchroniseer de systeemklok
Het is een goed idee om de systeemklok te synchroniseren met een NTP(network time protocol) server over het Internet als je een fysieke server draait. Draai je een virtuele server, dan kun je deze stap overslaan. Voer gewoon
apt-get -y install ntp
en je systeemtijd zal altijd synchroon lopen.
6. Installeer Postfix, Dovecot, MariaDB, rkhunter, en binutils
Om postfix te installeren moeten we eerst zeker weten dat sendmail niet geïnstalleerd is en draait. Om sendmail te stoppen en te verwijderen voer je dit commando uit:
service sendmail stop; update-rc.d -f sendmail remove
De foutmelding:
Failed to stop sendmail.service: Unit sendmail.service not loaded.
Is ok, het betekent alleen dat sendmail niet geïnstalleerd was, dus er hoefde niets verwijderd te worden.
Nu kunnen we Postfix, Dovecot, MariaDB (als vervanger van MySQL), rkhunter, en binutils installeren met een enkel commando:
apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo
Je krijgt de volgende vragen:
General type of mail configuration: <-- Internet Site
System mail name: <-- server1.example.com
Het is belangrijk dat je een subdomein als “systeemmailnaam” gebruikt, zoals server1.example.com of server1.yourdomain.com en niet een domein dat je later als e-maildomein wilt gebruiken (bv. yourdomain.tld).
Open vervolgens de TLS/SSL en inzendpoorten in Postfix:
nano /etc/postfix/master.cf
Maak de submissie en smtps secties als volgt open – voeg de regel -o smtpd_client_restrictions=permit_sasl_authenticated,reject aan beide secties toe en laat alles daarna becommentarieerd:
[...]
submission inet n - y - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
[...]OPMERKING: De witruimtes vóór de “-o …. ” regels zijn belangrijk!
Herstart daarna Postfix:
service postfix restart
We willen dat MySQL op alle interfaces luistert, niet alleen op localhost. Daarom bewerken we /etc/mysql/mariadb.conf.d/50-server.cnf en becommentariëren de regel bind-address = 127.0.0.1:
nano /etc/mysql/mariadb.conf.d/50-server.cnf
[...] # Instead of skip-networking the default is now to listen only on # localhost which is more compatible and is not less secure. #bind-address = 127.0.0.1
[...]
Nu stellen we een root wachtwoord in MariaDB in. Voer uit:
mysql_secure_installation
Je krijgt de volgende vragen:
Enter current password for root (enter for none): <-- press enter
Set root password? [Y/n] <-- y
New password: <-- Enter the new MariaDB root password here
Re-enter new password: <-- Repeat the password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y
Zet de wachtwoord authenticatie methode in MariaDB op native zodat we later PHPMyAdmin kunnen gebruiken om als root gebruiker te verbinden:
echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root
Bewerk het bestand /etc/mysql/debian.cnf en stel daar tweemaal het MYSQL / MariaDB root wachtwoord in, in de rijen die beginnen met password.
nano /etc/mysql/debian.cnf
Het MySQL root wachtwoord dat toegevoegd moet worden staat in gelezen, in dit voorbeeld is het wachtwoord “howtoforge”. Vervang het woord “howtoforge” door het wachtwoord dat je voor de MySQL root gebruiker hebt ingesteld met het mysql_secure_installation commando.
# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
basedir = /usr
Dan starten we MariaDB opnieuw op:
service mysql restart
Controleer nu of netwerken ingeschakeld is. Voer uit.
netstat -tap | grep mysql
De uitvoer zou er zo uit moeten zien:
root@server1:~# netstat -tap | grep mysql
tcp6 0 0 [::]:mysql [::]:* LISTEN 30591/mysqld
root@server1:~#
7. Installeer amavisd-new, SpamAssassin, en Clamav
Om amavisd-new, SpamAssassin, en ClamAV te installeren, voeren we uit
apt-get -y install amavisd-new spamassassin clamav clamav-daemon unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl libdbd-mysql-perl postgreyDe ISPConfig 3 setup gebruikt amavisd die de SpamAssassin filter bibliotheek intern laadt, dus kunnen we SpamAssassin stoppen om wat RAM vrij te maken:
service spamassassin stop
update-rc.d -f spamassassin remove
Om ClamAV te starten gebruik je:
freshclam
service clamav-daemon start
De volgende fout kan bij de eerste run van freshclam genegeerd worden.
ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).
Het programma amavisd-new heeft momenteel een bug in Ubuntu 18.04 die verhindert dat emails correct met Dkim getekend worden. Voer de volgende commando’s uit om amavisd-new te patchen.
cd /tmp
wget https://git.ispconfig.org/ispconfig/ispconfig3/raw/stable-3.1/helper_scripts/ubuntu-amavisd-new-2.11.patch
cd /usr/sbin
cp -pf amavisd-new amavisd-new_bak
patch < /tmp/ubuntu-amavisd-new-2.11.patch
Mocht je een fout krijgen bij het laatste ‘patch’ commando, dan heeft Ubuntu het probleem waarschijnlijk intussen verholpen, dus die fout kun je dan veilig negeren.
7.1 Installeer Metronome XMPP Server (optioneel)
De Metronome XMPP Server levert een XMPP chatserver. Deze stap is optioneel, als je geen chat server nodig hebt, dan kun je deze stap overslaan. Geen andere ISPConfig functies hangen van deze software af.
Installeer de volgende pakketten met apt.
apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks
luarocks install lpc
Voeg een shell gebruiker toe voor Metronome.
adduser --no-create-home --disabled-login --gecos 'Metronome' metronome
Download Metronome naar de /opt directory en compileer het.
cd /opt; git clone https://github.com/maranda/metronome.git metronome
cd ./metronome; ./configure --ostype=debian --prefix=/usr
make
make install
Metronome is nu geïnstalleerd in /opt/metronome.