Debian: Локальный сервер

Появилась необходимость установить локальный сервер. Он должен быть днс, почтовым и т.д. сервером. Нужно было быстро и стабильно – поэтому выбор пал на Debian 6.0 «Squeeze» (на данный момент последний стабильный). Ну чтож – начнем.

Для начала установим сам debian. На установки останавливаться не буду – скажу только – из набора были выбраны системные утилиты и ssh сервер. Возьмем для нашего сервера адрес – 10.1.1.1. Далее ставлю свой source.list

## Debian security updates:
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free

## Debian.org:
#deb http://ftp.debian.org/debian/ squeeze main contrib non-free
#deb-src http://ftp.debian.org/debian/ squeeze main contrib non-free

## Debian RU mirror:
deb ftp://ftp.ru.debian.org/debian/ squeeze main contrib non-free
deb-src ftp://ftp.ru.debian.org/debian/ squeeze main contrib non-free

## Debian backports
deb http://backports.debian.org/debian-backports squeeze-backports main

и обновляю систему.

Отлично – первый шаг – настраиваем работу dns сервера. Ставим bind

# apt-get install bind9

 

Все файлы настройки находятся в папку – /etc/bind/ . Нам надо настроить новую зону – например room(и раздавать пользователям комнат – потренируемся на примере комнаты 111). Дописываем в файле named.conf.local

zone "room"         { type master; file "/etc/bind/db.room"; };

 

и создаем файл db.room

$TTL 864000

$ORIGIN room.

@               IN      SOA             ns.room. root.localhost. (
                                2011053001 ; SERIAL
                                28800      ; REFRESH  8 hours
                                7200       ; RETRY    2 hours
                                604800     ; EXPIRE   7 days
                                86400 )    ; MINIMUM  1 day

;
; Nameserver
;

                                IN      NS              ns.room.
                                IN      MX     10    mx.111.room

;
; Record to catch 'localhost.x.x' query by some stupid systems (RFC 1537)
;

$ORIGIN room.
ns          IN  A       10.1.1.1

; 111.room
mx.111      IN  A       10.1.1.1
111         IN  A       10.1.1.1
111         IN  MX  10  mx.111.room.
mail.111    IN  A       10.1.1.1

 

И не забываем изменить db.root – чтобы сервер постоянно не пытался ломится в интернет.

;
; BIND data file for .
;
$TTL	604800
.		IN	SOA	ns.room. root.localhost. (
			2011053001	; Serial
			28800		; Refresh	8 hours
			7200		; Retry		2 hours
			604800		; Expire	7 days
			86400 )		; MINIMUM	1 day

;
;	Nameserver
;

.						IN	A		10.1.1.1
						IN	NS		A.ROOT-SERVERS.ROOM.
A.ROOT-SERVERS.ROOM.		IN	A		10.1.1.1

Перечитываем зоны и проверяем

# rndc reload
# nslookup 111.room 10.1.1.1
Server:         10.1.1.1
Address:        10.1.1.1#53

Name:   111.room
Address: 10.1.1.1

 

Второй шаг – настраиваем базу данных и веб сервер. Для этого ставим apache, php, mysql.

# apt-get install apache2
# apt-get install php5
# apt-get install mysql-server
# apt-get install php5-mysql

 

Вначале настроим mysql (не забываем, что при инсталяции мы уже ввели пароль для root на доступ в mysql). Мне было необходимо перенести саму базу данных на другую партицию(по умолчанию /var/lib/mysql). Для этого вначале остановим mysql

# /etc/init.d/mysql stop

 

далее в файле /etc/mysql/my.cnf прописываем свой путь к новой папке в переменной datadir. Копируем все что находится в папке /var/lib/mysql в нашу новую папку, выставляем права и атрибуты, как в оригинальной папке, запускаем mysql и проверяем – все ли мы корректно сделали

# /etc/init.d/mysql start
# mysqlcheck --check-upgrade --all-databases --auto-repair -u root -p

 

Теперь очень советую запустить скриптик mysql_secure_installation для более безопастного использования базы данных.

Приступаем к настройке apache (настройка php здесь рассматриваться не будет – а модуль для apache ставится по умолчанию и инициализирован также по умолчанию). Для начала настроим на apache несколько виртуальных хостов. У меня будет почтовый сервер которым мы будем управлять через postfixadmin и должны иметь возможность доступа к почте через веб интерфейс. Таким образом создаем 2 папки для виртуальных хостов и внутри папки для логов, бэкапов и непосредственно файлов сайта.

# mkdir -p /home/www/mail/backup
# mkdir -p /home/www/mail/logs
# mkdir -p /home/www/mail/in
# mkdir -p /home/www/mx/backup
# mkdir -p /home/www/mx/logs
# mkdir -p /home/www/mx/in

 

Создаем два файла для хостов mail.111.room и mx.111.room. Пример для mail.111.room (для mx.111.room тоже самое – только надо заменить mail на mx)

#
# mail.111.room
#
<VirtualHost *:80>
ServerName mail.111.room
ServerAdmin     postmaster@111.room
DocumentRoot /home/www/mail/in/
<Directory "/home/www/mail/in/">
        Options Indexes FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        Allow from all
</Directory>
        ErrorLog /home/www/mail/logs/error.log
        LogLevel warn
        CustomLog /home/www/mail/logs/access.log combined    
        ServerSignature Off

</VirtualHost>

Не забываем создать файлы логов (также и для mx.111.room)

# touch /home/www/mail/logs/error.log
# touch /home/www/mail/logs/access.log

 

и инициализировать домен в apache

# cd /etc/apache2/sites-enabled
# ln -s ../sites-available/mail.111.room .

если вы хотите чтобы при любом обращении к серверу (по ненастроенному виртуальному хосту – например при обращении по ip адресу) показывался сайт mail.111.room, то введите

# ln -s ../sites-available/mail.111.room 000-mail.111.room

также для инициализации сайта можно использовать

# a2ensite mail.111.room

 

и все тоже самое для mx

Шаг третий – настраиваем почтовый сервер и оба веб интерфейса. По умолчанию в debian стоит exim – это неплохой mta, который в связке с dovecot отлично подойдет для работы. Доставляем необходимые пакеты.

# apt-get install dovecot-imapd dovecot-pop3d
# apt-get install exim4-daemon-heavy
# apt-get install php5-imap

 

Создаем пользователя для работы с почтой

# useradd -r -u 1150 -g mail -d /home/mail/ -s /sbin/nologin -c 'Virtual Mailbox' vmail
# mkdir /home/mail
# chown vmail:mail /home/mail
# chmod 770 /home/mail

 

Создаем базу данных для почты

mysql< CREATE DATABASE mail CHARACTER SET utf8 COLLATE utf8_general_ci;
mysql< GRANT ALL PRIVILEGES ON mail.* TO mail_user@localhost IDENTIFIED BY 'mail_password';

 

Качаем postfixadmin – отсюда
Разархивируем и кладем его в папку нашего виртуального хоста (mx.111.room) – /home/mx/in/. В принципе папки ADDITIONS, DOCUMENTS, VIRTUAL_VACATION и tests изначально не нужны – и можно их удалить. Настраиваем файл config.inc.php.

Для начала ставим переменной $CONF[‘configured’] значение true, прописываем $CONF[‘postfix_admin_url’] = ‘http://mx.111.room’, выбираем русский язык интерфейса – $CONF[‘default_language’] = ‘ru’, настраиваем доступ к базе данных

$CONF['database_type'] = 'mysql';
$CONF['database_host'] = 'localhost';
$CONF['database_user'] = 'mail_user';
$CONF['database_password'] = 'mail_password';
$CONF['database_name'] = 'mail';

 

Меняем $CONF[‘admin_email’] = ‘postmaster@111.room;, настраиваем сохранение паролей в открытом виде – $CONF[‘encrypt’] = ‘cleartext';, прописываем $CONF[‘default_aliases’] , также меняем $CONF[‘domain_path’] = ‘YES'; (мне больше нравится когда хранится в папке в таком виде – но здесь дело вкуса), ставим $CONF[‘emailcheck_resolve_domain’]=’NO'; для уменьшения проблем при инсталяции. Остальные настройки дело вкуса и более тонкой настройки. Теперь заходим на наш сайт – mx.111.room/setup.php. Если каких-то пакетов не хватает – доставляем. Генерим хеш пароля и вносим сгенеренный хеш в config.inc.php – $CONF[‘setup_password’] = ‘hashed password’.
Создаем аккаунт администратора – для этого вводим непосредственно пароль (из которого мы сгенерили хеш), адрес нового администратора и пароль. Но есть нюанс – при вводе админа postmaster@111.room – вылетает ругань – Некорректный адрес администратора! (даже при $CONF[‘emailcheck_resolve_domain’]=’NO’ ). Ну чтож – придется править файлик functions.inc.php и в нем функцию check_domain. Коментируем все – оставляем только return true; в конце. Теперь можно создать любого админа.
Заходим в админку – создаем домен 111.room
Настраиваем dovecot

dovecot-sql.conf

# This file is opened as root, so it should be owned by root and mode 0600.
#
# http://wiki.dovecot.org/AuthDatabase/SQL
#
driver = mysql

connect = host=localhost dbname=mail user=mail_user password=mail_password

default_pass_scheme = PLAIN

password_query = SELECT username as user, password FROM mailbox WHERE username = '%u' and active='1'
user_query = SELECT maildir, 1150 AS uid, 8 AS gid FROM mailbox WHERE username = '%u' and active='1'

dovecot.conf

## Dovecot configuration file

# If you're in a hurry, see http://wiki.dovecot.org/QuickConfiguration

# "dovecot -n" command gives a clean output of the changed settings. Use it
# instead of copy&pasting this file when posting to the Dovecot mailing list.
base_dir = /var/run/dovecot
protocols = imap pop3
protocol pop3 {
        listen = *:110
#        ssl_listen = *:995
#        ssl_cert_file=/usr/local/etc/postfix/certs/pop3.rusbitech.ru.crt
#        ssl_key_file=/usr/local/etc/postfix/private/pop3.rusbitech.ru.key
}
protocol imap {
        listen = *:143
#        ssl_listen = *:993
#        ssl_cert_file=/usr/local/etc/postfix/certs/imap.rusbitech.ru.crt
#        ssl_key_file=/usr/local/etc/postfix/private/imap.rusbitech.ru.key
}
disable_plaintext_auth = no
shutdown_clients = yes

##
## Logging
##
log_path = /var/log/dovecot.log
info_log_path = /var/log/dovecot.log
log_timestamp = "%Y-%m-%d %H:%M:%S "

##
## SSL settings
##
#ssl_listen =
#ssl = yes
#ssl_cert_file = /etc/ssl/certs/dovecot.pem
#ssl_key_file = /etc/ssl/private/dovecot.pem
#ssl_key_password =
#ssl_ca_file =
#ssl_verify_client_cert = no
#ssl_cert_username_field = commonName
#ssl_parameters_regenerate = 168
#ssl_cipher_list = ALL:!LOW:!SSLv2
#verbose_ssl = no

##
## Login processes
##
login_dir = /var/run/dovecot/login
login_chroot = yes
login_user = dovecot
login_process_size = 64
login_process_per_connection = yes
login_processes_count = 10
login_max_processes_count = 128
login_max_connections = 256
login_greeting = Welcome to Room.
#login_trusted_networks =
login_log_format_elements = user=<%u> method=%m rip=%r lip=%l %c
login_log_format = %$: %s

##
## Mailbox locations and namespaces
##
mail_location = maildir:/home/mail/users/%d/%u
mail_privileged_group = mail
mail_full_filesystem_access = no

##
## Mail processes
##
mail_debug = no
dotlock_use_excl = yes
verbose_proctitle = yes
first_valid_uid = 1150
last_valid_uid = 1150

##
## Maildir-specific settings
##
maildir_copy_with_hardlinks = yes

##
## IMAP specific settings
##
protocol imap {
  imap_client_workarounds = delay-newmail netscape-eoh tb-extra-mailbox-sep
}

##
## POP3 specific settings
##
protocol pop3 {
  pop3_uidl_format = %08Xu%08Xv
  mail_plugins = quota
  pop3_client_workarounds = outlook-no-nuls oe-ns-eoh
}

##
## LDA specific settings
##
protocol lda {
  # Address to use when sending rejection mails (e.g. postmaster@example.com).
  postmaster_address = postmaster@111.room
  hostname = mx.111.room
  mail_plugins = sieve
  mail_plugin_dir = /usr/lib/dovecot/modules/lda
  sendmail_path = /usr/sbin/sendmail
  auth_socket_path = /var/run/dovecot/auth-master
}

##
## Authentication processes
##
auth_username_format = %Lu
auth_verbose = yes
auth_debug = no
auth_debug_passwords = no
auth default {
  mechanisms = plain
  passdb sql {
        args = /etc/dovecot/dovecot-sql.conf
  }
  userdb sql {
        args = /etc/dovecot/dovecot-sql.conf
  }
  user = vmail
  socket listen {
    master {
      path = /var/run/dovecot/auth-master
      mode = 0600
      user = vmail
      group = mail
    }
    client {
      path = /var/run/dovecot/auth-client
      mode = 0660
      user = Debian-exim
      group = root
    }
  }
  }
dict {
  #quota = mysql:/etc/dovecot/dovecot-dict-quota.conf
  #expire = db:/var/lib/dovecot/expire.db
}
##
## Plugin settings
##
plugin {
  trash = /etc/dovecot/dovecot-trash.conf
  expire = Trash 7 Spam 30
  sieve=~/.dovecot.sieve
  #sieve_dir=~/sieve
}
# Config files can also be included. deliver doesn't support them currently.
#!include /etc/dovecot/conf.d/*.conf
# Optional configurations, don't give an error if it's not found:
#!include_try /etc/dovecot/extra.conf

 
Как мы видим – ssl здесь не настроен – для этого надо иметь или сгенерить сертификаты (в данный момент такая задача не стояла)
Настраиваем exim. Запускаем dpkg-reconfigure exim4-config
– выбираем internet site; mail is sent and received directly using SMTP
– имя – ставим mx.111.room
– оставляем пустым – так как ждем соединения от любых адресов
– список доменов получателей – выставил room
– оставляем пустым – почту не будет релеить
– также оставляем пустым
– жмем нет
– выбираем mbox
– жмем нет

Также можно выставить эти настройки в файле update-exim4.conf.conf и после этого командой update-exim4.conf

далее exim4.conf

# Имя хоста. Используется в EHLO.
# Фигурирует в других пунктах, если они не заданы
# По умолчанию используется то, что вернёт функция uname()
primary_hostname = mx.111.room

# Данные для подключения к базе данных
# hide в начале означает, то нерутовые пользователи командой exim -bV не увидят
# этих значений
hide mysql_servers = localhost/mail/pstmastr/hTnm7Rt82q

# Задаём список локальных доменов. В данном случае спрашиваем у MySQL
DOMAIN_QUERY    = SELECT domain FROM domain WHERE \
domain='${domain}' AND active='1'
domainlist local_domains = ${lookup mysql{DOMAIN_QUERY}}

# Таким же образом задаём список доменов, с которых разрешён релей.
domainlist relay_to_domains = ${lookup mysql{DOMAIN_QUERY}}

# Список хостов, с которых разрешён релей без авторизации.
hostlist   relay_from_hosts = localhost:127.0.0.1/8

# Списки ACL для проверки почты
acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data

# Здесь указываем сокет внешнего антивируса ClamAV. Пока что оставим закомменченным
# Включим его позже
# av_scanner = clamd:/var/run/clamav/clamd.ctl
# Здесь укажем TCP/IP сокет для SpamAssassin
# spamd_address = 127.0.0.1 783

# Порт, на котором SMTP демон будет слушать входящие подключения
daemon_smtp_ports = 25 : 465

# Имя домена добавляемое для локальных отправителей (реальных
# юзеров системы) т.е. почта отправляемая от root, будет от
# root@домен_указанный_здесь. Если пункт незадан, то используется
# имя хоста из primary_hostname.
qualify_domain = 111.room

# Имя домена добавляемое для локальных получателей
qualify_recipient = 111.room

# запрещаем работу доставки под юзером root - в целях безопасности
never_users = root

# Проверяем соответствие прямой и обратной зон для всех хостов.
# При необходимости лучше раскомментировать это позже
#host_lookup = *

# Здесь можно включить запросы ident на входящие SMTP запросы.
# Вещь ненужная и неактуальная. Отключаем
#rfc1413_hosts = *
rfc1413_query_timeout = 0s

# Период повторных попыток доставки сообщений об ошибке
ignore_bounce_errors_after = 1d

# Через пару недель удалим то, что так и не смогли доставить
timeout_frozen_after = 14d

# Выбираем, что мы будем логировать
# + - писать в логи,
# - - Не писать в логи.
# +all_parents - все входящие?
# +connection_reject - разорваные соединения
# +incoming_interface - интерфейс (реально - IP)
# +lost_incoming_connections - потеряные входящие
# соединения
# +received_sender - отправитель
# +received_recipients - получатель
# +smtp_confirmation - подтверждения SMTP?
# +smtp_syntax_error - ошибки синтаксиса SMTP
# +smtp_protocol_error - ошибки протокола SMTP
# -queue_run - работа очереди (замороженные мессаги)
log_selector = \
+all_parents \
+connection_reject \
+incoming_interface \
+lost_incoming_connection \
+received_sender \
+received_recipients \
+smtp_confirmation \
+smtp_syntax_error \
+smtp_protocol_error \
-queue_run

begin acl

# Правила для всех получателей. Выше мы включили этот ACL
acl_check_rcpt:

# Сразу принять то, что пришло с локалхоста не по TCP/IP
accept  hosts = :

# Запрещаем письма для локальных доменов, содержащие в локальной части
# символы @; %; !; /; |.
deny    message       = Restricted characters in address
domains       = +local_domains
local_parts   = ^[.] : ^.*[@%!/|]

# Проверяем недопустимые символы для
# нелокальных получателей:
deny    message       = Restricted characters in address
domains       = !+local_domains
local_parts   = ^[./|] : ^.*[@%!] : ^.*/\\.\\./

# Принимать почту на постмастера, не проверяя отправителя.
# Может использоваться для спама
accept  local_parts   = postmaster
domains       = +local_domains

# Здесь можно запретить отправку от непроверенных пользователей
# Если нужно отправлять почту от logwatch etc., то лучше убрать
require verify        = sender
accept  hosts         = +relay_from_hosts
control       = submission
require message = relay not permitted
domains = +local_domains : +relay_to_domains
require verify = recipient

# Все, что сюда дошло, пропускаем
accept

# Здесь мы проверяем тело сообщения
acl_check_data:

# Здесь проверка на вирусы
warn    malware    = *
     message    = This message contains a virus ($malware_name).

# А здесь - проверка на спам
warn    spam       = nobody
    add_header = X-Spam-Flag: YES\n\
        X-Spam_score: $spam_score\n\
        X-Spam_score_int: $spam_score_int\n\
        X-Spam_bar: $spam_bar\n\
        X-Spam_report: $spam_report

# Остальное пропускаем
accept

begin routers

# Поиск маршрута к хосту в DNS. Если маршрут не найден в DNS -
# то это `унроутабле аддресс`. Не проверяются локальные
# домены, 0.0.0.0 и 127.0.0.0/8
dnslookup:
driver = dnslookup
domains = ! +local_domains
transport = remote_smtp
ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
no_more

# смотрим альясы

system_aliases:
driver = redirect
allow_fail
allow_defer
data = ${lookup mysql{SELECT goto FROM alias WHERE \
address='${quote_mysql:$local_part@$domain}' OR \
address='${quote_mysql:@$domain}'}}

# Всё что осталось - это локальные адресаты.
# Доставляем почту в dovecot
dovecot_user:
driver = accept
condition = ${lookup mysql{SELECT goto FROM \
alias WHERE \
address='${quote_mysql:$local_part@$domain}' OR \
address='${quote_mysql:@$domain}'}{yes}{no}}
transport = dovecot_delivery

begin transports

# На удалённые хосты доставляем по SMTP
remote_smtp:
driver = smtp

# Доставка локальным адресатам - в dovecot
# Надо заметить что тут использовалась ранее прямая доставка
# в директорию, но щас с портами стал-таки устанавливаться deliver
# программа dovecot занимающаяся доставкой мессаг.
# Соответственно юзаем его.
dovecot_delivery:
driver = pipe
command = /usr/lib/dovecot/deliver -d $local_part@$domain
message_prefix =
message_suffix =
delivery_date_add
envelope_to_add
return_path_add
log_output
user = vmail

# Доставка через пайп
address_pipe:
driver = pipe
return_output

# Транспорт для автоответов
address_reply:
driver = autoreply

begin retry

# Правила для повторных попыток доставки
# Сначала попытки раз 15 мин в течение 2 часов, потом, начиная с
# интервала в 1 час, увеличивая его в 1.5 раза, пытаемся доставить 16 часов.
# Потом раз в 6 часов, до истечения 4 суток

# Address or Domain    Error       Retries
# -----------------    -----       -------

*                      *           F,2h,15m; G,16h,1h,1.5; F,4d,6h

# Преобразование адресов нам не нужно
begin rewrite
begin authenticators

# Здесь разные механизмы авторизации для разных клиентов
auth_plain:
driver = plaintext
public_name = PLAIN
server_prompts = Username:: : Password::
server_condition = ${if crypteq{$auth3}{${lookup mysql{SELECT password FROM \
mailbox WHERE username = '${quote_mysql:$auth2}'}}}{yes}{no}}
server_set_id = $auth2
auth_login:
driver = plaintext
public_name = LOGIN
server_condition = ${if crypteq{$auth2}{${lookup mysql{SELECT password FROM \
mailbox WHERE username = '${quote_mysql:$auth1}'}}}{yes}{no}}
server_prompts = Username:: : Password::
server_set_id = $auth1

# А вот так мы можем передать аутентификацию на Dovecot SASL.
# Впрочем, CRAM-MD5 все равно не прокатит
auth_cram_md5:
driver = dovecot
public_name = CRAM-MD5
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth2

(настройки почтового сервера exim были взяты из статьи – http://agapoff.name)

Осталось настроить веб интерфейс. За основу веб интерфейса возьмем – roundcube. Скачивам последнюю версию отсюда
Создаем базу данных для rouncube

mysql> CREATE DATABASE wwwmail CHARACTER SET utf8 COLLATE utf8_general_ci;
mysql> GRANT ALL PRIVILEGES ON wwwmail.* TO wwwmail_user@localhost IDENTIFIED BY 'wwwmail_password';

Добавляем в настройки виртуального хоста apache (mail.111.room)

<Directory /home/www/mail/in/config>
    Order allow,deny
    Deny from all
</Directory>
<Directory /home/www/mail/in/logs>
    Order allow,deny
    Deny from all
 </Directory>
<Directory /home/www/mail/in/temp>
    Order allow,deny
    Deny from all
</Directory>
<Directory /home/www/mail/in/bin>
    Order allow,deny
    Deny from all
</Directory>

Вводим настройки базы данных – файл db.inc.php (конфигурационные файлы находятся в папке config)

$rcmail_config['db_dsnw'] = 'mysql://wwwmain_user:wwwmail_password@localhost/wwwmail';

Смотрим/меняем настройки в файле main.inc.php и запускаем инсталяцию – заходим по адресу http://mail.111.room/installer/. Следуем инструциям и доставляем необходимые пакеты. После инсталяции не забываем удалить папку installer.