Différences

Ci-dessous, les différences entre deux révisions de la page.

--- linuxed:serverlinuxed [2016/12/11 16:46] – ↷ Liens modifiés en raison d'un déplacement. madko
+++ linuxed:serverlinuxed [2021/07/27 07:41] (Version actuelle) – madko
@@ Ligne 1: / Ligne 1: @@
 ~~ODT~~
 ====== Configuration du serveur Linuxed ======
 ===== Système d'exploitation =====
 Distribution GNU/Linux CentOS 6.x (pour du support à long terme).
 ===== Services =====
   * Serveur SMTP avec Postfix
   * Antispam & Antivirus avec Amavis/Clamav/SpamAssassin
@@ Ligne 11: / Ligne 14: @@
   * Serveur de bases de données MySQL
   * Serveur Web Apache
   * Serveur de tunnels VPN OpenVPN
 Ces différents services sont maintenant répartis dans différentes VMs.
 ===== Configuration du serveur DNS =====
-Voir [[:linuxedconfdns]].
+Voir [[:linuxedconfdns|]].
 ===== Configuration de la Messagerie =====
 Cheminement d'un mail:
-  - postfix :25 => sqlgrey :10030 (pour gestion liste grise)
+  - postfix :25 ⇒ sqlgrey :10030 (pour gestion liste grise)
-  - postfix => amavisd :10024 (pour filtrage du contenu, antivirus et spam)
+  - postfix ⇒ amavisd :10024 (pour filtrage du contenu, antivirus et spam)
-  - amavisd => postfix :10025 (pour livraison)
+  - amavisd ⇒ postfix :10025 (pour livraison)
-  - postfix => cyrus (livraison)
+  - postfix ⇒ cyrus (livraison)
 ==== Postfix ====
 === Pré-requis ===
-=> Attention, le package postfix de Fedora 8 ne supporte pas MySQL, il faut donc le recompiler pour activer le support. Le support MySQL est necessaire pour la gestion des comptes simplifiés avec Cyrus (webcyradm etc).
+⇒ Attention, le package postfix de Fedora 8 ne supporte pas MySQL, il faut donc le recompiler pour activer le support. Le support MySQL est necessaire pour la gestion des comptes simplifiés avec Cyrus (webcyradm etc).
 Le support de MySQL est présent avec le paquet postfix de CentOS 6.
@@ Ligne 36: / Ligne 42: @@
 Postgrey est utiliser pour gérer la liste grise.
+<code>
-  # yum install postgrey
+# yum install postgrey
-=> Ne pas oublier de modifier le fichier ///etc/init.d/postgrey// pour indiquer dans la variable OPTIONS que postgrey doit écouter sur le port 10030 (et non sur un socket unix).
+</code>
+⇒ Ne pas oublier de modifier le fichier ///etc/init.d/postgrey//  pour indiquer dans la variable OPTIONS que postgrey doit écouter sur le port 10030 (et non sur un socket unix).
 Sur RedHat/CentOS 6, avec le dépôt epel, postgrey n'est plus disponible. Son remplaçant est sqlgrey.
@@ Ligne 47: / Ligne 56: @@
 L'installation se fait via le paquet disponible dans les dépôts officiels:
-  # yum install postfix
+<code>
+# yum install postfix
+</code>
 === Configuration de postfix ===
-Voici le fichier de configuration ///etc/postfix/main.cf// actuellement utilisé:
+Voici le fichier de configuration ///etc/postfix/main.cf//  actuellement utilisé:
 <file>
-queue_directory = /var/spool/postfix
+alias_database = hash:/etc/aliases
+alias_maps = hash:/etc/aliases
+broken_sasl_auth_clients = yes
 command_directory = /usr/sbin
+config_directory = /etc/postfix
+# AntiVirus / AntiSpam
+content_filter = smtp-amavis:[127.0.0.1]:10024
 daemon_directory = /usr/libexec/postfix
+data_directory = /var/lib/postfix
+debug_peer_level = 2
+disable_vrfy_command = yes
+html_directory = no
+inet_protocols = ipv4
 mail_owner = postfix
+mailbox_transport = lmtp:unix:/var/lib/imap/socket/lmtp
+mailq_path = /usr/bin/mailq.postfix
+manpage_directory = /usr/share/man
+message_size_limit = 20480000
+mydestination = $myhostname, localhost.$mydomain, localhost, mysql:/etc/postfix/mysql-mydestination.cf
 mydomain = linuxed.net
+mynetworks = 192.168.0.0/16, 127.0.0.1, 172.16.4.2, 172.16.3.2, 172.16.2.2, 172.16.254.0/24, [2001:41d0:1:b877::]/64, [2001:41d0:2:43df::/64], 37.187.23.86, 5.196.26.28
 myorigin = $mydomain
-inet_interfaces = all
+newaliases_path = /usr/bin/newaliases.postfix
-mydestination = $myhostname, localhost.$mydomain, localhost, mysql:/etc/postfix/mysql-mydestination.cf
+queue_directory = /var/spool/postfix
-unknown_local_recipient_reject_code = 550
+readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
-mynetworks = 192.168.0.0/16, 127.0.0.1, 172.16.3.2, 172.16.2.2
+recipient_delimiter = +
 relay_domains = $mydestination
-alias_maps = hash:/etc/aliases
+sample_directory = /usr/share/doc/postfix-2.6.6/samples
-alias_database = hash:/etc/aliases
 sender_canonical_maps = mysql:/etc/postfix/mysql-canonical.cf
-virtual_alias_maps = mysql:/etc/postfix/mysql-virtual.cf, regexp:/etc/postfix/virtual_regexp
-transport_maps = mysql:/etc/postfix/mysql-transport.cf, regexp:/etc/postfix/transport_regexp
-recipient_delimiter = +
-mailbox_transport = lmtp:unix:/var/lib/imap/socket/lmtp
-cyrus_destination_recipient_limit=1
-debug_peer_level = 2
-debugger_command =
-         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
-         xxgdb $daemon_directory/$process_name $process_id & sleep 5
 sendmail_path = /usr/sbin/sendmail.postfix
-newaliases_path = /usr/bin/newaliases.postfix
-mailq_path = /usr/bin/mailq.postfix
 setgid_group = postdrop
-html_directory = no
+smtpd_tls_auth_only = yes
-manpage_directory = /usr/share/man
+smtp_tls_note_starttls_offer = yes
-sample_directory = /usr/share/doc/postfix-2.4.5/samples
+smtpd_client_restrictions = check_client_access hash:/etc/postfix/access
-readme_directory = /usr/share/doc/postfix-2.4.5/README_FILES
+smtpd_data_restrictions = reject_unauth_pipelining
+smtpd_helo_required = yes
+smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_hostname
+smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_rbl_client zen.spamhaus.org, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, check_policy_service unix:postgrey/socket
 smtpd_sasl_auth_enable = yes
+smtpd_sasl_local_domain =
 smtpd_sasl_security_options = noanonymous
-smtpd_sasl_local_domain =
+smtpd_sender_restrictions = check_client_access hash:/etc/postfix/access, reject_sender_login_mismatch, reject_non_fqdn_sender, reject_unknown_sender_domain
-broken_sasl_auth_clients = yes
+#smtpd_tls_CAfile = /etc/pki/postfix/ca.crt
-smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_hostname
+smtpd_tls_CAfile = /etc/letsencrypt/live/smtp.linuxed.net/chain.pem
-smtpd_sender_restrictions = check_client_access hash:/etc/postfix/access, reject_non_fqdn_sender, reject_unknown_sender_domain
+#smtpd_tls_cert_file = /etc/pki/postfix/mx01.virt.linuxed.net.crt
-smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_non_fqdn_recipient, reject_unknown_recipient_domain, check_policy_service inet:[127.0.0.1]:10030
+smtpd_tls_cert_file = /etc/letsencrypt/live/smtp.linuxed.net/cert.pem
-smtpd_client_restrictions = check_client_access hash:/etc/postfix/access
+#smtpd_tls_key_file = /etc/pki/postfix/mx01.virt.linuxed.net.key
-content_filter = smtp-amavis:[127.0.0.1]:10024
+smtpd_tls_key_file = /etc/letsencrypt/live/smtp.linuxed.net/privkey.pem
-smtpd_helo_required = yes
+smtpd_tls_loglevel = 1
+smtpd_tls_received_header = yes
+smtpd_tls_session_cache_timeout = 3600s
+smtpd_use_tls = yes
+tls_random_source = dev:/dev/urandom
+transport_maps = mysql:/etc/postfix/mysql-transport.cf, regexp:/etc/postfix/transport_regexp
 unknown_local_recipient_reject_code = 550
-disable_vrfy_command = yes
+virtual_alias_maps = mysql:/etc/postfix/mysql-virtual.cf, regexp:/etc/postfix/virtual_regexp
-smtpd_data_restrictions = reject_unauth_pipelining
+smtpd_sender_login_maps = mysql:/etc/postfix/mysql-virtual.cf, regexp:/etc/postfix/virtual_regexp
 </file>
 Et voici le fichier ///etc/postfix/master.cf//:
 <file>
 smtp      inet  n       -       n       -       -       smtpd
@@ Ligne 141: / Ligne 167: @@
 smtp-amavis   unix   -   -   y   -   2   lmtp -o smtp_data_done_timeout=1200 -o disable_dns_lookup=yes
 .0.0.1:10025 inet n - y - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_sasl_authenticated,permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o mynetworks_style=host -o strict_rfc821_envelopes=yes -o smtpd_error_sleep_time=0 -o alias_maps= -o relocated_maps= -o virtual_alias_maps= -o virtual_mailbox_maps=
 </file>
 Le fichier pour la resolution canonique dans la base MySQL ///etc/postfix/mysql-canonical.cf//:
 <file>
 hosts = [DB HOST]
@@ Ligne 153: / Ligne 181: @@
 where_field = username
 additional_conditions = and status = '1' limit 1
 </file>
 Le fichier pour la resolution des domaines gérés par le serveur ///etc/postfix/mysql-mydestination.cf//:
 <file>
 hosts = [DB HOST]
@@ Ligne 164: / Ligne 194: @@
 select_field = domain_name
 where_field = domain_name
 </file>
 Le fichier pour la resolution des domaines à relayer ///etc/postfix/mysql-relay.cf//:
 <file>
 hosts = [DB HOST]
@@ Ligne 175: / Ligne 207: @@
 select_field = transport
 where_field = domain_name
 </file>
 Le fichier pour la table des transports ///etc/postfix/mysql-transport.cf//:
 <file>
 hosts = [DB HOST]
@@ Ligne 186: / Ligne 220: @@
 select_field = transport
 where_field = domain_name
 </file>
 Le fichier pour la gestion des comptes virtuels ///etc/postfix/mysql-virtual.cf//:
 <file>
 hosts = [DB HOST]
@@ Ligne 194: / Ligne 230: @@
 password = [DB PASS]
 dbname = [DB NAME]
 table = virtual
 select_field = dest
 where_field = alias
 additional_conditions = and status = '1'
 </file>
-Coté Mysql, voici la [[:structure_des_bases_pour_la_gestion_des_mails]].
+Coté Mysql, voici la [[:structure_des_bases_pour_la_gestion_des_mails|]].
+Pour changer le mot de passe d'un compte:
+<code>
+update accountuser set password=encrypt("LE PASSWORD",CONCAT('$6$', SUBSTRING(SHA(RAND()), -16))) where username="USER@DOMAIN" limit 1;
+</code>
 ==== Pam avec support MySQL ====
 Pour la partie authentification des utilisateurs en pop/imap il faut installer le support mysql pour pam avec le package pam_mysql:
-  # yum install pam_mysql
+<code>
+# yum install pam_mysql
+</code>
+Le fichiers ///etc/pam.d/pop//, ///etc/pam.d/imap//, ///etc/pam.d/sieve//  sont modifiés pour avoir le contenu suivant:
-Le fichiers ///etc/pam.d/pop//, ///etc/pam.d/imap//, ///etc/pam.d/sieve// sont modifiés pour avoir le contenu suivant:
 <file>
 #%PAM-1.0
@@ Ligne 214: / Ligne 263: @@
 account required        pam_mysql.so user=[DB USER] passwd=[DB PASS] host=[DB HOST] db=[DB NAME] table=accountuser usercolumn=username
 passwdcolumn=password crypt=1 logtable=log logmsgcolumn=msg logusercolumn=user loghostcolumn=host logpidcolumn=pid logtimecolumn=time
 </file>
 ==== Amavis/Clamav/SpamAssassin ====
 Pour l'antispam, les packages amavisd-new, clamav et spamassassin doivent être installés.
-  # yum install amavisd-new clamav spamassassin
+<code>
+# yum install amavisd-new clamav spamassassin
-Voir le fichier de configuration d'amavis: [[:amavisd.conf|/etc/amavisd/amavisd.conf]]
+</code>
+Voir le fichier de configuration d'amavis: [[:linuxed:amavisd.conf|/etc/amavisd/amavisd.conf]]
 Voici le contenu du fichier /etc/clamd.d/amavisd.conf:
-<file># Use system logger.
+<file>
+# Use system logger.
 LogSyslog yes
@@ Ligne 243: / Ligne 299: @@
 # Path to a local socket file the daemon will listen on.
-LocalSocket /var/spool/amavisd/clamd.sock</file>
+LocalSocket /var/spool/amavisd/clamd.sock
+</file>
 Mettre à jour la base antivirus:
-   freshclam
+<code>
+ freshclam
+</code>
 ==== Cyrus ====
 Pour la partie collecte de mails coté utilisateur, il faut installer le package //cyrus-imapd//. Cyrus fournit les services IMAP et POP3 en version standard et sécurisée.
-  # yum install cyrus-imapd
+<code>
+# yum install cyrus-imapd
+</code>
 Configuration du fichier ///etc/cyrus.conf//:
 <file>
 # standard standalone server implementation
@@ Ligne 295: / Ligne 363: @@
   # this is only necessary if caching TLS sessions
   tlsprune      cmd="tls_prune" at=0400
   # index mailboxes
   squat cmd="squatter -r *" period=60
   squat cmd="squatter -r *@*" period=60
 }
 </file>
-=> Attention: squat est assez gourmand. Pourquoi est-il en double??
+⇒ Attention: squat est assez gourmand. Pourquoi est-il en double??
 Configuration de la partie collecte des mails, avec le fichier ///etc/imapd.conf//:
 <file>
 postmaster: postmaster@domaine.com
@@ Ligne 328: / Ligne 398: @@
 unixhierarchysep: yes
 virtdomains: yes
 </file>
 Pour migrer d'un serveur Cyrus vers un autre serveur Cyrus, il faut synchroniser les fichiers des comptes cyrus, ainsi que les fichiers des boites mails. Il faut bien sur arreter cyrus sur les 2 machines.
-  # rsync -azC --progress /var/lib/imap/* serveur2:/var/lib/imap/
+<code>
-  # rsync -azC --progress /var/spool/imap/* serveur2:/var/spool/imap/
+# rsync -azC --progress /var/lib/imap/* serveur2:/var/lib/imap/
+# rsync -azC --progress /var/spool/imap/* serveur2:/var/spool/imap/
-=> Attention: penser à restaurer les contextes SELinux avec la commande restorecon sur ces répertoires.
+</code>
+⇒ Attention: penser à restaurer les contextes SELinux avec la commande restorecon sur ces répertoires.
 Pour générer le certificat:
-  # openssl req -new -nodes -out req.pem -keyout key.pem
+<code>
-  # openssl rsa -in key.pem -out new.key.pem
+# openssl req -new -nodes -out req.pem -keyout key.pem
+# openssl rsa -in key.pem -out new.key.pem
+</code>
 A faire signer ensuite par un CA. Ou on signe soi-même:
-  # openssl x509 -in req.pem -out ca-cert -req -signkey new.key.pem -days 999
-  # cat ca-cert >> new.key.pem
+<code>
+# openssl x509 -in req.pem -out ca-cert -req -signkey new.key.pem -days 999
+# cat ca-cert>> new.key.pem
+</code>
+Pour administrer cyrus:
+<code>
+cyradm --user cyrus localhost
+</code>
+Pour voir un quota:
+<code>
+localhost> lq user/francoise@linuxed.net
+ STORAGE 2078593/60000000 (3.46432166666667%)
+</code>
+Pour changer un quota:
+<code>
+sq user/jeanluc@linuxed.net 10000000
+</code>
 ==== web-cyradm ====
-Il s'agit d'une interface web d'administration de Cyrus. Le site officiel est http://www.web-cyradm.org.
+Il s'agit d'une interface web d'administration de Cyrus. Le site officiel est [[http://www.web-cyradm.org|http://www.web-cyradm.org]].
 Il est necessaire d'installer le support Pear::DB pour utiliser web-cyradm:
-  # yum install php-pear-DB
+<code>
+# yum install php-pear-DB
+</code>
 ==== Saslauthd ====
-L'authentification se fera avec cyrus-sasl, il faudra installer le package cyrus-sasl-mysql. On active le support sasl avec postfix, le fichier de configuration suivant ///usr/lib/sasl/smtpd.conf// doit avoir le contenu suivant:
+L'authentification se fera avec cyrus-sasl, il faudra installer le package cyrus-sasl-mysql. On active le support sasl avec postfix, le fichier de configuration suivant ///usr/lib/sasl/smtpd.conf//  doit avoir le contenu suivant:
 <file>
 pwcheck_method: saslauthd
 mech_list: plain login
 saslauthd_version: 2
 </file>
-Mais c'est le contenu du fichier ///usr/lib/sasl2/smtpd.conf// qui est utilisé:
+Mais c'est le contenu du fichier ///usr/lib/sasl2/smtpd.conf//  qui est utilisé:
 <file>
 pwcheck_method: saslauthd
 #mech_list: plain login
 #pwcheck_method: pam
 #pwcheck_method: auxprop
 mech_list: plain login cram-md5 digest-md5
@@ Ligne 372: / Ligne 484: @@
 sql_passwd: facteur
 sql_select: SELECT password FROM accountuser WHERE username='%u' and domain_name='%r';
 </file>
 Il faut ensuite indiquer à saslauthd d'utiliser l'adresse mail complete en tant que login utilisateur (login@domain.com) avec l'option -r dans le fichier ///etc/sysconfig/saslauthd//:
 <file>
 # Directory in which to place saslauthd's listening socket, pid file, and so
@@ Ligne 387: / Ligne 501: @@
 # for the list of accepted flags.
 FLAGS="-r"
 </file>
 Pour que postfix dispose des mécanismes SASL, il faut au minimum installer le paquet cyrus-sasl-plain:
-   # yum install cyrus-sasl-plain
+<code>
+ # yum install cyrus-sasl-plain
+</code>
+⇒ Attention à SELinux qui par défaut peut bloquer les connexions mysql depuis saslauthd.
-=> Attention à SELinux qui par défaut peut bloquer les connexions mysql depuis saslauthd.
 ==== Webmails ====
 Il existe squirrelmail et roundcube dans la categorie des excellents webmail.
-  # yum install squirrelmail
+<code>
+# yum install squirrelmail
+</code>
 ou
-  # yum install roundcube
+<code>
+# yum install roundcube
+</code>
 Il peut manquer certaines dépendances pour roundcube, notemment php-mcrypt:
-  # yum install php-mcrypt
+<code>
+# yum install php-mcrypt
+</code>
 === SquirrelMail ===
 La configuration se fait dans /etc/squirrelmail/config.php mais il est plus facile de passer par le script de configuration:
-  # /usr/share/squirrelmail/config/conf.pl
+<code>
+# /usr/share/squirrelmail/config/conf.pl
+</code>
 ==== Activation des services ====
 Maintenant que tout est configuré, il ne faut pas oublier d'activer au demarrage les services necessaires à la messagerie:
-  # chkconfig postfix on
-  # chkconfig saslauthd on
+<code>
-  # chkconfig mysqld on
+# chkconfig postfix on
-  # chkconfig cyrus-imapd on
+# chkconfig saslauthd on
+# chkconfig mysqld on
+# chkconfig cyrus-imapd on
+</code>
 ===== Apache =====
@@ Ligne 429: / Ligne 566: @@
 Pour activer IPv6 sur lighttpd, voici le contenu du fichier /etc/lighttpd/conf.d/ipv6.conf:
-<file>server.use-ipv6 = "enable"</file>
+<file>
+server.use-ipv6 = "enable"
+</file>
 ===== Migration =====