El servidor perfecto – Debian 10 (Nginx, BIND, Dovecot, ISPConfig 3.2)

Cubo redondo en Nginx

Este tutorial muestra cómo preparar un servidor Debian 10 (con Nginx, BIND, Dovecot) para la instalación de Configuración ISP 3.2 y cómo instalar ISPConfig 3.2. ISPConfig 3 es un panel de control de alojamiento web que le permite configurar los siguientes servicios a través de un navegador web: servidor web Apache o nginx, servidor de correo Postfix, servidor Courier o Dovecot IMAP/POP3, servidor de nombres MySQL, BIND o MyDNS, PureFTPd, SpamAssassin, ClamAV, y muchos más. Esta configuración cubre el servidor web Nginx, BIND como servidor DNS y Dovecot como servidor IMAP/POP3.

1 Nota Preliminar

En este tutorial, utilizo el nombre de host server1.example.com con la dirección IP 192.168.0.100 y la puerta de enlace 192.168.0.1. Estas configuraciones pueden diferir para usted, por lo que debe reemplazarlas cuando corresponda. Antes de continuar, debe tener una instalación mínima de Debian 10. Esta puede ser una imagen mínima de Debian de su proveedor de alojamiento o puede usar el tutorial del servidor Debian mínimo para configurar el sistema base.

Todos los comandos a continuación se ejecutan como usuario root. Inicie sesión como usuario root directamente o inicie sesión como su usuario normal y luego use el comando

su -

para convertirse en usuario root en su servidor antes de continuar. IMPORTANTE: debe usar ‘su -‘ y no solo ‘su’, de lo contrario, Debian configura incorrectamente su variable PATH.

2 Instalar el servidor SSH

Si no instaló el servidor OpenSSH durante la instalación del sistema, puede hacerlo ahora:

apt-get -y install ssh openssh-server

A partir de ahora puedes usar un cliente SSH como Masilla y conéctese desde su estación de trabajo a su servidor Debian 10 y siga los pasos restantes de este tutorial.

3 Instale un editor de texto de shell (Opcional)

usaré el nano editor de texto en este tutorial. Algunos usuarios prefieren el editor vi clásico, por lo que instalaré ambos editores aquí. El programa vi predeterminado tiene un comportamiento extraño en Debian y Ubuntu; para arreglar esto, instalamos vim-nox:

apt-get -y install nano vim-nox

(No tiene que hacer esto si usa un editor de texto diferente como joe).

4 Configure el nombre de host

El nombre de host de su servidor debe ser un subdominio como «server1.example.com». No use un nombre de dominio sin parte de subdominio como «example.com» como nombre de host, ya que esto causará problemas más adelante con la configuración de su correo. Primero, debe verificar el nombre de host en /etc/hosts y cambiarlo cuando sea necesario. La línea debe ser: «Dirección IP – espacio – nombre de host completo, incluido el dominio – espacio – parte del subdominio». Edite /etc/hosts. Haz que se vea así:

nano /etc/hosts
127.0.0.1       localhost.localdomain   localhost
192.168.0.100   server1.example.com     server1

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Luego edite el archivo /etc/hostname:

nano /etc/hostname

Contendrá únicamente la parte del subdominio, en nuestro caso:

server1

Finalmente, reinicie el servidor para aplicar el cambio:

reboot

Inicie sesión nuevamente y verifique si el nombre de host es correcto ahora con estos comandos:

hostname
hostname -f

La salida será así:

[email protected]:/tmp# hostname
server1
[email protected]:/tmp# hostname -f
server1.example.com

5 Actualice su instalación de Debian

Primero, asegúrese de que su /etc/apt/sources.list contenga el repositorio buster/updates (esto asegura que siempre obtenga las actualizaciones más recientes para el escáner de virus ClamAV; este proyecto publica lanzamientos con mucha frecuencia y, a veces, las versiones antiguas dejan de funcionar), y que los repositorios contrib y non-free estén habilitados.

nano /etc/apt/sources.list
deb http://deb.debian.org/debian/ buster main contrib non-free
deb-src http://deb.debian.org/debian/ buster main contrib non-free

deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free


Correr

apt-get update

para actualizar la base de datos del paquete apt y para instalar las últimas actualizaciones (si las hay).

apt-get upgrade

6 Cambiar la carcasa predeterminada

/bin/sh es un enlace simbólico a /bin/dash, sin embargo, necesitamos /bin/bash, no /bin/dash. Por lo tanto hacemos esto:

dpkg-reconfigure dash

¿Usar guión como shell del sistema predeterminado (/bin/sh)? <– No

Si no hace esto, la instalación de ISPConfig fallará.

7 Sincronizar el reloj del sistema

Es una buena idea sincronizar el reloj del sistema con un NTP (nortered tyo me pagsrotocol) servidor a través de Internet. Simplemente ejecuta

apt-get install ntp

y la hora de su sistema siempre estará sincronizada.

8 Instale Postfix, Dovecot, MySQL, rkhunter y binutils

Podemos instalar Postfix, Dovecot, MySQL, rkhunter y Binutils con un solo comando:

apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo curl

Se le harán las siguientes preguntas: Publicidad

Tipo general de configuración de correo: <– Sitio Internet
Nombre de correo del sistema: <– server1.example.com

Para asegurar la instalación de MariaDB/MySQL y deshabilitar la base de datos de prueba, ejecute este comando:

mysql_secure_installation

No tenemos que cambiar la contraseña raíz de MariaDB, ya que solo configuramos una nueva durante la instalación. Responda las preguntas de la siguiente manera:

Change the root password? [Y/n] <-- y
New password: <-- Enter a new database root password
Re-enter new password: <-- Repeat the database root password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Remove test database and access to it? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

A continuación, abra los puertos TLS/SSL y de envío en Postfix:

nano /etc/postfix/master.cf

Elimine los comentarios de las secciones de envío y smtps de la siguiente manera y agregue líneas donde sea necesario para que esta sección del archivo master.cf se vea exactamente como la siguiente. IMPORTANTE: ¡Elimine el # delante de las líneas que comienzan con smtps y el envío también y no solo de las líneas -o después de estas líneas!

[...]
submission inet n - y - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
[...]

Reinicie Postfix después:

service postfix restart

Queremos que MariaDB escuche en todas las interfaces, no solo en localhost, por lo tanto, editamos /etc/mysql/mariadb.conf.d/50-server.cnf y comentamos la línea bind-address = 127.0.0.1:

nano /etc/mysql/mariadb.conf.d/50-server.cnf
[...]

# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address           = 127.0.0.1

[…]


Guarda el archivo. Luego configure el método de autenticación de contraseña en MariaDB como nativo para que podamos usar PHPMyAdmin más tarde para conectarnos como usuario raíz:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Edite el archivo /etc/mysql/debian.cnf y configure la contraseña raíz de MYSQL/MariaDB allí dos veces en las filas que comienzan con la palabra contraseña.

nano /etc/mysql/debian.cnf

La contraseña raíz de MySQL que debe agregarse se muestra en rojo. En este ejemplo, la contraseña es «howtoforge».

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
basedir = /usr

Para evitar el error ‘Error al aceptar: Demasiados archivos abiertos‘ estableceremos límites de archivos abiertos más altos para MariaDB ahora.

Abra el archivo /etc/security/limits.conf con un editor:

nano /etc/security/limits.conf

y agregue estas líneas al final del archivo.

mysql soft nofile 65535
mysql hard nofile 65535

A continuación, cree un nuevo directorio /etc/systemd/system/mysql.service.d/ con el comando mkdir.

mkdir -p /etc/systemd/system/mysql.service.d/

y agregue un nuevo archivo dentro:

nano /etc/systemd/system/mysql.service.d/limits.conf

pegue las siguientes líneas en ese archivo:

[Service]
LimitNOFILE=infinity

Guarde el archivo y cierre el editor nano.

Luego recargamos systemd y reiniciamos MariaDB:

systemctl daemon-reload
systemctl restart mariadb

Ignore la advertencia: «Advertencia: el archivo de la unidad, el archivo de configuración de origen o los complementos de mariadb.service cambiaron en el disco. Ejecute ‘systemctl daemon-reload’ para recargar las unidades».

Instale el sistema dbconfig-common:

apt-get install dbconfig-common dbconfig-mysql

Actualmente hay un problema con el sistema Debian dbconfig-common que impide la instalación de RoundCube más adelante, arréglelo ejecutando este comando:

sed -i -r 's/_dbc_nodb="yes" dbc_mysql_exec/_dbc_nodb="yes"; dbc_mysql_exec/g' /usr/share/dbconfig-common/internal/mysql

Ahora verifique que la red esté habilitada. Correr

netstat -tap | grep mysql

La salida debería verse así:

[email protected]:~# netstat -tap | grep mysql
tcp6       0      0 [::]:mysql              [::]:*                  LISTEN      4027/mysqld
[email protected]:~#

9 Instale Amavisd-new, SpamAssassin y ClamAV

Para instalar amavisd-new, SpamAssassin y ClamAV, ejecutamos:

apt-get install amavisd-new spamassassin clamav clamav-daemon unzip bzip2 arj nomarch lzop cabextract p7zip p7zip-full unrar lrzip apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl libdbd-mysql-perl postgrey

La configuración de ISPConfig 3 usa amavisd que carga la biblioteca de filtros SpamAssassin internamente, por lo que podemos detener SpamAssassin para liberar algo de RAM:

systemctl stop spamassassin
systemctl disable spamassassin

10 Instale Nginx, PHP (PHP-FPM) y Fcgiwrap

Nginx está disponible como un paquete para Debian que podemos instalar de la siguiente manera:

apt-get install nginx

Si Apache2 ya está instalado en el sistema, deténgalo ahora…

systemctl stop apache2

El mensaje «Error al detener apache2.service: Unidad apache2.service no cargada». está bien y no indica un error.

… y elimine los enlaces de inicio del sistema de Apache:

systemctl disable apache2

Inicie nginx después:

systemctl start nginx

(Si tanto Apache2 como nginx están instalados, el instalador de ISPConfig 3 le preguntará cuál desea usar; responda nginx en este caso. Si solo está instalado uno de estos, ISPConfig realizará la configuración necesaria automáticamente).

Podemos hacer que PHP 7.3 funcione en nginx a través de PHP-FPM (PHP-FPM (Administrador de procesos FastCGI) es una implementación alternativa de PHP FastCGI con algunas características adicionales útiles para sitios de cualquier tamaño, especialmente sitios más concurridos) que instalamos de la siguiente manera:

apt-get install php7.3-fpm

PHP-FPM es un proceso daemon que ejecuta un servidor FastCGI en el socket /var/run/php/php7.3-fpm.sock.

Para obtener soporte de MySQL en PHP, podemos instalar el paquete php7.3-mysql. Es una buena idea instalar algunos otros módulos de PHP, ya que podría necesitarlos para sus aplicaciones. Puede buscar módulos PHP disponibles como este:

apt-cache search php7

Elige los que necesites e instálalos así:

apt-get install php7.3 php7.3-common php7.3-gd php7.3-mysql php7.3-imap php7.3-cli php7.3-cgi php-pear mcrypt imagemagick libruby php7.3-curl php7.3-intl php7.3-pspell php7.3-recode php7.3-sqlite3 php7.3-tidy php7.3-xmlrpc php7.3-xsl memcached php-memcache php-imagick php-gettext php7.3-zip php7.3-mbstring memcached php7.3-soap php7.3-fpm php7.3-opcache php-apcu

A continuación, abra /etc/php/7.3/fpm/php.ini…

nano /etc/php/7.3/fpm/php.ini

… y configure cgi.fix_pathinfo=0 y su zona horaria:

[...]
cgi.fix_pathinfo=0
[...]
date.timezone="Europe/Berlin"
[...]

(Puede encontrar todas las zonas horarias disponibles en los directorios /usr/share/zoneinfo y sus subdirectorios).

Ahora recarga PHP-FPM:

systemctl restart php7.3-fpm

Para obtener compatibilidad con CGI en nginx, instalamos Fcgiwrap.

FCGI Wrap es un contenedor CGI que debería funcionar también para scripts CGI complejos y puede usarse para entornos de alojamiento compartido porque permite que cada host virtual use su propio directorio cgi-bin.

Instale el paquete fcgiwrap:

apt-get install fcgiwrap

Después de la instalación, el demonio fcgiwrap ya debería estar iniciado; su zócalo es /var/run/fcgiwrap.socket. Si no se está ejecutando, puede usar el script fservice fcgiwrap para iniciarlo.

¡Eso es todo! Ahora, cuando cree un vhost nginx, ISPConfig se encargará de la configuración correcta del vhost.

10.1 Instalar phpMyAdmin

Desde Debian 10, PHPMyAdmin ya no está disponible como paquete .deb. Por lo tanto, lo instalaremos desde la fuente.

Crear carpetas para PHPMyadmin:

mkdir /usr/share/phpmyadmin
mkdir /etc/phpmyadmin
mkdir -p /var/lib/phpmyadmin/tmp
chown -R www-data:www-data /var/lib/phpmyadmin
touch /etc/phpmyadmin/htpasswd.setup

Vaya al directorio /tmp y descargue las fuentes de PHPMyAdmin:

cd /tmp
wget https://files.phpmyadmin.net/phpMyAdmin/4.9.0.1/phpMyAdmin-4.9.0.1-all-languages.tar.gz

Descomprima el archivo comprimido descargado y mueva los archivos a la carpeta /usr/share/phpmyadmin y limpie el directorio /tmp.

tar xfz phpMyAdmin-4.9.0.1-all-languages.tar.gz
mv phpMyAdmin-4.9.0.1-all-languages/* /usr/share/phpmyadmin/
rm phpMyAdmin-4.9.0.1-all-languages.tar.gz
rm -rf phpMyAdmin-4.9.0.1-all-languages

Cree un nuevo archivo de configuración para PHPMyaAdmin basado en el archivo de muestra provisto:

cp /usr/share/phpmyadmin/config.sample.inc.php  /usr/share/phpmyadmin/config.inc.php

Abra el archivo de configuración con el editor nano:

nano /usr/share/phpmyadmin/config.inc.php

Establezca una contraseña segura (secreto de pez globo) que debe tener 32 caracteres:

$cfg['blowfish_secret'] = 'bD3e6wva9fnd93jVsb7SDgeiBCd452Dh'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

No uses mi ejemplo secreto del pez globo, ¡establece el tuyo propio!

Luego agregue una línea para establecer el directorio que PHPMyAdmin utilizará para almacenar archivos temporales:

$cfg['TempDir'] = '/var/lib/phpmyadmin/tmp';

En el siguiente paso, configuraremos el almacén de configuración (base de datos) de phpMyadmin.

Inicie sesión en MariaDB como usuario root:

mysql -u root -p

En el shell de MariaDB, cree una nueva base de datos para PHPMyAdmin:

MariaDB [(none)]> CREATE DATABASE phpmyadmin;

Luego crea un nuevo usuario:

MariaDB [(none)]> CREATE USER 'pma'@'localhost' IDENTIFIED BY 'mypassword';

Reemplace la palabra mypassword con una contraseña segura de su elección en los comandos de arriba y abajo, use la misma contraseña en ambas ocasiones. Luego conceda al usuario acceso a esta base de datos y vuelva a cargar los permisos de la base de datos.

MariaDB [(none)]> GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' IDENTIFIED BY 'mypassword' WITH GRANT OPTION;
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> EXIT

Finalmente, cargue las tablas SQL en la base de datos:

mysql -u root -p phpmyadmin < /usr/share/phpmyadmin/sql/create_tables.sql

Ingrese la contraseña raíz de MariaDB a pedido.

Todo lo que tenemos que hacer ahora es establecer los detalles de usuario de phpmyadmin en el archivo de configuración. Abra el archivo en el editor nano nuevamente:

nano /usr/share/phpmyadmin/config.inc.php

Desplácese hacia abajo hasta que vea las siguientes líneas y edítelas:

/* User used to manipulate with storage */
$cfg['Servers'][$i]['controlhost'] = 'localhost';
$cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = 'mypassword';

/* Storage database and tables */
$cfg[‘Servers’][$i][‘pmadb’] = ‘phpmyadmin’;
$cfg[‘Servers’][$i][‘bookmarktable’] = ‘pma__bookmark’;
$cfg[‘Servers’][$i][‘relation’] = ‘pma__relation’;
$cfg[‘Servers’][$i][‘table_info’] = ‘pma__table_info’;
$cfg[‘Servers’][$i][‘table_coords’] = ‘pma__table_coords’;
$cfg[‘Servers’][$i][‘pdf_pages’] = ‘pma__pdf_pages’;
$cfg[‘Servers’][$i][‘column_info’] = ‘pma__column_info’;
$cfg[‘Servers’][$i][‘history’] = ‘pma__history’;
$cfg[‘Servers’][$i][‘table_uiprefs’] = ‘pma__table_uiprefs’;
$cfg[‘Servers’][$i][‘tracking’] = ‘pma__tracking’;
$cfg[‘Servers’][$i][‘userconfig’] = ‘pma__userconfig’;
$cfg[‘Servers’][$i][‘recent’] = ‘pma__recent’;
$cfg[‘Servers’][$i][‘favorite’] = ‘pma__favorite’;
$cfg[‘Servers’][$i][‘users’] = ‘pma__users’;
$cfg[‘Servers’][$i][‘usergroups’] = ‘pma__usergroups’;
$cfg[‘Servers’][$i][‘navigationhiding’] = ‘pma__navigationhiding’;
$cfg[‘Servers’][$i][‘savedsearches’] = ‘pma__savedsearches’;
$cfg[‘Servers’][$i][‘central_columns’] = ‘pma__central_columns’;
$cfg[‘Servers’][$i][‘designer_settings’] = ‘pma__designer_settings’;
$cfg[‘Servers’][$i][‘export_templates’] = ‘pma__export_templates’;


He marcado las líneas en rojo que he editado. Reemplace mypassword con la contraseña que eligió para el usuario phpmyadmin. ¡Tenga en cuenta que // delante de las líneas también se ha eliminado!

Después de haber instalado ISPConfig 3.2, puede acceder a phpMyAdmin de la siguiente manera:

El vhost de aplicaciones ISPConfig en el puerto 8081 para nginx viene con una configuración de phpMyAdmin, por lo que puede usar http://server1.example.com:8081/phpmyadmin o http://server1.example.com:8081/phpMyAdmin para acceder a phpMyAdmin.

Si desea usar un alias /phpmyadmin o /phpMyAdmin que pueda usar desde sus sitios web, esto es un poco más complicado que para Apache porque nginx no tiene alias globales (es decir, alias que se pueden definir para todos los vhosts). Por lo tanto, debe definir estos alias para cada vhost desde el que desea acceder a phpMyAdmin.

Para hacer esto, pegue lo siguiente en el campo Directivas nginx en la pestaña Opciones del sitio web en ISPConfig más adelante:

        location /phpmyadmin {
               root /usr/share/;
               index index.php index.html index.htm;
               location ~ ^/phpmyadmin/(.+\.php)$ {
                       try_files $uri =404;
                       root /usr/share/;
                       fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
                       fastcgi_index index.php;
                       fastcgi_param SCRIPT_FILENAME $request_filename;
                       include /etc/nginx/fastcgi_params;
                       fastcgi_param PATH_INFO $fastcgi_script_name;
                       fastcgi_buffer_size 128k;
                       fastcgi_buffers 256 4k;
                       fastcgi_busy_buffers_size 256k;
                       fastcgi_temp_file_write_size 256k;
                       fastcgi_intercept_errors on;
               }
               location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                       root /usr/share/;
               }
        }
        location /phpMyAdmin {
               rewrite ^/* /phpmyadmin last;
        }

Si usa https en lugar de http para su host virtual, debe agregar la línea fastcgi_param HTTPS; a su configuración de phpMyAdmin así:

        location /phpmyadmin {
               root /usr/share/;
               index index.php index.html index.htm;
               location ~ ^/phpmyadmin/(.+\.php)$ {
                       try_files $uri =404;
                       root /usr/share/;
                       fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
                       fastcgi_param HTTPS on; # <-- add this line
                       fastcgi_index index.php;
                       fastcgi_param SCRIPT_FILENAME $request_filename;
                       include /etc/nginx/fastcgi_params;
                       fastcgi_param PATH_INFO $fastcgi_script_name;
                       fastcgi_buffer_size 128k;
                       fastcgi_buffers 256 4k;
                       fastcgi_busy_buffers_size 256k;
                       fastcgi_temp_file_write_size 256k;
                       fastcgi_intercept_errors on;
               }
               location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                       root /usr/share/;
               }
        }
        location /phpMyAdmin {
               rewrite ^/* /phpmyadmin last;
        }

Si usa tanto http como https para su host virtual, puede usar la variable $https. Vaya al campo Directivas nginx nuevamente, y en lugar de fastcgi_param HTTPS en; agregas la línea fastcgi_param HTTPS $https; para que pueda usar phpMyAdmin para solicitudes http y https:

        location /phpmyadmin {
               root /usr/share/;
               index index.php index.html index.htm;
               location ~ ^/phpmyadmin/(.+\.php)$ {
                       try_files $uri =404;
                       root /usr/share/;
                       fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
                       fastcgi_param HTTPS $https; # <-- add this line
                       fastcgi_index index.php;
                       fastcgi_param SCRIPT_FILENAME $request_filename;
                       include /etc/nginx/fastcgi_params;
                       fastcgi_param PATH_INFO $fastcgi_script_name;
                       fastcgi_buffer_size 128k;
                       fastcgi_buffers 256 4k;
                       fastcgi_busy_buffers_size 256k;
                       fastcgi_temp_file_write_size 256k;
                       fastcgi_intercept_errors on;
               }
               location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                       root /usr/share/;
               }
        }
        location /phpMyAdmin {
               rewrite ^/* /phpmyadmin last;
        }

11 Instalar Let’s Encrypt

ISPConfig está usando acme.sh ahora como cliente de Let’s Encrypt. Instale acme.sh usando el siguiente comando:

curl https://get.acme.sh | sh -s

12 Instalar Mailman

ISPConfig te permite gestionar (crear/modificar/borrar) listas de correo Mailman. Si quieres hacer uso de esta función, instala Mailman como sigue:

apt-get install mailman

Selecciona al menos un idioma, por ejemplo:

Languages to support: <-- en (English)
Missing site list <-- Ok

Antes de iniciar Mailman, hay que crear una primera lista de correo llamada mailman:

newlist mailman
[email protected]:~# newlist mailman
Enter the email of the person running the list: <-- admin email address, e.g. [email protected]
Initial mailman password: <-- admin password for the mailman list
To finish creating your mailing list, you must edit your /etc/aliases (or
equivalent) file by adding the following lines, and possibly running the
`newaliases' program:

## mailman mailing list
mailman:              «|/var/lib/mailman/mail/mailman post mailman»
mailman-admin:        «|/var/lib/mailman/mail/mailman admin mailman»
mailman-bounces:      «|/var/lib/mailman/mail/mailman bounces mailman»
mailman-confirm:      «|/var/lib/mailman/mail/mailman confirm mailman»
mailman-join:         «|/var/lib/mailman/mail/mailman join mailman»
mailman-leave:        «|/var/lib/mailman/mail/mailman leave mailman»
mailman-owner:        «|/var/lib/mailman/mail/mailman owner mailman»
mailman-request:      «|/var/lib/mailman/mail/mailman request mailman»
mailman-subscribe:    «|/var/lib/mailman/mail/mailman subscribe mailman»
mailman-unsubscribe:  «|/var/lib/mailman/mail/mailman unsubscribe mailman»

Hit enter to notify mailman owner… <– ENTER

[email protected]:~#

Abre después /etc/aliases

nano /etc/aliases

… y añade las siguientes líneas:

[...]
## mailman mailing list
mailman:              "|/var/lib/mailman/mail/mailman post mailman"
mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"
mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"
mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"
mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"
mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"
mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"
mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"
mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"
mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"

Ejecuta

newaliases

y reinicia Postfix:

systemctl restart postfix

Por último, debemos habilitar la configuración de Mailman Apache:

ln -s /etc/mailman/apache.conf /etc/apache2/conf-enabled/mailman.conf

Esto define el alias /cgi-bin/mailman/ para todos los vhosts de Apache, lo que significa que puedes acceder a la interfaz de administración de Mailman para una lista en http://server1.example.com/cgi-bin/mailman/admin/, y la página web para los usuarios de una lista de correo puede encontrarse en http://server1.example.com/cgi-bin/mailman/listinfo/.

En http://server1.example.com/pipermail puedes encontrar los archivos de las listas de correo.

Reinicia después Apache:

systemctl restart apache2

A continuación, inicia el demonio Mailman:

systemctl restart mailman

Después de haber instalado ISPConfig 3, puede acceder a Mailman de la siguiente manera:

El vhost de aplicaciones ISPConfig en el puerto 8081 para nginx viene con una configuración de Mailman, por lo que puede usar http://server1.example.com:8081/cgi-bin/mailman/admin/ o http://server1.example .com:8081/cgi-bin/mailman/listinfo/ para acceder a Mailman.

Si desea usar Mailman desde sus sitios web, esto es un poco más complicado que para Apache porque nginx no tiene alias globales (es decir, alias que se pueden definir para todos los hosts virtuales). Por lo tanto, debe definir estos alias para cada vhost desde el que desea acceder a Mailman.

Para hacer esto, pegue lo siguiente en el campo Directivas nginx en la pestaña Opciones del sitio web en ISPConfig:

        location /cgi-bin/mailman {
               root /usr/lib/;
               fastcgi_split_path_info (^/cgi-bin/mailman/[^/]*)(.*)$;
               include /etc/nginx/fastcgi_params;
               fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
               fastcgi_param PATH_INFO $fastcgi_path_info;
               fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
               fastcgi_intercept_errors on;
               fastcgi_pass unix:/var/run/fcgiwrap.socket;
        }

        location /images/mailman {
               alias /usr/share/images/mailman;
        }

        location /pipermail {
               alias /var/lib/mailman/archives/public;
               autoindex on;
        }

Esto define el alias /cgi-bin/mailman/ para su host virtual, lo que significa que puede acceder a la interfaz de administración de Mailman para obtener una lista en http:///cgi-bin/mailman/admin/, y el La página web para usuarios de una lista de correo se puede encontrar en http:///cgi-bin/mailman/listinfo/.

En http:///pipermail puede encontrar los archivos de la lista de correo.

13 Instalar PureFTPd y Cuota

PureFTPd y la cuota se pueden instalar con el siguiente comando:

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

Edite el archivo /etc/default/pure-ftpd-common…

nano /etc/default/pure-ftpd-common

… y asegúrese de que el modo de inicio esté configurado como autónomo y establezca VIRTUALCHROOT=true:

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Ahora configuramos PureFTPd para permitir sesiones FTP y TLS. FTP es un protocolo muy inseguro porque todas las contraseñas y todos los datos se transfieren en texto claro. Mediante el uso de TLS, toda la comunicación se puede cifrar, lo que hace que el FTP sea mucho más seguro.

Si desea permitir sesiones FTP y TLS, ejecute

echo 1 > /etc/pure-ftpd/conf/TLS

Para usar TLS, debemos crear un certificado SSL. Lo creo en /etc/ssl/private/, por lo tanto, primero creo ese directorio:

mkdir -p /etc/ssl/private/

Posteriormente, podemos generar el certificado SSL de la siguiente manera:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Nombre del país (código de 2 letras) [AU]: <– Introduzca el nombre de su país (p. ej., «DE»).
Estado o provincia Nombre (nombre completo) [Some-State]:<– Ingrese el nombre de su estado o provincia.
Nombre de la localidad (p. ej., ciudad) []:<– Ingrese su Ciudad.
Nombre de la organización (p. ej., empresa) [Internet Widgits Pty Ltd]:<– Introduzca el nombre de su organización (por ejemplo, el nombre de su empresa).
Nombre de la unidad organizativa (p. ej., sección) []:<– Introduzca el nombre de su unidad organizativa (p. ej., «Departamento de TI»).
Nombre común (p. ej., SU nombre) []:<– Introduzca el nombre de dominio completo del sistema (p. ej., «servidor1.ejemplo.com»).
Dirección de correo electrónico []:<– Introduzca su dirección de correo electrónico.

Cambiar los permisos del certificado SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Luego reinicie PureFTPd:

systemctl restart pure-ftpd-mysql

Edite /etc/fstab. El mío se ve así (agregué, usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 a la partición con el punto de montaje /):

nano /etc/fstab
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/sda1 during installation
UUID=45576b38-39e8-4994-b8c1-ea4870e2e614 / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1
# swap was on /dev/sda5 during installation
UUID=8bea0d1e-ec37-4b20-9976-4b7daaa3eb69 none swap sw 0 0
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0

Para habilitar la cuota, ejecute estos comandos:

mount -o remount /
quotacheck -avugm
quotaon -avug

14 Instalar servidor DNS BIND

BIND se puede instalar de la siguiente manera:

apt-get install bind9 dnsutils

Si su servidor es una máquina virtual, se recomienda encarecidamente instalar el demonio hasged para obtener una mayor entropía para la firma de DNSSEC. También puede instalar haveged en servidores no virtuales, no debería doler.

apt-get -y install haveged
systemctl enable haveged
systemctl start haveged

Se puede encontrar una explicación sobre ese tema. aquí.

15 Instalar Webalizer, AWStats y GoAccess

Webalizer y AWStats se pueden instalar de la siguiente manera:

apt-get install webalizer awstats geoip-database libtimedate-perl libclass-dbi-mysql-perl

Abra /etc/cron.d/awstats después…

nano /etc/cron.d/awstats

… y comentar todo en ese archivo:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generate static reports:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

Instalación de la última versión de GoAccess directamente desde el repositorio de GoAccess:

echo "deb https://deb.goaccess.io/ $(lsb_release -cs) main" | sudo tee -a /etc/apt/sources.list.d/goaccess.list
wget -O - https://deb.goaccess.io/gnugpg.key | sudo apt-key --keyring /etc/apt/trusted.gpg.d/goaccess.gpg add -
apt-get update
apt-get install goaccess

16 Instalar Jailkit

Solo se necesita Jailkit si desea chrootear a los usuarios de SSH. Se puede instalar de la siguiente manera (importante: Jailkit debe instalarse antes de ISPConfig, ¡no se puede instalar después!):

apt-get install build-essential autoconf automake libtool flex bison debhelper binutils
cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz
tar xvfz jailkit-2.20.tar.gz
cd jailkit-2.20
echo 5 > debian/compat
./debian/rules binary

Ahora puede instalar el paquete Jailkit .deb de la siguiente manera:

cd ..
dpkg -i jailkit_2.20-1_*.deb
rm -rf jailkit-2.20*

17 Instalar Fail2ban y UFW Firewall

Esto es opcional pero recomendado, porque el monitor ISPConfig intenta mostrar el registro:

apt-get install fail2ban

Para hacer que fail2ban monitoree PureFTPd y Dovecot, cree el archivo /etc/fail2ban/jail.local:

nano /etc/fail2ban/jail.local
[pure-ftpd]
enabled = true
port = ftp
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3

[dovecot]
enabled = true
filter = dovecot
logpath = /var/log/mail.log
maxretry = 5

[postfix-sasl]
enabled = true
port = smtp
filter = postfix[mode=auth]
logpath = /var/log/mail.log
maxretry = 3


Reinicie fail2ban después:

systemctl restart fail2ban

Para instalar el firewall UFW, ejecute este comando apt:

apt-get install ufw

18 Instalar Cubo Redondo

Instale RoundCube con este comando:

apt-get install roundcube roundcube-core roundcube-mysql roundcube-plugins

El instalador le hará las siguientes preguntas:

Configure database for roundcube with dbconfig.common? <-- yes
MySQL application password for roundcube: <-- press enter
Password of the databases administrative user: <-- enter the MySQL root password here.

Luego edite el archivo RoundCube /etc/roundcube/config.inc.php y ajuste algunas configuraciones:

nano /etc/roundcube/config.inc.php

Establezca default_host en localhost y smtp_server.

$config['default_host'] = 'localhost';
$config['smtp_server'] = 'localhost';
$config['smtp_port']  = 25;

ISPConfig tiene alguna configuración en las aplicaciones nginx vhost para squirrelmail que también funciona para roundcube. Lo activamos con:

ln -s /usr/share/roundcube /usr/share/squirrelmail

http://192.168.0.100:8081/webmail
http://server1.example.com:8081/webmail (después de haber instalado ISPConfig, consulte el próximo capítulo)

Cubo redondo en Nginx

19 Instalar ISPConfig 3

Antes de iniciar la instalación de ISPConfig, asegúrese de que Apache esté detenido (si está instalado, es posible que algunos de sus paquetes instalados hayan instalado Apache como una dependencia sin que usted lo sepa). Si Apache2 ya está instalado en el sistema, deténgalo ahora…

systemctl stop apache2

… y elimine los enlaces de inicio del sistema de Apache:

update-rc.d -f apache2 remove

Asegúrese de que nginx se esté ejecutando:

systemctl start nginx

(Si tiene Apache y nginx instalados, el instalador le pregunta cuál desea usar: Apache y nginx detectados. Seleccione el servidor que usará para ISPConfig: (apache, nginx) [apache]:

Escriba nginx. Si solo están instalados Apache o nginx, el instalador lo detecta automáticamente y no se hace ninguna pregunta).

Para instalar ISPConfig 3.2 desde la última versión publicada, haga lo siguiente:

cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install/

El siguiente paso es ejecutar

php -q install.php

Esto iniciará el instalador de ISPConfig 3. El instalador configurará todos los servicios como Postfix, Nginx, Dovecot, etc. por usted.

# php -q install.php
--------------------------------------------------------------------------------
_____ ___________ _____ __ _ ____
|_ _/ ___| ___ \ / __ \ / _(_) /__ \
| | \ `--.| |_/ / | / \/ ___ _ __ | |_ _ __ _ _/ /
| | `--. \ __/ | | / _ \| '_ \| _| |/ _` | |_ |
_| |_/\__/ / | | \__/\ (_) | | | | | | | (_| | ___\ \
\___/\____/\_| \____/\___/|_| |_|_| |_|\__, | \____/
__/ |
|___/
--------------------------------------------------------------------------------
>> Initial configuration
Operating System: Debian 10.0 (Buster) or compatible
Following will be a few questions for primary configuration so be careful.
Default values are in [brackets] and can be accepted with <ENTER>.
Tap in "quit" (without the quotes) to stop the installer.
Select language (en,de) [en]: <-- Hit Enter
Installation mode (standard,expert) [standard]: <-- Hit Enter
Full qualified hostname (FQDN) of the server, eg server1.domain.tld [server1.canomi.com]: <-- Hit Enter
MySQL server hostname [localhost]: <-- Hit Enter
MySQL server port [3306]: <-- Hit Enter
MySQL root username [root]: <-- Hit Enter
MySQL root password []: <-- Enter your MySQL root password
MySQL database to create [dbispconfig]: <-- Hit Enter
MySQL charset [utf8]: <-- Hit Enter
Apache and nginx detected. Select server to use for ISPConfig: (apache,nginx) [apache]: <-- nginx

Configuring Postgrey
Configuring Postfix
Generating a 4096 bit RSA private key
……………………………………………………………..++
……………………………………………………………………………………………………………………….++
writing new private key to ‘smtpd.key’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]: <– Enter 2 letter country code
State or Province Name (full name) [Some-State]: <– Enter the name of the  state
Locality Name (eg, city) []: <– Enter your city
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <– Enter company name or press enter
Organizational Unit Name (eg, section) []: <– Hit Enter
Common Name (e.g. server FQDN or YOUR name) []: <– Enter the server hostname, in my case: server1.example.com
Email Address []: <– Hit Enter
Configuring Mailman
Configuring Dovecot
Configuring Spamassassin
Configuring Amavisd
Configuring Getmail
Configuring BIND
Configuring Jailkit
Configuring Pureftpd
Configuring Nginx
Configuring vlogger
[INFO] service Metronome XMPP Server not detected


Configuring UFW Firewall
Configuring Fail2ban
[INFO] service OpenVZ not detected
Configuring Apps vhost
Installing ISPConfig
ISPConfig Port [8080]:
Admin password [admin]: <-- Enter desired ISPConfig admin user password here
Do you want a secure (SSL) connection to the ISPConfig web interface (y,n) [y]: <-- Hit Enter
Generating RSA private key, 4096 bit long modulus
.......................++
................................................................................................................................++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: <-- Enter 2 letter country code
State or Province Name (full name) [Some-State]: <-- Enter the name of the  state
Locality Name (eg, city) []: <-- Enter your city
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Enter company name or press enter
Organizational Unit Name (eg, section) []: <-- Hit Enter
Common Name (e.g. server FQDN or YOUR name) []: <-- Enter the server hostname, in my case: server1.example.com
Email Address []: <-- Hit Enter
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: <-- Hit Enter
An optional company name []: <-- Hit Enter
writing RSA key
Configuring DBServer
Installing ISPConfig crontab
no crontab for root
no crontab for getmail
Detect IP addresses
Restarting services ...
Installation completed.

El instalador configura automáticamente todos los servicios subyacentes, por lo que no es necesaria una configuración manual.

Luego puede acceder a ISPConfig 3 en http(s)://server1.example.com:8080/ o http(s)://192.168.1.100:8080/ (http o https depende de lo que elija durante la instalación). Inicie sesión con el nombre de usuario admin y la contraseña admin (debe cambiar la contraseña predeterminada después de su primer inicio de sesión):

Página de inicio de sesión de ISPConfig

Tablero ISPConfig en Debian 10

Finalmente, arreglamos algunos permisos de la instalación de RoundCube.

chown root:ispapps /etc/roundcube/debian-db.php
chmod 640 /etc/roundcube/debian-db.php
chown root:ispapps /etc/roundcube/config.inc.php
chmod 640 /etc/roundcube/config.inc.php
chown -R ispapps:adm /var/log/roundcube
chmod -R 750 /var/log/roundcube
chown -R ispapps:ispapps /var/lib/roundcube/temp
chmod -R 750 /var/lib/roundcube/temp

El sistema ya está listo para ser utilizado.

Existen algunos complementos para integrar RoundCube Webmail con ISPConfig, consulte aquí las instrucciones de instalación del complemento ISPConfig RoundCube.

21 Descarga de imagen de máquina virtual de este tutorial

Este tutorial está disponible como una imagen de máquina virtual lista para usar en formato ovf/ova que es compatible con VMWare y Virtualbox. La imagen de la máquina virtual utiliza los siguientes detalles de inicio de sesión:

Inicio de sesión SSH/Shell

Nombre de usuario: admin
Contraseña: howtoforge

Nombre de usuario: root
Contraseña: howtoforge

Iniciar sesión

Nombre de usuario: administrador
Contraseña: howtoforge

Inicio de sesión MySQL

Nombre de usuario: root
Contraseña: howtoforge

La IP de la VM es 192.168.0.100, se puede cambiar en el archivo /etc/network/interfaces. Cambie todas las contraseñas anteriores para proteger la máquina virtual.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *