Arquivo da tag: ispconfig

Tutorial Debian 8 x64 com ISPConfig e NginX: Instalação do Site

Neste artigo mostrarei como fazer o deploy (instalação e configuração) do website. Os exemplos serão apresentados para um site WordPress no Linux Debian 8 com painel de controle ISPConfig e servidor web NginX configurados anteriormente, mas pode-se adaptar para qualquer outra situação.

Existem muitas maneiras de se instalar ou migrar um site, mas pelas estatísticas dos leitores que me procuram aqui no Fator Binário somente algumas são as preferidas da galera. Escreverei sobre as que achei mais descomplicadas mesmo para iniciantes (se você tiver outras sugestões e caso queira compartilhar entre em contato ou escreva nos comentários).

Instalação do Site
  • Ao adicionar um espaço de site o ISPConfig por padrão criar um arquivo index.html. Antes de instalar os arquivos de um site novo ou copiá-los de outro servidor delete o arquivo /web/index.html para que o browser não o interprete como a página padrão do site.
Instalação de um novo site

Essa primeira opção é para quem decidir criar um espaço de site novo e iniciar um projeto, ou ainda para operadores avançados que farão a instalação/migração manualmente mas querem saber como adicionar um site ao painel somente.

Para usar o módulo de gerenciamento de sites no ISPConfig acesse: ISPConfig → Sites

1a ⇒ Adicione um novo site: Clique em “Add new website” e preencha conforme abaixo (note que a maioria dos campos não são obrigatórios, e se desejar usar o módulo Clientes sempre escolha para qual cliente o site pertence, mas isso é opcional):

[Aba Domain]

» Domínio: <– fatorbinario.com (substitua pelo seu domínio e NUNCA coloque o prefixo “www” neste campo)

» Auto SubDomínio: <– www. (pode-se ainda optar pelo catch all “*.” aqui mas na maioria dos casos isso é desnecessário. Lembre-se também de criar um registro Tipo A para o www na tabela DNS deste domínio)

» PHP: <– PHP-FPM (na nova versão do ISPConfig note que você DEVE selecionar uma opção neste campo pois ele é nulo por padrão. Caso queira poderá selecionar HHVM que usa o compilador JIT, mas faça isso por sua conta e risco)

[Aba Estatísticas]

» Tipo de Estatística Web: <– None (quando incluimos um novo espaço de site no ISPConfig automaticamente o Webalizer começa a coletar estatísticas, configure para não usar este recurso para o site)

[Aba Opções]

» NginX Directives: (em sites WordPress ou Magento é necessário adicionar diretivas personalizadas para que os permalinks (Links Permanentes com “Nome do Post”) funcionem corretamente). Desligaremos também os logs de acesso ao site pois os arquivos podem ficar muito grandes deixando-o lento:

* Observe que listei abaixo diferentes diretivas para os tipos de sites mais conhecidos, escolha somente a que representa o seu site.

#Desativando os logs para melhorar a performance
access_log off;
log_not_found off;
#Diretivas NginX para WORDPRESS
location / {
    try_files $uri $uri/ /index.php?q=$uri&$args;
} 
#Note a alteracao na diretiva location para o Magento. Se for usada a diretiva antiga uma URL aparecerá na caixa de pesquisa da loja dando a impressao de que a instalacao esta bugada.
#Para maiores informacoes veja o arquivo nginx.conf.example que esta incluido no download do proprio Magento

#Diretivas NginX para MAGENTO
location / {
    #try_files $uri $uri/ /index.php?q=$uri&$args;#Nas ultimas versoes do Magento esta diretiva foi alterada, use a linha abaixo
    try_files $uri $uri/ /index.php?$args;
}
location ~* \.php/ {
    rewrite ^(.*.php)/ $1 last;
}

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

Tutorial Debian 8 x64 com ISPConfig e NginX: Servidor de Email

Após a instalação do ISPConfig o Servidor de Email já ficou pronto para uso com o Postfix e o Dovecot. O que precisamos fazer é acertar algumas configurações e aprender a usá-lo.

O Servidor de Emails é um dos serviços mais procurados no Fator Binário e também o mais problemático. Dezenas de pessoas solicitam minha ajuda todos os meses, sendo que a grande maioria destes problemas são causados por configuração errada.

Neste artigo mostrarei como criar contas de email no ISPConfig, instalar o DKIM, desativar o certificado TLS obrigatório na porta 587 e instalar a última versão do Roundcube no NginX.

* Na Digital Ocean a porta 25 (SMTP) está bloqueada por padrão para contas novas. Se quiser enviar emails externamente então será necessário abrir um ticket de suporte com eles e dizer que deseja abrir a porta 25 para envio de emails. O suporte responderá o ticket em alguns minutos solicitando mais informações suas. Envie as informações adicionais que eles liberam a conta para envios. *O processo todo da solicitação até a liberação leva menos de 30 minutos.

Servidor de Emails

* Acesse o terminal SSH como superusuário root para executar os comando de instalação e configuração.

Adicionando caixas de email no ISPConfig

No painel admin do ISPConfig pode-se facilmente criar e gerenciar contas e domínios de email. É possível criar contas novas, redirecionamentos para outras contas ou catch-all, filtros, etc..

Acesse o menu de emails: ISPConfig → Correio

1a ⇒ Crie um domínio de email: ISPConfig → Correio → Domínio → Adicionar novo domínio

Preencha o nome do domínio no terceiro campo e clique em Salvar. Pode-se deixar as demais opções padrão. Lembre-se que “nome do domínio” não deverá ser escrito com o “www”. Exemplo correto: meudominio.com.br

1b ⇒ Crie uma caixa de email para o domínio: ISPConfig → Correio → Caixa de correio → Adicionar nova caixa de correio

Preencha os campos abaixo deixando o restante padrão:

» Nome Real: <– Seu nome

» Correio Alias: <– contato (isso será a sua conta de email, selecione ao lado para qual domínio está criando a caixa)

» Senha: <– Digite uma senha segura e repita no próximo campo

» Clique em Salvar

1c ⇒ Acesse a conta. Quando instalamos o ISPConfig o SquirrelMail foi instalado junto, para acessá-lo digite a URL http://IP_DO_SERVIDOR:8081/squirrelmail. Digite o nome da conta com o domínio e a sua senha cadastrada para a caixa.

• Note que mesmo criando a conta e podendo acessá-la ainda é necessário direcionar o DNS do domínio para o VPS. Enquanto a tabela não estiver propagada não poderemos receber emails externos. Podemos enviar, mas como ainda falta a tabela DNS e os registros DKIM e SPF, dificilmente eles chegarão na caixa de entrada do destinatário. Mais adiante neste tutorial veremos como criar a tabela.

Dica: Após criar uma caixa de email para o domínio acesse no menu esquerdo a opção “Correio Catchall” digitando o domínio e a conta que receberá os emails. Isso fará com que todos os emails enviados para qualquer endereço daquele domínio, e que não tenha caixa, sejam redirecionados para a conta principal.

Configuração do DKIM

O DKIM é necessário para que os emails sejam assinados e certificados pelo servidor, isso ajuda a não serem marcados como SPAM. *A partir do ISPConfig 3.1 essa funcionalidade será incorporada ao painel, mas por enquanto temos que configurá-la manualmente.

Na instalação do ISPConfig pelo script o OpenDKIM já foi baixado, temos apenas que configurá-lo.

2a ⇒ Edite o arquivo /etc/opendkim.conf e adicione as seguintes linhas ao final:

SubDomains           yes
AutoRestart          Yes
AutoRestartRate      10/1h
UMask                002
Syslog               yes
SyslogSuccess        Yes
LogWhy               Yes

Canonicalization     relaxed/simple

ExternalIgnoreList   refile:/etc/opendkim/TrustedHosts
InternalHosts        refile:/etc/opendkim/TrustedHosts
KeyTable             refile:/etc/opendkim/KeyTable
SigningTable         refile:/etc/opendkim/SigningTable

Mode                 sv
PidFile              /var/run/opendkim/opendkim.pid
SignatureAlgorithm   rsa-sha256
UserID               opendkim:opendkim
Socket               inet:[email protected]

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

Tutorial Debian 8 x64 com ISPConfig e NginX: Firewall

Um servidor sem Firewall é como aguardar por um desastre anunciado, você sabe que vai acontecer e, como administrador de sistemas, tem que tomar providências para minimizar os estragos.

Durante algumas semanas deixei o meu site num servidor que a gente chama “honey pot“. Esse tipo de servidor é usado para, propositalmente, receber ataques e fazer log de tudo direcionando-os para determinados arquivos do sistema. Com essa técnica consegue-se filtrar e catalogar os tipos mais comuns de ataques, e as análises extraídas servem de base para melhorar as defesas do sistema.

Neste artigo Vamos acionar o Firewall do ISPConfig (Bastille Firewall), reconfigurar o Fail2Ban melhorando a detecção, ajustar o JailKit, acertar o NginX para mitigar ataques DDoS e, opcionalmente, instalar o Logwatch e desativar o modo recursivo do BIND.

Configurando o Firewall do Sistema

* Acesse o terminal SSH como superusuário root para executar os comando de instalação e configuração.

Acionando o Firewall do ISPConfig

No artigo anterior deste tutorial mostrei como adicionar as portas para o modo passivo do FTP ao firewall do ISPConfig, se você pulou aquele passo ou não prestou atenção, proceda da seguinte maneira:

Acesse: ISPConfig → Sistema → Firewall

Clique no botão “Adicionar Registro de Firewall” e confirme a tela que abrirá (se já havia adicionado o Firewall simplesmente abra a configuração existente), em seguida clique na linha de configuração e na caixa de “Portas TCP abertas” adicione “40110:40210” (portas para o FTP passivo) desta maneira:

20,21,22,25,53,80,110,143,443,587,993,995,3306,8080,8081,10000,40110:40210

* Pode-se parar o firewall do ISPConfig pelo console a qualquer momento digitando: /etc/init.d/bastille-firewall stop (isso pode ser útil caso queira testar se algum serviço externo não está conseguindo acessar o servidor por causa de alguma restrição de porta)

Reconfigurando o Fail2Ban e melhorando a detecção de ataques

Fail2Ban é a ferramenta responsável por detectar ataques ao servidor e automaticamente aplicar regras de ban. Alguns serviços básicos já estão configurados, mas vamos adicionar outros para minimizar riscos.

* Antes de adicionar os filtros abaixo ao Postfix, verifique se você tem um nome de servidor FQDN configurado, isso é muito importante para o correto funcionamento. Para uma melhor explicação veja o passo “Antes de começar” neste link.

2a ⇒ Edite o arquivo /etc/postfix/main.cf e altere/adicione as linhas abaixo:

#Próximo à Linha 57: Substitua a instrução "smtpd_recipient_restrictions" por esta abaixo (note que é uma linha única. e note também que no script novo de instalação há suporte a greylisting de emails e que o repositório padrão configurado para checagens é o zen.spamhaus.org. O SpamHaus é conhecido por cometer "enganos" com IPs legítimos, caso decida usar o serviço deles não precisa alterar a linha 57):

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unknown_recipient_domain, permit
 
#Próximo às linhas 66 e 67: Substitua as linhas com instruções "smtpd_sender_restrictions" e "smtpd_client_restrictions" pelo bloco de código abaixo:

#EDIT Out/2016: Ajuste das instruções para a nova versão do instalador do ISPConfig, mantido o bloco antigo somente para compatibilidade

smtpd_data_restrictions = reject_unauth_pipelining
smtpd_delay_reject = yes
smtpd_sender_restrictions = 
   permit_mynetworks,
   reject_non_fqdn_sender,
   reject_unknown_sender_domain,
   check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf,
   permit
smtpd_client_restrictions = 
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unknown_client_hostname,
   check_client_access mysql:/etc/postfix/mysql-virtual_client.cf,
   permit

#Para instalações a partir de Out/2016 use este bloco de código:
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_delay_reject = yes
smtpd_sender_restrictions =
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_non_fqdn_sender,
   reject_unknown_sender_domain,
   check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf,
   permit
smtpd_client_restrictions =
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unknown_client_hostname,
   check_client_access mysql:/etc/postfix/mysql-virtual_client.cf,
   permit

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

Tutorial Debian 8 x64 com ISPConfig e NginX: Otimizando a Instalação

Após instalar o ISPConfig com a ajuda de um script alguns ajustes são necessários para consertar problemas e otimizar a configuração inicial do servidor.

Nesta parte do tutorial vamos adicionar memória SWAP, opcionalmente desativar os filtros de email e o anti-vírus, ajustar o PureFTPd para o modo passivo, otimizar o PHP e o NginX, alterar o limite de arquivos abertos no MySQL e consertar o bug no Quota.

Otimizando a Instalação do VPS

* Acesse o terminal SSH como superusuário root para executar os comando de instalação e configuração.

Adicione memória SWAP ao sistema

Vamos adicionar memória SWAP, independente da capacidade do servidor que você escolheu, isso deverá assegurar que nenhum serviço irá parar de funcionar após a instalação.

1a ⇒ Verifique se o seu sistema já não tem uma partição SWAP (na Digital Ocean ela não vem configurada mas em alguns hostings sim):

free -m

1b ⇒ Crie uma partição padrão alocando 2Gb de espaço ativando-a em seguida:

fallocate -l 2G /swapfile; chmod 600 /swapfile; mkswap /swapfile; swapon /swapfile

1c ⇒ Edite o arquivo /etc/fstab e adicione a linha abaixo para que quando reiniciar o sistema a partição continue ativa (deixe uma linha em branco no final do arquivo):

/swapfile   none    swap    sw    0   0

1d ⇒ Confirme se a partição foi criada corretamente e se o fstab aceitou a linha que você adicionou:

ls -lh /swapfile

mount -a

free -m

* Para uma melhor explicação dos comandos acima consulte este link
Opcional: Desative o Clamav Anti-Vírus

Se você pretende manter um servidor de emails com muitas contas no VPS e verificar se há vírus, e se o servidor tem uma capacidade maior que 1Gb de RAM então será melhor manter o ClamavPorém, se o principal objetivo é manter os sites dos clientes num VPS de baixo custo como o de $5 dólares então a recomendação é desativá-lo  para economizar recursos.

2a ⇒ Edite o arquivo /etc/amavis/conf.d/50-user e comente as linhas 11, 12, 14 e 15 (colocando o símbolo de # no início):

#@bypass_virus_checks_maps = (
#   \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);

[email protected]_spam_checks_maps = (
# \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

Tutorial Debian 8 x64 com ISPConfig e NginX: ISPConfig 3

Instalaremos a última versão do painel de controle ISPConfig 3. Muitas pessoas que me procuraram nos últimos meses perguntam se é necessário um servidor com maior capacidade por causa do web panel. E a resposta é não. O ISPConfig trabalha executando scripts em segundo plano e não carrega a memória com recursos. Os serviços que usam recursos do VPS são externos ao ISPConfig porém necessários para o bom funcionamento de qualquer servidor.

O ISPConfig 3 é estável, seguro e fácil de operar. Se você optar por instalar o seu site em um servidor sem web panel saiba que terá que lidar manualmente com ataques ao servidor, contas de usuários e emails, criação e ativação de server blocks para os sites, gerenciamento dos serviços, entre outros..

*Usaremos o script de auto-instalação divulgado no HowToForge fazendo algumas adaptações e reconfigurando alguns serviços.

Instalando o Painel de Controle ISPConfig 3

* Acesse o terminal SSH como superusuário root para executar os comando de instalação e configuração.

Prepare o sistema e baixe o instalador

Será necessário fazer algumas modificações nas configurações do sistema antes de baixar e executar o instalador.

1a ⇒ Edite o arquivo /etc/apt/sources.list e adicione “non-free” ao final das seguintes linhas, e adicione o Backports ao final:

deb http://http.debian.net/debian jessie main non-free
deb-src http://http.debian.net/debian jessie main non-free

deb http://security.debian.org/ jessie/updates main non-free
deb-src http://security.debian.org/ jessie/updates main non-free

1b ⇒ Execute os comandos abaixo na ordem que estão apresentados:

apt-get update

apt-get -y upgrade

dpkg-reconfigure dash (Responda <NO> no prompt)

apt-get -y install ntp ntpdate

dpkg-reconfigure tzdata (Escolha: America/Sao Paulo)

apt-get -y install snmp-mibs-downloader (Instalando este pacote evitamos mensagens de log infinitas "Cannot adopt OID in" do PHP CLI no arquivo  /var/log/ispconfig/cron.log)

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

Tutorial Debian 8 x64 com ISPConfig e NginX: Índice

Tutorial de instalação e configuração em um VPS com Linux Debian 8 (Jessie) x64, painel de controle ISPConfig 3 e Servidor de Emails com Roundcube e NginX.

Nestes últimos meses configurei pessoalmente algumas centenas de servidores com Debian 7 e ISPConfig 3 e auxiliei na instalação de muitos outros. E, atendo a pedidos da comunidade, decidi criar este tutorial optando pela versão 64-bit do sistema adicionando algumas implementações solicitadas que publicarei nos próximos artigos.

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

Como Agendar Backups Automáticos dos Sites no ISPConfig com rSync para o ADrive

Tutorial de como fazer backup para o ADrive usando o rSync, agendando a tarefa para executar automaticamente pelo Cron. Mostrarei o procedimento para fazer cópia dos sites gerenciados pelo ISPConfig 3 no VPS, mas o exemplo pode ser adaptado para qualquer outra situação.

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

Monitorando o servidor VPS com Logwatch

Logwatch é uma ferramenta customizável que serve para monitorar os arquivos de log no servidor, reportando as principais atividades e alertando para possíveis tentativas de invasão. Em nossos testes o relatório diário enviado pelo Logwatch tem auxiliado na captura/ban definitivo de ataques ao servidor, tarefa que seria impossível de fazer manualmente.

* Como a maioria de vocês já devem estar acostumados, o objetivo dos tutoriais que publicamos é apresentar o texto de forma resumida optando pelas melhores configurações adaptadas aos tutoriais anteriores. Poderíamos falar mais sobre a ferramenta e mostrar as opções que ela oferece mas da nossa maneira vamos direto ao que interessa. Este tutorial foi instalado e testado no Linux Debian 7 com ISPConfig que configuramos anteriormente.

Instalando e Configurando o Logwatch:

Já vimos anteriormente como analisar os arquivos de log no VPS, aprendendo para que serve cada arquivo e monitorando o servidor. Mas daquela forma levaríamos horas para filtrar possíveis ataques e outras atividades importantes. Com o Logwatch vamos automatizar essa tarefa.

* Este tutorial deve ser seguido posteriormente ao de Segurança no Servidor que publicamos recentemente <clique aqui para aprender como configurar um Firewall>

Baixe e instale o Logwatch:

#Faça primeiro um update dos pacotes no repositório e rode o instalador em seguida
> apt-get update

> apt-get install logwatch
#Na pergunta se deseja continuar tecle ENTER

Altere o arquivo de configuração:

Faremos algumas alterações para o relatório ser enviado com maior clareza e de forma detalhada. Edite o arquivo: /usr/share/logwatch/default.conf/logwatch.conf 

* Em nossos tutoriais usamos sempre o WinSCP com Notepad++ para editar arquivos remotos, siga este link para aprender como fazer isso

#Na linha 35 altere para que o relatorio seja enviado por email
Output = mail

#Na linha 37 altere o formato para HTML facilitando a leitura
Format = html

#Na linha 44 vamos configurar para qual email o relatorio sera enviado (pode ser uma conta interna ou externa)
MailTo = [email protected]

#Na linha 53 podemos, opcionalmente, alterar para que o relatorio seja enviado usando uma conta interna e autenticada do sistema, evitando problemas com entrega para caixas de entrada como as do Hotmail
#Para essa linha de configuracao funcionar veja observacao no passo 3 abaixo
MailFrom = [email protected]

#Na linha 77 altere o nivel de detalhes para Medio, assim o relatorio sera enviado como aquele demonstrado em nosso link acima
Detail = Med

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

Configurando o RoundCube como Webmail no VPS

Aprenda como configurar o RoundCube Webmail em Português BR num Virtual Private Server (VPS), habilitando a opção de alterar a senha diretamente no aplicativo.

Em nosso tutorial Linux Debian 7 + ISPConfig instalamos vários serviços e aplicativos para fazer o servidor rodar de forma estável e com segurança, incluindo um Servidor de Email. Porém instalamos por padrão o Squirrelmail, que é um dos aplicativos para webmail mais antigos do Linux, mas que deixa a desejar em alguns aspectos, principalmente na aparência.

Com a ajuda do Marcílio Quintino do site Sovina Online fizemos alguns testes e adaptamos um tutorial de como instalar e configurar o RoundCube usando o NginX como servidor web. *A instalação faz parte do tutorial Debian 7 e ISPConfig 3, que são requisitos básicos.

Instalando e Configurando o RoundCube WebMail:

Antes de baixar e instalar os pacotes do RoundCube vamos criar um usuário remoto para a API dele no ISPConfig, assim os usuários das caixas de email poderão alterar suas senhas pela ferramenta. *Opcional: Aprenda como limitar um cliente somente ao módulo Email no ISPConfig acessando este link.

Criando um usuário remoto no ISPConfig:

Acesse o menu do ISPConfig e clique nas opções:

Sistema → User Management → Usuários Remotos → Adicionar Novo Usuário

Em nome de usuário digite roundcube e em seguida digite uma senha forte (ou gere uma clicando em generate password)

Na lista de opções marque as seguintes (escrevi a ordem em que aparecem entre parênteses):

» Server functions (1)
» Funções de Cliente (3)
» Funções de usuário de correio (8)
» Funções de aliases de correio (9)
» Funções de spamfilter de usuário de correio (16)
» Funções de política de spamfilter de correio (17)
» Funções de fetchmail (18)
» Mail spamfilter whitelist functions (19)
» Mail spamfilter blacklist functions (20)
» Funções de filtro de correio de usuário (21)

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!