完美服务器 - 带Apache,PHP,MySQL,PureFTPD,BIND,Postfix,Dovecot和ISPConfig 3.1的Ubuntu 18.04(仿生海狸)

本教程演示如何使用Apache,BIND,Dovecot和ISPConfig 3.1安装Ubuntu 18.04 LTS(仿生海狸)服务器。 ISPConfig是一个虚拟主机...

完美服务器 - 带Apache,PHP,MySQL,PureFTPD,BIND,Postfix,Dovecot和ISPConfig 3.1的Ubuntu 18.04(仿生海狸)

本教程展示了使用Apache 2.4,Postfix,Dovecot,Bind和PureFTPD安装Ubuntu 18.04(Bionic Beaver)Web托管服务器,以便为安装ISPConfig 3.1做好准备。 由此产生的系统将提供Web,邮件,邮件列表,DNS和FTP服务器。

ISPConfig是一个虚拟主机控制面板,允许您通过Web浏览器配置以下服务:Apache或Nginx Web服务器,Postfix邮件服务器,Courier或Dovecot IMAP / POP3服务器,MySQL,BIND或MyDNS域名服务器,PureFTPd,SpamAssassin,ClamAV , 还有很多。 此设置涵盖Apache(而不是Nginx),BIND(而不是MyDNS)和Dovecot(而不是Courier)的安装。

1.初步说明

在本教程中,我使用IP地址为192.168.1.100和网关192.168.1.1的主机名server1.example.com 。这些设置可能会有所不同,因此您必须在适当的位置替换它们。 在继续下一步之前,您需要按照本教程中的说明进行基本的Ubuntu 18.04最低安装。

本教程中的命令必须以root权限运行。 为避免在每个命令前面添加sudo,必须运行以下命令成为root用户:

sudo -s

在你继续之前。

2.编辑/etc/apt/sources.list并更新您的Linux安装

编辑/etc/apt/sources.list 。 注释掉或从文件中删除安装CD,并确保已启用Universe多重库。 它应该看起来像这样事后:

nano /etc/apt/sources.list

#

# deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted

#deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted

# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://de.archive.ubuntu.com/ubuntu/ bionic main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic main restricted

## Major bug fix updates produced after the final release of the
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic universe
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic multiverse
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse

## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse

## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu bionic partner
# deb-src http://archive.canonical.com/ubuntu bionic partner

deb http://security.ubuntu.com/ubuntu bionic-security main restricted
# deb-src http://security.ubuntu.com/ubuntu bionic-security main restricted
deb http://security.ubuntu.com/ubuntu bionic-security universe
# deb-src http://security.ubuntu.com/ubuntu bionic-security universe
deb http://security.ubuntu.com/ubuntu bionic-security multiverse
# deb-src http://security.ubuntu.com/ubuntu bionic-security multiverse

然后运行

apt-get update

更新apt软件包数据库和

apt-get upgrade

安装最新的更新(如果有的话)。 如果您发现将新内核安装为更新的一部分,则应在以后重新启动系统:

reboot

3.更改默认外壳

/ bin / sh/ bin / dash的符号链接,但我们需要/ bin / bash ,而不是/ bin / dash 。 因此,我们这样做:

dpkg-reconfigure dash

使用短划线作为默认的系统shell(/ bin / sh)? < - 没有

如果你不这样做,ISPConfig安装将失败。

4.禁用AppArmor

AppArmor是一个安全扩展(类似于SELinux),它应该提供更高的安全性。 在我看来,你不需要它来配置一个安全的系统,它通常会导致更多的问题,而不是优点(考虑到你完成了一周的故障排除后,因为某些服务没有按预期工作,然后你发现一切正常,只有AppArmor导致了这个问题)。 因此,我禁用它(如果您想稍后安装ISPConfig,这是必须的)。

我们可以像这样禁用它:

service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils

5.同步系统时钟

运行物理服务器时,通过Internet将系统时钟与NTP(网络协议)服务器同步是个不错的主意。 如果你运行一个虚拟服务器,那么你应该跳过这一步。 赶紧跑

apt-get -y install ntp

并且您的系统时间将始终保持同步。

6.安装Postfix,Dovecot,MariaDB,rkhunter和binutils

为了安装postfix,我们需要确保sendmail没有安装并且正在运行。 要停止并删除sendmail,请运行以下命令:

service sendmail stop; update-rc.d -f sendmail remove

错误消息:

Failed to stop sendmail.service: Unit sendmail.service not loaded.

没问题,这只是意味着sendmail没有安装,所以没有任何东西需要删除。

现在我们可以用一个命令来安装Postfix,Dovecot,MariaDB(作为MySQL替代品),rkhunter和binutils:

apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo

您将被问到以下问题:

General type of mail configuration: <-- Internet Site
System mail name: <-- server1.example.com

像server1.example.com或server1.yourdomain.com这样使用子域名作为“系统邮件名称”是重要的,而不是您希望稍后用作电子邮件域名的域名(例如yourdomain.tld)。

接下来,在Postfix中打开TLS / SSL和提交端口:

nano /etc/postfix/master.cf

取消注释提交smtps部分如下 - 添加行-o smtpd_client_restrictions = permit_sasl_authenticated,拒绝到两个部分,然后留下所有评论:

[...]
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
[...]

注意: “-o ....”行之前的空格很重要!

之后重新启动Postfix:

service postfix restart

我们希望MySQL能够监听所有接口,而不仅仅是本地主机。 因此,我们编辑/etc/mysql/mariadb.conf.d/50-server.cnf并注释掉bind-address = 127.0.0.1这一行:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address           = 127.0.0.1

[...]

现在我们在MariaDB中设置一个root密码。 跑:

mysql_secure_installation

你会被问到这些问题:

Enter current password for root (enter for none): <-- press enter
Set root password? [Y/n] <-- y
New password: <-- Enter the new MariaDB root password here
Re-enter new password: <-- Repeat the password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

将MariaDB中的密码认证方法设置为本机,以便稍后使用PHPMyAdmin以root用户身份进行连接:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

编辑文件/etc/mysql/debian.cnf并在密码开头的行中设置两次MYSQL / MariaDB root密码。

nano /etc/mysql/debian.cnf

读取时显示需要添加的MySQL根密码,在本例中密码为“howtoing”。

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = howtoing
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = howtoing
socket = /var/run/mysqld/mysqld.sock
basedir = /usr

然后我们重新启动MariaDB:

service mysql restart

现在检查网络是否启用。 跑

netstat -tap | grep mysql

输出应该如下所示:

root@server1:~# netstat -tap | grep mysql
tcp6 0 0 [::]:mysql [::]:* LISTEN 30591/mysqld
root@server1:~#

7.安装Amavisd-new,SpamAssassin和Clamav

要安装amavisd-new,SpamAssassin和ClamAV,我们运行

apt-get -y install amavisd-new spamassassin clamav clamav-daemon unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl postgrey

ISPConfig 3安装程序使用amavisd在内部加载SpamAssassin过滤器库,因此我们可以停止SpamAssassin释放一些RAM:

service spamassassin stop
update-rc.d -f spamassassin remove

开始使用ClamAV:

freshclam
service clamav-daemon start

在第一次运行freshclam时,以下错误可以忽略。

ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

amavisd-new程序目前在Ubuntu 18.04中存在一个错误,它会阻止这些电子邮件正确地与Dkim签署。 运行以下命令来修补amavisd-new。

cd /tmp
wget https://git.ispconfig.org/ispconfig/ispconfig3/raw/stable-3.1/helper_scripts/ubuntu-amavisd-new-2.11.patch
cd /usr/sbin
cp -pf amavisd-new amavisd-new_bak
patch < /tmp/ubuntu-amavisd-new-2.11.patch

如果你得到最新的'patch'命令错误,那么Ubuntu可能在此期间解决了这个问题,所以应该可以安全地忽略那个错误。

7.1安装Beats器XMPP服务器(可选)

Beats器XMPP服务器提供XMPP聊天服务器。 这一步是可选的,如果你不需要聊天服务器,那么你可以跳过这一步。 没有其他ISPConfig函数依赖于此软件。

使用apt安装以下软件包。

apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks

luarocks install lpc

为Beats器添加一个shell用户。

adduser --no-create-home --disabled-login --gecos 'Metronome' metronome

将Beats器下载到/ opt目录并编译它。

cd /opt; git clone https://github.com/maranda/metronome.git metronome
cd ./metronome; ./configure --ostype=debian --prefix=/usr
make
make install

Beats器现在被安装到/ opt /Beats器。