完美的服务器 -  Ubuntu 15.10(nginx,MySQL,PHP,Postfix,BIND,Dovecot,Pure-FTPD和ISPConfig 3)

2017-09-23 分类:系统运维 阅读() 评论()

完美的服务器 - Ubuntu 15.10(nginx,MySQL,PHP,Postfix,BIND,Dovecot,Pure-FTPD和ISPConfig 3)

本教程显示了使用Nginx,PHP,MariaDB,Postfix,pure-ftpd,BIND,Dovecot和ISPConfig 3安装Ubuntu 15.10(Wiley Werewolf)服务器的步骤。ISPConfig 3是一个Web托管控制面板,可让您配置安装通过网络浏览器进行服务。 此设置提供了完整的托管服务器,其中包含网络,电子邮件(包括垃圾邮件和防病毒过滤器),数据库,FTP和DNS服务。

初步说明

在本教程中,我将使用IP地址为192.168.1.100的主机名server1.example.com和网络配置的网关192.168.1.1。 这些设置可能会有所不同,因此您必须在适当的情况下更换它们。 在继续进行之前,您需要安装Ubuntu 15.10的基本安装,如教程中所述。

本教程中的步骤必须以root用户身份执行,所以我不会在命令前添加“sudo”。 在继续或运行之前,以root用户身份登录到您的服务器: 

sudo su

当您以shell的不同用户身份登录时,成为root用户。

编辑文件的命令将使用编辑器“nano”,您可以用您选择的编辑器替换它。 Nano是一个易于使用的文件编辑器。 如果您喜欢使用nano并且尚未安装,请运行: 

apt-get install nano

2.更新您的Linux安装

编辑/etc/apt/sources.list 。 从文件中注释或删除安装CD,并确保启用了Universemultiverse存储库。 它应该是这样的: 

nano /etc/apt/sources.list
#

# deb cdrom:[Ubuntu-Server 15.10 _Wily Werewolf_ - Release amd64 (20151021)]/ wily main restricted

#deb cdrom:[Ubuntu-Server 15.10 _Wily Werewolf_ - Release amd64 (20151021)]/ wily main restricted

# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://de.archive.ubuntu.com/ubuntu/ wily main restricted
deb-src http://de.archive.ubuntu.com/ubuntu/ wily main restricted

## Major bug fix updates produced after the final release of the
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ wily-updates main restricted
deb-src http://de.archive.ubuntu.com/ubuntu/ wily-updates main restricted

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ wily universe
deb-src http://de.archive.ubuntu.com/ubuntu/ wily universe
deb http://de.archive.ubuntu.com/ubuntu/ wily-updates universe
deb-src http://de.archive.ubuntu.com/ubuntu/ wily-updates universe

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://de.archive.ubuntu.com/ubuntu/ wily multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ wily multiverse
deb http://de.archive.ubuntu.com/ubuntu/ wily-updates multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ wily-updates multiverse

## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ wily-backports main restricted universe multiverse
deb-src http://de.archive.ubuntu.com/ubuntu/ wily-backports main restricted universe multiverse

deb http://security.ubuntu.com/ubuntu wily-security main restricted
deb-src http://security.ubuntu.com/ubuntu wily-security main restricted
deb http://security.ubuntu.com/ubuntu wily-security universe
deb-src http://security.ubuntu.com/ubuntu wily-security universe
deb http://security.ubuntu.com/ubuntu wily-security multiverse
deb-src http://security.ubuntu.com/ubuntu wily-security multiverse

## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu wily partner
# deb-src http://archive.canonical.com/ubuntu wily partner

然后运行: 

apt-get update

要更新apt包数据库,然后: 

apt-get upgrade

安装最新的更新(如果有的话)。 如果您看到新内核作为更新的一部分进行安装,那么您应该重新启动系统: 

reboot

3.更改默认Shell

/ bin / sh/ bin / dash的符号链接,但是我们需要/ bin / bash ,not / bin / dash 。 所以我们这样做: 

dpkg-reconfigure dash

使用破折号作为默认系统shell(/ bin / sh)? < - 不

如果不这样做,则ISPConfig安装将失败。

4.禁用AppArmor

AppArmor是一个安全扩展(类似于SELinux),应该提供扩展的安全性。 默认情况下不会安装13.10。 我们将交叉检查是否安装。 在我看来,你不需要配置一个安全的系统,它通常会导致更多的问题,而不是优势(考虑到你做了一周的故障排除后,因为一些服务不能按预期工作,然后你发现一切都很好,只有AppArmor导致了这个问题)。 因此,我禁用它(如果你以后要安装ISPConfig,这是必须的)。

我们可以禁用它: 

service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils

5.同步系统时钟

通过互联网将系统时钟与NTP( n etwork协议)服务器同步是个好主意。 只需运行 

apt-get install ntp ntpdate

您的系统时间将始终保持同步。

6.安装Postfix,Dovecot,MariaDB,phpMyAdmin,rkhunter,Binutils

我们可以使用单个命令安装Postfix,Dovecot,MariaDB(作为MySQL替换),rkhunter和binutils: 

apt-get install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve sudo

MariaDB是MySQL数据库服务器的一个分支,由原始的MySQL开发人员Monty Widenius开发。 根据互联网上发现的测试,MariaDB比MySQL快,开发速度更快,所以大多数Linux发行版都将MySQL与MariaDB取代为默认的“MySQL相似”数据库服务器。 如果您喜欢MySQL超过MariaDB,请将上述命令中的“mariadb-client mariadb-server”替换为“mysql-client mysql-server”。

您将被问到以下问题: 

General type of mail configuration: <-- Internet Site
System mail name: <-- server1.example.com

接下来在Postfix中打开TLS / SSL和提交端口: 

nano /etc/postfix/master.cf

取消注释提交smtps部分如下 - 添加-o smtpd_client_restrictions = permit_sasl_authenticated行,拒绝两个部分,并留下所有其他的评论: 

[...]
submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       -       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
[...]

之后重新启动Postfix: 

service postfix restart

我们希望MariaDB / MySQL在所有接口上监听,而不仅仅是localhost。 因此,我们编辑/etc/mysql/mariadb.conf.d/mysqld.cnf(对于MariaDB或 /etc/mysql/my.cnf (对于MySQL),并注释掉bind-address = 127.0.0.1行

MariaDB 

nano /etc/mysql/mariadb.conf.d/mysqld.cnf
[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address           = 127.0.0.1
[...]

然后我们重新启动MariaDB: 

service mysql restart

MariaDB和MySQL的systemd服务名称是“ mysql ”,所以这两个数据库服务器的restart命令是相同的。

现在我们在MariaDB中设置了一个root密码。 跑: 

mysql_secure_installation

你会被问到这些问题: 

Enter current password for root (enter for none): <-- press enter
Set root password? [Y/n] <-- y
New password: <-- Enter the new MariaDB root password here
Re-enter new password: <-- Repeat the password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

然后运行此命令以禁用root用户的UNIX auth插件: 

echo "update user set plugin='' where User='root';flush privileges;" | mysql --defaults-file=/etc/mysql/debian.cnf mysql

允许基于密码的身份验证从PHPMyAdmin。

MySQL 

nano /etc/mysql/my.cnf
[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address           = 127.0.0.1
[...]

然后我们重新启动MySQL: 

service mysql restart

MariaDB和MySQL的systemd服务名称是“mysql”,所以这两个数据库服务器的restart命令是相同的。

对于MySQL和MariaDB:

现在检查网络是否启用。 跑: 

netstat -tap | grep mysql

输出应如下所示: 

root@server1:~# netstat -tap | grep mysql
tcp        0      0 *:mysql                 *:*                     LISTEN      8032/mysqld    
root@server1:~#

7.安装Amavisd-new,SpamAssassin和ClamAV

要安装amavisd-new,SpamAssassin和ClamAV,我们运行 

apt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl

ISPConfig 3设置使用amavisd-new在内部加载SpamAssassin过滤器库,因此我们可以停止SpamAssassin释放RAM: 

service spamassassin stop
update-rc.d -f spamassassin remove

更新ClamAV防病毒签名并启动Clamd服务。 更新过程可能需要一些时间,不要中断它。 

freshclam
service clamav-daemon start
赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:
标签:

相关推荐

吐血推荐

推荐云主机,建站更安全

优客志推荐站长使用阿里云主机,安全可靠、轻松上云,从此告别主机无售后、主机各种难题。点击领取1000元代金券

热度排行

热门标签

Ubuntu (2170) Linux (1251) debian (936) centos (935) Security (686) Apache (652) Nginx (536) Desktop (533) MySQL (492) web-server (486) PHP (466) fedora (446) Linux Commands (383) virtualization (308) ispconfig (297) Ubuntu 16.04 (285) Storage (284) JAVA (279) monitoring (243) server (231) Open Source (210) suse (201) Control Panels (186) Email (182) python (182) shell (179) FTP (175) Postfix (174) Linux Tricks (149) Development (137)

Copyright © 2018 优客网 All Rights Reserved

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏