Ubuntu 7.10 (Gutsy Gibbon) Server Installation: LAMP, Email, DNS, FTP, ISPConfig

12 Der DNS Server

Führe dies aus

apt-get install bind9

Aus Sicherheitsgründen wollen wir BIND in einer chroot Umgebung ausführen:

/etc/init.d/bind9 stop

Bearbeite die Datei /etc/default/bind9 so, dass der daemon als unpriviligierter Nutzer bind im Verzeichnis /var/lib/named läuft. Bearbeite die Zeile: OPTIONS=“-u bind“ so OPTIONS=“-u bind -t /var/lib/named“:

vi /etc/default/bind9

OPTIONS="-u bind -t /var/lib/named"
# Set RESOLVCONF=no to not run resolvconf
RESOLVCONF=yes

Erstelle die notwendigen Verzeichnisse unter /var/lib:

mkdir -p /var/lib/named/etc
mkdir /var/lib/named/dev
mkdir -p /var/lib/named/var/cache/bind
mkdir -p /var/lib/named/var/run/bind/run

Verschiebe dann das Konfigurationsverzeichnis von /etc zu /var/lib/named/etc:

mv /etc/bind /var/lib/named/etc

Erstelle einen Symlink auf das neue Konfigurationsverzeichnis (um Problemen aus dem Weg zu gehen, wenn bind in Zukunft aktualisiert wird):

ln -s /var/lib/named/etc/bind /etc/bind

Erzeuge Null und random Devices und korrigiere die Berechtigung der Verzeichnisse:

mknod /var/lib/named/dev/null c 1 3
mknod /var/lib/named/dev/random c 1 8
chmod 666 /var/lib/named/dev/null /var/lib/named/dev/random
chown -R bind:bind /var/lib/named/var/*
chown -R bind:bind /var/lib/named/etc/bind

Wir müssen /etc/default/syslogd so bearbeiten, dass weiterhin Systemmeldungen im Sytemlog gespeicher werden. Bearbeite die Zeile: SYSLOGD=““ wie folgt: SYSLOGD=“-a /var/lib/named/dev/log“:

vi /etc/default/syslogd

#
# Top configuration file for syslogd
#  

#
# Full documentation of possible arguments are found in the manpage
# syslogd(8).
#  

#
# For remote UDP logging use SYSLOGD="-r"
#
SYSLOGD="-a /var/lib/named/dev/log"

Starte den logging daemon neu:

/etc/init.d/sysklogd restart

Starte BIND und überprüfe /var/log/syslog nach Fehlern:

/etc/init.d/bind9 start

13 MySQL

Um MySQL zu installieren, führen wir Folgendes aus

apt-get install mysql-server mysql-client libmysqlclient15-dev

Du wirst gebeten ein Passwort für den MySQL root Benutzer anzulegen – dieses Passwort sowohl für den Nutzer root@localhost gültig als auch für root@server1.example.com, also müssen wir das MySQL root Passwort später nicht manuell festlegen (wie das der Fall bei vorherigen Ubuntu Versionen war):

New password for the MySQL „root“ user: <– Dein Root SQL Passwort

Wir möchten, dass MySQL auf allen Netzwerkkarten hört, nicht nur auf dem lokalen Host, daher bearbeiten wir /etc/mysql/my.cnf und kommentieren die Zeile bind-address = 127.0.0.1 aus:

vi /etc/mysql/my.cnf

[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address           = 127.0.0.1
#
[...]

Dann starten wir MySQL neu:

/etc/init.d/mysql restart

Überprüfe nun dass die Vernetzung aktiviert ist. Führe Folgendes aus

netstat -tap | grep mysql

Die Ausgabe sollte wie folgt aussehen:

root@server1:~# netstat -tap | grep mysql
tcp 0 0 *:mysql *:* LISTEN 5286/mysqld
root@server1:~#

14 Postfix mit SMTP-AUTH und TLS

Um Postfix mit SMTP-AUTH und TLS zu installieren, führe folgende Schritte aus:

apt-get install postfix libsasl2-2 sasl2-bin libsasl2-modules libdb3-util procmail

Zwei Fragen werden Dir dann gestellt. Antworte wie folgt:

General type of mail configuration: <– Internet Site
System mail name: <– server1.example.com

Dann führe aus

dpkg-reconfigure postfix

Erneut werden Dir Fragen gestellt:

General type of mail configuration: <– Internet Site
System mail name: <– server1.example.com
Root and postmaster mail recipient: <– [blank]
Other destinations to accept mail for (blank for none): <– server1.example.com, localhost.example.com, localhost.localdomain, localhost
Force synchronous updates on mail queue? <– No
Local networks: <– 127.0.0.0/8
Use procmail for local delivery? <– Yes
Mailbox size limit: <– 0
Local address extension character: <– +
Internet protocols to use: <– all

Als Nächstes führe Folgendes aus:

postconf -e ’smtpd_sasl_local_domain =‘
postconf -e ’smtpd_sasl_auth_enable = yes‘
postconf -e ’smtpd_sasl_security_options = noanonymous‘
postconf -e ‚broken_sasl_auth_clients = yes‘
postconf -e ’smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination‘
postconf -e ‚inet_interfaces = all‘
echo ‚pwcheck_method: saslauthd‘ >> /etc/postfix/sasl/smtpd.conf
echo ‚mech_list: plain login‘ >> /etc/postfix/sasl/smtpd.conf

Danach erstellen wir die TLS Zertifikate:

mkdir /etc/postfix/ssl
cd /etc/postfix/ssl/
openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024

chmod 600 smtpd.key
openssl req -new -key smtpd.key -out smtpd.csr

openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt

openssl rsa -in smtpd.key -out smtpd.key.unencrypted

mv -f smtpd.key.unencrypted smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Nun konfigurieren wir Postfix für TLS (vergewissere Dich, dass Du den richtigen Hostnamen für myhostname verwendest):

postconf -e ‚myhostname = server1.example.com‘
postconf -e ’smtpd_tls_auth_only = no‘
postconf -e ’smtp_use_tls = yes‘
postconf -e ’smtpd_use_tls = yes‘
postconf -e ’smtp_tls_note_starttls_offer = yes‘
postconf -e ’smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key‘
postconf -e ’smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt‘
postconf -e ’smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem‘
postconf -e ’smtpd_tls_loglevel = 1′
postconf -e ’smtpd_tls_received_header = yes‘
postconf -e ’smtpd_tls_session_cache_timeout = 3600s‘
postconf -e ‚tls_random_source = dev:/dev/urandom‘

Die Datei /etc/postfix/main.cf sollte nun so aussehen:

cat /etc/postfix/main.cf

# See /usr/share/postfix/main.cf.dist for a commented, more complete version  

# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname  

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no  

# appending .domain is the MUA's job.
append_dot_mydomain = no  

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h  

# TLS parameters
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache  

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.  

myhostname = server1.example.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = server1.example.com, localhost.example.com, localhost.localdomain, localhost
relayhost =
mynetworks = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Starte Postfix neu:

/etc/init.d/postfix restart

Die Authentisierung erfolgt durch saslauthd. Wir müssen ein paar kleine Sachen ändern, damit es gut funktioniert. Da Postfix im Verzeichnis /var/spool/postfix chrooted läuft, müssen wir Folgendes ausführen:

mkdir -p /var/spool/postfix/var/run/saslauthd

Nun müssen wir /etc/default/saslauthd bearbeiten um saslauthd zu aktivieren. Setze START to yes und ändere die Zeile OPTIONS=“-c“ to OPTIONS=“-c -m /var/spool/postfix/var/run/saslauthd -r“:

vi /etc/default/saslauthd

#
# Settings for saslauthd daemon
#  

# Should saslauthd run automatically on startup? (default: no)
START=yes  

# Which authentication mechanisms should saslauthd use? (default: pam)
#
# Available options in this Debian package:
# getpwent  -- use the getpwent() library function
# kerberos5 -- use Kerberos 5
# pam       -- use PAM
# rimap     -- use a remote IMAP server
# shadow    -- use the local shadow password file
# sasldb    -- use the local sasldb database file
# ldap      -- use LDAP (configuration is in /etc/saslauthd.conf)
#
# Only one option may be used at a time. See the saslauthd man page
# for more information.
#
# Example: MECHANISMS="pam"
MECHANISMS="pam"  

# Additional options for this mechanism. (default: none)
# See the saslauthd man page for information about mech-specific options.
MECH_OPTIONS=""  

# How many saslauthd processes should we run? (default: 5)
# A value of 0 will fork a new process for each connection.
THREADS=5  

# Other options (default: -c)
# See the saslauthd man page for information about these options.
#
# Example for postfix users: "-c -m /var/spool/postfix/var/run/saslauthd"
# Note: See /usr/share/doc/sasl2-bin/README.Debian
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r"

Starte nun saslauthd: