El servidor perfecto – Ubuntu 18.04 (Bionic Beaver) con Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot e ISPConfig 3.1

Este tutorial muestra la instalación de un servidor de alojamiento web Ubuntu 18.04 (Bionic Beaver) con Apache 2.4, Postfix, Dovecot, Bind y PureFTPD para prepararlo para la instalación de ISPConfig 3.1. El sistema resultante proporcionará un servidor web, de correo, de listas de correo, de DNS y de FTP.

ISPConfig es un panel de control de alojamiento web que te permite configurar los siguientes servicios a través de un navegador web: Servidor web Apache o Nginx, servidor de correo Postfix, servidor IMAP/POP3 Courier o Dovecot, MySQL, servidor de nombres BIND o MyDNS, PureFTPd, SpamAssassin, ClamAV, y muchos más. Esta configuración incluye la instalación de Apache (en lugar de Nginx), BIND (en lugar de MyDNS) y Dovecot (en lugar de Courier).

1. Nota preliminar

En este tutorial, utilizo el nombre de host servidor1.ejemplo.com con la dirección IP 192.168.1.100 y la puerta de enlace 192.168.1.1 Estas configuraciones pueden ser diferentes en tu caso, por lo que tienes que sustituirlas cuando corresponda. Antes de seguir adelante, tienes que tener una instalación mínima básica de Ubuntu 18.04 como se explica en el tutorial.

Los comandos de este tutorial deben ejecutarse con permisos de root. Para evitar añadir sudo delante de cada comando, tendrás que convertirte en usuario root ejecutando

sudo -s

antes de continuar.

2. Edita /etc/apt/sources.list y actualiza tu instalación de Linux

Edita /etc/apt/sources.list. Comenta o elimina el CD de instalación del archivo y asegúrate de que los repositorios universo y multiverso están activados. Después debería tener este aspecto:

nano /etc/apt/sources.list
#

# deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted

#deb cdrom:[Ubuntu-Server 18.04 LTS _Bionic Beaver_ - Release amd64 (20180425.1)]/ bionic main restricted

# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://de.archive.ubuntu.com/ubuntu/ bionic main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic main restricted

## Major bug fix updates produced after the final release of the
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates main restricted

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic universe
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates universe

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic multiverse
deb http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-updates multiverse

## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ bionic-backports main restricted universe multiverse

## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu bionic partner
# deb-src http://archive.canonical.com/ubuntu bionic partner

deb http://security.ubuntu.com/ubuntu bionic-security main restricted
# deb-src http://security.ubuntu.com/ubuntu bionic-security main restricted
deb http://security.ubuntu.com/ubuntu bionic-security universe
# deb-src http://security.ubuntu.com/ubuntu bionic-security universe
deb http://security.ubuntu.com/ubuntu bionic-security multiverse
# deb-src http://security.ubuntu.com/ubuntu bionic-security multiverse

A continuación, ejecuta

apt-get update

para actualizar la base de datos de paquetes apt y

apt-get upgrade

para instalar las últimas actualizaciones (si las hay). Si ves que se instala un nuevo kernel como parte de las actualizaciones, debes reiniciar el sistema después:

reboot

3. Cambia el shell por defecto

/bin/sh es un enlace simbólico a /bin/dash, pero nosotros necesitamos /bin/bash, no /bin/dash. Por lo tanto, hacemos lo siguiente

dpkg-reconfigure dash

¿Usar dash como shell por defecto del sistema (/bin/sh)? <– No

Si no haces esto, la instalación de ISPConfig fallará.

4. Desactivar AppArmor

AppArmor es una extensión de seguridad (similar a SELinux) que debería proporcionar una mayor seguridad. En mi opinión, no la necesitas para configurar un sistema seguro, y suele causar más problemas que ventajas (piensa en ello después de haber hecho una semana de búsqueda de problemas porque algún servicio no funcionaba como se esperaba, y luego descubres que todo estaba bien, sólo AppArmor estaba causando el problema). Por lo tanto, lo deshabilito (esto es imprescindible si quieres instalar ISPConfig más adelante).

Podemos deshabilitarlo así:

service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils

5. Sincronizar el reloj del sistema

Es una buena idea sincronizar el reloj del sistema con un servidor NTP( protocolo de tiempo dered) a través de Internet cuando se ejecuta un servidor físico. En caso de que ejecutes un servidor virtual, debes omitir este paso. Sólo tienes que ejecutar

apt-get -y install ntp

y la hora de tu sistema estará siempre sincronizada.

6. Instalar Postfix, Dovecot, MariaDB, rkhunter y binutils

Para instalar Postfix, tenemos que asegurarnos de que sendmail no está instalado y en ejecución. Para detener y eliminar sendmail ejecuta este comando:

service sendmail stop; update-rc.d -f sendmail remove

El mensaje de error:

Failed to stop sendmail.service: Unit sendmail.service not loaded.

Está bien, sólo significa que sendmail no estaba instalado, por lo que no había nada que eliminar.

Ahora podemos instalar Postfix, Dovecot, MariaDB (como sustituto de MySQL), rkhunter y binutils con un solo comando:

apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo

Se te harán las siguientes preguntas:

General type of mail configuration: <-- Internet Site
System mail name: <-- server1.example.com

Es importante que utilices un subdominio como «nombre de correo del sistema», como servidor1.ejemplo.com o servidor1.sudominio.com, y no un dominio que quieras utilizar como dominio de correo electrónico (por ejemplo, sudominio.tld) más adelante.

A continuación, abre los puertos TLS/SSL y de envío en Postfix:

nano /etc/postfix/master.cf

Descomenta las secciones de envío y smtps de la siguiente manera – añade la línea -o smtpd_client_restrictions=permit_sasl_authenticated,reject a ambas secciones y deja todo lo demás comentado:

[...]
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
[...]

NOTA: Los espacios en blanco delante de las líneas «-o …. «son importantes.

Reinicia después Postfix:

service postfix restart

Queremos que MySQL escuche en todas las interfaces, no sólo en localhost. Por tanto, editamos /etc/mysql/mariadb.conf.d/50-server.cnf y comentamos la línea bind-address = 127.0.0.1:

nano /etc/mysql/mariadb.conf.d/50-server.cnf
[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address           = 127.0.0.1

[...]

Ahora establecemos una contraseña de root en MariaDB. Ejecuta:

mysql_secure_installation

Se te harán estas preguntas:

Enter current password for root (enter for none): <-- press enter
Set root password? [Y/n] <-- y
New password: <-- Enter the new MariaDB root password here
Re-enter new password: <-- Repeat the password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

Establece el método de autenticación de la contraseña en MariaDB como nativo para que podamos usar PHPMyAdmin más adelante para conectarnos como usuario root:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Edita el archivo /etc/mysql/debian.cnf y establece allí la contraseña raíz de MYSQL / MariaDB dos veces en las filas que empiezan por password.

nano /etc/mysql/debian.cnf

La contraseña raíz de MySQL que hay que añadir se muestra en la lectura, en este ejemplo la contraseña es «howtoforge». Sustituye la palabra «howtoforge» por la contraseña que hayas establecido para el usuario raíz de MySQL con el comando mysql_secure_installation.

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
basedir = /usr

A continuación, reiniciamos MariaDB:

service mysql restart

Ahora comprueba que la red está activada. Ejecuta

netstat -tap | grep mysql

El resultado debería ser el siguiente:

root@server1:~# netstat -tap | grep mysql
tcp6 0 0 [::]:mysql [::]:* LISTEN 30591/mysqld
root@server1:~#

7. Instalar Amavisd-new, SpamAssassin y Clamav

Para instalar amavisd-new, SpamAssassin, y ClamAV, ejecutamos

apt-get -y install amavisd-new spamassassin clamav clamav-daemon unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl libdbd-mysql-perl postgrey

La configuración de ISPConfig 3 utiliza amavisd que carga la biblioteca de filtros de SpamAssassin internamente, por lo que podemos detener SpamAssassin para liberar algo de RAM:

service spamassassin stop
update-rc.d -f spamassassin remove

Para iniciar ClamAV utiliza:

freshclam
service clamav-daemon start

El siguiente error puede ser ignorado en la primera ejecución de freshclam.

ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

El programa amavisd-new tiene actualmente un error en Ubuntu 18.04 que impide que los correos electrónicos se firmen con Dkim correctamente. Ejecuta los siguientes comandos para parchear amavisd-new.

cd /tmp
wget https://git.ispconfig.org/ispconfig/ispconfig3/raw/stable-3.1/helper_scripts/ubuntu-amavisd-new-2.11.patch
cd /usr/sbin
cp -pf amavisd-new amavisd-new_bak
patch < /tmp/ubuntu-amavisd-new-2.11.patch

En caso de que obtengas un error para el último comando ‘patch’, probablemente Ubuntu haya solucionado el problema mientras tanto, por lo que debería ser seguro ignorar ese error entonces.

7.1 Instalar el Servidor XMPP de Metrónomo (opcional)

El Servidor XMPP de Metrónomo proporciona un servidor de chat XMPP. Este paso es opcional, si no necesitas un servidor de chat, entonces puedes saltarte este paso. Ninguna otra función de ISPConfig depende de este software.

Instala los siguientes paquetes con apt.

apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks
luarocks install lpc

Añade un usuario shell para Metrónomo.

adduser --no-create-home --disabled-login --gecos 'Metronome' metronome

Descarga Metronome en el directorio /opt y compílalo.

cd /opt; git clone https://github.com/maranda/metronome.git metronome
cd ./metronome; ./configure --ostype=debian --prefix=/usr
make
make install

Ahora Metronome está instalado en /opt/metronome.

También te podría gustar...