El servidor perfecto – Debian 10 (Nginx, BIND, Dovecot, ISPConfig 3.2)

Este tutorial muestra cómo preparar un servidor Debian 10 (con Nginx, BIND, Dovecot) para la instalación de ISPConfig 3.2, y cómo instalar ISPConfig 3.2. ISPConfig 3 es un panel de control de alojamiento web que te permite configurar los siguientes servicios a través de un navegador web: Servidor web Apache o nginx, servidor de correo Postfix, servidor IMAP/POP3 Courier o Dovecot, MySQL, servidor de nombres BIND o MyDNS, PureFTPd, SpamAssassin, ClamAV, y muchos más. Esta configuración cubre el servidor web Nginx, BIND como servidor DNS y Dovecot como servidor IMAP / POP3.

1 Nota preliminar

En este tutorial, utilizo el nombre de host servidor1.ejemplo. com con la dirección IP 192.168.0.100 y la puerta de enlace 192.168.0.1. Estas configuraciones pueden diferir en tu caso, por lo que deberás sustituirlas cuando proceda. Antes de seguir adelante, necesitas tener una instalación mínima de Debian 10. Puede ser una imagen mínima de Debian de tu proveedor de alojamiento o puedes utilizar el tutorialServidor Debian mínimo para configurar el sistema base.

Todos los comandos que se indican a continuación se ejecutan como usuario root. Inicia sesión como usuario root directamente o inicia sesión como tu usuario normal y luego utiliza el comando

su -

para convertirte en usuario root en tu servidor antes de continuar. IMPORTANTE: Debes utilizar ‘su -‘ y no sólo ‘su’, de lo contrario tu variable PATH será configurada erróneamente por Debian.

2 Instalar el servidor SSH

Si no instalaste el servidor OpenSSH durante la instalación del sistema, puedes hacerlo ahora:

apt-get -y install ssh openssh-server

A partir de ahora puedes utilizar un cliente SSH como PuTTY y conectarte desde tu estación de trabajo a tu servidor Debian 10 y seguir los pasos restantes de este tutorial.

3 Instala un editor de texto shell (Opcional)

Yo utilizaré nano en este tutorial. Algunos usuarios prefieren el clásico editor vi, por lo que instalaré ambos editores aquí. El programa vi por defecto tiene un comportamiento extraño en Debian y Ubuntu; para solucionarlo, instalaremos vim-nox:

apt-get -y install nano vim-nox

(No es necesario que hagas esto si utilizas otro editor de texto, como joe).

4 Configurar el nombre de host

El nombre de host de tu servidor debe ser un subdominio como «servidor1.ejemplo.com». No utilices un nombre de dominio sin parte de subdominio como «ejemplo.com» como nombre de host, ya que esto causará problemas más adelante con la configuración de tu correo. Enprimer lugar, debes comprobar el nombre de host en /etc/hosts y cambiarlo cuando sea necesario. La línea debería ser «Dirección IP – espacio – nombre de host completo incl. dominio – espacio – parte de subdominio». Edita /etc/hosts. Haz que tenga este aspecto:

nano /etc/hosts

127.0.0.1       localhost.localdomain   localhost
192.168.0.100   server1.example.com     server1

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

A continuación, edita el archivo /etc/hostname:

nano /etc/hostname

En nuestro caso, sólo contendrá la parte del subdominio:

server1

Por último, reinicia el servidor para aplicar el cambio:

reboot

Conéctate de nuevo y comprueba si el nombre de host es correcto ahora con estos comandos:

hostname
hostname -f

El resultado será el siguiente:

root@server1:/tmp# hostname
server1
root@server1:/tmp# hostname -f
server1.example.com

5 Actualiza tu instalación de Debian

En primer lugar, asegúrate de que tu /etc/apt/sources. list contiene el repositorio buster/updates (así te aseguras de obtener siempre las actualizaciones más recientes del escáner de virus ClamAV – este proyecto publica versiones muy a menudo, y a veces las versiones antiguas dejan de funcionar), y de que los repositorios contrib y non-free están activados.

nano /etc/apt/sources.list

deb http://deb.debian.org/debian/ buster main contrib non-free
deb-src http://deb.debian.org/debian/ buster main contrib non-free

deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

Ejecuta

apt-get update

para actualizar la base de datos de paquetes apt y

apt-get upgrade

para instalar las últimas actualizaciones (si las hay).

6 Cambiar el shell por defecto

/bin/sh es un enlace simbólico a /bin/dash, sin embargo necesitamos /bin/bash, no /bin/dash. Por tanto, hacemos lo siguiente

dpkg-reconfigure dash

¿Usar dash como shell por defecto del sistema (/bin/sh)? <– No

Si no haces esto, la instalación de ISPConfig fallará.

7 Sincronizar el Reloj del Sistema

Es una buena idea sincronizar el reloj del sistema con un servidor NTP( protocolo de tiempo dered) a través de Internet. Simplemente ejecuta

apt-get install ntp

y la hora de tu sistema estará siempre sincronizada.

8 Instalar Postfix, Dovecot, MySQL, rkhunter y binutils

Podemos instalar Postfix, Dovecot, MySQL, rkhunter y Binutils con un solo comando:

apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo curl

Se te harán las siguientes preguntas

Tipo general de configuración del correo: <– Sitio de Internet
Nombre de correo del sistema: <– servidor1.ejemplo.com

Para asegurar la instalación de MariaDB / MySQL y desactivar la base de datos de prueba, ejecuta este comando:

mysql_secure_installation

No tenemos que cambiar la contraseña raíz de MariaDB, ya que acabamos de establecer una nueva durante la instalación. Responde a las preguntas como se indica a continuación:

Change the root password? [Y/n] <-- y
New password: <-- Enter a new database root password
Re-enter new password: <-- Repeat the database root password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Remove test database and access to it? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

A continuación, abre los puertos TLS/SSL y de envío en Postfix:

nano /etc/postfix/master.cf

Descomenta el puertoenvío y smtps como se indica a continuación y añade líneas donde sea necesario para que esta sección del archivo master.cf tenga exactamente el mismo aspecto que el siguiente. IMPORTANTE: Elimina también el # delante de las líneas que empiezan por smtps y submission, ¡y no sólo de las líneas -o que siguen a estas líneas!

[...]
submission inet n - y - - smtpd
 -o syslog_name=postfix/submission
 -o smtpd_tls_security_level=encrypt
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
smtps inet n - y - - smtpd
 -o syslog_name=postfix/smtps
 -o smtpd_tls_wrappermode=yes
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
[...]

Reinicia Postfix después:

service postfix restart

Queremos que MariaDB escuche en todas las interfaces, no sólo en localhost, por lo que editamos /etc/mysql/mariadb.conf.d/50-server.cnf y comentamos la línea bind-address = 127.0.0.1:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]

# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address           = 127.0.0.1

[…]

Guarda el archivo. A continuación, establece el método de autenticación de contraseña en MariaDB como nativo para que podamos utilizar PHPMyAdmin más adelante para conectarnos como usuario root:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Edita el archivo /etc/mysql/debian.cnf y establece allí la contraseña raíz de MYSQL / MariaDB dos veces en las filas que empiezan por la palabra contraseña.

nano /etc/mysql/debian.cnf

La contraseña raíz de MySQL que hay que añadir se muestra en rojo. En este ejemplo, la contraseña es «howtoforge».

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = howtoforge
socket = /var/run/mysqld/mysqld.sock
basedir = /usr

Para evitar el error ‘Error al aceptar: Demasiados archivos abiertosestableceremos ahora límites de archivos abiertos más altos para MariaDB.

Abre el archivo /etc/security/limits.conf con un editor

nano /etc/security/limits.conf

y añade estas líneas al final del archivo.

mysql soft nofile 65535
mysql hard nofile 65535

A continuación, crea un nuevo directorio /etc/systemd/system/mysql.service.d/ con el comando mkdir

mkdir -p /etc/systemd/system/mysql.service.d/

y añade un nuevo archivo dentro:

nano /etc/systemd/system/mysql.service.d/limits.conf

pega las siguientes líneas en ese archivo:

[Service]
LimitNOFILE=infinity

Guarda el archivo y cierra el editor nano.

Luego recargamos systemd y reiniciamos MariaDB:

systemctl daemon-reload
systemctl restart mariadb

Ignora la advertencia:«Advertencia: El archivo de unidad, el archivo de configuración fuente o los drop-ins de mariadb.service han cambiado en el disco. Ejecuta ‘systemctl daemon-reload’ para recargar las unidades«.

Instala el sistema dbconfig-common:

apt-get install dbconfig-common dbconfig-mysql

Actualmente existe un problema con el sistema Debian dbconfig-common que impide la instalación posterior de RoundCube, arréglalo ejecutando este comando:

sed -i -r 's/_dbc_nodb="yes" dbc_mysql_exec/_dbc_nodb="yes"; dbc_mysql_exec/g' /usr/share/dbconfig-common/internal/mysql

Ahora comprueba que la red está activada. Ejecuta

netstat -tap | grep mysql

El resultado debería ser el siguiente

root@server1:~# netstat -tap | grep mysql
tcp6       0      0 [::]:mysql              [::]:*                  LISTEN      4027/mysqld
root@server1:~#

9 Instala Amavisd-new, SpamAssassin y ClamAV

Para instalar amavisd-new, SpamAssassin, y ClamAV, ejecutamos:

apt-get install amavisd-new spamassassin clamav clamav-daemon unzip bzip2 arj nomarch lzop cabextract p7zip p7zip-full unrar lrzip apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl libdbd-mysql-perl postgrey

La configuración de ISPConfig 3 utiliza amavisd que carga internamente la librería de filtros SpamAssassin, por lo que podemos detener SpamAssassin para liberar algo de RAM:

systemctl stop spamassassin
systemctl disable spamassassin

10 Instalar Nginx, PHP (PHP-FPM) y Fcgiwrap

Nginx está disponible como paquete para Debian que podemos instalar de la siguiente manera:

apt-get install nginx

Si Apache2 ya está instalado en el sistema, detenlo ahora…

systemctl stop apache2

Aparece el mensaje«Error al detener apache2.service: Unidad apache2.service no cargada» está bien y no indica ningún error.

… y elimina los enlaces de inicio del sistema de Apache:

systemctl disable apache2

Inicia después nginx:

systemctl start nginx

(Si tanto Apache2 como nginx están instalados, el instalador de ISPConfig 3 te preguntará cuál quieres usar – responde nginx en este caso. Si sólo uno de los dos está instalado, ISPConfig hará la configuración necesaria automáticamente).

Podemos hacer que PHP 7.3 funcione en nginx a través de PHP-FPM (PHP-FPM (FastCGI Process Manager) es una implementación alternativa de PHP FastCGI con algunas características adicionales útiles para sitios de cualquier tamaño, especialmente sitios más concurridos) que instalamos como sigue:

apt-get install php7.3-fpm

PHP-FPM es un proceso demonio que ejecuta un servidor FastCGI en el socket /var/run/php/php7.3-fpm.sock.

Para obtener soporte MySQL en PHP, podemos instalar el paquete php7.3-mysql. Es una buena idea instalar también otros módulos PHP, ya que podrías necesitarlos para tus aplicaciones. Puedes buscar los módulos PHP disponibles así:

apt-cache search php7

Elige los que necesites e instálalos así:

apt-get install php7.3 php7.3-common php7.3-gd php7.3-mysql php7.3-imap php7.3-cli php7.3-cgi php-pear mcrypt imagemagick libruby php7.3-curl php7.3-intl php7.3-pspell php7.3-recode php7.3-sqlite3 php7.3-tidy php7.3-xmlrpc php7.3-xsl memcached php-memcache php-imagick php-gettext php7.3-zip php7.3-mbstring memcached php7.3-soap php7.3-fpm php7.3-opcache php-apcu

A continuación, abre /etc/php/7.3/fpm/php.ini…

nano /etc/php/7.3/fpm/php.ini

… y establece cgi.fix_pathinfo=0 y tu zona horaria:

[...]
cgi.fix_pathinfo=0
[...]
date.timezone="Europe/Berlin"
[...]

(Puedes encontrar todas las zonas horarias disponibles en los directorios /usr/share/zoneinfo y sus subdirectorios).

Ahora vuelve a cargar PHP-FPM:

systemctl restart php7.3-fpm

Para conseguir soporte CGI en nginx, instalamos Fcgiwrap.

Fcgiwrap es una envoltura CGI que debería funcionar también para scripts CGI complejos y puede utilizarse en entornos de alojamiento compartido porque permite que cada vhost utilice su propio directorio cgi-bin.

Instala el paquete fcgiwrap:

apt-get install fcgiwrap

Tras la instalación, el demonio fcgiwrap ya debería estar iniciado; su socket es /var/run/fcgiwrap.socket. Si no se está ejecutando, puedes utilizar el script fservice fcgiwrap para iniciarlo.

Ya está. Ahora cuando crees un vhost nginx, ISPConfig se encargará de la configuración correcta del vhost.

10.1 Instalar phpMyAdmin

Desde Debian 10, PHPMyAdmin ya no está disponible como paquete .deb. Por lo tanto, lo instalaremos desde el código fuente.

Crea carpetas para PHPMyadmin:

mkdir /usr/share/phpmyadmin
mkdir /etc/phpmyadmin
mkdir -p /var/lib/phpmyadmin/tmp
chown -R www-data:www-data /var/lib/phpmyadmin
touch /etc/phpmyadmin/htpasswd.setup

Ve al directorio /tmp y descarga las fuentes de PHPMyAdmin:

cd /tmp
wget https://files.phpmyadmin.net/phpMyAdmin/4.9.0.1/phpMyAdmin-4.9.0.1-all-languages.tar.gz

Descomprime el archivo descargado y mueve los archivos a la carpeta /usr/share/phpmyadmin y limpia el directorio /tmp.

tar xfz phpMyAdmin-4.9.0.1-all-languages.tar.gz
mv phpMyAdmin-4.9.0.1-all-languages/* /usr/share/phpmyadmin/
rm phpMyAdmin-4.9.0.1-all-languages.tar.gz
rm -rf phpMyAdmin-4.9.0.1-all-languages

Crea un nuevo archivo de configuración para PHPMyaAdmin basándote en el archivo de ejemplo proporcionado:

cp /usr/share/phpmyadmin/config.sample.inc.php  /usr/share/phpmyadmin/config.inc.php

Abre el archivo de configuración con el editor nano:

nano /usr/share/phpmyadmin/config.inc.php

Establece una contraseña segura (blowfish secret) que debe tener 32 caracteres:

$cfg['blowfish_secret'] = 'bD3e6wva9fnd93jVsb7SDgeiBCd452Dh'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

No utilices mi secreto blowfish de ejemplo, ¡establece el tuyo propio!

A continuación, añade una línea para establecer el directorio que PHPMyAdmin utilizará para almacenar los archivos temporales:

$cfg['TempDir'] = '/var/lib/phpmyadmin/tmp';

En el siguiente paso, configuraremos el almacén de configuración de phpMyadmin (base de datos).

Entra en MariaDB como usuario root:

mysql -u root -p

En el intérprete de comandos MariaDB, crea una nueva base de datos para PHPMyAdmin:

MariaDB [(none)]> CREATE DATABASE phpmyadmin;

A continuación, crea un nuevo usuario:

MariaDB [(none)]> CREATE USER 'pma'@'localhost' IDENTIFIED BY 'mypassword';

Sustituye la palabra mypassword por una contraseña segura de tu elección en los comandos anterior y siguiente, utiliza la misma contraseña las dos veces. A continuación, concede al usuario acceso a esta base de datos y vuelve a cargar los permisos de la base de datos.

MariaDB [(none)]> GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' IDENTIFIED BY 'mypassword' WITH GRANT OPTION;
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> EXIT

Por último, carga las tablas SQL en la base de datos:

mysql -u root -p phpmyadmin < /usr/share/phpmyadmin/sql/create_tables.sql

Introduce la contraseña de root de MariaDB cuando se te solicite.

Todo lo que tenemos que hacer ahora es establecer los detalles del usuario phpmyadmin en el archivo de configuración. Abre de nuevo el archivo en el editor nano:

nano /usr/share/phpmyadmin/config.inc.php

Desplázate hacia abajo hasta que veas las líneas de abajo y edítalas:

/* User used to manipulate with storage */
$cfg['Servers'][$i]['controlhost'] = 'localhost';
$cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = 'mypassword';

/* Storage database and tables */
$cfg[‘Servers’][$i][‘pmadb’] = ‘phpmyadmin’;
$cfg[‘Servers’][$i][‘bookmarktable’] = ‘pma__bookmark’;
$cfg[‘Servers’][$i][‘relation’] = ‘pma__relation’;
$cfg[‘Servers’][$i][‘table_info’] = ‘pma__table_info’;
$cfg[‘Servers’][$i][‘table_coords’] = ‘pma__table_coords’;
$cfg[‘Servers’][$i][‘pdf_pages’] = ‘pma__pdf_pages’;
$cfg[‘Servers’][$i][‘column_info’] = ‘pma__column_info’;
$cfg[‘Servers’][$i][‘history’] = ‘pma__history’;
$cfg[‘Servers’][$i][‘table_uiprefs’] = ‘pma__table_uiprefs’;
$cfg[‘Servers’][$i][‘tracking’] = ‘pma__tracking’;
$cfg[‘Servers’][$i][‘userconfig’] = ‘pma__userconfig’;
$cfg[‘Servers’][$i][‘recent’] = ‘pma__recent’;
$cfg[‘Servers’][$i][‘favorite’] = ‘pma__favorite’;
$cfg[‘Servers’][$i][‘users’] = ‘pma__users’;
$cfg[‘Servers’][$i][‘usergroups’] = ‘pma__usergroups’;
$cfg[‘Servers’][$i][‘navigationhiding’] = ‘pma__navigationhiding’;
$cfg[‘Servers’][$i][‘savedsearches’] = ‘pma__savedsearches’;
$cfg[‘Servers’][$i][‘central_columns’] = ‘pma__central_columns’;
$cfg[‘Servers’][$i][‘designer_settings’] = ‘pma__designer_settings’;
$cfg[‘Servers’][$i][‘export_templates’] = ‘pma__export_templates’;

He marcado en rojo las líneas que he editado. Sustituye mypassword por la contraseña que hayas elegido para el usuario phpmyadmin. Ten en cuenta que también se han eliminado los // delante de las líneas.

Después de haber instalado ISPConfig 3.2, puedes acceder a phpMyAdmin de la siguiente manera:

El vhost de aplicaciones ISPConfig en el puerto 8081 para nginx viene con una configuración phpMyAdmin, por lo que puedes utilizar http://server1.example.com:8081/phpmyadmin o http://server1.example.com:8081/phpMyAdmin para acceder a phpMyAdmin.

Si quieres utilizar un alias /phpmyadmin o /phpMyAdmin que puedas usar desde tus sitios web, esto es un poco más complicado que para Apache porque nginx no tiene alias globales (es decir, alias que se puedan definir para todos los vhosts). Por lo tanto, tienes que definir estos alias para cada vhost desde el que quieras acceder a phpMyAdmin.

Para ello, pega lo siguiente en el campo Directivas nginx en la pestaña Opciones del sitio web en ISPConfig más tarde:

        location /phpmyadmin {
               root /usr/share/;
               index index.php index.html index.htm;
               location ~ ^/phpmyadmin/(.+\.php)$ {
                       try_files $uri =404;
                       root /usr/share/;
                       fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
                       fastcgi_index index.php;
                       fastcgi_param SCRIPT_FILENAME $request_filename;
                       include /etc/nginx/fastcgi_params;
                       fastcgi_param PATH_INFO $fastcgi_script_name;
                       fastcgi_buffer_size 128k;
                       fastcgi_buffers 256 4k;
                       fastcgi_busy_buffers_size 256k;
                       fastcgi_temp_file_write_size 256k;
                       fastcgi_intercept_errors on;
               }
               location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                       root /usr/share/;
               }
        }
        location /phpMyAdmin {
               rewrite ^/* /phpmyadmin last;
        }

Si utilizas https en lugar de http para tu vhost, debes añadir la línea fastcgi_param HTTPS on; a tu configuración de phpMyAdmin de la siguiente manera:

        location /phpmyadmin {
               root /usr/share/;
               index index.php index.html index.htm;
               location ~ ^/phpmyadmin/(.+\.php)$ {
                       try_files $uri =404;
                       root /usr/share/;
                       fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
                       fastcgi_param HTTPS on; # <-- add this line
                       fastcgi_index index.php;
                       fastcgi_param SCRIPT_FILENAME $request_filename;
                       include /etc/nginx/fastcgi_params;
                       fastcgi_param PATH_INFO $fastcgi_script_name;
                       fastcgi_buffer_size 128k;
                       fastcgi_buffers 256 4k;
                       fastcgi_busy_buffers_size 256k;
                       fastcgi_temp_file_write_size 256k;
                       fastcgi_intercept_errors on;
               }
               location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                       root /usr/share/;
               }
        }
        location /phpMyAdmin {
               rewrite ^/* /phpmyadmin last;
        }

Si utilizas tanto http como https para tu vhost, puedes utilizar la variable $https. Ve de nuevo al campo Directivas nginx, y en lugar de fastcgi_param HTTPS on; añade la línea fastcgi_param HTTPS $https; para que puedas utilizar phpMyAdmin tanto para peticiones http como https:

        location /phpmyadmin {
               root /usr/share/;
               index index.php index.html index.htm;
               location ~ ^/phpmyadmin/(.+\.php)$ {
                       try_files $uri =404;
                       root /usr/share/;
                       fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
                       fastcgi_param HTTPS $https; # <-- add this line
                       fastcgi_index index.php;
                       fastcgi_param SCRIPT_FILENAME $request_filename;
                       include /etc/nginx/fastcgi_params;
                       fastcgi_param PATH_INFO $fastcgi_script_name;
                       fastcgi_buffer_size 128k;
                       fastcgi_buffers 256 4k;
                       fastcgi_busy_buffers_size 256k;
                       fastcgi_temp_file_write_size 256k;
                       fastcgi_intercept_errors on;
               }
               location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                       root /usr/share/;
               }
        }
        location /phpMyAdmin {
               rewrite ^/* /phpmyadmin last;
        }

11 Instalar Let’s Encrypt

ISPConfig utiliza ahora acme.sh como cliente de Let’s Encrypt. Instala acme.sh usando el siguiente comando:

curl https://get.acme.sh | sh -s

12 Instalar Mailman

ISPConfig te permite gestionar (crear/modificar/borrar) listas de correo Mailman. Si quieres hacer uso de esta función, instala Mailman como se indica a continuación:

apt-get install mailman

Selecciona al menos un idioma, por ejemplo

Idiomas compatibles: <– es (inglés)
Lista de sitios que falta <– Ok

Antes de poder iniciar Mailman, hay que crear una primera lista de correo llamada mailman:

newlist mailman

root@server1:~# newlist mailman
Introduce el correo electrónico de la persona que dirige la lista: <– dirección de correo electrónico del administrador, por [email protected]
Contraseña inicial de mailman: <– contraseña de admin para la lista mailman
Para terminar de crear tu lista de correo, debes editartu archivo /etc/aliases (o su equivalente en
) añadiendo las siguientes líneas, y posiblemente ejecutando el programa
`newaliases’:

## lista de correo mailman
mailman: «|/var/lib/mailman/mail/mailman post mailman»
mailman-admin:»|/var/lib/mailman/mail/mailman admin mailman»
mailman-bounces:»|/var/lib/mailman/mail/mailman bounces mailman»
mailman-confirm:»|/var/lib/mailman/mail/mailman confirma mailman»
mailman-join:»|/var/lib/mailman/mail/mailman join mailman»
mailman-leave:»|/var/lib/mailman/mail/mailman leave mailman»
mailman-owner:»|/var/lib/mailman/mail/mailman owner mailman»
mailman-request:»|/var/lib/mailman/mail/mailman request mailman»
mailman-subscribe:»|/var/lib/mailman/mail/mailman subscribe mailman»
mailman-unsubscribe:»|/var/lib/mailman/mail/mailman unsubscribe mailman»

Pulsa intro para notificar al propietario de mailman… <– INTRO

root@server1:~#

Abre después /etc/aliases…

nano /etc/aliases

… y añade las siguientes líneas:

[...]
## mailman mailing list
mailman:              "|/var/lib/mailman/mail/mailman post mailman"
mailman-admin:        "|/var/lib/mailman/mail/mailman admin mailman"
mailman-bounces:      "|/var/lib/mailman/mail/mailman bounces mailman"
mailman-confirm:      "|/var/lib/mailman/mail/mailman confirm mailman"
mailman-join:         "|/var/lib/mailman/mail/mailman join mailman"
mailman-leave:        "|/var/lib/mailman/mail/mailman leave mailman"
mailman-owner:        "|/var/lib/mailman/mail/mailman owner mailman"
mailman-request:      "|/var/lib/mailman/mail/mailman request mailman"
mailman-subscribe:    "|/var/lib/mailman/mail/mailman subscribe mailman"
mailman-unsubscribe:  "|/var/lib/mailman/mail/mailman unsubscribe mailman"

Ejecuta

newaliases

después y reinicia Postfix:

systemctl restart postfix

A continuación, inicia el demonio Mailman:

systemctl restart mailman

Después de haber instalado ISPConfig 3, puedes acceder a Mailman de la siguiente manera:

El vhost de aplicaciones de ISPConfig en el puerto 8081 para nginx viene con una configuración de Mailman, así que puedes usar http://server1.example.com:8081/cgi-bin/mailman/admin/<listname> o http://server1.example.com:8081/cgi-bin/mailman/listinfo/<listname> para acceder a Mailman.

Si quieres utilizar Mailman desde tus sitios web, esto es un poco más complicado que para Apache, porque nginx no tiene alias globales (es decir, alias que puedan definirse para todos los vhosts). Por tanto, tienes que definir estos alias para cada vhost desde el que quieras acceder a Mailman.

Para ello, pega lo siguiente en el campo Directivas nginx de la pestaña Opciones del sitio web en ISPConfig:

        location /cgi-bin/mailman {
               root /usr/lib/;
               fastcgi_split_path_info (^/cgi-bin/mailman/[^/]*)(.*)$;
               include /etc/nginx/fastcgi_params;
               fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
               fastcgi_param PATH_INFO $fastcgi_path_info;
               fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
               fastcgi_intercept_errors on;
               fastcgi_pass unix:/var/run/fcgiwrap.socket;
        }

        location /images/mailman {
               alias /usr/share/images/mailman;
        }

        location /pipermail {
               alias /var/lib/mailman/archives/public;
               autoindex on;
        }

Esto define el alias /cgi-bin/mailman/ para tu vhost, lo que significa que puedes acceder a la interfaz de administración de Mailman para una lista en http://<vhost>/cgi-bin/mailman/admin/<listname> , y la página web para los usuarios de una lista de correo se puede encontrar en http://<vhost>/cgi-bin/mailman/listinfo/<listname>.

En http://<vhost>/pipermail puedes encontrar los archivos de las listas de correo.

13 Instalar PureFTPd y Quota

PureFTPd y quota se pueden instalar con el siguiente comando:

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

Edita el archivo /etc/default/pure-ftpd-common…

nano /etc/default/pure-ftpd-common

… y asegúrate de que el modo de inicio está configurado como independiente y establece VIRTUALCHROOT=true:

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Ahora configuramos PureFTPd para permitir sesiones FTP y TLS. FTP es un protocolo muy inseguro porque todas las contraseñas y todos los datos se transfieren en texto claro. Utilizando TLS, se puede cifrar toda la comunicación, lo que hace que FTP sea mucho más seguro.

Si quieres permitir sesiones FTP y TLS, ejecuta

echo 1 > /etc/pure-ftpd/conf/TLS

Para utilizar TLS, debemos crear un certificado SSL. Yo lo creo en /etc/ssl/private/, por lo que primero creo ese directorio:

mkdir -p /etc/ssl/private/

Después, podemos generar el certificado SSL de la siguiente manera:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Nombre del país (código de 2 letras) [AU]: <– Introduce el nombre de tu país (por ejemplo, «DE»).
Nombre del Estado o Provincia (nombre completo) [Algún-Estado]:<– Introduce el Nombre de tu Estado o Provincia.
Nombre de la localidad (por ejemplo, ciudad) []:<– Introduce tu Ciudad.
Nombre de la organización (p. ej., empresa) [Internet Widgits Pty Ltd]:<– Introduce el Nombre de tu Organización (por ejemplo, el nombre de tu empresa).
Nombre de la Unidad Organizativa (por ejemplo, sección) []:<– Introduce el Nombre de tu Unidad Organizativa (por ejemplo, «Departamento de TI»).
Nombre común (p. ej., TU nombre) []:<– Introduce el Nombre de Dominio Completamente Cualificado del sistema (por ejemplo, «servidor1.ejemplo.com»).
Dirección de correo electrónico []:<– Introduce tu Dirección de correo electrónico.

Cambia los permisos del certificado SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

A continuación, reinicia PureFTPd:

systemctl restart pure-ftpd-mysql

Edita /etc/fstab. El mío tiene este aspecto (he añadido ,usrjquota=cuota.usuario,grpjquota=cuota.grupo,jqfmt=vfsv0 a la partición con el punto de montaje /):

nano /etc/fstab

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/sda1 during installation
UUID=45576b38-39e8-4994-b8c1-ea4870e2e614 / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1
# swap was on /dev/sda5 during installation
UUID=8bea0d1e-ec37-4b20-9976-4b7daaa3eb69 none swap sw 0 0
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0

Para activar la cuota, ejecuta estos comandos:

mount -o remount /

quotacheck -avugm
quotaon -avug

14 Instalar el servidor DNS BIND

BIND se puede instalar de la siguiente manera:

apt-get install bind9 dnsutils

Si tu servidor es una máquina virtual, es muy recomendable instalar el demonio haveged para obtener una mayor entropía para la firma DNSSEC. También puedes instalar haveged en servidores no virtuales, no debería perjudicar.

apt-get -y install haveged
systemctl enable haveged
systemctl start haveged

Puedes encontrar una explicación sobre este tema aquí.

15 Instala Webalizer, AWStats y GoAccess

Webalizer y AWStats pueden instalarse de la siguiente manera:

apt-get install webalizer awstats geoip-database libtimedate-perl libclass-dbi-mysql-perl

Abre /etc/cron.d/awstats después…

nano /etc/cron.d/awstats

… y comenta todo lo que haya en ese archivo:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generate static reports:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

Instalar la última versión de GoAccess directamente desde el repositorio de GoAccess:

echo "deb https://deb.goaccess.io/ $(lsb_release -cs) main" | sudo tee -a /etc/apt/sources.list.d/goaccess.list
wget -O - https://deb.goaccess.io/gnugpg.key | sudo apt-key --keyring /etc/apt/trusted.gpg.d/goaccess.gpg add -
apt-get update
apt-get install goaccess

16 Instalar Jailkit

Jailkit sólo es necesario si quieres hacer chroot a los usuarios SSH. Se puede instalar de la siguiente manera(importante: Jailkitdebe instalarse antes de ISPConfig – ¡no puede instalarse después!):

apt-get install build-essential autoconf automake libtool flex bison debhelper binutils

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz
tar xvfz jailkit-2.20.tar.gz
cd jailkit-2.20
echo 5 > debian/compat
./debian/rules binary

Ahora puedes instalar el paquete .deb de Jailkit de la siguiente manera:

cd ..
dpkg -i jailkit_2.20-1_*.deb
rm -rf jailkit-2.20*

17 Instalar Fail2ban y UFW Firewall

Esto es opcional pero recomendable, porque el monitor de ISPConfig intenta mostrar el log:

apt-get install fail2ban

Para que fail2ban monitorice PureFTPd y Dovecot, crea el archivo /etc/fail2ban/jail.local:

nano /etc/fail2ban/jail.local

[pure-ftpd]
enabled = true
port = ftp
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3

[dovecot]
enabled = true
filter = dovecot
logpath = /var/log/mail.log
maxretry = 5

[postfix-sasl]
enabled = true
port = smtp
filter = postfix[mode=auth]
logpath = /var/log/mail.log
maxretry = 3

Reinicia fail2ban después:

systemctl restart fail2ban

Para instalar el cortafuegos UFW, ejecuta este comando apt:

apt-get install ufw

18 Instalar RoundCube

Instala RoundCube con este comando:

apt-get install roundcube roundcube-core roundcube-mysql roundcube-plugins

El instalador te hará las siguientes preguntas:

Configure database for roundcube with dbconfig.common? <-- yes
MySQL application password for roundcube: <-- press enter
Password of the databases administrative user: <-- enter the MySQL root password here.

A continuación, edita el archivo RoundCube /etc/roundcube/config.inc.php y ajusta algunos parámetros:

nano /etc/roundcube/config.inc.php

Establece el default_host a localhost y el smtp_server.

$config['default_host'] = 'localhost';
$config['smtp_server'] = 'localhost';
$config['smtp_port']  = 25;

ISPConfig tiene una configuración en el vhost de aplicaciones nginx para squirrelmail que funciona también para roundcube. Lo activamos con:

ln -s /usr/share/roundcube /usr/share/squirrelmail

http://192.168.0.100:8081/webmail
http://server1.example.com:8081/webmail (después de haber instalado ISPConfig, ver el siguiente capítulo)

19 Instalar ISPConfig 3

Antes de empezar la instalación de ISPConfig, asegúrate de que Apache está parado (si está instalado – es posible que alguno de tus paquetes instalados haya instalado Apache como dependencia sin que lo sepas). Si Apache2 ya está instalado en el sistema, detenlo ahora…

systemctl stop apache2

… y elimina los enlaces de inicio del sistema de Apache:

update-rc.d -f apache2 remove

Asegúrate de que nginx se está ejecutando:

systemctl start nginx

(Si tienes instalados tanto Apache como nginx, el instalador te preguntará cuál quieres utilizar: Apache y nginx detectados. Selecciona el servidor a utilizar para ISPConfig: (apache,nginx) [apache]:

Escribe nginx. Si sólo están instalados Apache o nginx, el instalador lo detecta automáticamente y no hace ninguna pregunta).

Para instalar ISPConfig 3.2 desde la última versión liberada, haz esto:

cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install/

El siguiente paso es ejecutar

php -q install.php

Esto iniciará el instalador de ISPConfig 3. El instalador configurará todos los servicios como Postfix, Nginx, Dovecot, etc. por ti.

# php -q install.php

--------------------------------------------------------------------------------
_____ ___________ _____ __ _ ____
|_ _/ ___| ___ \ / __ \ / _(_) /__ \
| | \ `--.| |_/ / | / \/ ___ _ __ | |_ _ __ _ _/ /
| | `--. \ __/ | | / _ \| '_ \| _| |/ _` | |_ |
_| |_/\__/ / | | \__/\ (_) | | | | | | | (_| | ___\ \
\___/\____/\_| \____/\___/|_| |_|_| |_|\__, | \____/
__/ |
|___/
--------------------------------------------------------------------------------

>> Initial configuration

Operating System: Debian 10.0 (Buster) or compatible

Following will be a few questions for primary configuration so be careful.
Default values are in [brackets] and can be accepted with <ENTER>.
Tap in "quit" (without the quotes) to stop the installer.

Select language (en,de) [en]: <-- Hit Enter

Installation mode (standard,expert) [standard]: <-- Hit Enter

Full qualified hostname (FQDN) of the server, eg server1.domain.tld [server1.canomi.com]: <-- Hit Enter

MySQL server hostname [localhost]: <-- Hit Enter

MySQL server port [3306]: <-- Hit Enter

MySQL root username [root]: <-- Hit Enter

MySQL root password []: <-- Enter your MySQL root password

MySQL database to create [dbispconfig]: <-- Hit Enter

MySQL charset [utf8]: <-- Hit Enter

Apache and nginx detected. Select server to use for ISPConfig: (apache,nginx) [apache]: <-- nginx

Configuring Postgrey
Configuring Postfix
Generating a 4096 bit RSA private key
……………………………………………………………..++
……………………………………………………………………………………………………………………….++
writing new private key to ‘smtpd.key’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]: <– Enter 2 letter country code
State or Province Name (full name) [Some-State]: <– Enter the name of the  state
Locality Name (eg, city) []: <– Enter your city
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <– Enter company name or press enter
Organizational Unit Name (eg, section) []: <– Hit Enter
Common Name (e.g. server FQDN or YOUR name) []: <– Enter the server hostname, in my case: server1.example.com
Email Address []: <– Hit Enter
Configuring Mailman
Configuring Dovecot
Configuring Spamassassin
Configuring Amavisd
Configuring Getmail
Configuring BIND
Configuring Jailkit
Configuring Pureftpd
Configuring Nginx
Configuring vlogger
[INFO] service Metronome XMPP Server not detected

Configuring UFW Firewall
Configuring Fail2ban
[INFO] service OpenVZ not detected
Configuring Apps vhost
Installing ISPConfig
ISPConfig Port [8080]:

Admin password [admin]: <-- Enter desired ISPConfig admin user password here

Do you want a secure (SSL) connection to the ISPConfig web interface (y,n) [y]: <-- Hit Enter

Generating RSA private key, 4096 bit long modulus
.......................++
................................................................................................................................++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: <-- Enter 2 letter country code
State or Province Name (full name) [Some-State]: <-- Enter the name of the  state
Locality Name (eg, city) []: <-- Enter your city
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Enter company name or press enter
Organizational Unit Name (eg, section) []: <-- Hit Enter
Common Name (e.g. server FQDN or YOUR name) []: <-- Enter the server hostname, in my case: server1.example.com
Email Address []: <-- Hit Enter

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: <-- Hit Enter
An optional company name []: <-- Hit Enter
writing RSA key

Configuring DBServer
Installing ISPConfig crontab
no crontab for root
no crontab for getmail
Detect IP addresses
Restarting services ...
Installation completed.

El instalador configura automáticamente todos los servicios subyacentes, por lo que no es necesaria ninguna configuración manual.

Después puedes acceder a ISPConfig 3 bajo http(s)://servidor1.ejemplo.com:8080/ o http(s)://192.168.1.100:8080/ ( http o https depende de lo que elegiste durante la instalación). Inicia sesión con el nombre de usuario admin y la contraseña admin (deberías cambiar la contraseña por defecto después de tu primer inicio de sesión):

Por último, arreglamos algunos permisos de la instalación de RoundCube.

chown root:ispapps /etc/roundcube/debian-db.php
chmod 640 /etc/roundcube/debian-db.php
chown root:ispapps /etc/roundcube/config.inc.php
chmod 640 /etc/roundcube/config.inc.php
chown -R ispapps:adm /var/log/roundcube
chmod -R 750 /var/log/roundcube
chown -R ispapps:ispapps /var/lib/roundcube/temp
chmod -R 750 /var/lib/roundcube/temp

El sistema ya está listo para ser utilizado.

Existen algunos plugins para integrar RoundCube Webmail con ISPConfig, echa un vistazo aquí para ver las instrucciones de instalación del plugin RoundCube de ISPConfig.

21 Descarga de la imagen de la máquina virtual de este tutorial

Este tutorial está disponible como imagen de máquina virtual lista para usar en formato ovf/ova compatible con VMWare y Virtualbox. La imagen de máquina virtual utiliza los siguientes datos de acceso:

Inicio de sesión SSH / Shell

Nombre de usuario: administrador
Contraseña: howtoforge

Nombre de usuario: root
Contraseña: howtoforge

Inicio de sesión ISPConfig

Nombre de usuario: admin
Contraseña: howtoforge

Inicio de sesión MySQL

Nombre de usuario: root
Contraseña: howtoforge

La IP de la máquina virtual es 192.168.0.100, se puede cambiar en el archivo /etc/network/interfaces. Por favor, cambia todas las contraseñas anteriores para asegurar la máquina virtual.

22 Enlaces

• Debian: http: //www.debian.org/
• ISPConfig: http: //www.ispconfig.org/