Появилась необходимость установить локальный сервер. Он должен быть днс, почтовым и т.д. сервером. Нужно было быстро и стабильно – поэтому выбор пал на Debian 6.0 «Squeeze» (на данный момент последний стабильный). Ну чтож – начнем.
Для начала установим сам debian. На установки останавливаться не буду – скажу только – из набора были выбраны системные утилиты и ssh сервер. Возьмем для нашего сервера адрес – 10.1.1.1. Далее ставлю свой source.list
## Debian security updates: deb http://security.debian.org/ squeeze/updates main contrib non-free deb-src http://security.debian.org/ squeeze/updates main contrib non-free ## Debian.org: #deb http://ftp.debian.org/debian/ squeeze main contrib non-free #deb-src http://ftp.debian.org/debian/ squeeze main contrib non-free ## Debian RU mirror: deb ftp://ftp.ru.debian.org/debian/ squeeze main contrib non-free deb-src ftp://ftp.ru.debian.org/debian/ squeeze main contrib non-free ## Debian backports deb http://backports.debian.org/debian-backports squeeze-backports main
и обновляю систему.
Отлично – первый шаг – настраиваем работу dns сервера. Ставим bind
# apt-get install bind9
Все файлы настройки находятся в папку – /etc/bind/ . Нам надо настроить новую зону – например room(и раздавать пользователям комнат – потренируемся на примере комнаты 111). Дописываем в файле named.conf.local
zone "room" { type master; file "/etc/bind/db.room"; };
и создаем файл db.room
$TTL 864000 $ORIGIN room. @ IN SOA ns.room. root.localhost. ( 2011053001 ; SERIAL 28800 ; REFRESH 8 hours 7200 ; RETRY 2 hours 604800 ; EXPIRE 7 days 86400 ) ; MINIMUM 1 day ; ; Nameserver ; IN NS ns.room. IN MX 10 mx.111.room ; ; Record to catch 'localhost.x.x' query by some stupid systems (RFC 1537) ; $ORIGIN room. ns IN A 10.1.1.1 ; 111.room mx.111 IN A 10.1.1.1 111 IN A 10.1.1.1 111 IN MX 10 mx.111.room. mail.111 IN A 10.1.1.1
И не забываем изменить db.root – чтобы сервер постоянно не пытался ломится в интернет.
; ; BIND data file for . ; $TTL 604800 . IN SOA ns.room. root.localhost. ( 2011053001 ; Serial 28800 ; Refresh 8 hours 7200 ; Retry 2 hours 604800 ; Expire 7 days 86400 ) ; MINIMUM 1 day ; ; Nameserver ; . IN A 10.1.1.1 IN NS A.ROOT-SERVERS.ROOM. A.ROOT-SERVERS.ROOM. IN A 10.1.1.1
Перечитываем зоны и проверяем
# rndc reload # nslookup 111.room 10.1.1.1 Server: 10.1.1.1 Address: 10.1.1.1#53 Name: 111.room Address: 10.1.1.1
Второй шаг – настраиваем базу данных и веб сервер. Для этого ставим apache, php, mysql.
# apt-get install apache2 # apt-get install php5 # apt-get install mysql-server # apt-get install php5-mysql
Вначале настроим mysql (не забываем, что при инсталяции мы уже ввели пароль для root на доступ в mysql). Мне было необходимо перенести саму базу данных на другую партицию(по умолчанию /var/lib/mysql). Для этого вначале остановим mysql
# /etc/init.d/mysql stop
далее в файле /etc/mysql/my.cnf прописываем свой путь к новой папке в переменной datadir. Копируем все что находится в папке /var/lib/mysql в нашу новую папку, выставляем права и атрибуты, как в оригинальной папке, запускаем mysql и проверяем – все ли мы корректно сделали
# /etc/init.d/mysql start # mysqlcheck --check-upgrade --all-databases --auto-repair -u root -p
Теперь очень советую запустить скриптик mysql_secure_installation для более безопастного использования базы данных.
Приступаем к настройке apache (настройка php здесь рассматриваться не будет – а модуль для apache ставится по умолчанию и инициализирован также по умолчанию). Для начала настроим на apache несколько виртуальных хостов. У меня будет почтовый сервер которым мы будем управлять через postfixadmin и должны иметь возможность доступа к почте через веб интерфейс. Таким образом создаем 2 папки для виртуальных хостов и внутри папки для логов, бэкапов и непосредственно файлов сайта.
# mkdir -p /home/www/mail/backup # mkdir -p /home/www/mail/logs # mkdir -p /home/www/mail/in # mkdir -p /home/www/mx/backup # mkdir -p /home/www/mx/logs # mkdir -p /home/www/mx/in
Создаем два файла для хостов mail.111.room и mx.111.room. Пример для mail.111.room (для mx.111.room тоже самое – только надо заменить mail на mx)
# # mail.111.room # <VirtualHost *:80> ServerName mail.111.room ServerAdmin postmaster@111.room DocumentRoot /home/www/mail/in/ <Directory "/home/www/mail/in/"> Options Indexes FollowSymLinks MultiViews AllowOverride All Order allow,deny Allow from all </Directory> ErrorLog /home/www/mail/logs/error.log LogLevel warn CustomLog /home/www/mail/logs/access.log combined ServerSignature Off
</VirtualHost>
Не забываем создать файлы логов (также и для mx.111.room)
# touch /home/www/mail/logs/error.log # touch /home/www/mail/logs/access.log
и инициализировать домен в apache
# cd /etc/apache2/sites-enabled # ln -s ../sites-available/mail.111.room .
если вы хотите чтобы при любом обращении к серверу (по ненастроенному виртуальному хосту – например при обращении по ip адресу) показывался сайт mail.111.room, то введите
# ln -s ../sites-available/mail.111.room 000-mail.111.room
также для инициализации сайта можно использовать
# a2ensite mail.111.room
и все тоже самое для mx
Шаг третий – настраиваем почтовый сервер и оба веб интерфейса. По умолчанию в debian стоит exim – это неплохой mta, который в связке с dovecot отлично подойдет для работы. Доставляем необходимые пакеты.
# apt-get install dovecot-imapd dovecot-pop3d # apt-get install exim4-daemon-heavy # apt-get install php5-imap
Создаем пользователя для работы с почтой
# useradd -r -u 1150 -g mail -d /home/mail/ -s /sbin/nologin -c 'Virtual Mailbox' vmail # mkdir /home/mail # chown vmail:mail /home/mail # chmod 770 /home/mail
Создаем базу данных для почты
mysql< CREATE DATABASE mail CHARACTER SET utf8 COLLATE utf8_general_ci; mysql< GRANT ALL PRIVILEGES ON mail.* TO mail_user@localhost IDENTIFIED BY 'mail_password';
Качаем postfixadmin – отсюда
Разархивируем и кладем его в папку нашего виртуального хоста (mx.111.room) – /home/mx/in/. В принципе папки ADDITIONS, DOCUMENTS, VIRTUAL_VACATION и tests изначально не нужны – и можно их удалить. Настраиваем файл config.inc.php.
Для начала ставим переменной $CONF[‘configured’] значение true, прописываем $CONF[‘postfix_admin_url’] = ‘http://mx.111.room’, выбираем русский язык интерфейса – $CONF[‘default_language’] = ‘ru’, настраиваем доступ к базе данных
$CONF['database_type'] = 'mysql'; $CONF['database_host'] = 'localhost'; $CONF['database_user'] = 'mail_user'; $CONF['database_password'] = 'mail_password'; $CONF['database_name'] = 'mail';
Меняем $CONF[‘admin_email’] = ‘postmaster@111.room;, настраиваем сохранение паролей в открытом виде – $CONF[‘encrypt’] = ‘cleartext';, прописываем $CONF[‘default_aliases’] , также меняем $CONF[‘domain_path’] = ‘YES'; (мне больше нравится когда хранится в папке в таком виде – но здесь дело вкуса), ставим $CONF[‘emailcheck_resolve_domain’]=’NO'; для уменьшения проблем при инсталяции. Остальные настройки дело вкуса и более тонкой настройки. Теперь заходим на наш сайт – mx.111.room/setup.php. Если каких-то пакетов не хватает – доставляем. Генерим хеш пароля и вносим сгенеренный хеш в config.inc.php – $CONF[‘setup_password’] = ‘hashed password’.
Создаем аккаунт администратора – для этого вводим непосредственно пароль (из которого мы сгенерили хеш), адрес нового администратора и пароль. Но есть нюанс – при вводе админа postmaster@111.room – вылетает ругань – Некорректный адрес администратора! (даже при $CONF[‘emailcheck_resolve_domain’]=’NO’ ). Ну чтож – придется править файлик functions.inc.php и в нем функцию check_domain. Коментируем все – оставляем только return true; в конце. Теперь можно создать любого админа.
Заходим в админку – создаем домен 111.room
Настраиваем dovecot
dovecot-sql.conf
# This file is opened as root, so it should be owned by root and mode 0600. # # http://wiki.dovecot.org/AuthDatabase/SQL # driver = mysql connect = host=localhost dbname=mail user=mail_user password=mail_password default_pass_scheme = PLAIN password_query = SELECT username as user, password FROM mailbox WHERE username = '%u' and active='1' user_query = SELECT maildir, 1150 AS uid, 8 AS gid FROM mailbox WHERE username = '%u' and active='1'
dovecot.conf
## Dovecot configuration file # If you're in a hurry, see http://wiki.dovecot.org/QuickConfiguration # "dovecot -n" command gives a clean output of the changed settings. Use it # instead of copy&pasting this file when posting to the Dovecot mailing list. base_dir = /var/run/dovecot protocols = imap pop3 protocol pop3 { listen = *:110 # ssl_listen = *:995 # ssl_cert_file=/usr/local/etc/postfix/certs/pop3.rusbitech.ru.crt # ssl_key_file=/usr/local/etc/postfix/private/pop3.rusbitech.ru.key } protocol imap { listen = *:143 # ssl_listen = *:993 # ssl_cert_file=/usr/local/etc/postfix/certs/imap.rusbitech.ru.crt # ssl_key_file=/usr/local/etc/postfix/private/imap.rusbitech.ru.key } disable_plaintext_auth = no shutdown_clients = yes ## ## Logging ## log_path = /var/log/dovecot.log info_log_path = /var/log/dovecot.log log_timestamp = "%Y-%m-%d %H:%M:%S " ## ## SSL settings ## #ssl_listen = #ssl = yes #ssl_cert_file = /etc/ssl/certs/dovecot.pem #ssl_key_file = /etc/ssl/private/dovecot.pem #ssl_key_password = #ssl_ca_file = #ssl_verify_client_cert = no #ssl_cert_username_field = commonName #ssl_parameters_regenerate = 168 #ssl_cipher_list = ALL:!LOW:!SSLv2 #verbose_ssl = no ## ## Login processes ## login_dir = /var/run/dovecot/login login_chroot = yes login_user = dovecot login_process_size = 64 login_process_per_connection = yes login_processes_count = 10 login_max_processes_count = 128 login_max_connections = 256 login_greeting = Welcome to Room. #login_trusted_networks = login_log_format_elements = user=<%u> method=%m rip=%r lip=%l %c login_log_format = %$: %s ## ## Mailbox locations and namespaces ## mail_location = maildir:/home/mail/users/%d/%u mail_privileged_group = mail mail_full_filesystem_access = no ## ## Mail processes ## mail_debug = no dotlock_use_excl = yes verbose_proctitle = yes first_valid_uid = 1150 last_valid_uid = 1150 ## ## Maildir-specific settings ## maildir_copy_with_hardlinks = yes ## ## IMAP specific settings ## protocol imap { imap_client_workarounds = delay-newmail netscape-eoh tb-extra-mailbox-sep } ## ## POP3 specific settings ## protocol pop3 { pop3_uidl_format = %08Xu%08Xv mail_plugins = quota pop3_client_workarounds = outlook-no-nuls oe-ns-eoh } ## ## LDA specific settings ## protocol lda { # Address to use when sending rejection mails (e.g. postmaster@example.com). postmaster_address = postmaster@111.room hostname = mx.111.room mail_plugins = sieve mail_plugin_dir = /usr/lib/dovecot/modules/lda sendmail_path = /usr/sbin/sendmail auth_socket_path = /var/run/dovecot/auth-master } ## ## Authentication processes ## auth_username_format = %Lu auth_verbose = yes auth_debug = no auth_debug_passwords = no auth default { mechanisms = plain passdb sql { args = /etc/dovecot/dovecot-sql.conf } userdb sql { args = /etc/dovecot/dovecot-sql.conf } user = vmail socket listen { master { path = /var/run/dovecot/auth-master mode = 0600 user = vmail group = mail } client { path = /var/run/dovecot/auth-client mode = 0660 user = Debian-exim group = root } } } dict { #quota = mysql:/etc/dovecot/dovecot-dict-quota.conf #expire = db:/var/lib/dovecot/expire.db } ## ## Plugin settings ## plugin { trash = /etc/dovecot/dovecot-trash.conf expire = Trash 7 Spam 30 sieve=~/.dovecot.sieve #sieve_dir=~/sieve } # Config files can also be included. deliver doesn't support them currently. #!include /etc/dovecot/conf.d/*.conf # Optional configurations, don't give an error if it's not found: #!include_try /etc/dovecot/extra.conf
Как мы видим – ssl здесь не настроен – для этого надо иметь или сгенерить сертификаты (в данный момент такая задача не стояла)
Настраиваем exim. Запускаем dpkg-reconfigure exim4-config
– выбираем internet site; mail is sent and received directly using SMTP
– имя – ставим mx.111.room
– оставляем пустым – так как ждем соединения от любых адресов
– список доменов получателей – выставил room
– оставляем пустым – почту не будет релеить
– также оставляем пустым
– жмем нет
– выбираем mbox
– жмем нет
Также можно выставить эти настройки в файле update-exim4.conf.conf и после этого командой update-exim4.conf
далее exim4.conf
# Имя хоста. Используется в EHLO. # Фигурирует в других пунктах, если они не заданы # По умолчанию используется то, что вернёт функция uname() primary_hostname = mx.111.room # Данные для подключения к базе данных # hide в начале означает, то нерутовые пользователи командой exim -bV не увидят # этих значений hide mysql_servers = localhost/mail/pstmastr/hTnm7Rt82q # Задаём список локальных доменов. В данном случае спрашиваем у MySQL DOMAIN_QUERY = SELECT domain FROM domain WHERE \ domain='${domain}' AND active='1' domainlist local_domains = ${lookup mysql{DOMAIN_QUERY}} # Таким же образом задаём список доменов, с которых разрешён релей. domainlist relay_to_domains = ${lookup mysql{DOMAIN_QUERY}} # Список хостов, с которых разрешён релей без авторизации. hostlist relay_from_hosts = localhost:127.0.0.1/8 # Списки ACL для проверки почты acl_smtp_rcpt = acl_check_rcpt acl_smtp_data = acl_check_data # Здесь указываем сокет внешнего антивируса ClamAV. Пока что оставим закомменченным # Включим его позже # av_scanner = clamd:/var/run/clamav/clamd.ctl # Здесь укажем TCP/IP сокет для SpamAssassin # spamd_address = 127.0.0.1 783 # Порт, на котором SMTP демон будет слушать входящие подключения daemon_smtp_ports = 25 : 465 # Имя домена добавляемое для локальных отправителей (реальных # юзеров системы) т.е. почта отправляемая от root, будет от # root@домен_указанный_здесь. Если пункт незадан, то используется # имя хоста из primary_hostname. qualify_domain = 111.room # Имя домена добавляемое для локальных получателей qualify_recipient = 111.room # запрещаем работу доставки под юзером root - в целях безопасности never_users = root # Проверяем соответствие прямой и обратной зон для всех хостов. # При необходимости лучше раскомментировать это позже #host_lookup = * # Здесь можно включить запросы ident на входящие SMTP запросы. # Вещь ненужная и неактуальная. Отключаем #rfc1413_hosts = * rfc1413_query_timeout = 0s # Период повторных попыток доставки сообщений об ошибке ignore_bounce_errors_after = 1d # Через пару недель удалим то, что так и не смогли доставить timeout_frozen_after = 14d # Выбираем, что мы будем логировать # + - писать в логи, # - - Не писать в логи. # +all_parents - все входящие? # +connection_reject - разорваные соединения # +incoming_interface - интерфейс (реально - IP) # +lost_incoming_connections - потеряные входящие # соединения # +received_sender - отправитель # +received_recipients - получатель # +smtp_confirmation - подтверждения SMTP? # +smtp_syntax_error - ошибки синтаксиса SMTP # +smtp_protocol_error - ошибки протокола SMTP # -queue_run - работа очереди (замороженные мессаги) log_selector = \ +all_parents \ +connection_reject \ +incoming_interface \ +lost_incoming_connection \ +received_sender \ +received_recipients \ +smtp_confirmation \ +smtp_syntax_error \ +smtp_protocol_error \ -queue_run begin acl # Правила для всех получателей. Выше мы включили этот ACL acl_check_rcpt: # Сразу принять то, что пришло с локалхоста не по TCP/IP accept hosts = : # Запрещаем письма для локальных доменов, содержащие в локальной части # символы @; %; !; /; |. deny message = Restricted characters in address domains = +local_domains local_parts = ^[.] : ^.*[@%!/|] # Проверяем недопустимые символы для # нелокальных получателей: deny message = Restricted characters in address domains = !+local_domains local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./ # Принимать почту на постмастера, не проверяя отправителя. # Может использоваться для спама accept local_parts = postmaster domains = +local_domains # Здесь можно запретить отправку от непроверенных пользователей # Если нужно отправлять почту от logwatch etc., то лучше убрать require verify = sender accept hosts = +relay_from_hosts control = submission require message = relay not permitted domains = +local_domains : +relay_to_domains require verify = recipient # Все, что сюда дошло, пропускаем accept # Здесь мы проверяем тело сообщения acl_check_data: # Здесь проверка на вирусы warn malware = * message = This message contains a virus ($malware_name). # А здесь - проверка на спам warn spam = nobody add_header = X-Spam-Flag: YES\n\ X-Spam_score: $spam_score\n\ X-Spam_score_int: $spam_score_int\n\ X-Spam_bar: $spam_bar\n\ X-Spam_report: $spam_report # Остальное пропускаем accept begin routers # Поиск маршрута к хосту в DNS. Если маршрут не найден в DNS - # то это `унроутабле аддресс`. Не проверяются локальные # домены, 0.0.0.0 и 127.0.0.0/8 dnslookup: driver = dnslookup domains = ! +local_domains transport = remote_smtp ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8 no_more # смотрим альясы system_aliases: driver = redirect allow_fail allow_defer data = ${lookup mysql{SELECT goto FROM alias WHERE \ address='${quote_mysql:$local_part@$domain}' OR \ address='${quote_mysql:@$domain}'}} # Всё что осталось - это локальные адресаты. # Доставляем почту в dovecot dovecot_user: driver = accept condition = ${lookup mysql{SELECT goto FROM \ alias WHERE \ address='${quote_mysql:$local_part@$domain}' OR \ address='${quote_mysql:@$domain}'}{yes}{no}} transport = dovecot_delivery begin transports # На удалённые хосты доставляем по SMTP remote_smtp: driver = smtp # Доставка локальным адресатам - в dovecot # Надо заметить что тут использовалась ранее прямая доставка # в директорию, но щас с портами стал-таки устанавливаться deliver # программа dovecot занимающаяся доставкой мессаг. # Соответственно юзаем его. dovecot_delivery: driver = pipe command = /usr/lib/dovecot/deliver -d $local_part@$domain message_prefix = message_suffix = delivery_date_add envelope_to_add return_path_add log_output user = vmail # Доставка через пайп address_pipe: driver = pipe return_output # Транспорт для автоответов address_reply: driver = autoreply begin retry # Правила для повторных попыток доставки # Сначала попытки раз 15 мин в течение 2 часов, потом, начиная с # интервала в 1 час, увеличивая его в 1.5 раза, пытаемся доставить 16 часов. # Потом раз в 6 часов, до истечения 4 суток # Address or Domain Error Retries # ----------------- ----- ------- * * F,2h,15m; G,16h,1h,1.5; F,4d,6h # Преобразование адресов нам не нужно begin rewrite begin authenticators # Здесь разные механизмы авторизации для разных клиентов auth_plain: driver = plaintext public_name = PLAIN server_prompts = Username:: : Password:: server_condition = ${if crypteq{$auth3}{${lookup mysql{SELECT password FROM \ mailbox WHERE username = '${quote_mysql:$auth2}'}}}{yes}{no}} server_set_id = $auth2 auth_login: driver = plaintext public_name = LOGIN server_condition = ${if crypteq{$auth2}{${lookup mysql{SELECT password FROM \ mailbox WHERE username = '${quote_mysql:$auth1}'}}}{yes}{no}} server_prompts = Username:: : Password:: server_set_id = $auth1 # А вот так мы можем передать аутентификацию на Dovecot SASL. # Впрочем, CRAM-MD5 все равно не прокатит auth_cram_md5: driver = dovecot public_name = CRAM-MD5 server_socket = /var/run/dovecot/auth-client server_set_id = $auth2
(настройки почтового сервера exim были взяты из статьи – http://agapoff.name)
Осталось настроить веб интерфейс. За основу веб интерфейса возьмем – roundcube. Скачивам последнюю версию отсюда
Создаем базу данных для rouncube
mysql> CREATE DATABASE wwwmail CHARACTER SET utf8 COLLATE utf8_general_ci; mysql> GRANT ALL PRIVILEGES ON wwwmail.* TO wwwmail_user@localhost IDENTIFIED BY 'wwwmail_password';
Добавляем в настройки виртуального хоста apache (mail.111.room)
<Directory /home/www/mail/in/config> Order allow,deny Deny from all </Directory> <Directory /home/www/mail/in/logs> Order allow,deny Deny from all </Directory> <Directory /home/www/mail/in/temp> Order allow,deny Deny from all </Directory> <Directory /home/www/mail/in/bin> Order allow,deny Deny from all </Directory>
Вводим настройки базы данных – файл db.inc.php (конфигурационные файлы находятся в папке config)
$rcmail_config['db_dsnw'] = 'mysql://wwwmain_user:wwwmail_password@localhost/wwwmail';
Смотрим/меняем настройки в файле main.inc.php и запускаем инсталяцию – заходим по адресу http://mail.111.room/installer/. Следуем инструциям и доставляем необходимые пакеты. После инсталяции не забываем удалить папку installer.