完美的服务器 -  Ubuntu 16.04（Nginx，MySQL，PHP，Postfix，BIND，Dovecot，Pure-FTPD和ISPConfig 3.1）

本教程显示了使用Nginx，PHP，MariaDB，Postfix，pure-ftpd，BIND，Dovecot和ISPConfig 3.1安装Ubuntu 16.04（Xenial Xerus）服务器的步骤。 ISPConfig是一个Web托管控制面板，允许您通过Web浏览器配置已安装的服务。 此设置提供了完整的托管服务器，其中包含网络，电子邮件（包括垃圾邮件和防病毒过滤器），数据库，FTP和DNS服务。

初步说明

在本教程中，我将使用IP地址为192.168.1.100的主机名server1.example.com和网络配置的网关192.168.1.1。 这些设置可能会有所不同，因此您必须在适当的情况下更换它们。 在继续进行之前，您需要根据教程中的说明进行Ubuntu 16.04的基本安装。

本教程中的步骤必须以root用户身份执行，所以我不会在命令前添加“sudo”。 在继续或运行之前，以root用户身份登录到您的服务器：

sudo -s

当您以shell的不同用户身份登录时，成为root用户。

编辑文件的命令将使用编辑器“nano”，您可以用您选择的编辑器替换它。 Nano是一个易于使用的文件编辑器。 如果您喜欢使用nano并且尚未安装，请运行：

apt-get install nano

2.更新您的Linux安装

编辑/etc/apt/sources.list 。 从文件中注释或删除安装CD，并确保启用了Universe和multiverse存储库。 它应该是这样的：

nano /etc/apt/sources.list

#

# deb cdrom:[Ubuntu-Server 16.04 LTS _Xenial Xerus_ - Release amd64 (20160420)]/ xenial main restricted

#deb cdrom:[Ubuntu-Server 16.04 LTS _Xenial Xerus_ - Release amd64 (20160420)]/ xenial main restricted

# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://de.archive.ubuntu.com/ubuntu/ xenial main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ xenial main restricted

## Major bug fix updates produced after the final release of the
## distribution.
deb http://de.archive.ubuntu.com/ubuntu/ xenial-updates main restricted
# deb-src http://de.archive.ubuntu.com/ubuntu/ xenial-updates main restricted

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## universe WILL NOT receive any review or updates from the Ubuntu security
## team.
deb http://de.archive.ubuntu.com/ubuntu/ xenial universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ xenial universe
deb http://de.archive.ubuntu.com/ubuntu/ xenial-updates universe
# deb-src http://de.archive.ubuntu.com/ubuntu/ xenial-updates universe

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://de.archive.ubuntu.com/ubuntu/ xenial multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ xenial multiverse
deb http://de.archive.ubuntu.com/ubuntu/ xenial-updates multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ xenial-updates multiverse

## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://de.archive.ubuntu.com/ubuntu/ xenial-backports main restricted universe multiverse
# deb-src http://de.archive.ubuntu.com/ubuntu/ xenial-backports main restricted universe multiverse
## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu xenial partner
# deb-src http://archive.canonical.com/ubuntu xenial partner

deb http://security.ubuntu.com/ubuntu xenial-security main restricted
# deb-src http://security.ubuntu.com/ubuntu xenial-security main restricted
deb http://security.ubuntu.com/ubuntu xenial-security universe
# deb-src http://security.ubuntu.com/ubuntu xenial-security universe
deb http://security.ubuntu.com/ubuntu xenial-security multiverse
# deb-src http://security.ubuntu.com/ubuntu xenial-security multiverse

然后运行：

apt-get update

要更新apt包数据库，然后：

apt-get upgrade

安装最新的更新（如果有的话）。 如果您看到新内核作为更新的一部分进行安装，那么您应该重新启动系统：

reboot

3.更改默认Shell

/ bin / sh是/ bin / dash的符号链接，但是我们需要/ bin / bash ，not / bin / dash 。 所以我们这样做：

dpkg-reconfigure dash

使用破折号作为默认系统shell（/ bin / sh）？ < - 不

如果不这样做，则ISPConfig安装将失败。

4.禁用AppArmor

AppArmor是一个安全扩展（类似于SELinux），应该提供扩展的安全性。 我们将交叉检查是否已安装，如有必要，将其移除。 在我看来，你不需要配置一个安全的系统，它通常会导致更多的问题，而不是优势（考虑到你做了一周的故障排除后，因为一些服务不能按预期工作，然后你发现一切都很好，只有AppArmor导致了这个问题）。 因此，我禁用它（如果你以后要安装ISPConfig，这是必须的）。

我们可以禁用它：

service apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils

5.同步系统时钟

通过互联网将系统时钟与NTP（ n etwork协议）服务器同步是个好主意。 只需运行

apt-get -y install ntp ntpdate

您的系统时间将始终保持同步。

6.安装Postfix，Dovecot，MariaDB，phpMyAdmin，rkhunter，Binutils

为了安装postfix，我们需要确保sendmail没有安装并运行。 要停止并删除sendmail，请运行以下命令：

service sendmail stop; update-rc.d -f sendmail remove

错误信息：

Failed to stop sendmail.service: Unit sendmail.service not loaded.

是的，这只是意味着sendmail没有安装，所以没有什么可以删除的。

我们可以使用单个命令安装Postfix，Dovecot，MariaDB（作为MySQL替换），rkhunter和binutils：

apt-get -y install postfix postfix-mysql postfix-doc mariadb-client mariadb-server openssl getmail4 rkhunter binutils dovecot-imapd dovecot-pop3d dovecot-mysql dovecot-sieve dovecot-lmtpd sudo

MariaDB是MySQL数据库服务器的一个分支，由原始的MySQL开发人员Monty Widenius开发。 根据互联网上发现的测试，MariaDB比MySQL快，开发速度更快，所以大多数Linux发行版都将MySQL与MariaDB取代为默认的“MySQL相似”数据库服务器。 如果您喜欢MySQL超过MariaDB，请将上述命令中的“mariadb-client mariadb-server”替换为“mysql-client mysql-server”。

您将被问到以下问题：

General type of mail configuration: <-- Internet Site
System mail name: <-- server1.example.com

接下来在Postfix中打开TLS / SSL和提交端口：

nano /etc/postfix/master.cf

取消注释提交和smtps部分如下 - 添加-o smtpd_client_restrictions = permit_sasl_authenticated行，拒绝两个部分，并留下所有其他的评论：

[...]
submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       -       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
[...]

之后重新启动Postfix：

service postfix restart

我们希望MariaDB / MySQL在所有接口上监听，而不仅仅是localhost。 因此，我们编辑/etc/mysql/mariadb.conf.d/50-server.cnf（对于MariaDB或 /etc/mysql/my.cnf （对于MySQL），并注释掉bind-address = 127.0.0.1 ：

MariaDB

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address           = 127.0.0.1
[...]

然后我们重新启动MariaDB：

service mysql restart

MariaDB和MySQL的systemd服务名称是“ mysql ”，所以这两个数据库服务器的restart命令是相同的。

现在我们在MariaDB中设置了一个root密码。 跑：

mysql_secure_installation

你会被问到这些问题：

Enter current password for root (enter for none): <-- press enter
Set root password? [Y/n] <-- y
New password: <-- Enter the new MariaDB root password here
Re-enter new password: <-- Repeat the password
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

MySQL

nano /etc/mysql/my.cnf

[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address           = 127.0.0.1
[...]

然后我们重新启动MySQL：

service mysql restart

MariaDB和MySQL的systemd服务名称是“mysql”，所以这两个数据库服务器的restart命令是相同的。

对于MySQL和MariaDB：

现在检查网络是否启用。 跑：

netstat -tap | grep mysql

输出应如下所示：

root@server1:~# netstat -tap | grep mysql
tcp6 0 0 [::]:mysql [::]:* LISTEN 13796/mysqld
root@server1:~#

7.安装Amavisd-new，SpamAssassin和ClamAV

要安装amavisd-new，SpamAssassin和ClamAV，我们运行

apt-get -y install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl postgrey

ISPConfig 3设置使用amavisd-new在内部加载SpamAssassin过滤器库，因此我们可以停止SpamAssassin释放RAM：

service spamassassin stop
update-rc.d -f spamassassin remove

编辑clamd配置文件：

nano /etc/clamav/clamd.conf

并换行：

AllowSupplementaryGroups false

至：

AllowSupplementaryGroups true 

并保存文件。

更新ClamAV防病毒签名并启动Clamd服务。 更新过程可能需要一些时间，不要中断它。

service clamav-freshclam restart
service clamav-daemon start

7.1安装Beats器XMPP服务器（可选）

Metronome XMPP服务器提供一个XMPP聊天服务器。 此步骤是可选的，如果您不需要聊天服务器，则可以跳过此步骤。 没有其他ISPConfig功能取决于这个软件。

使用apt安装以下软件包。

apt-get -y install git lua5.1 liblua5.1-0-dev lua-filesystem libidn11-dev libssl-dev lua-zlib lua-expat lua-event lua-bitop lua-socket lua-sec luarocks luarocks

luarocks install lpc

为Metronome添加一个shell用户。

adduser --no-create-home --disabled-login --gecos 'Metronome' metronome

将Metronome下载到/ opt目录并进行编译。

cd /opt; git clone https://github.com/maranda/metronome.git metronome
cd ./metronome; ./configure --ostype=debian --prefix=/usr
make
make install

Beats器现已安装到/ opt /Beats器。