Tökéletes szerver: Debian 9 (stretch) V1.0 (3. oldal)

botond küldte be 2019. 01. 21., h – 17:56 időpontban

A 3. oldal tartalma

 

Folytatás

Tökéletes szerver: Debian 9 (stretch) V1.0 telepítő leírásának 1. oldalán feltelepítettük a Postfix, Dovecot, MariaDB és rkhunter összetevőket, azután a második oldalon folytattuk a SpamAssassin, ClamAV, Apache, PHP, PHP-FPM, phpMyAdmin, Let's Encrypt és PureFTPd programokkal.

Ezen az oldalon pedig a Quota kvótarendszer telepítésével folytatjuk a munkát.

 

 

Quota telepítése

A Quota segítségével szabályozhatjuk a tárhely kvótákat, így az ügyfelek nem tudják túllépni a beállított tárhely korlátaikat.

A kvótarendszer az alábbi külön szabályozható területeken érvényesül:

  • Webtárhely kvóta
  • Adatbázis tárhely kvóta
  • Email tárhely kvóta

Telepítéséhez futtassuk az apt-get parancsot az alábbi paraméterekkel:

apt-get install quota quotatool

A tárhely korlátok szabályozását a fájlrendszerben tudjuk érvénybe léptetni, ehhez nyissuk meg a /etc/fstab fájlt:

nano /etc/fstab

És illesszük bele pontosan a következő részt:

,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0

az alábbi módon, hogy utána így nézzen ki a /etc/fstab fájlunk:

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
# / was on /dev/sda1 during installation
UUID=35e5eb5a-8e59-40ee-8963-cf1f8072c6a6 / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0  1
# swap was on /dev/sda5 during installation
UUID=d92cc29a-7d97-456a-9ecc-fd16cff0cb4e none            swap    sw              0       0
/dev/sr0        /media/cdrom0   udf,iso9660 user,noauto     0       0

Ez az fstab fájl egy egypartíciós alaprendszer telepítésből származik, ahol minden a root partíción van.

Amennyiben a /var könyvtárstruktúra külön partícióról van becsatolva, abban az esetben annak a sorába kell beilleszteni ezt a részt, például:

UUID=a528cb5a-3e55-401e-8463-d21f8472c6b2  /var ext4    defaults,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0  0  2

Tehát a /var struktúra csatolásánál az ott lévő opciók után kell fűzni vesszővel elválasztva. Így a webtárhelyek partícióján érvényesül a kvótarendszer.

Ezután az  engedélyezéséhez újra kell mount-olni a csatolási pontot, ahova beillesztettük a fenti részt.

Ha a root partíción van minden, akkor:

mount -o remount /

Ha pedig a /var struktúra külön van csatolva, akkor:

mount -o remount /var

Majd kapcsoljuk be:

quotaon -avug

Kapcsolók jelentései:

  • a: Minden fájlrendszeren bekapcsolja a kvótát
  • v: Verbose - "bőbeszédű" mód: Mindent kiír
  • u: Alkalmazza a felhasználókra a kvótákat
  • g: Alkalmazza a csoportokra a kvótákat

A kimenet sikeresség esetén:

/dev/sda1 [/]: group quotas turned on
/dev/sda1 [/]: user quotas turned on

Ezután ellenőrizzük a kvóták állapotát:

quotacheck -avugmf

Itt a kapcsolók ugyanazokat jelentik, csak ellenőrzési szemszögből, valamint:

  • m: Ennek hatására nem mountolja újra az ellenőrzendő fájlrendszert read-only módban
  • f: Force mód. Enélkül nem indul el az ellenőrzés, mondván hogy engedélyezett kvóta esetén sérülést okozhat a fájlrendszerben egy ilyen ellenőrzés. Menet közben tehát ne is használjuk, de most egy friss telepítésnél egyszer lefuttathatjuk.
quotacheck: Scanning /dev/sda1 [/] done
quotacheck: Checked 8482 directories and 69903 files

Ezzel további dolgunk nincs is, innentől már az ISPConfig kezelőpanelünkben majd kényelmesen fogjuk tudni állítgatni a különböző kvótákat az ügyfeleink (vagy saját fiókjaink) részére.

 

 

BIND DNS szerver telepítése

A BIND DNS szervert az alábbi paranccsal telepíthetjük:

apt-get -y install bind9 dnsutils

Ha ezt a szervert egy virtuális gépre telepítjük, például egy VPS szolgáltatásra, akkor ajánlott feltelepíteni még a haveged daemon-t is, ami megnöveli a virtuális gépeken lévő alacsony entrópia értéket (a kriptográfiai műveletekhez szükséges rendelkezésre álló véletlenszerű byte-ok száma).

A daemon telepítése előtt érdekességképpen kiolvashatjuk a rendelkezésre álló entrópia értéket:

cat /proc/sys/kernel/random/entropy_avail

Nálam a virtuális gépen 670-et írt ki.

A haveged daemon telepítését pedig az alábbi módon tehetjük meg:

apt-get install haveged

A telepítés után újra lekérdezve az entrópia szintet, már 2178-at írt ki.

Ennek a DNSSEC aláírásoknál van jelentősége. Bővebb leírás erről itt található. Ezenkívül a szerver minden titkosítással járó funkciójánál használja ezeket a véletlenszerű byte-okat. Például a HTTPS-en keresztül kiszolgált weboldalak titkosításánál is használja, valamint az SSH alapú kapcsolatoknál, így tehát egy SSH-n keresztül történő rsync szinkronizációnál is, stb. Azt javasolják, hogy ha ennek az átlagértéke csak 100-200 körül van, akkor érdemes feltenni bármilyen szerverre, hogy zökkenőmentes legyen a rendszeren a különböző hitelesítési kulcsok előállítása, ezáltal a titkosítással járó szolgáltatások fennakadás nélküli működése.

 

Webalizer és AWStats telepítése

A Webalizer és AWStats webstatisztikákat az alábbi módon telepíthetjük:

apt-get -y install webalizer awstats geoip-database libclass-dbi-mysql-perl libtimedate-perl

Ezután nyissuk meg a /etc/cron.d/awstats fájlt:

nano /etc/cron.d/awstats

És kommentezzük ki a két sort, amit a telepítő létrehozott:

MAILTO=root

# */10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generate static reports:
# 10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

Az elkészült szerveren már az ISPConfig fogja kezelni ezeknek is a háttérben végzendő műveleteit.

 

Jailkit telepítése

A Jailkit programmal tudunk chroot-olt shell felhasználókat létrehozni. Így azok nem láthatják egymás fájljait. Ez akkor hasznos, például ha rajtunk kívül másnak is adunk tárhelyet a szerverünkön. Így nyugodtan létrehozhatunk neki is shell felhasználót, nem fog tudni belenézni a többi felhasználó dolgaiba.

Telepítsük az alábbi csomagokat:

apt-get -y install build-essential autoconf automake libtool flex bison debhelper binutils

Ezek a csomagok ahhoz kellenek, hogy a letöltött forrásból egy Debian telepítőcsomagot építhessünk.

Most töltsük le a /tmp könyvtárba a forrás legfrissebb verzióját a készítőjének honlapjáról. Előtte természetesen ellenőrizzük a legfrissebb verziót a weboldalon.

Jelen pillanatban a 2.20-as a legfrissebb, így ezt használjuk. Töltsük le a wget parancs segítségével:

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz

Csomagoljuk ki:

tar -xvzf jailkit-2.20.tar.gz

És a könyvtárba lépve állítsuk be a Debian kompatibilitást majd hajtsuk végre a telepítőcsomag összeállítását:

cd jailkit-2.20
echo 5 > debian/compat
./debian/rules binary

Ekkor elkészíti a rendszerünkhöz igazított .deb telepítőcsomagot, amit telepíthetünk is a dpkg paranccsal:

cd ..
dpkg -i jailkit_2.20-1_amd64.deb

Végül takarítsunk:

rm -rf /tmp/jailkit*

Ezzel sincs további dolgunk, majd az ISPConfig kezeli szépen helyettünk.

 

 

Fail2ban és UFW Firewall telepítése

A Fail2Ban programmal erős védelmet biztosíthatunk szerverünknek. Telepítéséhez futtassuk a következő parancsot:

apt-get -y install fail2ban

Ezután állítsunk be Jail-okat a PureFTPd, Dovecot és a Postfix számára, hogy a Fail2Ban figyelje a támadási kísérleteket ezeknek a log fájljaiban is.

Ehhez hozzuk létre a /etc/fail2ban/jail.local fájlt:

nano /etc/fail2ban/jail.local

És tegyük bele az alábbi 3 jail-t:

[pure-ftpd]
enabled = true
port = ftp
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3

[dovecot]
enabled = true
filter = dovecot
logpath = /var/log/mail.log
maxretry = 5

[postfix-sasl]
enabled = true
port = smtp
filter = postfix-sasl
logpath = /var/log/mail.log
maxretry = 3

Majd indítsuk újra a Fail2Ban-t:

service fail2ban restart

Ezután telepítsük az UFW tűzfalat:

apt-get install ufw

 

A következő, és egyben utolsó oldalon folytatjuk a RoundCube webmail kliens telepítésével...

 

 

Lapozó

Ez a leírás több oldalból áll: