SysAdmin Smart Help - Beta - Contributi utente [it]

Configurazione o ripristino dual boot Windows 11 e Windows 10 già installati

2024-08-29T20:10:23Z

Luigi.dacunto:

{{Procedure_Windows}}

==Introduzione==
La procedura di seguito è stata testate ed eseguita per il ripristino di un dual boot con Windows 11 e Windows 10 già presenti su due dischi separatamente e installati su uno stesso PC.

== Aggiungere Windows 10 al Boot Loader ==

=== 1. Aprire il Prompt dei Comandi come Amministratore ===
Clicca con il tasto destro sul pulsante Start e seleziona ''Windows Terminal (Amministratore)'' o ''Prompt dei comandi (Amministratore)''.

=== 2. Creare un Nuovo Boot Entry ===
Digita il seguente comando per copiare l'entry di Windows 11 e creare una nuova entry per Windows 10:
<pre>
C:\Windows\System32>bcdedit /copy {current} /d "Windows 10"
La voce è stata copiata correttamente in {99e12345-7e74-12ec-1234-cec456456456}.
</pre>

Questo comando copierà l'entry corrente (Windows 11) e dandogli il nuovo nome "Windows 10". Dopo aver eseguito il comando, annota l'identificatore GUID che verrà restituito, poiché lo userai nei passaggi successivi.

=== 3. Modificare il Nuovo Boot Entry ===
Ora dovrai impostare il percorso del disco e della partizione per Windows 10. Esegui il seguente comando, sostituendo <nowiki>GUID</nowiki> con l'identificatore ottenuto nel passaggio precedente e specificando il corretto disco e partizione in cui è installato Windows 10:
<pre>
bcdedit /set {GUID} device partition=B:
bcdedit /set {GUID} path \WINDOWS\system32\winload.efi
bcdedit /set {GUID} osdevice partition=B:
bcdedit /set {GUID} description "Windows 10"
</pre>

Assicurati di sostituire B: con la lettera dell'unità corretta in cui è installato Windows 10. Se non si conosce di preciso la lettera dell'unità corrispondente si può accedere dal normale risorse del computer e vedere dove è stata montata la partizione, altrimenti è possibile utilizzare il tool di windows "diskpart" e una volta avviato il prompt di Diskpart lanciare il comando "list volume"

<pre>
C:\WINDOWS\system32>diskpart

Microsoft DiskPart versione 10.0.19041.3636

Copyright (C) Microsoft Corporation.
Nel computer DESKTOP-MJLQBOG

DISKPART> list volume

Volume ### Let. Etichetta Fs Tipo Dim. Stato Info
--------- --- ----------- ----- ---------- ------- --------- --------
Volume 0 D DVD-ROM 0 b Nessun su
Volume 2 C Sys-Win11P NTFS Partizione 930 Gb Integro
Volume 3 FAT32 Partizione 100 Mb Integro Sistema
Volume 4 NTFS Partizione 615 Mb Integro Nascosto
Volume 6 B Sys-Win10P NTFS Partizione 465 Gb Integro Avvio

DISKPART> exit

Chiusura di DiskPart in corso...

</pre>

=== 4. Impostare l'Ordine di Visualizzazione ===
Per assicurarti che l'entry di Windows 10 appaia nel menu di avvio, puoi modificare l'ordine delle voci nel boot loader. Usa questo comando:
<pre>
bcdedit /displayorder {GUID} /addlast
</pre>

Questo comando aggiungerà l'entry di Windows 10 alla fine del menu di avvio.

=== Verifica e Riavvio ===
Dopo aver eseguito questi passaggi, riavvia il computer. Dovresti vedere un menu di avvio che ti permette di scegliere tra Windows 11 e Windows 10. Se non appare, potrebbe essere necessario controllare le impostazioni del BIOS/UEFI per assicurarti che il boot manager di Windows sia impostato come dispositivo di avvio primario.

Clicca sul pulsante Start di Windows e cerca msconfig, comparirà la voce "Configurazione di Sistema". Aprendo la finestra seleziona il tab in alto "Opzioni di Avvio" e verifica la presenza della seconda entry in lista, da qui puoi cambiare l'ordine del boot e impostare il timeout sulla schermata di scelta del boot che comparirà al prossimo riavvio.

Se hai bisogno di ulteriori modifiche o se riscontri problemi, puoi sempre tornare al Prompt dei comandi e utilizzare ''bcdedit'' per apportare le modifiche necessarie.

Configurazione o ripristino dual boot Windows 11 e Windows 10 già installati

2024-08-29T18:00:16Z

Luigi.dacunto:

{{Procedure_Windows}}

==Introduzione==
La procedura di seguito è stata testate ed eseguita per il ripristino di un dual boot con Windows 11 e Windows 10 già presenti su due dischi separatamente e installati su uno stesso PC.

== Aggiungere Windows 10 al Boot Loader ==

=== 1. Aprire il Prompt dei Comandi come Amministratore ===
Clicca con il tasto destro sul pulsante Start e seleziona ''Windows Terminal (Amministratore)'' o ''Prompt dei comandi (Amministratore)''.

=== 2. Creare un Nuovo Boot Entry ===
Digita il seguente comando per copiare l'entry di Windows 11 e creare una nuova entry per Windows 10:
<pre>
C:\Windows\System32>bcdedit /copy {current} /d "Windows 10"
La voce è stata copiata correttamente in {99e12345-7e74-12ec-1234-cec456456456}.
</pre>

Questo comando copierà l'entry corrente (Windows 11) e dandogli il nuovo nome "Windows 10". Dopo aver eseguito il comando, annota l'identificatore GUID che verrà restituito, poiché lo userai nei passaggi successivi.

=== 3. Modificare il Nuovo Boot Entry ===
Ora dovrai impostare il percorso del disco e della partizione per Windows 10. Esegui il seguente comando, sostituendo <nowiki>GUID</nowiki> con l'identificatore ottenuto nel passaggio precedente e specificando il corretto disco e partizione in cui è installato Windows 10:
<pre>
bcdedit /set {GUID} device partition=B:
bcdedit /set {GUID} path \Windows\System32\winload.exe
bcdedit /set {GUID} osdevice partition=B:
bcdedit /set {GUID} description "Windows 10"
</pre>

Assicurati di sostituire B: con la lettera dell'unità corretta in cui è installato Windows 10.

=== 4. Impostare l'Ordine di Visualizzazione ===
Per assicurarti che l'entry di Windows 10 appaia nel menu di avvio, puoi modificare l'ordine delle voci nel boot loader. Usa questo comando:
<pre>
bcdedit /displayorder {GUID} /addlast
</pre>

Questo comando aggiungerà l'entry di Windows 10 alla fine del menu di avvio.

=== Verifica e Riavvio ===
Dopo aver eseguito questi passaggi, riavvia il computer. Dovresti vedere un menu di avvio che ti permette di scegliere tra Windows 11 e Windows 10. Se non appare, potrebbe essere necessario controllare le impostazioni del BIOS/UEFI per assicurarti che il boot manager di Windows sia impostato come dispositivo di avvio primario.

Clicca sul pulsante Start di Windows e cerca msconfig, comparirà la voce "Configurazione di Sistema". Aprendo la finestra seleziona il tab in alto "Opzioni di Avvio" e verifica la presenza della seconda entry in lista, da qui puoi cambiare l'ordine del boot e impostare il timeout sulla schermata di scelta del boot che comparirà al prossimo riavvio.

Se hai bisogno di ulteriori modifiche o se riscontri problemi, puoi sempre tornare al Prompt dei comandi e utilizzare ''bcdedit'' per apportare le modifiche necessarie.

Configurazione o ripristino dual boot Windows 11 e Windows 10 già installati

2024-08-29T17:59:37Z

Luigi.dacunto: Creata pagina con "{{Procedure_Windows}} ==Introduzione== La procedura di seguito è stata testate ed eseguita per il ripristino di un dual boot con Windows 11 e Windows 10 già presenti su due..."

{{Procedure_Windows}}

==Introduzione==
La procedura di seguito è stata testate ed eseguita per il ripristino di un dual boot con Windows 11 e Windows 10 già presenti su due dischi separatamente e installati su uno stesso PC.

== Aggiungere Windows 10 al Boot Loader ==

=== 1. Aprire il Prompt dei Comandi come Amministratore ===
Clicca con il tasto destro sul pulsante Start e seleziona ''Windows Terminal (Amministratore)'' o ''Prompt dei comandi (Amministratore)''.

=== 2. Creare un Nuovo Boot Entry ===
Digita il seguente comando per copiare l'entry di Windows 11 e creare una nuova entry per Windows 10:
<syntaxhighlight lang="bash">
C:\Windows\System32>bcdedit /copy {current} /d "Windows 10"
La voce è stata copiata correttamente in {99e12345-7e74-12ec-1234-cec456456456}.
</syntaxhighlight>

Questo comando copierà l'entry corrente (Windows 11) e dandogli il nuovo nome "Windows 10". Dopo aver eseguito il comando, annota l'identificatore GUID che verrà restituito, poiché lo userai nei passaggi successivi.

=== 3. Modificare il Nuovo Boot Entry ===
Ora dovrai impostare il percorso del disco e della partizione per Windows 10. Esegui il seguente comando, sostituendo <nowiki>GUID</nowiki> con l'identificatore ottenuto nel passaggio precedente e specificando il corretto disco e partizione in cui è installato Windows 10:
<syntaxhighlight lang="bash">
bcdedit /set {GUID} device partition=B:
bcdedit /set {GUID} path \Windows\System32\winload.exe
bcdedit /set {GUID} osdevice partition=B:
bcdedit /set {GUID} description "Windows 10"
</syntaxhighlight>

Assicurati di sostituire B: con la lettera dell'unità corretta in cui è installato Windows 10.

=== 4. Impostare l'Ordine di Visualizzazione ===
Per assicurarti che l'entry di Windows 10 appaia nel menu di avvio, puoi modificare l'ordine delle voci nel boot loader. Usa questo comando:
<syntaxhighlight lang="bash">
bcdedit /displayorder {GUID} /addlast
</syntaxhighlight>

Questo comando aggiungerà l'entry di Windows 10 alla fine del menu di avvio.

=== Verifica e Riavvio ===
Dopo aver eseguito questi passaggi, riavvia il computer. Dovresti vedere un menu di avvio che ti permette di scegliere tra Windows 11 e Windows 10. Se non appare, potrebbe essere necessario controllare le impostazioni del BIOS/UEFI per assicurarti che il boot manager di Windows sia impostato come dispositivo di avvio primario.

Clicca sul pulsante Start di Windows e cerca msconfig, comparirà la voce "Configurazione di Sistema". Aprendo la finestra seleziona il tab in alto "Opzioni di Avvio" e verifica la presenza della seconda entry in lista, da qui puoi cambiare l'ordine del boot e impostare il timeout sulla schermata di scelta del boot che comparirà al prossimo riavvio.

Se hai bisogno di ulteriori modifiche o se riscontri problemi, puoi sempre tornare al Prompt dei comandi e utilizzare ''bcdedit'' per apportare le modifiche necessarie.

Pagina principale

2024-08-29T17:49:11Z

Luigi.dacunto:

{{Benvenuto}}

__NOTOC__

==Titoli disponibili==

===Ambienti Windows===
====Esempi Comandi====
* [[Robocopy Esempi di Utilizzo]]
====Scripting====

====Procedure====
* [[Configurazione o ripristino dual boot Windows 11 e Windows 10 già installati]]

===Ambienti Linux===
====Esempi Comandi====
* [[rsync Esempi di Utilizzo]]
* [[tar Esempi di Utilizzo]]

====Scripting====
* [[Aggiungere packages.sury.org repository]]
* [[Certbot (v. 0.28.0+) renew in Crontab]]

====Procedure====
* [[Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x]]
* [[Come configurare il tagging VLAN 802.1Q su Debian 10 (Buster)]]

====Configurazioni====
* [[Profile, history]]
* [[Bash, Alias]]
* [[SSHD]]

Come configurare il tagging VLAN 802.1Q su Debian 10 (Buster)

2020-09-14T22:30:50Z

Luigi.dacunto:

{{Procedure_Linux}}

==Introduzione==
Guida rapida alla configurazione per il tagging VLAN 802.1Q su un'interfaccia di rete Linux.

==Aggiungere modulo==
Aggiungere nel file /etc/modules il modulo "8021q", semplicemente entrando nella modifica del file e aggiungendo il modulo alla lista.

:# nano /etc/modules

:# cat /etc/modules
# /etc/modules: kernel modules to load at boot time.
#
# This file contains the names of kernel modules that should be loaded
# at boot time, one per line. Lines beginning with "#" are ignored.

8021q

==Configurazione per l'interfaccia di rete==
Modificare il file con lo script di configurazione delle interfacce di rete, seguendo questo schema, nell'esempio l'interfaccia di rete utilizzata è chiamata "ens10" andrà chiaramente modificata con il nome dell'interfaccia sul proprio sistema:

:# nano /etc/network/interfaces

# The loopback network interface
auto lo
iface lo inet loopback

auto ens10.100
iface ens10.100 inet static
address 172.16.0.10
netmask 255.255.255.0
broadcast 172.16.0.255
gateway 172.16.0.1
dns-nameservers 8.8.8.8 8.8.4.4
vlan-raw-device ens10

Nell'esempio è stata aggiunta una configurazione per l'interfaccia '''ens10''' per la '''VLAN 100''' con indirizzo ip statico '''172.16.0.10'''

Come configurare il tagging VLAN 802.1Q su Debian 10 (Buster)

2020-09-14T22:28:28Z

Luigi.dacunto: Creata pagina con "==Introduzione== Guida rapida alla configurazione per il tagging VLAN 802.1Q su un'interfaccia di rete Linux. ==Aggiungere modulo== Aggiungere nel file /etc/modules il modulo..."

==Introduzione==
Guida rapida alla configurazione per il tagging VLAN 802.1Q su un'interfaccia di rete Linux.

==Aggiungere modulo==
Aggiungere nel file /etc/modules il modulo "8021q", semplicemente entrando nella modifica del file e aggiungendo il modulo alla lista.

:# nano /etc/modules

:# cat /etc/modules
# /etc/modules: kernel modules to load at boot time.
#
# This file contains the names of kernel modules that should be loaded
# at boot time, one per line. Lines beginning with "#" are ignored.

8021q

==Configurazione per l'interfaccia di rete==
Modificare il file con lo script di configurazione delle interfacce di rete, seguendo questo schema, nell'esempio l'interfaccia di rete utilizzata è chiamata "ens10" andrà chiaramente modificata con il nome dell'interfaccia sul proprio sistema:

:# nano /etc/network/interfaces

# The loopback network interface
auto lo
iface lo inet loopback

auto ens10.100
iface ens10.100 inet static
address 172.16.0.10
netmask 255.255.255.0
broadcast 172.16.0.255
gateway 172.16.0.1
dns-nameservers 8.8.8.8 8.8.4.4
vlan-raw-device ens10

Nell'esempio è stata aggiunta una configurazione per l'interfaccia '''ens10''' per la '''VLAN 100''' con indirizzo ip statico '''172.16.0.10'''

Pagina principale

2020-09-14T22:19:28Z

Luigi.dacunto: /* Procedure */

{{Benvenuto}}

__NOTOC__

==Titoli disponibili==

===Ambienti Windows===
====Esempi Comandi====
* [[Robocopy Esempi di Utilizzo]]
====Scripting====

====Procedure====

===Ambienti Linux===
====Esempi Comandi====
* [[rsync Esempi di Utilizzo]]
* [[tar Esempi di Utilizzo]]

====Scripting====
* [[Aggiungere packages.sury.org repository]]
* [[Certbot (v. 0.28.0+) renew in Crontab]]

====Procedure====
* [[Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x]]
* [[Come configurare il tagging VLAN 802.1Q su Debian 10 (Buster)]]

====Configurazioni====
* [[Profile, history]]
* [[Bash, Alias]]
* [[SSHD]]

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2020-07-14T22:05:21Z

Luigi.dacunto: /* Sincronizza Orologio di Sistema */

{{Procedure_Linux}}

==Introduzione==
La pagina seguente descrive i passaggi necessari per la rapida configurazione di un WebServer basato su OS Debian 10. In questo specifico esempio verrà riportata la procedura per installare Apache2, MariaDB e un PureFTPD, il tutto orchestrato da ISPConfig 3.x.

L'intera guida prevede l'utilizzo dell'utente root.

==Preliminari==
Puoi partire da un'installazione minimale di Debian 10. Partiamo con un upgrade dei pacchetti presenti nel caso in cui la macchina sia già preinstallata da un'immagine base.

Innanzitutto, assicurati che il file ''/etc/apt/sources.list'' contenga il repository ''buster/updates'' (questo ti assicura di ottenere sempre gli aggiornamenti di sicurezza più recenti) e che ''contrib'' e ''non-free'' repositori siano abilitati poiché alcuni pacchetti richiesti non sono nel repositorio principale:

nano /etc/apt/sources.list

Gli url nello specifico potrebbero apparire diversi in base alla localizzazione del vostro server, se si tratta di una macchina pubblica su un ISP estero, potrebbero puntare a repositori più vicini geograficamente perchè più veloci, quindi se non si è sicuri di modificare l'url specifico del repositorio meglio lasciare quello che troviamo aggiungendo solo i paramtri sopra citati rendendo il file simile a questo:

deb <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free
deb-src <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free

deb <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free
deb-src <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free

A questo punto facciamo un aggiornamento, in caso fosse necessario.

apt update
apt -y upgrade

===Installazione SSH Server (Opzionale)===
Se non è stato già installato in precedenza è il momento di procedere con l'installazione di OpenSSH Server

apt install -y ssh openssh-server

===Installazione editor di testo (Opzionale)===
Puoi scegliere l'editor che preferisci, per complilare questa guida è stato utilizzato ''nano'' ma se preferisci puoi usare ''vi''. Sui sistemi Debian il ''vi'' di default ha qualche strano comportamento per risolvere il problema installiamo ''vim-nox''

apt install -y nano vim-nox

===Configurazione hostname===
L'hostname del tuo server dovrebbe risultare come dominio di terzo livello tipo questo "''server1.miodominio.ext''". Non usare direttamente un dominio di secondo livello per configurare l'hostname del server come "''miodominio.ext''", questo potrebbe causare problemi più avanti se decidessi di utilizzare il server per installare e configurare anche i servizi per utilizzare la macchina anche come Mail Server.
Ci sono due file da configurare per questo passaggio: hostname e hosts.

nano /etc/hosts

che dovrebbe diventare qualcosa di simile per la nostra configurazione di prova "server1.miodominio.ext":

127.0.0.1 localhost.localdomain localhost
192.168.0.100 server1.miodominio.ext server1

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Successivamente editiamo il file hostname, qundi

nano /etc/hostname

sostituendo (se non è già stato inserito correttamente in fase di installazione) il nome dell'host

server1

a questo punto riavviamo il server

systemctl reboot

Una volta effettuato l'accesso nuovamente, controlliamo le modifiche apportate con i comandi:

hostname
hostname -f

che dovrebbero restituire un output di questo tipo:

root@server1:/~# hostname
server1
root@server1:/~# hostname -f
server1.miodominio.ext

===Cambiare la Shell di Default===

/bin/sh è un collegamento simbolico a /bin/dash, per far funzionare l'installazione di IPSConfig abbiamo bisogno di /bin/bash, non di /bin/dash. Possiamo fare queste seguendo quanto segue:

dpkg-reconfigure dash

''Use dash as the default system shell (/bin/sh)?'' <-- No

Se non si effettua tale modifica, l'installazione di ISPConfig fallirà.

===Sincronizza Orologio di Sistema===
È una buona idea sincronizzare l'orologio di sistema con '''NTP''' (Network Time Protocol) tramite internet. Lasciando il comando:

apt install -y ntp

Il sistema sarà così tenuto sincronizzato con l'orario corretto.

===Installazione e default di OpenSSL===
Installiaamo il pacchetto openssl, utilità per i protocolli crittografici SSL e TLS per la comunicazione sicura su internet:

apt install -y openssl

Ora possiamo configurare i dati di default che vengono utilizzati alla creazione di certificati e chiavi di sicurezza, editando il file:

nano /etc/ssl/openssl.cnf

Cerchiamo in questo file la sezione "''[ req_distinguished_name ]''" andando a settare i parametri "''_default''" ed editiamoli con i dati che preferiamo (questo passaggio è opzionale), segnati in Rosso i parametri da modificare o aggiungere:

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = IT
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Italy

localityName = Locality Name (eg, city)
localityName_default = Rome

0.organizationName = Organization Name (eg, company)
0.organizationName_default = My Organization Name

# we can do this but it is not needed normally :-)
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd

organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = IT Department

commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = server1.miodominio.ext

emailAddress = Email Address
emailAddress_max = 64
emailAddress_default = itsysadmin@miodominio.ext

Salviamo e chiudiamo il file.

===Utilità varie===
Passiamo ad installare in via preliminare alcuni pacchetti che possono aiutarci successivamente con le funzioni del server e con alcuni strumenti che potranno farci comodo:

Antivirus
apt install -y clamav clamav-daemon clamav-docs

Librerie e tool
apt install -y rkhunter binutils sudo build-essential autoconf automake libtool bison debhelper daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl apt-listchanges libnet-ldap-perl libauthen-sasl-perl libdbd-mysql-perl

Compressione Files
apt install -y unzip bzip2 arj nomarch lzop cabextract p7zip p7zip-full unrar lrzip zip

==Installazione dei servizi==
Iniziamo ad installare e configurare i vari servizi necessari al nostro Web Server. Verranno inseriti dei link laddove è possibile installare servizi aggiuntivi per aggiungere funzionalità al server, quali E-mail o DNS ecc.

===Database===
A questo punto possiamo installare il database, in questo esempio verrà usato MariaDB:

apt install -y mariadb-client mariadb-server

Per mettere in sicurezza l'installazione di MariaDB lanciamo il comando

mysql_secure_installation

rispondiamo alle domande nel seguente modo:

Change the root password? [Y/n] <-- y
New password: <-- Inserire una nuova password per l'utente root di MariaDB
Re-enter new password: <-- Riipeti la password per l'utente root di MariaDB
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Remove test database and access to it? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

Per motivi di sicurezza MariaDB, come MySQL, ha impostato di default il parametro bind-address=127.0.0.1 così da accettare solo le richieste provenienti da localhost. Nel caso avessimo bisogno di permettere l'accesso da altre fonti, proteggendo poi la porta magari tramite il firewall così da filtrare comunque le eventuali richieste da indirizzi indesiderati, abbiamo la necessità di modificare tale parametro. Possiamo commentare la riga in questione oppure aggiungere specifici sorgenti da cui desideriamo abilitare le richieste:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address = 127.0.0.1
[...]

Settiamo ora il "password authentication method" su "native" se vogliamo abilitare la possibilità di connettersi al database con l'utenza di root utilizzando il PHPMyAdmin:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Modifichiamo il file "/etc/mysql/debian.cnf" e imposta lì la password di root MYSQL/MariaDB nelle righe che iniziano con la parola password:

nano /etc/mysql/debian.cnf

La password da inserire è di seguito mostrata in rosso:

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
basedir = /usr

Per prevenire l'errore "'''Error in accept: Too many open files'''" impostiamo i limiti per i file aperti più eleventi per il MariaDB:

nano /etc/security/limits.conf

Aggiungiamo queste due righe alla fine del file:

mysql soft nofile 65535
mysql hard nofile 65535

Creiamo una nuova directory "/etc/systemd/system/mysql.service.d/" con il comando mkdir.

mkdir -p /etc/systemd/system/mysql.service.d/

e aggiungiamo all'interno un file chiamato "limits.conf"

nano /etc/systemd/system/mysql.service.d/limits.conf

all'interno di questo file incolliamo quanto segue:

[Service]
LimitNOFILE=infinity

Salviamo il file. Lanciamo un reload di systemd e riavviamo il servizio MariaDB:

systemctl daemon-reload
systemctl restart mariadb

Possiamo controllare ora che il servizio sia in esecuzione e che le connesioni di rete siano abilitate:

netstat -tap | grep mysql

ottenendo un output simile a questo

root@server1:~# netstat -tap | grep mysql
tcp 0 0 0.0.0.0:mysql 0.0.0.0:* LISTEN 28655/mysqld

===Apache e PHP===
Siamo pronti per procedere con l'installazione di Apache e PHP (verrà così installata la versione di default del repository di sistema):

apt install -y apache2 apache2-doc apache2-utils libapache2-mod-php php php-common php-gd php-mysql php-imap php-cli php-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear mcrypt imagemagick libruby libapache2-mod-python php-curl php-intl php-pspell php-recode php-sqlite3 php-tidy php-xmlrpc php-xsl memcached php-memcache php-imagick php-gettext php-zip php-mbstring memcached libapache2-mod-passenger php-soap php-fpm php-opcache php-apcu

Fatti ciò eseguiamo il seguente comando per abilitare i moduli di Apache suexec, rewrite, ssl, actions e include (più ''dav dav_fs auth_digest'' se si desidera utilizzare WebDAV):

a2enmod suexec rewrite ssl actions include cgi headers actions proxy_fcgi alias

Per garantire che il server non possa essere attaccato attraverso la vulnerabilità HTTPOXY, disabilitiamo l'intestazione HTTP_PROXY in Apache a livello globale aggiungendo il file di configurazione ''/etc/apache2/conf-available/httpoxy.conf'':

'''Nota Bene''': la vulnerabilità in questione è denominata '''httpoxy''' (senza 'r') e quindi il file in cui viene aggiunta la configurazione per impedirne l'utilizzo è chiamato '''httpoxy.conf''' e non '''httproxy.conf''', quindi non manca 'r' nel nome del file.

nano /etc/apache2/conf-available/httpoxy.conf

incolliamo quanto segue all'interno del file creato

<IfModule mod_headers.c>
RequestHeader unset Proxy early
</IfModule>

per abilitare il modulo e la configurazione aggiunta:

a2enconf httpoxy
systemctl restart apache2

===Let's Encrypt===
Da ISPConfig 3.1 è stato aggiunto il supporto per la Certificate Authority SSL gratuita di Let's encrypt. La funzione Let's Encrypt ti consente di creare certificati SSL gratuiti per il tuo sito web da ISPConfig.

Aggiungiamo quindi il supporto per Let's Encrypt:

cd /usr/local/bin
wget <nowiki>https://dl.eff.org/certbot-auto</nowiki>
chmod a+x certbot-auto
./certbot-auto --install-only

Non sono necessari ulteriori passaggi per l'installazione di LE. I certificati SSL del sito Web vengono creati da ISPConfig quando si aggiungono i siti Web.

===PureFTPd===
Procediamo ora con l'installazione del demone FTP, in questa guida utilizziamo PureFTPd:

apt install -y pure-ftpd-common pure-ftpd-mysql

Creaiamo il file ''dhparam'' per pure-ftpd:

openssl dhparam -out /etc/ssl/private/pure-ftpd-dhparams.pem 2048

Editiamo il file di configurazione ''/etc/default/pure-ftpd-common''

nano /etc/default/pure-ftpd-common

Assicuriamoci che la modalità di avvio sia impostata su ''standalone'' e il parametro VIRTUALCHROOT sia impostato a ''true''

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Ora configuriamo PureFTPd per consentire sessioni FTP e TLS. FTP è un protocollo molto insicuro perché tutte le password e tutti i dati sono trasferiti in chiaro. Utilizzando TLS, l'intera comunicazione può essere crittografata, rendendo così FTP molto più sicuro.

Eseguiamo i comandi:

echo 1 > /etc/pure-ftpd/conf/TLS

Per utilizzare TLS, dobbiamo creare un certificato SSL. Lo creiamo in ''/etc/ssl/private/'', creiamo prima quella directory:

mkdir -p /etc/ssl/private/

Successivamente, possiamo generare il certificato SSL come segue:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

se abbiamo editato il file di configurazione di openssl a questo punto basterà premere invio ad ogni parametro perchè verrà impostato con il default impostato nel file di configurazione che compariranno tra le parentesi quadre ''[]'' ad ogni riga:

Country Name (2 letter code) [AU]: <-- Immettere le iniziali della propria nazione (es "IT").
State or Province Name (full name) [Some-State]: <-- Immettere stato o provincia.
Locality Name (eg, city) []: <-- Immettere città.
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Immettere nome della tua organizzazione o azienda.
Organizational Unit Name (eg, section) []: <-- Immettere il nome del dipartimento interessato (es "IT Department").
Common Name (eg, YOUR name) []: <-- Immettere il nome di dominio completo del sistema (ad esempio "server1.miodominio.com").
Email Address []: <-- Immettere il tuo indirizzo e-mail.

Modifichiamo le autorizzazioni del certificato SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Restartiamo il servizio PureFTPd:

systemctl restart pure-ftpd-mysql

===Webalizer e AWStats (Opzionale)===
Possiamo installare questi due tool nel modo seguente:

apt install -y webalizer awstats geoip-database libclass-dbi-mysql-perl libtimedate-perl

Pariamo "''/etc/cron.d/awstats''"

nano /etc/cron.d/awstats

e commentiamo tutto il file:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generate static reports:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

===Jailkit===
Jailkit è un insieme di utilità per limitare gli account utente a file specifici utilizzando chroot () e o comandi specifici. Configurare una shell chroot, una shell limitata a un comando specifico o un demone all'interno di una prigione chroot è molto più semplice e può essere automatizzato usando queste utility.

Prepariamo il pacchetto per l'installazione partendo dei sorgenti:

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz
tar xvfz jailkit-2.20.tar.gz
cd jailkit-2.20
echo 5 > debian/compat
./debian/rules binary

Ora possiamo installare il Jailkit ''.deb'' come segue:

cd ..
dpkg -i jailkit_2.20-1_*.deb
rm -rf jailkit-2.20*

===fail2ban===
Opzionale ma molto raccomandata, l'installazione di fail2ban.

apt install -y fail2ban

Per abilitare fail2ban al monitoraggio delle operazioni sull'FTP creiamo il file ''/etc/fail2ban/jail.local''

nano /etc/fail2ban/jail.local

E nel file il seguente testo

[pure-ftpd]
enabled = true
port = ftp
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3

Restartiamo il servizio

systemctl restart fail2ban

===PHPMyAdmin===
Dalla versione 10 di Debian, PHPMyAdmin non è più disponibile come pacchetto .deb. Pertanto lo installeremo dai sorgenti:
Creiamo la struttura di base:

mkdir /usr/share/phpmyadmin
mkdir /etc/phpmyadmin
mkdir -p /var/lib/phpmyadmin/tmp
chown -R www-data:www-data /var/lib/phpmyadmin
touch /etc/phpmyadmin/htpasswd.setup

Spostiamoci nella directory /tmp per scaricare lo zip dei sorgenti per poi posizionarli nel path creatogli

cd /tmp
wget https://files.phpmyadmin.net/phpMyAdmin/4.9.0.1/phpMyAdmin-4.9.0.1-all-languages.tar.gz

tar xfz phpMyAdmin-4.9.0.1-all-languages.tar.gz
mv phpMyAdmin-4.9.0.1-all-languages/* /usr/share/phpmyadmin/
rm phpMyAdmin-4.9.0.1-all-languages.tar.gz
rm -rf phpMyAdmin-4.9.0.1-all-languages

Creiamo un nuovo file di configurazione partendo dal file di configurazione d'esempio e poi modifichiamolo nelle parti necessarie:

cp /usr/share/phpmyadmin/config.sample.inc.php /usr/share/phpmyadmin/config.inc.php
nano /usr/share/phpmyadmin/config.inc.php

Impostiamo una password sicura (blowfish secret) deve essere lunga 32 caratteri

$cfg['blowfish_secret'] = '<QUi la password. non verrà richiesta>'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

Quindi aggiungiamo una riga per impostare la directory che PHPMyAdmin dovrà usare per archiviare i file temporanei:

$cfg['TempDir'] = '/var/lib/phpmyadmin/tmp';

Successivamente, creiamo il file di configurazione di Apache per PHPMyAdmin aprendo un nuovo file in nano editor:

nano /etc/apache2/conf-available/phpmyadmin.conf

Possiamo incollare nel file la seguente configurazione (se sono stati seguiti tutti i passi come da guida, creati gli stessi path con gli stessi nomi altrimenti andrà modificata in base le esigenze):

# phpMyAdmin default Apache configuration

Alias /phpmyadmin /usr/share/phpmyadmin

<Directory /usr/share/phpmyadmin>
Options FollowSymLinks
DirectoryIndex index.php

<IfModule mod_php7.c>
AddType application/x-httpd-php .php

php_flag magic_quotes_gpc Off
php_flag track_vars On
php_flag register_globals Off
php_value include_path .
</IfModule>

</Directory>

# Authorize for setup
<Directory /usr/share/phpmyadmin/setup>
<IfModule mod_authn_file.c>
AuthType Basic
AuthName "phpMyAdmin Setup"
AuthUserFile /etc/phpmyadmin/htpasswd.setup
</IfModule>
Require valid-user
</Directory>

# Disallow web access to directories that don't need it
<Directory /usr/share/phpmyadmin/libraries>
Order Deny,Allow
Deny from All
</Directory>
<Directory /usr/share/phpmyadmin/setup/lib>
Order Deny,Allow
Deny from All
</Directory>

Attiviamo la configurazione appena aggiunta e riavviamo Apache.

a2enconf phpmyadmin
systemctl restart apache2

Nel passaggio successivo, configureremo l'archivio di configurazione phpMyadmin (database).

Accediamo a MariaDB come utente root:

mysql -u root -p

Nella shell MariaDB, creaiamo un nuovo database e un utente per PHPMyAdmin e diamo i privilegi necessari all'utente creato relativamente per il nuovo database creato
immettiamo una password sicura per l'utente pma che stiamo creando sia nella creazione sia nel settaggio dei Privilegi dell'utente:

MariaDB [(none)]> CREATE DATABASE phpmyadmin;
MariaDB [(none)]> CREATE USER 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma';
MariaDB [(none)]> GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma' WITH GRANT OPTION;
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> EXIT;

Infine, carichiamo le tabelle SQL nel database:

mysql -u root -p phpmyadmin < /usr/share/phpmyadmin/sql/create_tables.sql

Quello che dobbiamo fare ora è impostare i dettagli dell'utente phpmyadmin nel file di configurazione. Apriamo di nuovo il file in nano editor:

nano /usr/share/phpmyadmin/config.inc.php

Scorriamo il file fino a trovare alle linee riportate sopra ed editiamole o decommentiamole se necessario, impostando i parametri necessari tra cui utente e password appena creati per phpmyadmi:

/* User used to manipulate with storage */
$cfg['Servers'][$i]['controlhost'] = 'localhost';
$cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = 'passwordperlutentepma';

/* Storage database and tables */
$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';
$cfg['Servers'][$i]['bookmarktable'] = 'pma__bookmark';
$cfg['Servers'][$i]['relation'] = 'pma__relation';
$cfg['Servers'][$i]['table_info'] = 'pma__table_info';
$cfg['Servers'][$i]['table_coords'] = 'pma__table_coords';
$cfg['Servers'][$i]['pdf_pages'] = 'pma__pdf_pages';
$cfg['Servers'][$i]['column_info'] = 'pma__column_info';
$cfg['Servers'][$i]['history'] = 'pma__history';
$cfg['Servers'][$i]['table_uiprefs'] = 'pma__table_uiprefs';
$cfg['Servers'][$i]['tracking'] = 'pma__tracking';
$cfg['Servers'][$i]['userconfig'] = 'pma__userconfig';
$cfg['Servers'][$i]['recent'] = 'pma__recent';
$cfg['Servers'][$i]['favorite'] = 'pma__favorite';
$cfg['Servers'][$i]['users'] = 'pma__users';
$cfg['Servers'][$i]['usergroups'] = 'pma__usergroups';
$cfg['Servers'][$i]['navigationhiding'] = 'pma__navigationhiding';
$cfg['Servers'][$i]['savedsearches'] = 'pma__savedsearches';
$cfg['Servers'][$i]['central_columns'] = 'pma__central_columns';
$cfg['Servers'][$i]['designer_settings'] = 'pma__designer_settings';
$cfg['Servers'][$i]['export_templates'] = 'pma__export_templates';

Sono di sopra riportate e segnate in rosso le linee modificate. Sostituisci "passwordperlutentepma" con la password che è stata impostata per l'utente phpmyadmin. Nota che anche "//" davanti alle linee è stato rimosso!.

==ISPConfig==
Procediamo quindi con l'installazione di ISPConfig. Scarichiamo l'ultima versione stabile rilasciata:

cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install/

Lanciamo quindi lo script per eseguire l'installazione:

php -q install.php

Ciò avvierà il programma di installazione ISPConfig 3. Il programma di installazione configurerà tutti i servizi installati e l'interfaccia web per gestire il nuovo webserver.

>> Initial configuration
Operating System: Debian 10.0 (Buster) or compatible
Following will be a few questions for primary configuration so be careful.
Default values are in [brackets] and can be accepted with <ENTER>.
Tap in "quit" (without the quotes) to stop the installer.

Select language (en,de) [en]: <-- Premere Invio
Installation mode (standard,expert) [standard]: <-- Premere Invio
Full qualified hostname (FQDN) of the server, eg server1.domain.tld [server1.example.com]: <-- Premere Invio
MySQL server hostname [localhost]: <-- Premere Invio
MySQL server port [3306]: <-- Premere Invio
MySQL root username [root]: <-- Premere Invio
MySQL root password []: <-- Inseriamo la password dell'utente root per MariaDB
MySQL database to create [dbispconfig]: <-- Premere Invio
MySQL charset [utf8]: <-- Premere Invio

Configuring Jailkit
Configuring Pureftpd
Configuring Apache
Configuring vlogger
Configuring Fail2ban
Installing ISPConfig
ISPConfig Port [8080]: <-- Premere invio se vogliamo utilizzare la porta 8080, altrimenti inserire una porta diversa per accedere al pannello di gestione di ISPConfig (ricordiamoci di aprire la porta sul Firewall se ne abbiamo uno sia software che fisico)
Admin password [admin]: <--Inseriamo una password per l'utente Admin con cui utilizzare il Pannello Web di ISPConfig

Do you want a secure (SSL) connection to the ISPConfig web interface (y,n) [y]: <-- Premere Invio
Generating RSA private key, 4096 bit long modulus
.......................++
................................................................................................................................++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: <-- Enter 2 letter country code
State or Province Name (full name) [Some-State]: <-- Enter the name of the state
Locality Name (eg, city) []: <-- Enter your city
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Enter company name or press enter
Organizational Unit Name (eg, section) []: <-- Premere Invio
Common Name (e.g. server FQDN or YOUR name) []: <-- Enter the server hostname, in my case: server1.example.com
Email Address []: <-- Premere Invio
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: <-- Premere Invio
An optional company name []: <-- Premere Invio
writing RSA key

Configuring DBServer
Installing ISPConfig crontab
no crontab for root
Detect IP addresses
Restarting services ...
Installation completed.

Successivamente è possibile accedere a ISPConfig 3 in http(s)://server1.miodominio.com:8080/ o http(s)://192.168.0.100:8080/ (http o https dipende da ciò che è stato scelto durante l'installazione, come l'indirizzo IP da inserire dipende dalla configurazione del server, se vogliamo che risponda un nome a dominio come server1.miodominio.com:8080 andranno chiaramente configurati dei DNS con relativo Record A per il nome a dominio). Accedi con il nome utente admin e la password admin.

[[Category:Webserver]]
[[Category:Apache2]]
[[Category:PHP]]
[[Category:MariaDB]]
[[Category:ISPConfig]]

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2020-03-02T01:14:52Z

Luigi.dacunto: /* Database */

{{Procedure_Linux}}

==Introduzione==
La pagina seguente descrive i passaggi necessari per la rapida configurazione di un WebServer basato su OS Debian 10. In questo specifico esempio verrà riportata la procedura per installare Apache2, MariaDB e un PureFTPD, il tutto orchestrato da ISPConfig 3.x.

L'intera guida prevede l'utilizzo dell'utente root.

==Preliminari==
Puoi partire da un'installazione minimale di Debian 10. Partiamo con un upgrade dei pacchetti presenti nel caso in cui la macchina sia già preinstallata da un'immagine base.

Innanzitutto, assicurati che il file ''/etc/apt/sources.list'' contenga il repository ''buster/updates'' (questo ti assicura di ottenere sempre gli aggiornamenti di sicurezza più recenti) e che ''contrib'' e ''non-free'' repositori siano abilitati poiché alcuni pacchetti richiesti non sono nel repositorio principale:

nano /etc/apt/sources.list

Gli url nello specifico potrebbero apparire diversi in base alla localizzazione del vostro server, se si tratta di una macchina pubblica su un ISP estero, potrebbero puntare a repositori più vicini geograficamente perchè più veloci, quindi se non si è sicuri di modificare l'url specifico del repositorio meglio lasciare quello che troviamo aggiungendo solo i paramtri sopra citati rendendo il file simile a questo:

deb <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free
deb-src <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free

deb <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free
deb-src <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free

A questo punto facciamo un aggiornamento, in caso fosse necessario.

apt update
apt -y upgrade

===Installazione SSH Server (Opzionale)===
Se non è stato già installato in precedenza è il momento di procedere con l'installazione di OpenSSH Server

apt install -y ssh openssh-server

===Installazione editor di testo (Opzionale)===
Puoi scegliere l'editor che preferisci, per complilare questa guida è stato utilizzato ''nano'' ma se preferisci puoi usare ''vi''. Sui sistemi Debian il ''vi'' di default ha qualche strano comportamento per risolvere il problema installiamo ''vim-nox''

apt install -y nano vim-nox

===Configurazione hostname===
L'hostname del tuo server dovrebbe risultare come dominio di terzo livello tipo questo "''server1.miodominio.ext''". Non usare direttamente un dominio di secondo livello per configurare l'hostname del server come "''miodominio.ext''", questo potrebbe causare problemi più avanti se decidessi di utilizzare il server per installare e configurare anche i servizi per utilizzare la macchina anche come Mail Server.
Ci sono due file da configurare per questo passaggio: hostname e hosts.

nano /etc/hosts

che dovrebbe diventare qualcosa di simile per la nostra configurazione di prova "server1.miodominio.ext":

127.0.0.1 localhost.localdomain localhost
192.168.0.100 server1.miodominio.ext server1

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Successivamente editiamo il file hostname, qundi

nano /etc/hostname

sostituendo (se non è già stato inserito correttamente in fase di installazione) il nome dell'host

server1

a questo punto riavviamo il server

systemctl reboot

Una volta effettuato l'accesso nuovamente, controlliamo le modifiche apportate con i comandi:

hostname
hostname -f

che dovrebbero restituire un output di questo tipo:

root@server1:/~# hostname
server1
root@server1:/~# hostname -f
server1.miodominio.ext

===Sincronizza Orologio di Sistema===
È una buona idea sincronizzare l'orologio di sistema con '''NTP''' (Network Time Protocol) tramite internet. Lasciando il comando:

apt install -y ntp

Il sistema sarà così tenuto sincronizzato con l'orario corretto.

===Installazione e default di OpenSSL===
Installiaamo il pacchetto openssl, utilità per i protocolli crittografici SSL e TLS per la comunicazione sicura su internet:

apt install -y openssl

Ora possiamo configurare i dati di default che vengono utilizzati alla creazione di certificati e chiavi di sicurezza, editando il file:

nano /etc/ssl/openssl.cnf

Cerchiamo in questo file la sezione "''[ req_distinguished_name ]''" andando a settare i parametri "''_default''" ed editiamoli con i dati che preferiamo (questo passaggio è opzionale), segnati in Rosso i parametri da modificare o aggiungere:

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = IT
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Italy

localityName = Locality Name (eg, city)
localityName_default = Rome

0.organizationName = Organization Name (eg, company)
0.organizationName_default = My Organization Name

# we can do this but it is not needed normally :-)
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd

organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = IT Department

commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = server1.miodominio.ext

emailAddress = Email Address
emailAddress_max = 64
emailAddress_default = itsysadmin@miodominio.ext

Salviamo e chiudiamo il file.

===Utilità varie===
Passiamo ad installare in via preliminare alcuni pacchetti che possono aiutarci successivamente con le funzioni del server e con alcuni strumenti che potranno farci comodo:

Antivirus
apt install -y clamav clamav-daemon clamav-docs

Librerie e tool
apt install -y rkhunter binutils sudo build-essential autoconf automake libtool bison debhelper daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl apt-listchanges libnet-ldap-perl libauthen-sasl-perl libdbd-mysql-perl

Compressione Files
apt install -y unzip bzip2 arj nomarch lzop cabextract p7zip p7zip-full unrar lrzip zip

==Installazione dei servizi==
Iniziamo ad installare e configurare i vari servizi necessari al nostro Web Server. Verranno inseriti dei link laddove è possibile installare servizi aggiuntivi per aggiungere funzionalità al server, quali E-mail o DNS ecc.

===Database===
A questo punto possiamo installare il database, in questo esempio verrà usato MariaDB:

apt install -y mariadb-client mariadb-server

Per mettere in sicurezza l'installazione di MariaDB lanciamo il comando

mysql_secure_installation

rispondiamo alle domande nel seguente modo:

Change the root password? [Y/n] <-- y
New password: <-- Inserire una nuova password per l'utente root di MariaDB
Re-enter new password: <-- Riipeti la password per l'utente root di MariaDB
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Remove test database and access to it? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

Per motivi di sicurezza MariaDB, come MySQL, ha impostato di default il parametro bind-address=127.0.0.1 così da accettare solo le richieste provenienti da localhost. Nel caso avessimo bisogno di permettere l'accesso da altre fonti, proteggendo poi la porta magari tramite il firewall così da filtrare comunque le eventuali richieste da indirizzi indesiderati, abbiamo la necessità di modificare tale parametro. Possiamo commentare la riga in questione oppure aggiungere specifici sorgenti da cui desideriamo abilitare le richieste:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address = 127.0.0.1
[...]

Settiamo ora il "password authentication method" su "native" se vogliamo abilitare la possibilità di connettersi al database con l'utenza di root utilizzando il PHPMyAdmin:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Modifichiamo il file "/etc/mysql/debian.cnf" e imposta lì la password di root MYSQL/MariaDB nelle righe che iniziano con la parola password:

nano /etc/mysql/debian.cnf

La password da inserire è di seguito mostrata in rosso:

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
basedir = /usr

Per prevenire l'errore "'''Error in accept: Too many open files'''" impostiamo i limiti per i file aperti più eleventi per il MariaDB:

nano /etc/security/limits.conf

Aggiungiamo queste due righe alla fine del file:

mysql soft nofile 65535
mysql hard nofile 65535

Creiamo una nuova directory "/etc/systemd/system/mysql.service.d/" con il comando mkdir.

mkdir -p /etc/systemd/system/mysql.service.d/

e aggiungiamo all'interno un file chiamato "limits.conf"

nano /etc/systemd/system/mysql.service.d/limits.conf

all'interno di questo file incolliamo quanto segue:

[Service]
LimitNOFILE=infinity

Salviamo il file. Lanciamo un reload di systemd e riavviamo il servizio MariaDB:

systemctl daemon-reload
systemctl restart mariadb

Possiamo controllare ora che il servizio sia in esecuzione e che le connesioni di rete siano abilitate:

netstat -tap | grep mysql

ottenendo un output simile a questo

root@server1:~# netstat -tap | grep mysql
tcp 0 0 0.0.0.0:mysql 0.0.0.0:* LISTEN 28655/mysqld

===Apache e PHP===
Siamo pronti per procedere con l'installazione di Apache e PHP (verrà così installata la versione di default del repository di sistema):

apt install -y apache2 apache2-doc apache2-utils libapache2-mod-php php php-common php-gd php-mysql php-imap php-cli php-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear mcrypt imagemagick libruby libapache2-mod-python php-curl php-intl php-pspell php-recode php-sqlite3 php-tidy php-xmlrpc php-xsl memcached php-memcache php-imagick php-gettext php-zip php-mbstring memcached libapache2-mod-passenger php-soap php-fpm php-opcache php-apcu

Fatti ciò eseguiamo il seguente comando per abilitare i moduli di Apache suexec, rewrite, ssl, actions e include (più ''dav dav_fs auth_digest'' se si desidera utilizzare WebDAV):

a2enmod suexec rewrite ssl actions include cgi headers actions proxy_fcgi alias

Per garantire che il server non possa essere attaccato attraverso la vulnerabilità HTTPOXY, disabilitiamo l'intestazione HTTP_PROXY in Apache a livello globale aggiungendo il file di configurazione ''/etc/apache2/conf-available/httpoxy.conf'':

'''Nota Bene''': la vulnerabilità in questione è denominata '''httpoxy''' (senza 'r') e quindi il file in cui viene aggiunta la configurazione per impedirne l'utilizzo è chiamato '''httpoxy.conf''' e non '''httproxy.conf''', quindi non manca 'r' nel nome del file.

nano /etc/apache2/conf-available/httpoxy.conf

incolliamo quanto segue all'interno del file creato

<IfModule mod_headers.c>
RequestHeader unset Proxy early
</IfModule>

per abilitare il modulo e la configurazione aggiunta:

a2enconf httpoxy
systemctl restart apache2

===Let's Encrypt===
Da ISPConfig 3.1 è stato aggiunto il supporto per la Certificate Authority SSL gratuita di Let's encrypt. La funzione Let's Encrypt ti consente di creare certificati SSL gratuiti per il tuo sito web da ISPConfig.

Aggiungiamo quindi il supporto per Let's Encrypt:

cd /usr/local/bin
wget <nowiki>https://dl.eff.org/certbot-auto</nowiki>
chmod a+x certbot-auto
./certbot-auto --install-only

Non sono necessari ulteriori passaggi per l'installazione di LE. I certificati SSL del sito Web vengono creati da ISPConfig quando si aggiungono i siti Web.

===PureFTPd===
Procediamo ora con l'installazione del demone FTP, in questa guida utilizziamo PureFTPd:

apt install -y pure-ftpd-common pure-ftpd-mysql

Creaiamo il file ''dhparam'' per pure-ftpd:

openssl dhparam -out /etc/ssl/private/pure-ftpd-dhparams.pem 2048

Editiamo il file di configurazione ''/etc/default/pure-ftpd-common''

nano /etc/default/pure-ftpd-common

Assicuriamoci che la modalità di avvio sia impostata su ''standalone'' e il parametro VIRTUALCHROOT sia impostato a ''true''

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Ora configuriamo PureFTPd per consentire sessioni FTP e TLS. FTP è un protocollo molto insicuro perché tutte le password e tutti i dati sono trasferiti in chiaro. Utilizzando TLS, l'intera comunicazione può essere crittografata, rendendo così FTP molto più sicuro.

Eseguiamo i comandi:

echo 1 > /etc/pure-ftpd/conf/TLS

Per utilizzare TLS, dobbiamo creare un certificato SSL. Lo creiamo in ''/etc/ssl/private/'', creiamo prima quella directory:

mkdir -p /etc/ssl/private/

Successivamente, possiamo generare il certificato SSL come segue:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

se abbiamo editato il file di configurazione di openssl a questo punto basterà premere invio ad ogni parametro perchè verrà impostato con il default impostato nel file di configurazione che compariranno tra le parentesi quadre ''[]'' ad ogni riga:

Country Name (2 letter code) [AU]: <-- Immettere le iniziali della propria nazione (es "IT").
State or Province Name (full name) [Some-State]: <-- Immettere stato o provincia.
Locality Name (eg, city) []: <-- Immettere città.
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Immettere nome della tua organizzazione o azienda.
Organizational Unit Name (eg, section) []: <-- Immettere il nome del dipartimento interessato (es "IT Department").
Common Name (eg, YOUR name) []: <-- Immettere il nome di dominio completo del sistema (ad esempio "server1.miodominio.com").
Email Address []: <-- Immettere il tuo indirizzo e-mail.

Modifichiamo le autorizzazioni del certificato SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Restartiamo il servizio PureFTPd:

systemctl restart pure-ftpd-mysql

===Webalizer e AWStats (Opzionale)===
Possiamo installare questi due tool nel modo seguente:

apt install -y webalizer awstats geoip-database libclass-dbi-mysql-perl libtimedate-perl

Pariamo "''/etc/cron.d/awstats''"

nano /etc/cron.d/awstats

e commentiamo tutto il file:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generate static reports:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

===Jailkit===
Jailkit è un insieme di utilità per limitare gli account utente a file specifici utilizzando chroot () e o comandi specifici. Configurare una shell chroot, una shell limitata a un comando specifico o un demone all'interno di una prigione chroot è molto più semplice e può essere automatizzato usando queste utility.

Prepariamo il pacchetto per l'installazione partendo dei sorgenti:

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz
tar xvfz jailkit-2.20.tar.gz
cd jailkit-2.20
echo 5 > debian/compat
./debian/rules binary

Ora possiamo installare il Jailkit ''.deb'' come segue:

cd ..
dpkg -i jailkit_2.20-1_*.deb
rm -rf jailkit-2.20*

===fail2ban===
Opzionale ma molto raccomandata, l'installazione di fail2ban.

apt install -y fail2ban

Per abilitare fail2ban al monitoraggio delle operazioni sull'FTP creiamo il file ''/etc/fail2ban/jail.local''

nano /etc/fail2ban/jail.local

E nel file il seguente testo

[pure-ftpd]
enabled = true
port = ftp
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3

Restartiamo il servizio

systemctl restart fail2ban

===PHPMyAdmin===
Dalla versione 10 di Debian, PHPMyAdmin non è più disponibile come pacchetto .deb. Pertanto lo installeremo dai sorgenti:
Creiamo la struttura di base:

mkdir /usr/share/phpmyadmin
mkdir /etc/phpmyadmin
mkdir -p /var/lib/phpmyadmin/tmp
chown -R www-data:www-data /var/lib/phpmyadmin
touch /etc/phpmyadmin/htpasswd.setup

Spostiamoci nella directory /tmp per scaricare lo zip dei sorgenti per poi posizionarli nel path creatogli

cd /tmp
wget https://files.phpmyadmin.net/phpMyAdmin/4.9.0.1/phpMyAdmin-4.9.0.1-all-languages.tar.gz

tar xfz phpMyAdmin-4.9.0.1-all-languages.tar.gz
mv phpMyAdmin-4.9.0.1-all-languages/* /usr/share/phpmyadmin/
rm phpMyAdmin-4.9.0.1-all-languages.tar.gz
rm -rf phpMyAdmin-4.9.0.1-all-languages

Creiamo un nuovo file di configurazione partendo dal file di configurazione d'esempio e poi modifichiamolo nelle parti necessarie:

cp /usr/share/phpmyadmin/config.sample.inc.php /usr/share/phpmyadmin/config.inc.php
nano /usr/share/phpmyadmin/config.inc.php

Impostiamo una password sicura (blowfish secret) deve essere lunga 32 caratteri

$cfg['blowfish_secret'] = '<QUi la password. non verrà richiesta>'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

Quindi aggiungiamo una riga per impostare la directory che PHPMyAdmin dovrà usare per archiviare i file temporanei:

$cfg['TempDir'] = '/var/lib/phpmyadmin/tmp';

Successivamente, creiamo il file di configurazione di Apache per PHPMyAdmin aprendo un nuovo file in nano editor:

nano /etc/apache2/conf-available/phpmyadmin.conf

Possiamo incollare nel file la seguente configurazione (se sono stati seguiti tutti i passi come da guida, creati gli stessi path con gli stessi nomi altrimenti andrà modificata in base le esigenze):

# phpMyAdmin default Apache configuration

Alias /phpmyadmin /usr/share/phpmyadmin

<Directory /usr/share/phpmyadmin>
Options FollowSymLinks
DirectoryIndex index.php

<IfModule mod_php7.c>
AddType application/x-httpd-php .php

php_flag magic_quotes_gpc Off
php_flag track_vars On
php_flag register_globals Off
php_value include_path .
</IfModule>

</Directory>

# Authorize for setup
<Directory /usr/share/phpmyadmin/setup>
<IfModule mod_authn_file.c>
AuthType Basic
AuthName "phpMyAdmin Setup"
AuthUserFile /etc/phpmyadmin/htpasswd.setup
</IfModule>
Require valid-user
</Directory>

# Disallow web access to directories that don't need it
<Directory /usr/share/phpmyadmin/libraries>
Order Deny,Allow
Deny from All
</Directory>
<Directory /usr/share/phpmyadmin/setup/lib>
Order Deny,Allow
Deny from All
</Directory>

Attiviamo la configurazione appena aggiunta e riavviamo Apache.

a2enconf phpmyadmin
systemctl restart apache2

Nel passaggio successivo, configureremo l'archivio di configurazione phpMyadmin (database).

Accediamo a MariaDB come utente root:

mysql -u root -p

Nella shell MariaDB, creaiamo un nuovo database e un utente per PHPMyAdmin e diamo i privilegi necessari all'utente creato relativamente per il nuovo database creato
immettiamo una password sicura per l'utente pma che stiamo creando sia nella creazione sia nel settaggio dei Privilegi dell'utente:

MariaDB [(none)]> CREATE DATABASE phpmyadmin;
MariaDB [(none)]> CREATE USER 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma';
MariaDB [(none)]> GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma' WITH GRANT OPTION;
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> EXIT;

Infine, carichiamo le tabelle SQL nel database:

mysql -u root -p phpmyadmin < /usr/share/phpmyadmin/sql/create_tables.sql

Quello che dobbiamo fare ora è impostare i dettagli dell'utente phpmyadmin nel file di configurazione. Apriamo di nuovo il file in nano editor:

nano /usr/share/phpmyadmin/config.inc.php

Scorriamo il file fino a trovare alle linee riportate sopra ed editiamole o decommentiamole se necessario, impostando i parametri necessari tra cui utente e password appena creati per phpmyadmi:

/* User used to manipulate with storage */
$cfg['Servers'][$i]['controlhost'] = 'localhost';
$cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = 'passwordperlutentepma';

/* Storage database and tables */
$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';
$cfg['Servers'][$i]['bookmarktable'] = 'pma__bookmark';
$cfg['Servers'][$i]['relation'] = 'pma__relation';
$cfg['Servers'][$i]['table_info'] = 'pma__table_info';
$cfg['Servers'][$i]['table_coords'] = 'pma__table_coords';
$cfg['Servers'][$i]['pdf_pages'] = 'pma__pdf_pages';
$cfg['Servers'][$i]['column_info'] = 'pma__column_info';
$cfg['Servers'][$i]['history'] = 'pma__history';
$cfg['Servers'][$i]['table_uiprefs'] = 'pma__table_uiprefs';
$cfg['Servers'][$i]['tracking'] = 'pma__tracking';
$cfg['Servers'][$i]['userconfig'] = 'pma__userconfig';
$cfg['Servers'][$i]['recent'] = 'pma__recent';
$cfg['Servers'][$i]['favorite'] = 'pma__favorite';
$cfg['Servers'][$i]['users'] = 'pma__users';
$cfg['Servers'][$i]['usergroups'] = 'pma__usergroups';
$cfg['Servers'][$i]['navigationhiding'] = 'pma__navigationhiding';
$cfg['Servers'][$i]['savedsearches'] = 'pma__savedsearches';
$cfg['Servers'][$i]['central_columns'] = 'pma__central_columns';
$cfg['Servers'][$i]['designer_settings'] = 'pma__designer_settings';
$cfg['Servers'][$i]['export_templates'] = 'pma__export_templates';

Sono di sopra riportate e segnate in rosso le linee modificate. Sostituisci "passwordperlutentepma" con la password che è stata impostata per l'utente phpmyadmin. Nota che anche "//" davanti alle linee è stato rimosso!.

==ISPConfig==
Procediamo quindi con l'installazione di ISPConfig. Scarichiamo l'ultima versione stabile rilasciata:

cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install/

Lanciamo quindi lo script per eseguire l'installazione:

php -q install.php

Ciò avvierà il programma di installazione ISPConfig 3. Il programma di installazione configurerà tutti i servizi installati e l'interfaccia web per gestire il nuovo webserver.

>> Initial configuration
Operating System: Debian 10.0 (Buster) or compatible
Following will be a few questions for primary configuration so be careful.
Default values are in [brackets] and can be accepted with <ENTER>.
Tap in "quit" (without the quotes) to stop the installer.

Select language (en,de) [en]: <-- Premere Invio
Installation mode (standard,expert) [standard]: <-- Premere Invio
Full qualified hostname (FQDN) of the server, eg server1.domain.tld [server1.example.com]: <-- Premere Invio
MySQL server hostname [localhost]: <-- Premere Invio
MySQL server port [3306]: <-- Premere Invio
MySQL root username [root]: <-- Premere Invio
MySQL root password []: <-- Inseriamo la password dell'utente root per MariaDB
MySQL database to create [dbispconfig]: <-- Premere Invio
MySQL charset [utf8]: <-- Premere Invio

Configuring Jailkit
Configuring Pureftpd
Configuring Apache
Configuring vlogger
Configuring Fail2ban
Installing ISPConfig
ISPConfig Port [8080]: <-- Premere invio se vogliamo utilizzare la porta 8080, altrimenti inserire una porta diversa per accedere al pannello di gestione di ISPConfig (ricordiamoci di aprire la porta sul Firewall se ne abbiamo uno sia software che fisico)
Admin password [admin]: <--Inseriamo una password per l'utente Admin con cui utilizzare il Pannello Web di ISPConfig

Do you want a secure (SSL) connection to the ISPConfig web interface (y,n) [y]: <-- Premere Invio
Generating RSA private key, 4096 bit long modulus
.......................++
................................................................................................................................++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: <-- Enter 2 letter country code
State or Province Name (full name) [Some-State]: <-- Enter the name of the state
Locality Name (eg, city) []: <-- Enter your city
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Enter company name or press enter
Organizational Unit Name (eg, section) []: <-- Premere Invio
Common Name (e.g. server FQDN or YOUR name) []: <-- Enter the server hostname, in my case: server1.example.com
Email Address []: <-- Premere Invio
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: <-- Premere Invio
An optional company name []: <-- Premere Invio
writing RSA key

Configuring DBServer
Installing ISPConfig crontab
no crontab for root
Detect IP addresses
Restarting services ...
Installation completed.

Successivamente è possibile accedere a ISPConfig 3 in http(s)://server1.miodominio.com:8080/ o http(s)://192.168.0.100:8080/ (http o https dipende da ciò che è stato scelto durante l'installazione, come l'indirizzo IP da inserire dipende dalla configurazione del server, se vogliamo che risponda un nome a dominio come server1.miodominio.com:8080 andranno chiaramente configurati dei DNS con relativo Record A per il nome a dominio). Accedi con il nome utente admin e la password admin.

[[Category:Webserver]]
[[Category:Apache2]]
[[Category:PHP]]
[[Category:MariaDB]]
[[Category:ISPConfig]]

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2020-03-02T01:10:36Z

Luigi.dacunto: /* Database */

{{Procedure_Linux}}

==Introduzione==
La pagina seguente descrive i passaggi necessari per la rapida configurazione di un WebServer basato su OS Debian 10. In questo specifico esempio verrà riportata la procedura per installare Apache2, MariaDB e un PureFTPD, il tutto orchestrato da ISPConfig 3.x.

L'intera guida prevede l'utilizzo dell'utente root.

==Preliminari==
Puoi partire da un'installazione minimale di Debian 10. Partiamo con un upgrade dei pacchetti presenti nel caso in cui la macchina sia già preinstallata da un'immagine base.

Innanzitutto, assicurati che il file ''/etc/apt/sources.list'' contenga il repository ''buster/updates'' (questo ti assicura di ottenere sempre gli aggiornamenti di sicurezza più recenti) e che ''contrib'' e ''non-free'' repositori siano abilitati poiché alcuni pacchetti richiesti non sono nel repositorio principale:

nano /etc/apt/sources.list

Gli url nello specifico potrebbero apparire diversi in base alla localizzazione del vostro server, se si tratta di una macchina pubblica su un ISP estero, potrebbero puntare a repositori più vicini geograficamente perchè più veloci, quindi se non si è sicuri di modificare l'url specifico del repositorio meglio lasciare quello che troviamo aggiungendo solo i paramtri sopra citati rendendo il file simile a questo:

deb <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free
deb-src <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free

deb <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free
deb-src <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free

A questo punto facciamo un aggiornamento, in caso fosse necessario.

apt update
apt -y upgrade

===Installazione SSH Server (Opzionale)===
Se non è stato già installato in precedenza è il momento di procedere con l'installazione di OpenSSH Server

apt install -y ssh openssh-server

===Installazione editor di testo (Opzionale)===
Puoi scegliere l'editor che preferisci, per complilare questa guida è stato utilizzato ''nano'' ma se preferisci puoi usare ''vi''. Sui sistemi Debian il ''vi'' di default ha qualche strano comportamento per risolvere il problema installiamo ''vim-nox''

apt install -y nano vim-nox

===Configurazione hostname===
L'hostname del tuo server dovrebbe risultare come dominio di terzo livello tipo questo "''server1.miodominio.ext''". Non usare direttamente un dominio di secondo livello per configurare l'hostname del server come "''miodominio.ext''", questo potrebbe causare problemi più avanti se decidessi di utilizzare il server per installare e configurare anche i servizi per utilizzare la macchina anche come Mail Server.
Ci sono due file da configurare per questo passaggio: hostname e hosts.

nano /etc/hosts

che dovrebbe diventare qualcosa di simile per la nostra configurazione di prova "server1.miodominio.ext":

127.0.0.1 localhost.localdomain localhost
192.168.0.100 server1.miodominio.ext server1

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Successivamente editiamo il file hostname, qundi

nano /etc/hostname

sostituendo (se non è già stato inserito correttamente in fase di installazione) il nome dell'host

server1

a questo punto riavviamo il server

systemctl reboot

Una volta effettuato l'accesso nuovamente, controlliamo le modifiche apportate con i comandi:

hostname
hostname -f

che dovrebbero restituire un output di questo tipo:

root@server1:/~# hostname
server1
root@server1:/~# hostname -f
server1.miodominio.ext

===Sincronizza Orologio di Sistema===
È una buona idea sincronizzare l'orologio di sistema con '''NTP''' (Network Time Protocol) tramite internet. Lasciando il comando:

apt install -y ntp

Il sistema sarà così tenuto sincronizzato con l'orario corretto.

===Installazione e default di OpenSSL===
Installiaamo il pacchetto openssl, utilità per i protocolli crittografici SSL e TLS per la comunicazione sicura su internet:

apt install -y openssl

Ora possiamo configurare i dati di default che vengono utilizzati alla creazione di certificati e chiavi di sicurezza, editando il file:

nano /etc/ssl/openssl.cnf

Cerchiamo in questo file la sezione "''[ req_distinguished_name ]''" andando a settare i parametri "''_default''" ed editiamoli con i dati che preferiamo (questo passaggio è opzionale), segnati in Rosso i parametri da modificare o aggiungere:

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = IT
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Italy

localityName = Locality Name (eg, city)
localityName_default = Rome

0.organizationName = Organization Name (eg, company)
0.organizationName_default = My Organization Name

# we can do this but it is not needed normally :-)
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd

organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = IT Department

commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = server1.miodominio.ext

emailAddress = Email Address
emailAddress_max = 64
emailAddress_default = itsysadmin@miodominio.ext

Salviamo e chiudiamo il file.

===Utilità varie===
Passiamo ad installare in via preliminare alcuni pacchetti che possono aiutarci successivamente con le funzioni del server e con alcuni strumenti che potranno farci comodo:

Antivirus
apt install -y clamav clamav-daemon clamav-docs

Librerie e tool
apt install -y rkhunter binutils sudo build-essential autoconf automake libtool bison debhelper daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl apt-listchanges libnet-ldap-perl libauthen-sasl-perl libdbd-mysql-perl

Compressione Files
apt install -y unzip bzip2 arj nomarch lzop cabextract p7zip p7zip-full unrar lrzip zip

==Installazione dei servizi==
Iniziamo ad installare e configurare i vari servizi necessari al nostro Web Server. Verranno inseriti dei link laddove è possibile installare servizi aggiuntivi per aggiungere funzionalità al server, quali E-mail o DNS ecc.

===Database===
A questo punto possiamo installare il database, in questo esempio verrà usato MariaDB:

apt install -y mariadb-client mariadb-server

Per mettere in sicurezza l'installazione di MariaDB lanciamo il comando

mysql_secure_installation

rispondiamo alle domande nel seguente modo:

Change the root password? [Y/n] <-- y
New password: <-- Inserire una nuova password per l'utente root di MariaDB
Re-enter new password: <-- Riipeti la password per l'utente root di MariaDB
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Remove test database and access to it? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

Per motivi di sicurezza MariaDB, come MySQL, ha impostato di default il parametro bind-address=127.0.0.1 così da accettare solo le richieste provenienti da localhost. Nel caso avessimo bisogno di permettere l'accesso da altre fonti, proteggendo poi la porta magari tramite il firewall così da filtrare comunque le eventuali richieste da indirizzi indesiderati, abbiamo la necessità di modificare tale parametro. Possiamo commentare la riga in questione oppure aggiungere specifici sorgenti da cui desideriamo abilitare le richieste:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address = 127.0.0.1

[...]

Settiamo ora il "password authentication method" su "native" se vogliamo abilitare la possibilità di connettersi al database con l'utenza di root utilizzando il PHPMyAdmin:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Modifichiamo il file "/etc/mysql/debian.cnf" e imposta lì la password di root MYSQL/MariaDB nelle righe che iniziano con la parola password:

nano /etc/mysql/debian.cnf

La password da inserire è di seguito mostrata in rosso:

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
basedir = /usr

Per prevenire l'errore "'''Error in accept: Too many open files'''" impostiamo i limiti per i file aperti più eleventi per il MariaDB:

nano /etc/security/limits.conf

Aggiungiamo queste due righe alla fine del file:

mysql soft nofile 65535
mysql hard nofile 65535

Creiamo una nuova directory "/etc/systemd/system/mysql.service.d/" con il comando mkdir.

mkdir -p /etc/systemd/system/mysql.service.d/

e aggiungiamo all'interno un file chiamato "limits.conf"

nano /etc/systemd/system/mysql.service.d/limits.conf

all'interno di questo file incolliamo quanto segue:

[Service]
LimitNOFILE=infinity

Salviamo il file. Lanciamo un reload di systemd e riavviamo il servizio MariaDB:

systemctl daemon-reload
systemctl restart mariadb

Possiamo controllare ora che il servizio sia in esecuzione e che le connesioni di rete siano abilitate:

netstat -tap | grep mysql

ottenendo un output simile a questo

root@server1:~# netstat -tap | grep mysql
tcp 0 0 0.0.0.0:mysql 0.0.0.0:* LISTEN 28655/mysqld

===Apache e PHP===
Siamo pronti per procedere con l'installazione di Apache e PHP (verrà così installata la versione di default del repository di sistema):

apt install -y apache2 apache2-doc apache2-utils libapache2-mod-php php php-common php-gd php-mysql php-imap php-cli php-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear mcrypt imagemagick libruby libapache2-mod-python php-curl php-intl php-pspell php-recode php-sqlite3 php-tidy php-xmlrpc php-xsl memcached php-memcache php-imagick php-gettext php-zip php-mbstring memcached libapache2-mod-passenger php-soap php-fpm php-opcache php-apcu

Fatti ciò eseguiamo il seguente comando per abilitare i moduli di Apache suexec, rewrite, ssl, actions e include (più ''dav dav_fs auth_digest'' se si desidera utilizzare WebDAV):

a2enmod suexec rewrite ssl actions include cgi headers actions proxy_fcgi alias

Per garantire che il server non possa essere attaccato attraverso la vulnerabilità HTTPOXY, disabilitiamo l'intestazione HTTP_PROXY in Apache a livello globale aggiungendo il file di configurazione ''/etc/apache2/conf-available/httpoxy.conf'':

'''Nota Bene''': la vulnerabilità in questione è denominata '''httpoxy''' (senza 'r') e quindi il file in cui viene aggiunta la configurazione per impedirne l'utilizzo è chiamato '''httpoxy.conf''' e non '''httproxy.conf''', quindi non manca 'r' nel nome del file.

nano /etc/apache2/conf-available/httpoxy.conf

incolliamo quanto segue all'interno del file creato

<IfModule mod_headers.c>
RequestHeader unset Proxy early
</IfModule>

per abilitare il modulo e la configurazione aggiunta:

a2enconf httpoxy
systemctl restart apache2

===Let's Encrypt===
Da ISPConfig 3.1 è stato aggiunto il supporto per la Certificate Authority SSL gratuita di Let's encrypt. La funzione Let's Encrypt ti consente di creare certificati SSL gratuiti per il tuo sito web da ISPConfig.

Aggiungiamo quindi il supporto per Let's Encrypt:

cd /usr/local/bin
wget <nowiki>https://dl.eff.org/certbot-auto</nowiki>
chmod a+x certbot-auto
./certbot-auto --install-only

Non sono necessari ulteriori passaggi per l'installazione di LE. I certificati SSL del sito Web vengono creati da ISPConfig quando si aggiungono i siti Web.

===PureFTPd===
Procediamo ora con l'installazione del demone FTP, in questa guida utilizziamo PureFTPd:

apt install -y pure-ftpd-common pure-ftpd-mysql

Creaiamo il file ''dhparam'' per pure-ftpd:

openssl dhparam -out /etc/ssl/private/pure-ftpd-dhparams.pem 2048

Editiamo il file di configurazione ''/etc/default/pure-ftpd-common''

nano /etc/default/pure-ftpd-common

Assicuriamoci che la modalità di avvio sia impostata su ''standalone'' e il parametro VIRTUALCHROOT sia impostato a ''true''

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Ora configuriamo PureFTPd per consentire sessioni FTP e TLS. FTP è un protocollo molto insicuro perché tutte le password e tutti i dati sono trasferiti in chiaro. Utilizzando TLS, l'intera comunicazione può essere crittografata, rendendo così FTP molto più sicuro.

Eseguiamo i comandi:

echo 1 > /etc/pure-ftpd/conf/TLS

Per utilizzare TLS, dobbiamo creare un certificato SSL. Lo creiamo in ''/etc/ssl/private/'', creiamo prima quella directory:

mkdir -p /etc/ssl/private/

Successivamente, possiamo generare il certificato SSL come segue:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

se abbiamo editato il file di configurazione di openssl a questo punto basterà premere invio ad ogni parametro perchè verrà impostato con il default impostato nel file di configurazione che compariranno tra le parentesi quadre ''[]'' ad ogni riga:

Country Name (2 letter code) [AU]: <-- Immettere le iniziali della propria nazione (es "IT").
State or Province Name (full name) [Some-State]: <-- Immettere stato o provincia.
Locality Name (eg, city) []: <-- Immettere città.
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Immettere nome della tua organizzazione o azienda.
Organizational Unit Name (eg, section) []: <-- Immettere il nome del dipartimento interessato (es "IT Department").
Common Name (eg, YOUR name) []: <-- Immettere il nome di dominio completo del sistema (ad esempio "server1.miodominio.com").
Email Address []: <-- Immettere il tuo indirizzo e-mail.

Modifichiamo le autorizzazioni del certificato SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Restartiamo il servizio PureFTPd:

systemctl restart pure-ftpd-mysql

===Webalizer e AWStats (Opzionale)===
Possiamo installare questi due tool nel modo seguente:

apt install -y webalizer awstats geoip-database libclass-dbi-mysql-perl libtimedate-perl

Pariamo "''/etc/cron.d/awstats''"

nano /etc/cron.d/awstats

e commentiamo tutto il file:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generate static reports:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

===Jailkit===
Jailkit è un insieme di utilità per limitare gli account utente a file specifici utilizzando chroot () e o comandi specifici. Configurare una shell chroot, una shell limitata a un comando specifico o un demone all'interno di una prigione chroot è molto più semplice e può essere automatizzato usando queste utility.

Prepariamo il pacchetto per l'installazione partendo dei sorgenti:

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz
tar xvfz jailkit-2.20.tar.gz
cd jailkit-2.20
echo 5 > debian/compat
./debian/rules binary

Ora possiamo installare il Jailkit ''.deb'' come segue:

cd ..
dpkg -i jailkit_2.20-1_*.deb
rm -rf jailkit-2.20*

===fail2ban===
Opzionale ma molto raccomandata, l'installazione di fail2ban.

apt install -y fail2ban

Per abilitare fail2ban al monitoraggio delle operazioni sull'FTP creiamo il file ''/etc/fail2ban/jail.local''

nano /etc/fail2ban/jail.local

E nel file il seguente testo

[pure-ftpd]
enabled = true
port = ftp
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3

Restartiamo il servizio

systemctl restart fail2ban

===PHPMyAdmin===
Dalla versione 10 di Debian, PHPMyAdmin non è più disponibile come pacchetto .deb. Pertanto lo installeremo dai sorgenti:
Creiamo la struttura di base:

mkdir /usr/share/phpmyadmin
mkdir /etc/phpmyadmin
mkdir -p /var/lib/phpmyadmin/tmp
chown -R www-data:www-data /var/lib/phpmyadmin
touch /etc/phpmyadmin/htpasswd.setup

Spostiamoci nella directory /tmp per scaricare lo zip dei sorgenti per poi posizionarli nel path creatogli

cd /tmp
wget https://files.phpmyadmin.net/phpMyAdmin/4.9.0.1/phpMyAdmin-4.9.0.1-all-languages.tar.gz

tar xfz phpMyAdmin-4.9.0.1-all-languages.tar.gz
mv phpMyAdmin-4.9.0.1-all-languages/* /usr/share/phpmyadmin/
rm phpMyAdmin-4.9.0.1-all-languages.tar.gz
rm -rf phpMyAdmin-4.9.0.1-all-languages

Creiamo un nuovo file di configurazione partendo dal file di configurazione d'esempio e poi modifichiamolo nelle parti necessarie:

cp /usr/share/phpmyadmin/config.sample.inc.php /usr/share/phpmyadmin/config.inc.php
nano /usr/share/phpmyadmin/config.inc.php

Impostiamo una password sicura (blowfish secret) deve essere lunga 32 caratteri

$cfg['blowfish_secret'] = '<QUi la password. non verrà richiesta>'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

Quindi aggiungiamo una riga per impostare la directory che PHPMyAdmin dovrà usare per archiviare i file temporanei:

$cfg['TempDir'] = '/var/lib/phpmyadmin/tmp';

Successivamente, creiamo il file di configurazione di Apache per PHPMyAdmin aprendo un nuovo file in nano editor:

nano /etc/apache2/conf-available/phpmyadmin.conf

Possiamo incollare nel file la seguente configurazione (se sono stati seguiti tutti i passi come da guida, creati gli stessi path con gli stessi nomi altrimenti andrà modificata in base le esigenze):

# phpMyAdmin default Apache configuration

Alias /phpmyadmin /usr/share/phpmyadmin

<Directory /usr/share/phpmyadmin>
Options FollowSymLinks
DirectoryIndex index.php

<IfModule mod_php7.c>
AddType application/x-httpd-php .php

php_flag magic_quotes_gpc Off
php_flag track_vars On
php_flag register_globals Off
php_value include_path .
</IfModule>

</Directory>

# Authorize for setup
<Directory /usr/share/phpmyadmin/setup>
<IfModule mod_authn_file.c>
AuthType Basic
AuthName "phpMyAdmin Setup"
AuthUserFile /etc/phpmyadmin/htpasswd.setup
</IfModule>
Require valid-user
</Directory>

# Disallow web access to directories that don't need it
<Directory /usr/share/phpmyadmin/libraries>
Order Deny,Allow
Deny from All
</Directory>
<Directory /usr/share/phpmyadmin/setup/lib>
Order Deny,Allow
Deny from All
</Directory>

Attiviamo la configurazione appena aggiunta e riavviamo Apache.

a2enconf phpmyadmin
systemctl restart apache2

Nel passaggio successivo, configureremo l'archivio di configurazione phpMyadmin (database).

Accediamo a MariaDB come utente root:

mysql -u root -p

Nella shell MariaDB, creaiamo un nuovo database e un utente per PHPMyAdmin e diamo i privilegi necessari all'utente creato relativamente per il nuovo database creato
immettiamo una password sicura per l'utente pma che stiamo creando sia nella creazione sia nel settaggio dei Privilegi dell'utente:

MariaDB [(none)]> CREATE DATABASE phpmyadmin;
MariaDB [(none)]> CREATE USER 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma';
MariaDB [(none)]> GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma' WITH GRANT OPTION;
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> EXIT;

Infine, carichiamo le tabelle SQL nel database:

mysql -u root -p phpmyadmin < /usr/share/phpmyadmin/sql/create_tables.sql

Quello che dobbiamo fare ora è impostare i dettagli dell'utente phpmyadmin nel file di configurazione. Apriamo di nuovo il file in nano editor:

nano /usr/share/phpmyadmin/config.inc.php

Scorriamo il file fino a trovare alle linee riportate sopra ed editiamole o decommentiamole se necessario, impostando i parametri necessari tra cui utente e password appena creati per phpmyadmi:

/* User used to manipulate with storage */
$cfg['Servers'][$i]['controlhost'] = 'localhost';
$cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = 'passwordperlutentepma';

/* Storage database and tables */
$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';
$cfg['Servers'][$i]['bookmarktable'] = 'pma__bookmark';
$cfg['Servers'][$i]['relation'] = 'pma__relation';
$cfg['Servers'][$i]['table_info'] = 'pma__table_info';
$cfg['Servers'][$i]['table_coords'] = 'pma__table_coords';
$cfg['Servers'][$i]['pdf_pages'] = 'pma__pdf_pages';
$cfg['Servers'][$i]['column_info'] = 'pma__column_info';
$cfg['Servers'][$i]['history'] = 'pma__history';
$cfg['Servers'][$i]['table_uiprefs'] = 'pma__table_uiprefs';
$cfg['Servers'][$i]['tracking'] = 'pma__tracking';
$cfg['Servers'][$i]['userconfig'] = 'pma__userconfig';
$cfg['Servers'][$i]['recent'] = 'pma__recent';
$cfg['Servers'][$i]['favorite'] = 'pma__favorite';
$cfg['Servers'][$i]['users'] = 'pma__users';
$cfg['Servers'][$i]['usergroups'] = 'pma__usergroups';
$cfg['Servers'][$i]['navigationhiding'] = 'pma__navigationhiding';
$cfg['Servers'][$i]['savedsearches'] = 'pma__savedsearches';
$cfg['Servers'][$i]['central_columns'] = 'pma__central_columns';
$cfg['Servers'][$i]['designer_settings'] = 'pma__designer_settings';
$cfg['Servers'][$i]['export_templates'] = 'pma__export_templates';

Sono di sopra riportate e segnate in rosso le linee modificate. Sostituisci "passwordperlutentepma" con la password che è stata impostata per l'utente phpmyadmin. Nota che anche "//" davanti alle linee è stato rimosso!.

==ISPConfig==
Procediamo quindi con l'installazione di ISPConfig. Scarichiamo l'ultima versione stabile rilasciata:

cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install/

Lanciamo quindi lo script per eseguire l'installazione:

php -q install.php

Ciò avvierà il programma di installazione ISPConfig 3. Il programma di installazione configurerà tutti i servizi installati e l'interfaccia web per gestire il nuovo webserver.

>> Initial configuration
Operating System: Debian 10.0 (Buster) or compatible
Following will be a few questions for primary configuration so be careful.
Default values are in [brackets] and can be accepted with <ENTER>.
Tap in "quit" (without the quotes) to stop the installer.

Select language (en,de) [en]: <-- Premere Invio
Installation mode (standard,expert) [standard]: <-- Premere Invio
Full qualified hostname (FQDN) of the server, eg server1.domain.tld [server1.example.com]: <-- Premere Invio
MySQL server hostname [localhost]: <-- Premere Invio
MySQL server port [3306]: <-- Premere Invio
MySQL root username [root]: <-- Premere Invio
MySQL root password []: <-- Inseriamo la password dell'utente root per MariaDB
MySQL database to create [dbispconfig]: <-- Premere Invio
MySQL charset [utf8]: <-- Premere Invio

Configuring Jailkit
Configuring Pureftpd
Configuring Apache
Configuring vlogger
Configuring Fail2ban
Installing ISPConfig
ISPConfig Port [8080]: <-- Premere invio se vogliamo utilizzare la porta 8080, altrimenti inserire una porta diversa per accedere al pannello di gestione di ISPConfig (ricordiamoci di aprire la porta sul Firewall se ne abbiamo uno sia software che fisico)
Admin password [admin]: <--Inseriamo una password per l'utente Admin con cui utilizzare il Pannello Web di ISPConfig

Do you want a secure (SSL) connection to the ISPConfig web interface (y,n) [y]: <-- Premere Invio
Generating RSA private key, 4096 bit long modulus
.......................++
................................................................................................................................++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: <-- Enter 2 letter country code
State or Province Name (full name) [Some-State]: <-- Enter the name of the state
Locality Name (eg, city) []: <-- Enter your city
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Enter company name or press enter
Organizational Unit Name (eg, section) []: <-- Premere Invio
Common Name (e.g. server FQDN or YOUR name) []: <-- Enter the server hostname, in my case: server1.example.com
Email Address []: <-- Premere Invio
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: <-- Premere Invio
An optional company name []: <-- Premere Invio
writing RSA key

Configuring DBServer
Installing ISPConfig crontab
no crontab for root
Detect IP addresses
Restarting services ...
Installation completed.

Successivamente è possibile accedere a ISPConfig 3 in http(s)://server1.miodominio.com:8080/ o http(s)://192.168.0.100:8080/ (http o https dipende da ciò che è stato scelto durante l'installazione, come l'indirizzo IP da inserire dipende dalla configurazione del server, se vogliamo che risponda un nome a dominio come server1.miodominio.com:8080 andranno chiaramente configurati dei DNS con relativo Record A per il nome a dominio). Accedi con il nome utente admin e la password admin.

[[Category:Webserver]]
[[Category:Apache2]]
[[Category:PHP]]
[[Category:MariaDB]]
[[Category:ISPConfig]]

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2020-03-02T01:10:01Z

Luigi.dacunto: /* Database */

{{Procedure_Linux}}

==Introduzione==
La pagina seguente descrive i passaggi necessari per la rapida configurazione di un WebServer basato su OS Debian 10. In questo specifico esempio verrà riportata la procedura per installare Apache2, MariaDB e un PureFTPD, il tutto orchestrato da ISPConfig 3.x.

L'intera guida prevede l'utilizzo dell'utente root.

==Preliminari==
Puoi partire da un'installazione minimale di Debian 10. Partiamo con un upgrade dei pacchetti presenti nel caso in cui la macchina sia già preinstallata da un'immagine base.

Innanzitutto, assicurati che il file ''/etc/apt/sources.list'' contenga il repository ''buster/updates'' (questo ti assicura di ottenere sempre gli aggiornamenti di sicurezza più recenti) e che ''contrib'' e ''non-free'' repositori siano abilitati poiché alcuni pacchetti richiesti non sono nel repositorio principale:

nano /etc/apt/sources.list

Gli url nello specifico potrebbero apparire diversi in base alla localizzazione del vostro server, se si tratta di una macchina pubblica su un ISP estero, potrebbero puntare a repositori più vicini geograficamente perchè più veloci, quindi se non si è sicuri di modificare l'url specifico del repositorio meglio lasciare quello che troviamo aggiungendo solo i paramtri sopra citati rendendo il file simile a questo:

deb <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free
deb-src <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free

deb <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free
deb-src <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free

A questo punto facciamo un aggiornamento, in caso fosse necessario.

apt update
apt -y upgrade

===Installazione SSH Server (Opzionale)===
Se non è stato già installato in precedenza è il momento di procedere con l'installazione di OpenSSH Server

apt install -y ssh openssh-server

===Installazione editor di testo (Opzionale)===
Puoi scegliere l'editor che preferisci, per complilare questa guida è stato utilizzato ''nano'' ma se preferisci puoi usare ''vi''. Sui sistemi Debian il ''vi'' di default ha qualche strano comportamento per risolvere il problema installiamo ''vim-nox''

apt install -y nano vim-nox

===Configurazione hostname===
L'hostname del tuo server dovrebbe risultare come dominio di terzo livello tipo questo "''server1.miodominio.ext''". Non usare direttamente un dominio di secondo livello per configurare l'hostname del server come "''miodominio.ext''", questo potrebbe causare problemi più avanti se decidessi di utilizzare il server per installare e configurare anche i servizi per utilizzare la macchina anche come Mail Server.
Ci sono due file da configurare per questo passaggio: hostname e hosts.

nano /etc/hosts

che dovrebbe diventare qualcosa di simile per la nostra configurazione di prova "server1.miodominio.ext":

127.0.0.1 localhost.localdomain localhost
192.168.0.100 server1.miodominio.ext server1

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Successivamente editiamo il file hostname, qundi

nano /etc/hostname

sostituendo (se non è già stato inserito correttamente in fase di installazione) il nome dell'host

server1

a questo punto riavviamo il server

systemctl reboot

Una volta effettuato l'accesso nuovamente, controlliamo le modifiche apportate con i comandi:

hostname
hostname -f

che dovrebbero restituire un output di questo tipo:

root@server1:/~# hostname
server1
root@server1:/~# hostname -f
server1.miodominio.ext

===Sincronizza Orologio di Sistema===
È una buona idea sincronizzare l'orologio di sistema con '''NTP''' (Network Time Protocol) tramite internet. Lasciando il comando:

apt install -y ntp

Il sistema sarà così tenuto sincronizzato con l'orario corretto.

===Installazione e default di OpenSSL===
Installiaamo il pacchetto openssl, utilità per i protocolli crittografici SSL e TLS per la comunicazione sicura su internet:

apt install -y openssl

Ora possiamo configurare i dati di default che vengono utilizzati alla creazione di certificati e chiavi di sicurezza, editando il file:

nano /etc/ssl/openssl.cnf

Cerchiamo in questo file la sezione "''[ req_distinguished_name ]''" andando a settare i parametri "''_default''" ed editiamoli con i dati che preferiamo (questo passaggio è opzionale), segnati in Rosso i parametri da modificare o aggiungere:

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = IT
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Italy

localityName = Locality Name (eg, city)
localityName_default = Rome

0.organizationName = Organization Name (eg, company)
0.organizationName_default = My Organization Name

# we can do this but it is not needed normally :-)
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd

organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = IT Department

commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = server1.miodominio.ext

emailAddress = Email Address
emailAddress_max = 64
emailAddress_default = itsysadmin@miodominio.ext

Salviamo e chiudiamo il file.

===Utilità varie===
Passiamo ad installare in via preliminare alcuni pacchetti che possono aiutarci successivamente con le funzioni del server e con alcuni strumenti che potranno farci comodo:

Antivirus
apt install -y clamav clamav-daemon clamav-docs

Librerie e tool
apt install -y rkhunter binutils sudo build-essential autoconf automake libtool bison debhelper daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl apt-listchanges libnet-ldap-perl libauthen-sasl-perl libdbd-mysql-perl

Compressione Files
apt install -y unzip bzip2 arj nomarch lzop cabextract p7zip p7zip-full unrar lrzip zip

==Installazione dei servizi==
Iniziamo ad installare e configurare i vari servizi necessari al nostro Web Server. Verranno inseriti dei link laddove è possibile installare servizi aggiuntivi per aggiungere funzionalità al server, quali E-mail o DNS ecc.

===Database===
A questo punto possiamo installare il database, in questo esempio verrà usato MariaDB:

apt -y install mariadb-client mariadb-server

Per mettere in sicurezza l'installazione di MariaDB lanciamo il comando

mysql_secure_installation

rispondiamo alle domande nel seguente modo:

Change the root password? [Y/n] <-- y
New password: <-- Inserire una nuova password per l'utente root di MariaDB
Re-enter new password: <-- Riipeti la password per l'utente root di MariaDB
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Remove test database and access to it? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

Per motivi di sicurezza MariaDB, come MySQL, ha impostato di default il parametro bind-address=127.0.0.1 così da accettare solo le richieste provenienti da localhost. Nel caso avessimo bisogno di permettere l'accesso da altre fonti, proteggendo poi la porta magari tramite il firewall così da filtrare comunque le eventuali richieste da indirizzi indesiderati, abbiamo la necessità di modificare tale parametro. Possiamo commentare la riga in questione oppure aggiungere specifici sorgenti da cui desideriamo abilitare le richieste:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address = 127.0.0.1

[...]

Settiamo ora il "password authentication method" su "native" se vogliamo abilitare la possibilità di connettersi al database con l'utenza di root utilizzando il PHPMyAdmin:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Modifichiamo il file "/etc/mysql/debian.cnf" e imposta lì la password di root MYSQL/MariaDB nelle righe che iniziano con la parola password:

nano /etc/mysql/debian.cnf

La password da inserire è di seguito mostrata in rosso:

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
basedir = /usr

Per prevenire l'errore "'''Error in accept: Too many open files'''" impostiamo i limiti per i file aperti più eleventi per il MariaDB:

nano /etc/security/limits.conf

Aggiungiamo queste due righe alla fine del file:

mysql soft nofile 65535
mysql hard nofile 65535

Creiamo una nuova directory "/etc/systemd/system/mysql.service.d/" con il comando mkdir.

mkdir -p /etc/systemd/system/mysql.service.d/

e aggiungiamo all'interno un file chiamato "limits.conf"

nano /etc/systemd/system/mysql.service.d/limits.conf

all'interno di questo file incolliamo quanto segue:

[Service]
LimitNOFILE=infinity

Salviamo il file. Lanciamo un reload di systemd e riavviamo il servizio MariaDB:

systemctl daemon-reload
systemctl restart mariadb

Possiamo controllare ora che il servizio sia in esecuzione e che le connesioni di rete siano abilitate:

netstat -tap | grep mysql

ottenendo un output simile a questo

root@server1:~# netstat -tap | grep mysql
tcp 0 0 0.0.0.0:mysql 0.0.0.0:* LISTEN 28655/mysqld

===Apache e PHP===
Siamo pronti per procedere con l'installazione di Apache e PHP (verrà così installata la versione di default del repository di sistema):

apt install -y apache2 apache2-doc apache2-utils libapache2-mod-php php php-common php-gd php-mysql php-imap php-cli php-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear mcrypt imagemagick libruby libapache2-mod-python php-curl php-intl php-pspell php-recode php-sqlite3 php-tidy php-xmlrpc php-xsl memcached php-memcache php-imagick php-gettext php-zip php-mbstring memcached libapache2-mod-passenger php-soap php-fpm php-opcache php-apcu

Fatti ciò eseguiamo il seguente comando per abilitare i moduli di Apache suexec, rewrite, ssl, actions e include (più ''dav dav_fs auth_digest'' se si desidera utilizzare WebDAV):

a2enmod suexec rewrite ssl actions include cgi headers actions proxy_fcgi alias

Per garantire che il server non possa essere attaccato attraverso la vulnerabilità HTTPOXY, disabilitiamo l'intestazione HTTP_PROXY in Apache a livello globale aggiungendo il file di configurazione ''/etc/apache2/conf-available/httpoxy.conf'':

'''Nota Bene''': la vulnerabilità in questione è denominata '''httpoxy''' (senza 'r') e quindi il file in cui viene aggiunta la configurazione per impedirne l'utilizzo è chiamato '''httpoxy.conf''' e non '''httproxy.conf''', quindi non manca 'r' nel nome del file.

nano /etc/apache2/conf-available/httpoxy.conf

incolliamo quanto segue all'interno del file creato

<IfModule mod_headers.c>
RequestHeader unset Proxy early
</IfModule>

per abilitare il modulo e la configurazione aggiunta:

a2enconf httpoxy
systemctl restart apache2

===Let's Encrypt===
Da ISPConfig 3.1 è stato aggiunto il supporto per la Certificate Authority SSL gratuita di Let's encrypt. La funzione Let's Encrypt ti consente di creare certificati SSL gratuiti per il tuo sito web da ISPConfig.

Aggiungiamo quindi il supporto per Let's Encrypt:

cd /usr/local/bin
wget <nowiki>https://dl.eff.org/certbot-auto</nowiki>
chmod a+x certbot-auto
./certbot-auto --install-only

Non sono necessari ulteriori passaggi per l'installazione di LE. I certificati SSL del sito Web vengono creati da ISPConfig quando si aggiungono i siti Web.

===PureFTPd===
Procediamo ora con l'installazione del demone FTP, in questa guida utilizziamo PureFTPd:

apt install -y pure-ftpd-common pure-ftpd-mysql

Creaiamo il file ''dhparam'' per pure-ftpd:

openssl dhparam -out /etc/ssl/private/pure-ftpd-dhparams.pem 2048

Editiamo il file di configurazione ''/etc/default/pure-ftpd-common''

nano /etc/default/pure-ftpd-common

Assicuriamoci che la modalità di avvio sia impostata su ''standalone'' e il parametro VIRTUALCHROOT sia impostato a ''true''

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Ora configuriamo PureFTPd per consentire sessioni FTP e TLS. FTP è un protocollo molto insicuro perché tutte le password e tutti i dati sono trasferiti in chiaro. Utilizzando TLS, l'intera comunicazione può essere crittografata, rendendo così FTP molto più sicuro.

Eseguiamo i comandi:

echo 1 > /etc/pure-ftpd/conf/TLS

Per utilizzare TLS, dobbiamo creare un certificato SSL. Lo creiamo in ''/etc/ssl/private/'', creiamo prima quella directory:

mkdir -p /etc/ssl/private/

Successivamente, possiamo generare il certificato SSL come segue:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

se abbiamo editato il file di configurazione di openssl a questo punto basterà premere invio ad ogni parametro perchè verrà impostato con il default impostato nel file di configurazione che compariranno tra le parentesi quadre ''[]'' ad ogni riga:

Country Name (2 letter code) [AU]: <-- Immettere le iniziali della propria nazione (es "IT").
State or Province Name (full name) [Some-State]: <-- Immettere stato o provincia.
Locality Name (eg, city) []: <-- Immettere città.
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Immettere nome della tua organizzazione o azienda.
Organizational Unit Name (eg, section) []: <-- Immettere il nome del dipartimento interessato (es "IT Department").
Common Name (eg, YOUR name) []: <-- Immettere il nome di dominio completo del sistema (ad esempio "server1.miodominio.com").
Email Address []: <-- Immettere il tuo indirizzo e-mail.

Modifichiamo le autorizzazioni del certificato SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Restartiamo il servizio PureFTPd:

systemctl restart pure-ftpd-mysql

===Webalizer e AWStats (Opzionale)===
Possiamo installare questi due tool nel modo seguente:

apt install -y webalizer awstats geoip-database libclass-dbi-mysql-perl libtimedate-perl

Pariamo "''/etc/cron.d/awstats''"

nano /etc/cron.d/awstats

e commentiamo tutto il file:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generate static reports:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

===Jailkit===
Jailkit è un insieme di utilità per limitare gli account utente a file specifici utilizzando chroot () e o comandi specifici. Configurare una shell chroot, una shell limitata a un comando specifico o un demone all'interno di una prigione chroot è molto più semplice e può essere automatizzato usando queste utility.

Prepariamo il pacchetto per l'installazione partendo dei sorgenti:

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz
tar xvfz jailkit-2.20.tar.gz
cd jailkit-2.20
echo 5 > debian/compat
./debian/rules binary

Ora possiamo installare il Jailkit ''.deb'' come segue:

cd ..
dpkg -i jailkit_2.20-1_*.deb
rm -rf jailkit-2.20*

===fail2ban===
Opzionale ma molto raccomandata, l'installazione di fail2ban.

apt install -y fail2ban

Per abilitare fail2ban al monitoraggio delle operazioni sull'FTP creiamo il file ''/etc/fail2ban/jail.local''

nano /etc/fail2ban/jail.local

E nel file il seguente testo

[pure-ftpd]
enabled = true
port = ftp
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3

Restartiamo il servizio

systemctl restart fail2ban

===PHPMyAdmin===
Dalla versione 10 di Debian, PHPMyAdmin non è più disponibile come pacchetto .deb. Pertanto lo installeremo dai sorgenti:
Creiamo la struttura di base:

mkdir /usr/share/phpmyadmin
mkdir /etc/phpmyadmin
mkdir -p /var/lib/phpmyadmin/tmp
chown -R www-data:www-data /var/lib/phpmyadmin
touch /etc/phpmyadmin/htpasswd.setup

Spostiamoci nella directory /tmp per scaricare lo zip dei sorgenti per poi posizionarli nel path creatogli

cd /tmp
wget https://files.phpmyadmin.net/phpMyAdmin/4.9.0.1/phpMyAdmin-4.9.0.1-all-languages.tar.gz

tar xfz phpMyAdmin-4.9.0.1-all-languages.tar.gz
mv phpMyAdmin-4.9.0.1-all-languages/* /usr/share/phpmyadmin/
rm phpMyAdmin-4.9.0.1-all-languages.tar.gz
rm -rf phpMyAdmin-4.9.0.1-all-languages

Creiamo un nuovo file di configurazione partendo dal file di configurazione d'esempio e poi modifichiamolo nelle parti necessarie:

cp /usr/share/phpmyadmin/config.sample.inc.php /usr/share/phpmyadmin/config.inc.php
nano /usr/share/phpmyadmin/config.inc.php

Impostiamo una password sicura (blowfish secret) deve essere lunga 32 caratteri

$cfg['blowfish_secret'] = '<QUi la password. non verrà richiesta>'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

Quindi aggiungiamo una riga per impostare la directory che PHPMyAdmin dovrà usare per archiviare i file temporanei:

$cfg['TempDir'] = '/var/lib/phpmyadmin/tmp';

Successivamente, creiamo il file di configurazione di Apache per PHPMyAdmin aprendo un nuovo file in nano editor:

nano /etc/apache2/conf-available/phpmyadmin.conf

Possiamo incollare nel file la seguente configurazione (se sono stati seguiti tutti i passi come da guida, creati gli stessi path con gli stessi nomi altrimenti andrà modificata in base le esigenze):

# phpMyAdmin default Apache configuration

Alias /phpmyadmin /usr/share/phpmyadmin

<Directory /usr/share/phpmyadmin>
Options FollowSymLinks
DirectoryIndex index.php

<IfModule mod_php7.c>
AddType application/x-httpd-php .php

php_flag magic_quotes_gpc Off
php_flag track_vars On
php_flag register_globals Off
php_value include_path .
</IfModule>

</Directory>

# Authorize for setup
<Directory /usr/share/phpmyadmin/setup>
<IfModule mod_authn_file.c>
AuthType Basic
AuthName "phpMyAdmin Setup"
AuthUserFile /etc/phpmyadmin/htpasswd.setup
</IfModule>
Require valid-user
</Directory>

# Disallow web access to directories that don't need it
<Directory /usr/share/phpmyadmin/libraries>
Order Deny,Allow
Deny from All
</Directory>
<Directory /usr/share/phpmyadmin/setup/lib>
Order Deny,Allow
Deny from All
</Directory>

Attiviamo la configurazione appena aggiunta e riavviamo Apache.

a2enconf phpmyadmin
systemctl restart apache2

Nel passaggio successivo, configureremo l'archivio di configurazione phpMyadmin (database).

Accediamo a MariaDB come utente root:

mysql -u root -p

Nella shell MariaDB, creaiamo un nuovo database e un utente per PHPMyAdmin e diamo i privilegi necessari all'utente creato relativamente per il nuovo database creato
immettiamo una password sicura per l'utente pma che stiamo creando sia nella creazione sia nel settaggio dei Privilegi dell'utente:

MariaDB [(none)]> CREATE DATABASE phpmyadmin;
MariaDB [(none)]> CREATE USER 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma';
MariaDB [(none)]> GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma' WITH GRANT OPTION;
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> EXIT;

Infine, carichiamo le tabelle SQL nel database:

mysql -u root -p phpmyadmin < /usr/share/phpmyadmin/sql/create_tables.sql

Quello che dobbiamo fare ora è impostare i dettagli dell'utente phpmyadmin nel file di configurazione. Apriamo di nuovo il file in nano editor:

nano /usr/share/phpmyadmin/config.inc.php

Scorriamo il file fino a trovare alle linee riportate sopra ed editiamole o decommentiamole se necessario, impostando i parametri necessari tra cui utente e password appena creati per phpmyadmi:

/* User used to manipulate with storage */
$cfg['Servers'][$i]['controlhost'] = 'localhost';
$cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = 'passwordperlutentepma';

/* Storage database and tables */
$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';
$cfg['Servers'][$i]['bookmarktable'] = 'pma__bookmark';
$cfg['Servers'][$i]['relation'] = 'pma__relation';
$cfg['Servers'][$i]['table_info'] = 'pma__table_info';
$cfg['Servers'][$i]['table_coords'] = 'pma__table_coords';
$cfg['Servers'][$i]['pdf_pages'] = 'pma__pdf_pages';
$cfg['Servers'][$i]['column_info'] = 'pma__column_info';
$cfg['Servers'][$i]['history'] = 'pma__history';
$cfg['Servers'][$i]['table_uiprefs'] = 'pma__table_uiprefs';
$cfg['Servers'][$i]['tracking'] = 'pma__tracking';
$cfg['Servers'][$i]['userconfig'] = 'pma__userconfig';
$cfg['Servers'][$i]['recent'] = 'pma__recent';
$cfg['Servers'][$i]['favorite'] = 'pma__favorite';
$cfg['Servers'][$i]['users'] = 'pma__users';
$cfg['Servers'][$i]['usergroups'] = 'pma__usergroups';
$cfg['Servers'][$i]['navigationhiding'] = 'pma__navigationhiding';
$cfg['Servers'][$i]['savedsearches'] = 'pma__savedsearches';
$cfg['Servers'][$i]['central_columns'] = 'pma__central_columns';
$cfg['Servers'][$i]['designer_settings'] = 'pma__designer_settings';
$cfg['Servers'][$i]['export_templates'] = 'pma__export_templates';

Sono di sopra riportate e segnate in rosso le linee modificate. Sostituisci "passwordperlutentepma" con la password che è stata impostata per l'utente phpmyadmin. Nota che anche "//" davanti alle linee è stato rimosso!.

==ISPConfig==
Procediamo quindi con l'installazione di ISPConfig. Scarichiamo l'ultima versione stabile rilasciata:

cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install/

Lanciamo quindi lo script per eseguire l'installazione:

php -q install.php

Ciò avvierà il programma di installazione ISPConfig 3. Il programma di installazione configurerà tutti i servizi installati e l'interfaccia web per gestire il nuovo webserver.

>> Initial configuration
Operating System: Debian 10.0 (Buster) or compatible
Following will be a few questions for primary configuration so be careful.
Default values are in [brackets] and can be accepted with <ENTER>.
Tap in "quit" (without the quotes) to stop the installer.

Select language (en,de) [en]: <-- Premere Invio
Installation mode (standard,expert) [standard]: <-- Premere Invio
Full qualified hostname (FQDN) of the server, eg server1.domain.tld [server1.example.com]: <-- Premere Invio
MySQL server hostname [localhost]: <-- Premere Invio
MySQL server port [3306]: <-- Premere Invio
MySQL root username [root]: <-- Premere Invio
MySQL root password []: <-- Inseriamo la password dell'utente root per MariaDB
MySQL database to create [dbispconfig]: <-- Premere Invio
MySQL charset [utf8]: <-- Premere Invio

Configuring Jailkit
Configuring Pureftpd
Configuring Apache
Configuring vlogger
Configuring Fail2ban
Installing ISPConfig
ISPConfig Port [8080]: <-- Premere invio se vogliamo utilizzare la porta 8080, altrimenti inserire una porta diversa per accedere al pannello di gestione di ISPConfig (ricordiamoci di aprire la porta sul Firewall se ne abbiamo uno sia software che fisico)
Admin password [admin]: <--Inseriamo una password per l'utente Admin con cui utilizzare il Pannello Web di ISPConfig

Do you want a secure (SSL) connection to the ISPConfig web interface (y,n) [y]: <-- Premere Invio
Generating RSA private key, 4096 bit long modulus
.......................++
................................................................................................................................++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: <-- Enter 2 letter country code
State or Province Name (full name) [Some-State]: <-- Enter the name of the state
Locality Name (eg, city) []: <-- Enter your city
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Enter company name or press enter
Organizational Unit Name (eg, section) []: <-- Premere Invio
Common Name (e.g. server FQDN or YOUR name) []: <-- Enter the server hostname, in my case: server1.example.com
Email Address []: <-- Premere Invio
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: <-- Premere Invio
An optional company name []: <-- Premere Invio
writing RSA key

Configuring DBServer
Installing ISPConfig crontab
no crontab for root
Detect IP addresses
Restarting services ...
Installation completed.

Successivamente è possibile accedere a ISPConfig 3 in http(s)://server1.miodominio.com:8080/ o http(s)://192.168.0.100:8080/ (http o https dipende da ciò che è stato scelto durante l'installazione, come l'indirizzo IP da inserire dipende dalla configurazione del server, se vogliamo che risponda un nome a dominio come server1.miodominio.com:8080 andranno chiaramente configurati dei DNS con relativo Record A per il nome a dominio). Accedi con il nome utente admin e la password admin.

[[Category:Webserver]]
[[Category:Apache2]]
[[Category:PHP]]
[[Category:MariaDB]]
[[Category:ISPConfig]]

MediaWiki:Sidebar

2020-01-24T20:31:02Z

Luigi.dacunto:

MediaWiki:Sidebar

2020-01-24T20:17:42Z

Luigi.dacunto:

MediaWiki:Sidebar

2020-01-24T20:17:00Z

Luigi.dacunto:

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2020-01-22T20:39:15Z

Luigi.dacunto:

{{Procedure_Linux}}

==Introduzione==
La pagina seguente descrive i passaggi necessari per la rapida configurazione di un WebServer basato su OS Debian 10. In questo specifico esempio verrà riportata la procedura per installare Apache2, MariaDB e un PureFTPD, il tutto orchestrato da ISPConfig 3.x.

L'intera guida prevede l'utilizzo dell'utente root.

==Preliminari==
Puoi partire da un'installazione minimale di Debian 10. Partiamo con un upgrade dei pacchetti presenti nel caso in cui la macchina sia già preinstallata da un'immagine base.

Innanzitutto, assicurati che il file ''/etc/apt/sources.list'' contenga il repository ''buster/updates'' (questo ti assicura di ottenere sempre gli aggiornamenti di sicurezza più recenti) e che ''contrib'' e ''non-free'' repositori siano abilitati poiché alcuni pacchetti richiesti non sono nel repositorio principale:

nano /etc/apt/sources.list

Gli url nello specifico potrebbero apparire diversi in base alla localizzazione del vostro server, se si tratta di una macchina pubblica su un ISP estero, potrebbero puntare a repositori più vicini geograficamente perchè più veloci, quindi se non si è sicuri di modificare l'url specifico del repositorio meglio lasciare quello che troviamo aggiungendo solo i paramtri sopra citati rendendo il file simile a questo:

deb <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free
deb-src <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free

deb <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free
deb-src <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free

A questo punto facciamo un aggiornamento, in caso fosse necessario.

apt update
apt -y upgrade

===Installazione SSH Server (Opzionale)===
Se non è stato già installato in precedenza è il momento di procedere con l'installazione di OpenSSH Server

apt install -y ssh openssh-server

===Installazione editor di testo (Opzionale)===
Puoi scegliere l'editor che preferisci, per complilare questa guida è stato utilizzato ''nano'' ma se preferisci puoi usare ''vi''. Sui sistemi Debian il ''vi'' di default ha qualche strano comportamento per risolvere il problema installiamo ''vim-nox''

apt install -y nano vim-nox

===Configurazione hostname===
L'hostname del tuo server dovrebbe risultare come dominio di terzo livello tipo questo "''server1.miodominio.ext''". Non usare direttamente un dominio di secondo livello per configurare l'hostname del server come "''miodominio.ext''", questo potrebbe causare problemi più avanti se decidessi di utilizzare il server per installare e configurare anche i servizi per utilizzare la macchina anche come Mail Server.
Ci sono due file da configurare per questo passaggio: hostname e hosts.

nano /etc/hosts

che dovrebbe diventare qualcosa di simile per la nostra configurazione di prova "server1.miodominio.ext":

127.0.0.1 localhost.localdomain localhost
192.168.0.100 server1.miodominio.ext server1

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Successivamente editiamo il file hostname, qundi

nano /etc/hostname

sostituendo (se non è già stato inserito correttamente in fase di installazione) il nome dell'host

server1

a questo punto riavviamo il server

systemctl reboot

Una volta effettuato l'accesso nuovamente, controlliamo le modifiche apportate con i comandi:

hostname
hostname -f

che dovrebbero restituire un output di questo tipo:

root@server1:/~# hostname
server1
root@server1:/~# hostname -f
server1.miodominio.ext

===Sincronizza Orologio di Sistema===
È una buona idea sincronizzare l'orologio di sistema con '''NTP''' (Network Time Protocol) tramite internet. Lasciando il comando:

apt install -y ntp

Il sistema sarà così tenuto sincronizzato con l'orario corretto.

===Installazione e default di OpenSSL===
Installiaamo il pacchetto openssl, utilità per i protocolli crittografici SSL e TLS per la comunicazione sicura su internet:

apt install -y openssl

Ora possiamo configurare i dati di default che vengono utilizzati alla creazione di certificati e chiavi di sicurezza, editando il file:

nano /etc/ssl/openssl.cnf

Cerchiamo in questo file la sezione "''[ req_distinguished_name ]''" andando a settare i parametri "''_default''" ed editiamoli con i dati che preferiamo (questo passaggio è opzionale), segnati in Rosso i parametri da modificare o aggiungere:

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = IT
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Italy

localityName = Locality Name (eg, city)
localityName_default = Rome

0.organizationName = Organization Name (eg, company)
0.organizationName_default = My Organization Name

# we can do this but it is not needed normally :-)
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd

organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = IT Department

commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = server1.miodominio.ext

emailAddress = Email Address
emailAddress_max = 64
emailAddress_default = itsysadmin@miodominio.ext

Salviamo e chiudiamo il file.

===Utilità varie===
Passiamo ad installare in via preliminare alcuni pacchetti che possono aiutarci successivamente con le funzioni del server e con alcuni strumenti che potranno farci comodo:

Antivirus
apt install -y clamav clamav-daemon clamav-docs

Librerie e tool
apt install -y rkhunter binutils sudo build-essential autoconf automake libtool bison debhelper daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl apt-listchanges libnet-ldap-perl libauthen-sasl-perl libdbd-mysql-perl

Compressione Files
apt install -y unzip bzip2 arj nomarch lzop cabextract p7zip p7zip-full unrar lrzip zip

==Installazione dei servizi==
Iniziamo ad installare e configurare i vari servizi necessari al nostro Web Server. Verranno inseriti dei link laddove è possibile installare servizi aggiuntivi per aggiungere funzionalità al server, quali E-mail o DNS ecc.

===Database===
A questo punto possiamo installare il database, in questo esempio verrà usato MariaDB:

apt install -y install mariadb-client mariadb-server

Per mettere in sicurezza l'installazione di MariaDB lanciamo il comando

mysql_secure_installation

rispondiamo alle domande nel seguente modo:

Change the root password? [Y/n] <-- y
New password: <-- Inserire una nuova password per l'utente root di MariaDB
Re-enter new password: <-- Riipeti la password per l'utente root di MariaDB
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Remove test database and access to it? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

Per motivi di sicurezza MariaDB, come MySQL, ha impostato di default il parametro bind-address=127.0.0.1 così da accettare solo le richieste provenienti da localhost. Nel caso avessimo bisogno di permettere l'accesso da altre fonti, proteggendo poi la porta magari tramite il firewall così da filtrare comunque le eventuali richieste da indirizzi indesiderati, abbiamo la necessità di modificare tale parametro. Possiamo commentare la riga in questione oppure aggiungere specifici sorgenti da cui desideriamo abilitare le richieste:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address = 127.0.0.1

[...]

Settiamo ora il "password authentication method" su "native" se vogliamo abilitare la possibilità di connettersi al database con l'utenza di root utilizzando il PHPMyAdmin:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Modifichiamo il file "/etc/mysql/debian.cnf" e imposta lì la password di root MYSQL/MariaDB nelle righe che iniziano con la parola password:

nano /etc/mysql/debian.cnf

La password da inserire è di seguito mostrata in rosso:

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
basedir = /usr

Per prevenire l'errore "'''Error in accept: Too many open files'''" impostiamo i limiti per i file aperti più eleventi per il MariaDB:

nano /etc/security/limits.conf

Aggiungiamo queste due righe alla fine del file:

mysql soft nofile 65535
mysql hard nofile 65535

Creiamo una nuova directory "/etc/systemd/system/mysql.service.d/" con il comando mkdir.

mkdir -p /etc/systemd/system/mysql.service.d/

e aggiungiamo all'interno un file chiamato "limits.conf"

nano /etc/systemd/system/mysql.service.d/limits.conf

all'interno di questo file incolliamo quanto segue:

[Service]
LimitNOFILE=infinity

Salviamo il file. Lanciamo un reload di systemd e riavviamo il servizio MariaDB:

systemctl daemon-reload
systemctl restart mariadb

Possiamo controllare ora che il servizio sia in esecuzione e che le connesioni di rete siano abilitate:

netstat -tap | grep mysql

ottenendo un output simile a questo

root@server1:~# netstat -tap | grep mysql
tcp 0 0 0.0.0.0:mysql 0.0.0.0:* LISTEN 28655/mysqld

===Apache e PHP===
Siamo pronti per procedere con l'installazione di Apache e PHP (verrà così installata la versione di default del repository di sistema):

apt install -y apache2 apache2-doc apache2-utils libapache2-mod-php php php-common php-gd php-mysql php-imap php-cli php-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear mcrypt imagemagick libruby libapache2-mod-python php-curl php-intl php-pspell php-recode php-sqlite3 php-tidy php-xmlrpc php-xsl memcached php-memcache php-imagick php-gettext php-zip php-mbstring memcached libapache2-mod-passenger php-soap php-fpm php-opcache php-apcu

Fatti ciò eseguiamo il seguente comando per abilitare i moduli di Apache suexec, rewrite, ssl, actions e include (più ''dav dav_fs auth_digest'' se si desidera utilizzare WebDAV):

a2enmod suexec rewrite ssl actions include cgi headers actions proxy_fcgi alias

Per garantire che il server non possa essere attaccato attraverso la vulnerabilità HTTPOXY, disabilitiamo l'intestazione HTTP_PROXY in Apache a livello globale aggiungendo il file di configurazione ''/etc/apache2/conf-available/httpoxy.conf'':

'''Nota Bene''': la vulnerabilità in questione è denominata '''httpoxy''' (senza 'r') e quindi il file in cui viene aggiunta la configurazione per impedirne l'utilizzo è chiamato '''httpoxy.conf''' e non '''httproxy.conf''', quindi non manca 'r' nel nome del file.

nano /etc/apache2/conf-available/httpoxy.conf

incolliamo quanto segue all'interno del file creato

<IfModule mod_headers.c>
RequestHeader unset Proxy early
</IfModule>

per abilitare il modulo e la configurazione aggiunta:

a2enconf httpoxy
systemctl restart apache2

===Let's Encrypt===
Da ISPConfig 3.1 è stato aggiunto il supporto per la Certificate Authority SSL gratuita di Let's encrypt. La funzione Let's Encrypt ti consente di creare certificati SSL gratuiti per il tuo sito web da ISPConfig.

Aggiungiamo quindi il supporto per Let's Encrypt:

cd /usr/local/bin
wget <nowiki>https://dl.eff.org/certbot-auto</nowiki>
chmod a+x certbot-auto
./certbot-auto --install-only

Non sono necessari ulteriori passaggi per l'installazione di LE. I certificati SSL del sito Web vengono creati da ISPConfig quando si aggiungono i siti Web.

===PureFTPd===
Procediamo ora con l'installazione del demone FTP, in questa guida utilizziamo PureFTPd:

apt install -y pure-ftpd-common pure-ftpd-mysql

Creaiamo il file ''dhparam'' per pure-ftpd:

openssl dhparam -out /etc/ssl/private/pure-ftpd-dhparams.pem 2048

Editiamo il file di configurazione ''/etc/default/pure-ftpd-common''

nano /etc/default/pure-ftpd-common

Assicuriamoci che la modalità di avvio sia impostata su ''standalone'' e il parametro VIRTUALCHROOT sia impostato a ''true''

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Ora configuriamo PureFTPd per consentire sessioni FTP e TLS. FTP è un protocollo molto insicuro perché tutte le password e tutti i dati sono trasferiti in chiaro. Utilizzando TLS, l'intera comunicazione può essere crittografata, rendendo così FTP molto più sicuro.

Eseguiamo i comandi:

echo 1 > /etc/pure-ftpd/conf/TLS

Per utilizzare TLS, dobbiamo creare un certificato SSL. Lo creiamo in ''/etc/ssl/private/'', creiamo prima quella directory:

mkdir -p /etc/ssl/private/

Successivamente, possiamo generare il certificato SSL come segue:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

se abbiamo editato il file di configurazione di openssl a questo punto basterà premere invio ad ogni parametro perchè verrà impostato con il default impostato nel file di configurazione che compariranno tra le parentesi quadre ''[]'' ad ogni riga:

Country Name (2 letter code) [AU]: <-- Immettere le iniziali della propria nazione (es "IT").
State or Province Name (full name) [Some-State]: <-- Immettere stato o provincia.
Locality Name (eg, city) []: <-- Immettere città.
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Immettere nome della tua organizzazione o azienda.
Organizational Unit Name (eg, section) []: <-- Immettere il nome del dipartimento interessato (es "IT Department").
Common Name (eg, YOUR name) []: <-- Immettere il nome di dominio completo del sistema (ad esempio "server1.miodominio.com").
Email Address []: <-- Immettere il tuo indirizzo e-mail.

Modifichiamo le autorizzazioni del certificato SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Restartiamo il servizio PureFTPd:

systemctl restart pure-ftpd-mysql

===Webalizer e AWStats (Opzionale)===
Possiamo installare questi due tool nel modo seguente:

apt install -y webalizer awstats geoip-database libclass-dbi-mysql-perl libtimedate-perl

Pariamo "''/etc/cron.d/awstats''"

nano /etc/cron.d/awstats

e commentiamo tutto il file:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generate static reports:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

===Jailkit===
Jailkit è un insieme di utilità per limitare gli account utente a file specifici utilizzando chroot () e o comandi specifici. Configurare una shell chroot, una shell limitata a un comando specifico o un demone all'interno di una prigione chroot è molto più semplice e può essere automatizzato usando queste utility.

Prepariamo il pacchetto per l'installazione partendo dei sorgenti:

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz
tar xvfz jailkit-2.20.tar.gz
cd jailkit-2.20
echo 5 > debian/compat
./debian/rules binary

Ora possiamo installare il Jailkit ''.deb'' come segue:

cd ..
dpkg -i jailkit_2.20-1_*.deb
rm -rf jailkit-2.20*

===fail2ban===
Opzionale ma molto raccomandata, l'installazione di fail2ban.

apt install -y fail2ban

Per abilitare fail2ban al monitoraggio delle operazioni sull'FTP creiamo il file ''/etc/fail2ban/jail.local''

nano /etc/fail2ban/jail.local

E nel file il seguente testo

[pure-ftpd]
enabled = true
port = ftp
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3

Restartiamo il servizio

systemctl restart fail2ban

===PHPMyAdmin===
Dalla versione 10 di Debian, PHPMyAdmin non è più disponibile come pacchetto .deb. Pertanto lo installeremo dai sorgenti:
Creiamo la struttura di base:

mkdir /usr/share/phpmyadmin
mkdir /etc/phpmyadmin
mkdir -p /var/lib/phpmyadmin/tmp
chown -R www-data:www-data /var/lib/phpmyadmin
touch /etc/phpmyadmin/htpasswd.setup

Spostiamoci nella directory /tmp per scaricare lo zip dei sorgenti per poi posizionarli nel path creatogli

cd /tmp
wget https://files.phpmyadmin.net/phpMyAdmin/4.9.0.1/phpMyAdmin-4.9.0.1-all-languages.tar.gz

tar xfz phpMyAdmin-4.9.0.1-all-languages.tar.gz
mv phpMyAdmin-4.9.0.1-all-languages/* /usr/share/phpmyadmin/
rm phpMyAdmin-4.9.0.1-all-languages.tar.gz
rm -rf phpMyAdmin-4.9.0.1-all-languages

Creiamo un nuovo file di configurazione partendo dal file di configurazione d'esempio e poi modifichiamolo nelle parti necessarie:

cp /usr/share/phpmyadmin/config.sample.inc.php /usr/share/phpmyadmin/config.inc.php
nano /usr/share/phpmyadmin/config.inc.php

Impostiamo una password sicura (blowfish secret) deve essere lunga 32 caratteri

$cfg['blowfish_secret'] = '<QUi la password. non verrà richiesta>'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

Quindi aggiungiamo una riga per impostare la directory che PHPMyAdmin dovrà usare per archiviare i file temporanei:

$cfg['TempDir'] = '/var/lib/phpmyadmin/tmp';

Successivamente, creiamo il file di configurazione di Apache per PHPMyAdmin aprendo un nuovo file in nano editor:

nano /etc/apache2/conf-available/phpmyadmin.conf

Possiamo incollare nel file la seguente configurazione (se sono stati seguiti tutti i passi come da guida, creati gli stessi path con gli stessi nomi altrimenti andrà modificata in base le esigenze):

# phpMyAdmin default Apache configuration

Alias /phpmyadmin /usr/share/phpmyadmin

<Directory /usr/share/phpmyadmin>
Options FollowSymLinks
DirectoryIndex index.php

<IfModule mod_php7.c>
AddType application/x-httpd-php .php

php_flag magic_quotes_gpc Off
php_flag track_vars On
php_flag register_globals Off
php_value include_path .
</IfModule>

</Directory>

# Authorize for setup
<Directory /usr/share/phpmyadmin/setup>
<IfModule mod_authn_file.c>
AuthType Basic
AuthName "phpMyAdmin Setup"
AuthUserFile /etc/phpmyadmin/htpasswd.setup
</IfModule>
Require valid-user
</Directory>

# Disallow web access to directories that don't need it
<Directory /usr/share/phpmyadmin/libraries>
Order Deny,Allow
Deny from All
</Directory>
<Directory /usr/share/phpmyadmin/setup/lib>
Order Deny,Allow
Deny from All
</Directory>

Attiviamo la configurazione appena aggiunta e riavviamo Apache.

a2enconf phpmyadmin
systemctl restart apache2

Nel passaggio successivo, configureremo l'archivio di configurazione phpMyadmin (database).

Accediamo a MariaDB come utente root:

mysql -u root -p

Nella shell MariaDB, creaiamo un nuovo database e un utente per PHPMyAdmin e diamo i privilegi necessari all'utente creato relativamente per il nuovo database creato
immettiamo una password sicura per l'utente pma che stiamo creando sia nella creazione sia nel settaggio dei Privilegi dell'utente:

MariaDB [(none)]> CREATE DATABASE phpmyadmin;
MariaDB [(none)]> CREATE USER 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma';
MariaDB [(none)]> GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma' WITH GRANT OPTION;
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> EXIT;

Infine, carichiamo le tabelle SQL nel database:

mysql -u root -p phpmyadmin < /usr/share/phpmyadmin/sql/create_tables.sql

Quello che dobbiamo fare ora è impostare i dettagli dell'utente phpmyadmin nel file di configurazione. Apriamo di nuovo il file in nano editor:

nano /usr/share/phpmyadmin/config.inc.php

Scorriamo il file fino a trovare alle linee riportate sopra ed editiamole o decommentiamole se necessario, impostando i parametri necessari tra cui utente e password appena creati per phpmyadmi:

/* User used to manipulate with storage */
$cfg['Servers'][$i]['controlhost'] = 'localhost';
$cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = 'passwordperlutentepma';

/* Storage database and tables */
$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';
$cfg['Servers'][$i]['bookmarktable'] = 'pma__bookmark';
$cfg['Servers'][$i]['relation'] = 'pma__relation';
$cfg['Servers'][$i]['table_info'] = 'pma__table_info';
$cfg['Servers'][$i]['table_coords'] = 'pma__table_coords';
$cfg['Servers'][$i]['pdf_pages'] = 'pma__pdf_pages';
$cfg['Servers'][$i]['column_info'] = 'pma__column_info';
$cfg['Servers'][$i]['history'] = 'pma__history';
$cfg['Servers'][$i]['table_uiprefs'] = 'pma__table_uiprefs';
$cfg['Servers'][$i]['tracking'] = 'pma__tracking';
$cfg['Servers'][$i]['userconfig'] = 'pma__userconfig';
$cfg['Servers'][$i]['recent'] = 'pma__recent';
$cfg['Servers'][$i]['favorite'] = 'pma__favorite';
$cfg['Servers'][$i]['users'] = 'pma__users';
$cfg['Servers'][$i]['usergroups'] = 'pma__usergroups';
$cfg['Servers'][$i]['navigationhiding'] = 'pma__navigationhiding';
$cfg['Servers'][$i]['savedsearches'] = 'pma__savedsearches';
$cfg['Servers'][$i]['central_columns'] = 'pma__central_columns';
$cfg['Servers'][$i]['designer_settings'] = 'pma__designer_settings';
$cfg['Servers'][$i]['export_templates'] = 'pma__export_templates';

Sono di sopra riportate e segnate in rosso le linee modificate. Sostituisci "passwordperlutentepma" con la password che è stata impostata per l'utente phpmyadmin. Nota che anche "//" davanti alle linee è stato rimosso!.

==ISPConfig==
Procediamo quindi con l'installazione di ISPConfig. Scarichiamo l'ultima versione stabile rilasciata:

cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install/

Lanciamo quindi lo script per eseguire l'installazione:

php -q install.php

Ciò avvierà il programma di installazione ISPConfig 3. Il programma di installazione configurerà tutti i servizi installati e l'interfaccia web per gestire il nuovo webserver.

>> Initial configuration
Operating System: Debian 10.0 (Buster) or compatible
Following will be a few questions for primary configuration so be careful.
Default values are in [brackets] and can be accepted with <ENTER>.
Tap in "quit" (without the quotes) to stop the installer.

Select language (en,de) [en]: <-- Premere Invio
Installation mode (standard,expert) [standard]: <-- Premere Invio
Full qualified hostname (FQDN) of the server, eg server1.domain.tld [server1.example.com]: <-- Premere Invio
MySQL server hostname [localhost]: <-- Premere Invio
MySQL server port [3306]: <-- Premere Invio
MySQL root username [root]: <-- Premere Invio
MySQL root password []: <-- Inseriamo la password dell'utente root per MariaDB
MySQL database to create [dbispconfig]: <-- Premere Invio
MySQL charset [utf8]: <-- Premere Invio

Configuring Jailkit
Configuring Pureftpd
Configuring Apache
Configuring vlogger
Configuring Fail2ban
Installing ISPConfig
ISPConfig Port [8080]: <-- Premere invio se vogliamo utilizzare la porta 8080, altrimenti inserire una porta diversa per accedere al pannello di gestione di ISPConfig (ricordiamoci di aprire la porta sul Firewall se ne abbiamo uno sia software che fisico)
Admin password [admin]: <--Inseriamo una password per l'utente Admin con cui utilizzare il Pannello Web di ISPConfig

Do you want a secure (SSL) connection to the ISPConfig web interface (y,n) [y]: <-- Premere Invio
Generating RSA private key, 4096 bit long modulus
.......................++
................................................................................................................................++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: <-- Enter 2 letter country code
State or Province Name (full name) [Some-State]: <-- Enter the name of the state
Locality Name (eg, city) []: <-- Enter your city
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Enter company name or press enter
Organizational Unit Name (eg, section) []: <-- Premere Invio
Common Name (e.g. server FQDN or YOUR name) []: <-- Enter the server hostname, in my case: server1.example.com
Email Address []: <-- Premere Invio
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: <-- Premere Invio
An optional company name []: <-- Premere Invio
writing RSA key

Configuring DBServer
Installing ISPConfig crontab
no crontab for root
Detect IP addresses
Restarting services ...
Installation completed.

Successivamente è possibile accedere a ISPConfig 3 in http(s)://server1.miodominio.com:8080/ o http(s)://192.168.0.100:8080/ (http o https dipende da ciò che è stato scelto durante l'installazione, come l'indirizzo IP da inserire dipende dalla configurazione del server, se vogliamo che risponda un nome a dominio come server1.miodominio.com:8080 andranno chiaramente configurati dei DNS con relativo Record A per il nome a dominio). Accedi con il nome utente admin e la password admin.

[[Category:Webserver]]
[[Category:Apache2]]
[[Category:PHP]]
[[Category:MariaDB]]
[[Category:ISPConfig]]

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2020-01-22T20:35:00Z

Luigi.dacunto:

{{Procedure_Linux}}

==Introduzione==
La pagina seguente descrive i passaggi necessari per la rapida configurazione di un WebServer basato su OS Debian 10. In questo specifico esempio verrà riportata la procedura per installare Apache2, MariaDB e un PureFTPD, il tutto orchestrato da ISPConfig 3.x.

L'intera guida prevede l'utilizzo dell'utente root.

===Preliminari===
Puoi partire da un'installazione minimale di Debian 10. Partiamo con un upgrade dei pacchetti presenti nel caso in cui la macchina sia già preinstallata da un'immagine base.

Innanzitutto, assicurati che il file ''/etc/apt/sources.list'' contenga il repository ''buster/updates'' (questo ti assicura di ottenere sempre gli aggiornamenti di sicurezza più recenti) e che ''contrib'' e ''non-free'' repositori siano abilitati poiché alcuni pacchetti richiesti non sono nel repositorio principale:

nano /etc/apt/sources.list

Gli url nello specifico potrebbero apparire diversi in base alla localizzazione del vostro server, se si tratta di una macchina pubblica su un ISP estero, potrebbero puntare a repositori più vicini geograficamente perchè più veloci, quindi se non si è sicuri di modificare l'url specifico del repositorio meglio lasciare quello che troviamo aggiungendo solo i paramtri sopra citati rendendo il file simile a questo:

deb <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free
deb-src <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free

deb <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free
deb-src <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free

A questo punto facciamo un aggiornamento, in caso fosse necessario.

apt update
apt -y upgrade

====Installazione SSH Server (Opzionale)====
Se non è stato già installato in precedenza è il momento di procedere con l'installazione di OpenSSH Server

apt install -y ssh openssh-server

====Installazione editor di testo (Opzionale)====
Puoi scegliere l'editor che preferisci, per complilare questa guida è stato utilizzato ''nano'' ma se preferisci puoi usare ''vi''. Sui sistemi Debian il ''vi'' di default ha qualche strano comportamento per risolvere il problema installiamo ''vim-nox''

apt install -y nano vim-nox

====Configurazione hostname====
L'hostname del tuo server dovrebbe risultare come dominio di terzo livello tipo questo "''server1.miodominio.ext''". Non usare direttamente un dominio di secondo livello per configurare l'hostname del server come "''miodominio.ext''", questo potrebbe causare problemi più avanti se decidessi di utilizzare il server per installare e configurare anche i servizi per utilizzare la macchina anche come Mail Server.
Ci sono due file da configurare per questo passaggio: hostname e hosts.

nano /etc/hosts

che dovrebbe diventare qualcosa di simile per la nostra configurazione di prova "server1.miodominio.ext":

127.0.0.1 localhost.localdomain localhost
192.168.0.100 server1.miodominio.ext server1

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Successivamente editiamo il file hostname, qundi

nano /etc/hostname

sostituendo (se non è già stato inserito correttamente in fase di installazione) il nome dell'host

server1

a questo punto riavviamo il server

systemctl reboot

Una volta effettuato l'accesso nuovamente, controlliamo le modifiche apportate con i comandi:

hostname
hostname -f

che dovrebbero restituire un output di questo tipo:

root@server1:/~# hostname
server1
root@server1:/~# hostname -f
server1.miodominio.ext

====Sincronizza Orologio di Sistema====
È una buona idea sincronizzare l'orologio di sistema con '''NTP''' (Network Time Protocol) tramite internet. Lasciando il comando:

apt install -y ntp

Il sistema sarà così tenuto sincronizzato con l'orario corretto.

====Installazione e default di OpenSSL====
Installiaamo il pacchetto openssl, utilità per i protocolli crittografici SSL e TLS per la comunicazione sicura su internet:

apt install -y openssl

Ora possiamo configurare i dati di default che vengono utilizzati alla creazione di certificati e chiavi di sicurezza, editando il file:

nano /etc/ssl/openssl.cnf

Cerchiamo in questo file la sezione "''[ req_distinguished_name ]''" andando a settare i parametri "''_default''" ed editiamoli con i dati che preferiamo (questo passaggio è opzionale), segnati in Rosso i parametri da modificare o aggiungere:

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = IT
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Italy

localityName = Locality Name (eg, city)
localityName_default = Rome

0.organizationName = Organization Name (eg, company)
0.organizationName_default = My Organization Name

# we can do this but it is not needed normally :-)
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd

organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = IT Department

commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = server1.miodominio.ext

emailAddress = Email Address
emailAddress_max = 64
emailAddress_default = itsysadmin@miodominio.ext

Salviamo e chiudiamo il file.

====Utilità varie====
Passiamo ad installare in via preliminare alcuni pacchetti che possono aiutarci successivamente con le funzioni del server e con alcuni strumenti che potranno farci comodo:

Antivirus
apt install -y clamav clamav-daemon clamav-docs

Librerie e tool
apt install -y rkhunter binutils sudo build-essential autoconf automake libtool bison debhelper daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl apt-listchanges libnet-ldap-perl libauthen-sasl-perl libdbd-mysql-perl

Compressione Files
apt install -y unzip bzip2 arj nomarch lzop cabextract p7zip p7zip-full unrar lrzip zip

===Installazione dei servizi===
Iniziamo ad installare e configurare i vari servizi necessari al nostro Web Server. Verranno inseriti dei link laddove è possibile installare servizi aggiuntivi per aggiungere funzionalità al server, quali E-mail o DNS ecc.

====Database====
A questo punto possiamo installare il database, in questo esempio verrà usato MariaDB:

apt install -y install mariadb-client mariadb-server

Per mettere in sicurezza l'installazione di MariaDB lanciamo il comando

mysql_secure_installation

rispondiamo alle domande nel seguente modo:

Change the root password? [Y/n] <-- y
New password: <-- Inserire una nuova password per l'utente root di MariaDB
Re-enter new password: <-- Riipeti la password per l'utente root di MariaDB
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Remove test database and access to it? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

Per motivi di sicurezza MariaDB, come MySQL, ha impostato di default il parametro bind-address=127.0.0.1 così da accettare solo le richieste provenienti da localhost. Nel caso avessimo bisogno di permettere l'accesso da altre fonti, proteggendo poi la porta magari tramite il firewall così da filtrare comunque le eventuali richieste da indirizzi indesiderati, abbiamo la necessità di modificare tale parametro. Possiamo commentare la riga in questione oppure aggiungere specifici sorgenti da cui desideriamo abilitare le richieste:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address = 127.0.0.1

[...]

Settiamo ora il "password authentication method" su "native" se vogliamo abilitare la possibilità di connettersi al database con l'utenza di root utilizzando il PHPMyAdmin:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Modifichiamo il file "/etc/mysql/debian.cnf" e imposta lì la password di root MYSQL/MariaDB nelle righe che iniziano con la parola password:

nano /etc/mysql/debian.cnf

La password da inserire è di seguito mostrata in rosso:

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
basedir = /usr

Per prevenire l'errore "'''Error in accept: Too many open files'''" impostiamo i limiti per i file aperti più eleventi per il MariaDB:

nano /etc/security/limits.conf

Aggiungiamo queste due righe alla fine del file:

mysql soft nofile 65535
mysql hard nofile 65535

Creiamo una nuova directory "/etc/systemd/system/mysql.service.d/" con il comando mkdir.

mkdir -p /etc/systemd/system/mysql.service.d/

e aggiungiamo all'interno un file chiamato "limits.conf"

nano /etc/systemd/system/mysql.service.d/limits.conf

all'interno di questo file incolliamo quanto segue:

[Service]
LimitNOFILE=infinity

Salviamo il file. Lanciamo un reload di systemd e riavviamo il servizio MariaDB:

systemctl daemon-reload
systemctl restart mariadb

Possiamo controllare ora che il servizio sia in esecuzione e che le connesioni di rete siano abilitate:

netstat -tap | grep mysql

ottenendo un output simile a questo

root@server1:~# netstat -tap | grep mysql
tcp 0 0 0.0.0.0:mysql 0.0.0.0:* LISTEN 28655/mysqld

====Apache e PHP====
Siamo pronti per procedere con l'installazione di Apache e PHP (verrà così installata la versione di default del repository di sistema):

apt install -y apache2 apache2-doc apache2-utils libapache2-mod-php php php-common php-gd php-mysql php-imap php-cli php-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear mcrypt imagemagick libruby libapache2-mod-python php-curl php-intl php-pspell php-recode php-sqlite3 php-tidy php-xmlrpc php-xsl memcached php-memcache php-imagick php-gettext php-zip php-mbstring memcached libapache2-mod-passenger php-soap php-fpm php-opcache php-apcu

Fatti ciò eseguiamo il seguente comando per abilitare i moduli di Apache suexec, rewrite, ssl, actions e include (più ''dav dav_fs auth_digest'' se si desidera utilizzare WebDAV):

a2enmod suexec rewrite ssl actions include cgi headers actions proxy_fcgi alias

Per garantire che il server non possa essere attaccato attraverso la vulnerabilità HTTPOXY, disabilitiamo l'intestazione HTTP_PROXY in Apache a livello globale aggiungendo il file di configurazione ''/etc/apache2/conf-available/httpoxy.conf'':

'''Nota Bene''': la vulnerabilità in questione è denominata '''httpoxy''' (senza 'r') e quindi il file in cui viene aggiunta la configurazione per impedirne l'utilizzo è chiamato '''httpoxy.conf''' e non '''httproxy.conf''', quindi non manca 'r' nel nome del file.

nano /etc/apache2/conf-available/httpoxy.conf

incolliamo quanto segue all'interno del file creato

<IfModule mod_headers.c>
RequestHeader unset Proxy early
</IfModule>

per abilitare il modulo e la configurazione aggiunta:

a2enconf httpoxy
systemctl restart apache2

====Let's Encrypt====
Da ISPConfig 3.1 è stato aggiunto il supporto per la Certificate Authority SSL gratuita di Let's encrypt. La funzione Let's Encrypt ti consente di creare certificati SSL gratuiti per il tuo sito web da ISPConfig.

Aggiungiamo quindi il supporto per Let's Encrypt:

cd /usr/local/bin
wget <nowiki>https://dl.eff.org/certbot-auto</nowiki>
chmod a+x certbot-auto
./certbot-auto --install-only

Non sono necessari ulteriori passaggi per l'installazione di LE. I certificati SSL del sito Web vengono creati da ISPConfig quando si aggiungono i siti Web.

====PureFTPd====
Procediamo ora con l'installazione del demone FTP, in questa guida utilizziamo PureFTPd:

apt install -y pure-ftpd-common pure-ftpd-mysql

Creaiamo il file ''dhparam'' per pure-ftpd:

openssl dhparam -out /etc/ssl/private/pure-ftpd-dhparams.pem 2048

Editiamo il file di configurazione ''/etc/default/pure-ftpd-common''

nano /etc/default/pure-ftpd-common

Assicuriamoci che la modalità di avvio sia impostata su ''standalone'' e il parametro VIRTUALCHROOT sia impostato a ''true''

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Ora configuriamo PureFTPd per consentire sessioni FTP e TLS. FTP è un protocollo molto insicuro perché tutte le password e tutti i dati sono trasferiti in chiaro. Utilizzando TLS, l'intera comunicazione può essere crittografata, rendendo così FTP molto più sicuro.

Eseguiamo i comandi:

echo 1 > /etc/pure-ftpd/conf/TLS

Per utilizzare TLS, dobbiamo creare un certificato SSL. Lo creiamo in ''/etc/ssl/private/'', creiamo prima quella directory:

mkdir -p /etc/ssl/private/

Successivamente, possiamo generare il certificato SSL come segue:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

se abbiamo editato il file di configurazione di openssl a questo punto basterà premere invio ad ogni parametro perchè verrà impostato con il default impostato nel file di configurazione che compariranno tra le parentesi quadre ''[]'' ad ogni riga:

Country Name (2 letter code) [AU]: <-- Immettere le iniziali della propria nazione (es "IT").
State or Province Name (full name) [Some-State]: <-- Immettere stato o provincia.
Locality Name (eg, city) []: <-- Immettere città.
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Immettere nome della tua organizzazione o azienda.
Organizational Unit Name (eg, section) []: <-- Immettere il nome del dipartimento interessato (es "IT Department").
Common Name (eg, YOUR name) []: <-- Immettere il nome di dominio completo del sistema (ad esempio "server1.miodominio.com").
Email Address []: <-- Immettere il tuo indirizzo e-mail.

Modifichiamo le autorizzazioni del certificato SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Restartiamo il servizio PureFTPd:

systemctl restart pure-ftpd-mysql

====Webalizer e AWStats (Opzionale)====
Possiamo installare questi due tool nel modo seguente:

apt install -y webalizer awstats geoip-database libclass-dbi-mysql-perl libtimedate-perl

Pariamo "''/etc/cron.d/awstats''"

nano /etc/cron.d/awstats

e commentiamo tutto il file:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generate static reports:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

====Jailkit====
Jailkit è un insieme di utilità per limitare gli account utente a file specifici utilizzando chroot () e o comandi specifici. Configurare una shell chroot, una shell limitata a un comando specifico o un demone all'interno di una prigione chroot è molto più semplice e può essere automatizzato usando queste utility.

Prepariamo il pacchetto per l'installazione partendo dei sorgenti:

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz
tar xvfz jailkit-2.20.tar.gz
cd jailkit-2.20
echo 5 > debian/compat
./debian/rules binary

Ora possiamo installare il Jailkit ''.deb'' come segue:

cd ..
dpkg -i jailkit_2.20-1_*.deb
rm -rf jailkit-2.20*

====fail2ban====
Opzionale ma molto raccomandata, l'installazione di fail2ban.

apt install -y fail2ban

Per abilitare fail2ban al monitoraggio delle operazioni sull'FTP creiamo il file ''/etc/fail2ban/jail.local''

nano /etc/fail2ban/jail.local

E nel file il seguente testo

[pure-ftpd]
enabled = true
port = ftp
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3

Restartiamo il servizio

systemctl restart fail2ban

====PHPMyAdmin====
Dalla versione 10 di Debian, PHPMyAdmin non è più disponibile come pacchetto .deb. Pertanto lo installeremo dai sorgenti:
Creiamo la struttura di base:

mkdir /usr/share/phpmyadmin
mkdir /etc/phpmyadmin
mkdir -p /var/lib/phpmyadmin/tmp
chown -R www-data:www-data /var/lib/phpmyadmin
touch /etc/phpmyadmin/htpasswd.setup

Spostiamoci nella directory /tmp per scaricare lo zip dei sorgenti per poi posizionarli nel path creatogli

cd /tmp
wget https://files.phpmyadmin.net/phpMyAdmin/4.9.0.1/phpMyAdmin-4.9.0.1-all-languages.tar.gz

tar xfz phpMyAdmin-4.9.0.1-all-languages.tar.gz
mv phpMyAdmin-4.9.0.1-all-languages/* /usr/share/phpmyadmin/
rm phpMyAdmin-4.9.0.1-all-languages.tar.gz
rm -rf phpMyAdmin-4.9.0.1-all-languages

Creiamo un nuovo file di configurazione partendo dal file di configurazione d'esempio e poi modifichiamolo nelle parti necessarie:

cp /usr/share/phpmyadmin/config.sample.inc.php /usr/share/phpmyadmin/config.inc.php
nano /usr/share/phpmyadmin/config.inc.php

Impostiamo una password sicura (blowfish secret) deve essere lunga 32 caratteri

$cfg['blowfish_secret'] = '<QUi la password. non verrà richiesta>'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

Quindi aggiungiamo una riga per impostare la directory che PHPMyAdmin dovrà usare per archiviare i file temporanei:

$cfg['TempDir'] = '/var/lib/phpmyadmin/tmp';

Successivamente, creiamo il file di configurazione di Apache per PHPMyAdmin aprendo un nuovo file in nano editor:

nano /etc/apache2/conf-available/phpmyadmin.conf

Possiamo incollare nel file la seguente configurazione (se sono stati seguiti tutti i passi come da guida, creati gli stessi path con gli stessi nomi altrimenti andrà modificata in base le esigenze):

# phpMyAdmin default Apache configuration

Alias /phpmyadmin /usr/share/phpmyadmin

<Directory /usr/share/phpmyadmin>
Options FollowSymLinks
DirectoryIndex index.php

<IfModule mod_php7.c>
AddType application/x-httpd-php .php

php_flag magic_quotes_gpc Off
php_flag track_vars On
php_flag register_globals Off
php_value include_path .
</IfModule>

</Directory>

# Authorize for setup
<Directory /usr/share/phpmyadmin/setup>
<IfModule mod_authn_file.c>
AuthType Basic
AuthName "phpMyAdmin Setup"
AuthUserFile /etc/phpmyadmin/htpasswd.setup
</IfModule>
Require valid-user
</Directory>

# Disallow web access to directories that don't need it
<Directory /usr/share/phpmyadmin/libraries>
Order Deny,Allow
Deny from All
</Directory>
<Directory /usr/share/phpmyadmin/setup/lib>
Order Deny,Allow
Deny from All
</Directory>

Attiviamo la configurazione appena aggiunta e riavviamo Apache.

a2enconf phpmyadmin
systemctl restart apache2

Nel passaggio successivo, configureremo l'archivio di configurazione phpMyadmin (database).

Accediamo a MariaDB come utente root:

mysql -u root -p

Nella shell MariaDB, creaiamo un nuovo database e un utente per PHPMyAdmin e diamo i privilegi necessari all'utente creato relativamente per il nuovo database creato
immettiamo una password sicura per l'utente pma che stiamo creando sia nella creazione sia nel settaggio dei Privilegi dell'utente:

MariaDB [(none)]> CREATE DATABASE phpmyadmin;
MariaDB [(none)]> CREATE USER 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma';
MariaDB [(none)]> GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma' WITH GRANT OPTION;
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> EXIT;

Infine, carichiamo le tabelle SQL nel database:

mysql -u root -p phpmyadmin < /usr/share/phpmyadmin/sql/create_tables.sql

Quello che dobbiamo fare ora è impostare i dettagli dell'utente phpmyadmin nel file di configurazione. Apriamo di nuovo il file in nano editor:

nano /usr/share/phpmyadmin/config.inc.php

Scorriamo il file fino a trovare alle linee riportate sopra ed editiamole o decommentiamole se necessario, impostando i parametri necessari tra cui utente e password appena creati per phpmyadmi:

/* User used to manipulate with storage */
$cfg['Servers'][$i]['controlhost'] = 'localhost';
$cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = 'passwordperlutentepma';

/* Storage database and tables */
$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';
$cfg['Servers'][$i]['bookmarktable'] = 'pma__bookmark';
$cfg['Servers'][$i]['relation'] = 'pma__relation';
$cfg['Servers'][$i]['table_info'] = 'pma__table_info';
$cfg['Servers'][$i]['table_coords'] = 'pma__table_coords';
$cfg['Servers'][$i]['pdf_pages'] = 'pma__pdf_pages';
$cfg['Servers'][$i]['column_info'] = 'pma__column_info';
$cfg['Servers'][$i]['history'] = 'pma__history';
$cfg['Servers'][$i]['table_uiprefs'] = 'pma__table_uiprefs';
$cfg['Servers'][$i]['tracking'] = 'pma__tracking';
$cfg['Servers'][$i]['userconfig'] = 'pma__userconfig';
$cfg['Servers'][$i]['recent'] = 'pma__recent';
$cfg['Servers'][$i]['favorite'] = 'pma__favorite';
$cfg['Servers'][$i]['users'] = 'pma__users';
$cfg['Servers'][$i]['usergroups'] = 'pma__usergroups';
$cfg['Servers'][$i]['navigationhiding'] = 'pma__navigationhiding';
$cfg['Servers'][$i]['savedsearches'] = 'pma__savedsearches';
$cfg['Servers'][$i]['central_columns'] = 'pma__central_columns';
$cfg['Servers'][$i]['designer_settings'] = 'pma__designer_settings';
$cfg['Servers'][$i]['export_templates'] = 'pma__export_templates';

Sono di sopra riportate e segnate in rosso le linee modificate. Sostituisci "passwordperlutentepma" con la password che è stata impostata per l'utente phpmyadmin. Nota che anche "//" davanti alle linee è stato rimosso!.

===ISPConfig===
Procediamo quindi con l'installazione di ISPConfig. Scarichiamo l'ultima versione stabile rilasciata:

cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install/

Lanciamo quindi lo script per eseguire l'installazione:

php -q install.php

Ciò avvierà il programma di installazione ISPConfig 3. Il programma di installazione configurerà tutti i servizi installati e l'interfaccia web per gestire il nuovo webserver.

>> Initial configuration
Operating System: Debian 10.0 (Buster) or compatible
Following will be a few questions for primary configuration so be careful.
Default values are in [brackets] and can be accepted with <ENTER>.
Tap in "quit" (without the quotes) to stop the installer.

Select language (en,de) [en]: <-- Premere Invio
Installation mode (standard,expert) [standard]: <-- Premere Invio
Full qualified hostname (FQDN) of the server, eg server1.domain.tld [server1.example.com]: <-- Premere Invio
MySQL server hostname [localhost]: <-- Premere Invio
MySQL server port [3306]: <-- Premere Invio
MySQL root username [root]: <-- Premere Invio
MySQL root password []: <-- Inseriamo la password dell'utente root per MariaDB
MySQL database to create [dbispconfig]: <-- Premere Invio
MySQL charset [utf8]: <-- Premere Invio

Configuring Jailkit
Configuring Pureftpd
Configuring Apache
Configuring vlogger
Configuring Fail2ban
Installing ISPConfig
ISPConfig Port [8080]: <-- Premere invio se vogliamo utilizzare la porta 8080, altrimenti inserire una porta diversa per accedere al pannello di gestione di ISPConfig (ricordiamoci di aprire la porta sul Firewall se ne abbiamo uno sia software che fisico)
Admin password [admin]: <--Inseriamo una password per l'utente Admin con cui utilizzare il Pannello Web di ISPConfig

Do you want a secure (SSL) connection to the ISPConfig web interface (y,n) [y]: <-- Premere Invio
Generating RSA private key, 4096 bit long modulus
.......................++
................................................................................................................................++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: <-- Enter 2 letter country code
State or Province Name (full name) [Some-State]: <-- Enter the name of the state
Locality Name (eg, city) []: <-- Enter your city
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Enter company name or press enter
Organizational Unit Name (eg, section) []: <-- Premere Invio
Common Name (e.g. server FQDN or YOUR name) []: <-- Enter the server hostname, in my case: server1.example.com
Email Address []: <-- Premere Invio
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: <-- Premere Invio
An optional company name []: <-- Premere Invio
writing RSA key

Configuring DBServer
Installing ISPConfig crontab
no crontab for root
Detect IP addresses
Restarting services ...
Installation completed.

Successivamente è possibile accedere a ISPConfig 3 in http(s)://server1.miodominio.com:8080/ o http(s)://192.168.0.100:8080/ (http o https dipende da ciò che è stato scelto durante l'installazione, come l'indirizzo IP da inserire dipende dalla configurazione del server, se vogliamo che risponda un nome a dominio come server1.miodominio.com:8080 andranno chiaramente configurati dei DNS con relativo Record A per il nome a dominio). Accedi con il nome utente admin e la password admin.

[[Category:Webserver]]
[[Category:Apache2]]
[[Category:PHP]]
[[Category:MariaDB]]
[[Category:ISPConfig]]

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2020-01-22T20:10:11Z

Luigi.dacunto:

{{Procedure_Linux}}
'''[W.i.p]'''
==Introduzione==
La pagina seguente descrive i passaggi necessari per la rapida configurazione di un WebServer basato su OS Debian 10. In questo specifico esempio verrà riportata la procedura per installare Apache2, MariaDB e un PureFTPD, il tutto orchestrato da ISPConfig 3.x.

L'intera guida prevede l'utilizzo dell'utente root.

===Preliminari===
Puoi partire da un'installazione minimale di Debian 10. Partiamo con un upgrade dei pacchetti presenti nel caso in cui la macchina sia già preinstallata da un'immagine base.

Innanzitutto, assicurati che il file ''/etc/apt/sources.list'' contenga il repository ''buster/updates'' (questo ti assicura di ottenere sempre gli aggiornamenti di sicurezza più recenti) e che ''contrib'' e ''non-free'' repositori siano abilitati poiché alcuni pacchetti richiesti non sono nel repositorio principale:

nano /etc/apt/sources.list

Gli url nello specifico potrebbero apparire diversi in base alla localizzazione del vostro server, se si tratta di una macchina pubblica su un ISP estero, potrebbero puntare a repositori più vicini geograficamente perchè più veloci, quindi se non si è sicuri di modificare l'url specifico del repositorio meglio lasciare quello che troviamo aggiungendo solo i paramtri sopra citati rendendo il file simile a questo:

deb <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free
deb-src <nowiki>http://deb.debian.org/debian/</nowiki> buster main contrib non-free

deb <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free
deb-src <nowiki>http://security.debian.org/debian-security</nowiki> buster/updates main contrib non-free

A questo punto facciamo un aggiornamento, in caso fosse necessario.

apt update
apt -y upgrade

====Installazione SSH Server (Opzionale)====
Se non è stato già installato in precedenza è il momento di procedere con l'installazione di OpenSSH Server

apt install -y ssh openssh-server

====Installazione editor di testo (Opzionale)====
Puoi scegliere l'editor che preferisci, per complilare questa guida è stato utilizzato ''nano'' ma se preferisci puoi usare ''vi''. Sui sistemi Debian il ''vi'' di default ha qualche strano comportamento per risolvere il problema installiamo ''vim-nox''

apt install -y nano vim-nox

====Configurazione hostname====
L'hostname del tuo server dovrebbe risultare come dominio di terzo livello tipo questo "''server1.miodominio.ext''". Non usare direttamente un dominio di secondo livello per configurare l'hostname del server come "''miodominio.ext''", questo potrebbe causare problemi più avanti se decidessi di utilizzare il server per installare e configurare anche i servizi per utilizzare la macchina anche come Mail Server.
Ci sono due file da configurare per questo passaggio: hostname e hosts.

nano /etc/hosts

che dovrebbe diventare qualcosa di simile per la nostra configurazione di prova "server1.miodominio.ext":

127.0.0.1 localhost.localdomain localhost
192.168.0.100 server1.miodominio.ext server1

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Successivamente editiamo il file hostname, qundi

nano /etc/hostname

sostituendo (se non è già stato inserito correttamente in fase di installazione) il nome dell'host

server1

a questo punto riavviamo il server

systemctl reboot

Una volta effettuato l'accesso nuovamente, controlliamo le modifiche apportate con i comandi:

hostname
hostname -f

che dovrebbero restituire un output di questo tipo:

root@server1:/~# hostname
server1
root@server1:/~# hostname -f
server1.miodominio.ext

====Sincronizza Orologio di Sistema====
È una buona idea sincronizzare l'orologio di sistema con '''NTP''' (Network Time Protocol) tramite internet. Lasciando il comando:

apt install -y ntp

Il sistema sarà così tenuto sincronizzato con l'orario corretto.

====Installazione e default di OpenSSL====
Installiaamo il pacchetto openssl, utilità per i protocolli crittografici SSL e TLS per la comunicazione sicura su internet:

apt install -y openssl

Ora possiamo configurare i dati di default che vengono utilizzati alla creazione di certificati e chiavi di sicurezza, editando il file:

nano /etc/ssl/openssl.cnf

Cerchiamo in questo file la sezione "''[ req_distinguished_name ]''" andando a settare i parametri "''_default''" ed editiamoli con i dati che preferiamo (questo passaggio è opzionale), segnati in Rosso i parametri da modificare o aggiungere:

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = IT
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Italy

localityName = Locality Name (eg, city)
localityName_default = Rome

0.organizationName = Organization Name (eg, company)
0.organizationName_default = My Organization Name

# we can do this but it is not needed normally :-)
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd

organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = IT Department

commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = server1.miodominio.ext

emailAddress = Email Address
emailAddress_max = 64
emailAddress_default = itsysadmin@miodominio.ext

Salviamo e chiudiamo il file.

====Utilità varie====
Passiamo ad installare in via preliminare alcuni pacchetti che possono aiutarci successivamente con le funzioni del server e con alcuni strumenti che potranno farci comodo:

Antivirus
apt install -y clamav clamav-daemon clamav-docs

Librerie e tool
apt install -y rkhunter binutils sudo build-essential autoconf automake libtool bison debhelper daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl apt-listchanges libnet-ldap-perl libauthen-sasl-perl libdbd-mysql-perl

Compressione Files
apt install -y unzip bzip2 arj nomarch lzop cabextract p7zip p7zip-full unrar lrzip zip

===Installazione dei servizi===
Iniziamo ad installare e configurare i vari servizi necessari al nostro Web Server. Verranno inseriti dei link laddove è possibile installare servizi aggiuntivi per aggiungere funzionalità al server, quali E-mail o DNS ecc.

====Database====
A questo punto possiamo installare il database, in questo esempio verrà usato MariaDB:

apt install -y install mariadb-client mariadb-server

Per mettere in sicurezza l'installazione di MariaDB lanciamo il comando

mysql_secure_installation

rispondiamo alle domande nel seguente modo:

Change the root password? [Y/n] <-- y
New password: <-- Inserire una nuova password per l'utente root di MariaDB
Re-enter new password: <-- Riipeti la password per l'utente root di MariaDB
Remove anonymous users? [Y/n] <-- y
Disallow root login remotely? [Y/n] <-- y
Remove test database and access to it? [Y/n] <-- y
Reload privilege tables now? [Y/n] <-- y

Per motivi di sicurezza MariaDB, come MySQL, ha impostato di default il parametro bind-address=127.0.0.1 così da accettare solo le richieste provenienti da localhost. Nel caso avessimo bisogno di permettere l'accesso da altre fonti, proteggendo poi la porta magari tramite il firewall così da filtrare comunque le eventuali richieste da indirizzi indesiderati, abbiamo la necessità di modificare tale parametro. Possiamo commentare la riga in questione oppure aggiungere specifici sorgenti da cui desideriamo abilitare le richieste:

nano /etc/mysql/mariadb.conf.d/50-server.cnf

[...]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address = 127.0.0.1

[...]

Settiamo ora il "password authentication method" su "native" se vogliamo abilitare la possibilità di connettersi al database con l'utenza di root utilizzando il PHPMyAdmin:

echo "update mysql.user set plugin = 'mysql_native_password' where user='root';" | mysql -u root

Modifichiamo il file "/etc/mysql/debian.cnf" e imposta lì la password di root MYSQL/MariaDB nelle righe che iniziano con la parola password:

nano /etc/mysql/debian.cnf

La password da inserire è di seguito mostrata in rosso:

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = root
password = rootpassword
socket = /var/run/mysqld/mysqld.sock
basedir = /usr

Per prevenire l'errore "'''Error in accept: Too many open files'''" impostiamo i limiti per i file aperti più eleventi per il MariaDB:

nano /etc/security/limits.conf

Aggiungiamo queste due righe alla fine del file:

mysql soft nofile 65535
mysql hard nofile 65535

Creiamo una nuova directory "/etc/systemd/system/mysql.service.d/" con il comando mkdir.

mkdir -p /etc/systemd/system/mysql.service.d/

e aggiungiamo all'interno un file chiamato "limits.conf"

nano /etc/systemd/system/mysql.service.d/limits.conf

all'interno di questo file incolliamo quanto segue:

[Service]
LimitNOFILE=infinity

Salviamo il file. Lanciamo un reload di systemd e riavviamo il servizio MariaDB:

systemctl daemon-reload
systemctl restart mariadb

Possiamo controllare ora che il servizio sia in esecuzione e che le connesioni di rete siano abilitate:

netstat -tap | grep mysql

ottenendo un output simile a questo

root@server1:~# netstat -tap | grep mysql
tcp 0 0 0.0.0.0:mysql 0.0.0.0:* LISTEN 28655/mysqld

====Apache e PHP====
Siamo pronti per procedere con l'installazione di Apache e PHP (verrà così installata la versione di default del repository di sistema):

apt install -y apache2 apache2-doc apache2-utils libapache2-mod-php php php-common php-gd php-mysql php-imap php-cli php-cgi libapache2-mod-fcgid apache2-suexec-pristine php-pear mcrypt imagemagick libruby libapache2-mod-python php-curl php-intl php-pspell php-recode php-sqlite3 php-tidy php-xmlrpc php-xsl memcached php-memcache php-imagick php-gettext php-zip php-mbstring memcached libapache2-mod-passenger php-soap php-fpm php-opcache php-apcu

Fatti ciò eseguiamo il seguente comando per abilitare i moduli di Apache suexec, rewrite, ssl, actions e include (più ''dav dav_fs auth_digest'' se si desidera utilizzare WebDAV):

a2enmod suexec rewrite ssl actions include cgi headers actions proxy_fcgi alias

Per garantire che il server non possa essere attaccato attraverso la vulnerabilità HTTPOXY, disabilitiamo l'intestazione HTTP_PROXY in Apache a livello globale aggiungendo il file di configurazione ''/etc/apache2/conf-available/httpoxy.conf'':

'''Nota Bene''': la vulnerabilità in questione è denominata '''httpoxy''' (senza 'r') e quindi il file in cui viene aggiunta la configurazione per impedirne l'utilizzo è chiamato '''httpoxy.conf''' e non '''httproxy.conf''', quindi non manca 'r' nel nome del file.

nano /etc/apache2/conf-available/httpoxy.conf

incolliamo quanto segue all'interno del file creato

<IfModule mod_headers.c>
RequestHeader unset Proxy early
</IfModule>

per abilitare il modulo e la configurazione aggiunta:

a2enconf httpoxy
systemctl restart apache2

====Let's Encrypt====
Da ISPConfig 3.1 è stato aggiunto il supporto per la Certificate Authority SSL gratuita di Let's encrypt. La funzione Let's Encrypt ti consente di creare certificati SSL gratuiti per il tuo sito web da ISPConfig.

Aggiungiamo quindi il supporto per Let's Encrypt:

cd /usr/local/bin
wget <nowiki>https://dl.eff.org/certbot-auto</nowiki>
chmod a+x certbot-auto
./certbot-auto --install-only

Non sono necessari ulteriori passaggi per l'installazione di LE. I certificati SSL del sito Web vengono creati da ISPConfig quando si aggiungono i siti Web.

====PureFTPd====
Procediamo ora con l'installazione del demone FTP, in questa guida utilizziamo PureFTPd:

apt install -y pure-ftpd-common pure-ftpd-mysql

Creaiamo il file ''dhparam'' per pure-ftpd:

openssl dhparam -out /etc/ssl/private/pure-ftpd-dhparams.pem 2048

Editiamo il file di configurazione ''/etc/default/pure-ftpd-common''

nano /etc/default/pure-ftpd-common

Assicuriamoci che la modalità di avvio sia impostata su ''standalone'' e il parametro VIRTUALCHROOT sia impostato a ''true''

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]

Ora configuriamo PureFTPd per consentire sessioni FTP e TLS. FTP è un protocollo molto insicuro perché tutte le password e tutti i dati sono trasferiti in chiaro. Utilizzando TLS, l'intera comunicazione può essere crittografata, rendendo così FTP molto più sicuro.

Eseguiamo i comandi:

echo 1 > /etc/pure-ftpd/conf/TLS

Per utilizzare TLS, dobbiamo creare un certificato SSL. Lo creiamo in ''/etc/ssl/private/'', creiamo prima quella directory:

mkdir -p /etc/ssl/private/

Successivamente, possiamo generare il certificato SSL come segue:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

se abbiamo editato il file di configurazione di openssl a questo punto basterà premere invio ad ogni parametro perchè verrà impostato con il default impostato nel file di configurazione che compariranno tra le parentesi quadre ''[]'' ad ogni riga:

Country Name (2 letter code) [AU]: <-- Immettere le iniziali della propria nazione (es "IT").
State or Province Name (full name) [Some-State]: <-- Immettere stato o provincia.
Locality Name (eg, city) []: <-- Immettere città.
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Immettere nome della tua organizzazione o azienda.
Organizational Unit Name (eg, section) []: <-- Immettere il nome del dipartimento interessato (es "IT Department").
Common Name (eg, YOUR name) []: <-- Immettere il nome di dominio completo del sistema (ad esempio "server1.miodominio.com").
Email Address []: <-- Immettere il tuo indirizzo e-mail.

Modifichiamo le autorizzazioni del certificato SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Restartiamo il servizio PureFTPd:

systemctl restart pure-ftpd-mysql

====Webalizer e AWStats (Opzionale)====
Possiamo installare questi due tool nel modo seguente:

apt install -y webalizer awstats geoip-database libclass-dbi-mysql-perl libtimedate-perl

Pariamo "''/etc/cron.d/awstats''"

nano /etc/cron.d/awstats

e commentiamo tutto il file:

#MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generate static reports:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

====Jailkit====
Jailkit è un insieme di utilità per limitare gli account utente a file specifici utilizzando chroot () e o comandi specifici. Configurare una shell chroot, una shell limitata a un comando specifico o un demone all'interno di una prigione chroot è molto più semplice e può essere automatizzato usando queste utility.

Prepariamo il pacchetto per l'installazione partendo dei sorgenti:

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz
tar xvfz jailkit-2.20.tar.gz
cd jailkit-2.20
echo 5 > debian/compat
./debian/rules binary

Ora possiamo installare il Jailkit ''.deb'' come segue:

cd ..
dpkg -i jailkit_2.20-1_*.deb
rm -rf jailkit-2.20*

====fail2ban===
Opzionale ma molto raccomandata, l'installazione di fail2ban.

apt install -y fail2ban

Per abilitare fail2ban al monitoraggio delle operazioni sull'FTP creiamo il file ''/etc/fail2ban/jail.local''

nano /etc/fail2ban/jail.local

E nel file il seguente testo

[pure-ftpd]
enabled = true
port = ftp
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3

Restartiamo il servizio

systemctl restart fail2ban

====PHPMyAdmin====
Dalla versione 10 di Debian, PHPMyAdmin non è più disponibile come pacchetto .deb. Pertanto lo installeremo dai sorgenti:
Creiamo la struttura di base:

mkdir /usr/share/phpmyadmin
mkdir /etc/phpmyadmin
mkdir -p /var/lib/phpmyadmin/tmp
chown -R www-data:www-data /var/lib/phpmyadmin
touch /etc/phpmyadmin/htpasswd.setup

Spostiamoci nella directory /tmp per scaricare lo zip dei sorgenti per poi posizionarli nel path creatogli

cd /tmp
wget https://files.phpmyadmin.net/phpMyAdmin/4.9.0.1/phpMyAdmin-4.9.0.1-all-languages.tar.gz

tar xfz phpMyAdmin-4.9.0.1-all-languages.tar.gz
mv phpMyAdmin-4.9.0.1-all-languages/* /usr/share/phpmyadmin/
rm phpMyAdmin-4.9.0.1-all-languages.tar.gz
rm -rf phpMyAdmin-4.9.0.1-all-languages

Creiamo un nuovo file di configurazione partendo dal file di configurazione d'esempio e poi modifichiamolo nelle parti necessarie:

cp /usr/share/phpmyadmin/config.sample.inc.php /usr/share/phpmyadmin/config.inc.php
nano /usr/share/phpmyadmin/config.inc.php

Impostiamo una password sicura (blowfish secret) deve essere lunga 32 caratteri

$cfg['blowfish_secret'] = '<QUi la password. non verrà richiesta>'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

Quindi aggiungiamo una riga per impostare la directory che PHPMyAdmin dovrà usare per archiviare i file temporanei:

$cfg['TempDir'] = '/var/lib/phpmyadmin/tmp';

Successivamente, creiamo il file di configurazione di Apache per PHPMyAdmin aprendo un nuovo file in nano editor:

nano /etc/apache2/conf-available/phpmyadmin.conf

Possiamo incollare nel file la seguente configurazione (se sono stati seguiti tutti i passi come da guida, creati gli stessi path con gli stessi nomi altrimenti andrà modificata in base le esigenze):

# phpMyAdmin default Apache configuration

Alias /phpmyadmin /usr/share/phpmyadmin

<Directory /usr/share/phpmyadmin>
Options FollowSymLinks
DirectoryIndex index.php

<IfModule mod_php7.c>
AddType application/x-httpd-php .php

php_flag magic_quotes_gpc Off
php_flag track_vars On
php_flag register_globals Off
php_value include_path .
</IfModule>

</Directory>

# Authorize for setup
<Directory /usr/share/phpmyadmin/setup>
<IfModule mod_authn_file.c>
AuthType Basic
AuthName "phpMyAdmin Setup"
AuthUserFile /etc/phpmyadmin/htpasswd.setup
</IfModule>
Require valid-user
</Directory>

# Disallow web access to directories that don't need it
<Directory /usr/share/phpmyadmin/libraries>
Order Deny,Allow
Deny from All
</Directory>
<Directory /usr/share/phpmyadmin/setup/lib>
Order Deny,Allow
Deny from All
</Directory>

Attiviamo la configurazione appena aggiunta e riavviamo Apache.

a2enconf phpmyadmin
systemctl restart apache2

Nel passaggio successivo, configureremo l'archivio di configurazione phpMyadmin (database).

Accediamo a MariaDB come utente root:

mysql -u root -p

Nella shell MariaDB, creaiamo un nuovo database e un utente per PHPMyAdmin e diamo i privilegi necessari all'utente creato relativamente per il nuovo database creato
immettiamo una password sicura per l'utente pma che stiamo creando sia nella creazione sia nel settaggio dei Privilegi dell'utente:

MariaDB [(none)]> CREATE DATABASE phpmyadmin;
MariaDB [(none)]> CREATE USER 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma';
MariaDB [(none)]> GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' IDENTIFIED BY 'passwordperlutentepma' WITH GRANT OPTION;
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> EXIT;

Infine, carichiamo le tabelle SQL nel database:

mysql -u root -p phpmyadmin < /usr/share/phpmyadmin/sql/create_tables.sql

Quello che dobbiamo fare ora è impostare i dettagli dell'utente phpmyadmin nel file di configurazione. Apriamo di nuovo il file in nano editor:

nano /usr/share/phpmyadmin/config.inc.php

Scorriamo il file fino a trovare alle linee riportate sopra ed editiamole o decommentiamole se necessario, impostando i parametri necessari tra cui utente e password appena creati per phpmyadmi:

/* User used to manipulate with storage */
$cfg['Servers'][$i]['controlhost'] = 'localhost';
$cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = 'passwordperlutentepma';

/* Storage database and tables */
$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';
$cfg['Servers'][$i]['bookmarktable'] = 'pma__bookmark';
$cfg['Servers'][$i]['relation'] = 'pma__relation';
$cfg['Servers'][$i]['table_info'] = 'pma__table_info';
$cfg['Servers'][$i]['table_coords'] = 'pma__table_coords';
$cfg['Servers'][$i]['pdf_pages'] = 'pma__pdf_pages';
$cfg['Servers'][$i]['column_info'] = 'pma__column_info';
$cfg['Servers'][$i]['history'] = 'pma__history';
$cfg['Servers'][$i]['table_uiprefs'] = 'pma__table_uiprefs';
$cfg['Servers'][$i]['tracking'] = 'pma__tracking';
$cfg['Servers'][$i]['userconfig'] = 'pma__userconfig';
$cfg['Servers'][$i]['recent'] = 'pma__recent';
$cfg['Servers'][$i]['favorite'] = 'pma__favorite';
$cfg['Servers'][$i]['users'] = 'pma__users';
$cfg['Servers'][$i]['usergroups'] = 'pma__usergroups';
$cfg['Servers'][$i]['navigationhiding'] = 'pma__navigationhiding';
$cfg['Servers'][$i]['savedsearches'] = 'pma__savedsearches';
$cfg['Servers'][$i]['central_columns'] = 'pma__central_columns';
$cfg['Servers'][$i]['designer_settings'] = 'pma__designer_settings';
$cfg['Servers'][$i]['export_templates'] = 'pma__export_templates';

Sono di sopra riportate e segnate in rosso le linee modificate. Sostituisci "passwordperlutentepma" con la password che è stata impostata per l'utente phpmyadmin. Nota che anche "//" davanti alle linee è stato rimosso!.

===ISPConfig===
Procediamo quindi con l'installazione di ISPConfig. Scarichiamo l'ultima versione stabile rilasciata:

cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install/

Lanciamo quindi lo script per eseguire l'installazione:

php -q install.php

Ciò avvierà il programma di installazione ISPConfig 3. Il programma di installazione configurerà tutti i servizi installati e l'interfaccia web per gestire il nuovo webserver.

>> Initial configuration
Operating System: Debian 10.0 (Buster) or compatible
Following will be a few questions for primary configuration so be careful.
Default values are in [brackets] and can be accepted with <ENTER>.
Tap in "quit" (without the quotes) to stop the installer.

Select language (en,de) [en]: <-- Premere Invio
Installation mode (standard,expert) [standard]: <-- Premere Invio
Full qualified hostname (FQDN) of the server, eg server1.domain.tld [server1.example.com]: <-- Premere Invio
MySQL server hostname [localhost]: <-- Premere Invio
MySQL server port [3306]: <-- Premere Invio
MySQL root username [root]: <-- Premere Invio
MySQL root password []: <-- Inseriamo la password dell'utente root per MariaDB
MySQL database to create [dbispconfig]: <-- Premere Invio
MySQL charset [utf8]: <-- Premere Invio

Configuring Jailkit
Configuring Pureftpd
Configuring Apache
Configuring vlogger
Configuring Fail2ban
Installing ISPConfig
ISPConfig Port [8080]: <-- Premere invio se vogliamo utilizzare la porta 8080, altrimenti inserire una porta diversa per accedere al pannello di gestione di ISPConfig (ricordiamoci di aprire la porta sul Firewall se ne abbiamo uno sia software che fisico)
Admin password [admin]: <--Inseriamo una password per l'utente Admin con cui utilizzare il Pannello Web di ISPConfig

Do you want a secure (SSL) connection to the ISPConfig web interface (y,n) [y]: <-- Premere Invio
Generating RSA private key, 4096 bit long modulus
.......................++
................................................................................................................................++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: <-- Enter 2 letter country code
State or Province Name (full name) [Some-State]: <-- Enter the name of the state
Locality Name (eg, city) []: <-- Enter your city
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Enter company name or press enter
Organizational Unit Name (eg, section) []: <-- Premere Invio
Common Name (e.g. server FQDN or YOUR name) []: <-- Enter the server hostname, in my case: server1.example.com
Email Address []: <-- Premere Invio
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: <-- Premere Invio
An optional company name []: <-- Premere Invio
writing RSA key

Configuring DBServer
Installing ISPConfig crontab
no crontab for root
Detect IP addresses
Restarting services ...
Installation completed.

Successivamente è possibile accedere a ISPConfig 3 in http(s)://server1.miodominio.com:8080/ o http(s)://192.168.0.100:8080/ (http o https dipende da ciò che è stato scelto durante l'installazione, come l'indirizzo IP da inserire dipende dalla configurazione del server, se vogliamo che risponda un nome a dominio come server1.miodominio.com:8080 andranno chiaramente configurati dei DNS con relativo Record A per il nome a dominio). Accedi con il nome utente admin e la password admin.

'''[W.i.p]'''

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2020-01-21T20:59:00Z

Luigi.dacunto:

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2020-01-21T20:32:02Z

Luigi.dacunto:

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2020-01-14T20:54:42Z

Luigi.dacunto:

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2020-01-06T04:52:11Z

Luigi.dacunto:

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2019-12-24T20:55:31Z

Luigi.dacunto:

Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x

2019-12-23T21:19:15Z

Luigi.dacunto: Creata pagina con "{{Procedure_Linux}} ==Introduzione== La pagina seguente descrive i passaggi necessari per la rapida configurazione di un WebServer basato su OS Debian 10. In questo specifico..."

Pagina principale

2019-08-06T11:11:58Z

Luigi.dacunto:

{{Benvenuto}}

__NOTOC__

==Titoli disponibili==

===Ambienti Windows===
====Esempi Comandi====
* [[Robocopy Esempi di Utilizzo]]
====Scripting====

====Procedure====

===Ambienti Linux===
====Esempi Comandi====
* [[rsync Esempi di Utilizzo]]
* [[tar Esempi di Utilizzo]]

====Scripting====
* [[Aggiungere packages.sury.org repository]]
* [[Certbot (v. 0.28.0+) renew in Crontab]]

====Procedure====
* [[Un semplice WebServer su Debian 10 (Buster) con Apache2, MariaDB, PureFTPD e ISPConfig 3.x]]

====Configurazioni====
* [[Profile, history]]
* [[Bash, Alias]]
* [[SSHD]]

SSHD

2019-08-06T11:06:55Z

Luigi.dacunto:

{{Configurazioni_Linux}}

==Configurazioni==
<pre>
echo " " >> /etc/ssh/sshd_config
echo " " >> /etc/ssh/sshd_config
echo "ClientAliveInterval 30" >> /etc/ssh/sshd_config
echo "ClientAliveCountMax 99999" >> /etc/ssh/sshd_config
echo " " >> /etc/ssh/sshd_config
</pre>

*'''ClientAliveInterval''' imposta il numero di secondi il server attende prima di inviare un pacchetto null al client per mantenere viva la connessione
*'''ClientAliveCountMax''' utile lato server. Questo è il limite per quanto tempo a un client è consentito non rispondere prima di essere disconnesso. Il valore predefinito è 3, come per ClientAliveInterval.

[[Category:shell]]
[[Category:sshd]]
[[Category:openssh]]

Bash, Alias

2019-08-06T11:06:27Z

Luigi.dacunto:

{{Configurazioni_Linux}}

==Introduzione==
Configurazioni utili per Alias, bash. Per conoscere gli Alias configurati sulla shell corrente, lanciare il comando:
<pre>
$ alias
</pre>

==Configurazioni==
<pre>
echo " " >> ~/.bashrc
echo " " >> ~/.bashrc
echo "alias cp='cp -i'" >> ~/.bashrc
echo "alias mv='mv -i'" >> ~/.bashrc
echo "alias rm='rm -i'" >> ~/.bashrc
echo "alias l.='ls -d .* --color=auto'" >> ~/.bashrc
echo "alias ll='ls -l --color=auto'" >> ~/.bashrc
echo "alias ls='ls --color=auto'" >> ~/.bashrc

source ~/.bashrc
</pre>

*'''echo " " >> ~/.bashrc''' si aggiunge al file di configurazione una/due righe vuote per staccare dal contenuto già presente nel file
*'''alias cp='cp -i'''' alias per il comando "copia", lanciando "cp" viene aggiunto in automatico il parametro -i che sta per "interactive" ovvero viene chiesta conferma in caso di file da sovrascrivere
*'''mv -i;rm -i''' alias per i comandi muovi e rimuovi con parametro "interactive" come il comando "cp"
*'''ls''' alias per il comando list files dove
**'''ls -d''' visualizza lista directory - con ' */'
**'''ls -l''' visualizza lista con long format - mostra permessi
**'''ls --color=auto''' visualizza lista con formato colore automatico

Lanciando in fine il comando '''source ~/.bashrc''' si richiama il file di configurazione che viene riletto e applicato senza necessità di riavviare la macchina.

[[Category:bash]]
[[Category:alias]]

SSHD

2019-08-06T11:05:44Z

Luigi.dacunto: Creata pagina con "{{Configurazioni_Linux}} ==Configurazioni== <pre> echo " " >> /etc/ssh/sshd_config echo " " >> /etc/ssh/sshd_config echo "ClientAliveInterval 30" >> /etc/ssh/sshd_config ech..."

Bash, Alias

2019-08-06T10:45:21Z

Luigi.dacunto:

Aggiungere packages.sury.org repository

2019-08-05T11:22:47Z

Luigi.dacunto:

{{Script_Linux}}
[[File:Debian-logo.png|sinistra|100px]]

==Introduzione==
Repository per l'aggiunta di PHP 5.6, 7.0-1-2-3 distro Debian 9 (Stretch).

{{-}}
===Shell Script===
<pre>
#!/bin/bash
# To add this repository please do:

if [ "$(whoami)" != "root" ]; then
SUDO=sudo
fi

${SUDO} apt-get -y install apt-transport-https lsb-release ca-certificates
${SUDO} wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
${SUDO} sh -c 'echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list'
${SUDO} apt-get update
</pre>

[[Category:PHP]]
[[Category:Debian 9 Stretch]]

Bash, Alias

2019-08-05T11:21:18Z

Luigi.dacunto:

{{Configurazioni_Linux}}

==Introduzione==
Configurazioni utili per Alias, bash. Per conoscere gli Alias configurati sulla shell corrente, lanciare il comando:
<pre>
$ alias
</pre>

==Configurazioni==
<pre>
echo " " >> ~/.bashrc
echo " " >> ~/.bashrc
echo "alias cp='cp -i'" >> ~/.bashrc
echo "alias mv='mv -i'" >> ~/.bashrc
echo "alias rm='rm -i'" >> ~/.bashrc
echo "alias l.='ls -d .* --color=auto'" >> ~/.bashrc
echo "alias ll='ls -l --color=auto'" >> ~/.bashrc
echo "alias ls='ls --color=auto'" >> ~/.bashrc

source ~/.bashrc
</pre>

*'''echo " " >> ~/.bashrc''' si aggiunge al file di configurazione una/due righe vuote per staccare dal contenuto già presente nel file
*'''alias cp='cp -i'''' alias per il comando "copia", lanciando "cp" viene aggiunto in automatico il parametro -i che sta per "interactive" ovvero viene chiesta conferma in caso di file da sovrascrivere
*'''mv -i;rm -i''' alias per i comandi muovi e rimuovi con parametro '''interactive''<nowiki/>' come il comando "cp"
*'''ls''' alias per il comando list files dove
**'''ls -d''' visualizza lista directory - con ' */'
**'''ls -l''' visualizza lista con long format - mostra permessi
**'''ls --color=auto''' visualizza lista con formato colore automatico

Lanciando in fine il comando '''source ~/.bashrc''' si richiama il file di configurazione che viene riletto e applicato senza necessità di riavviare la macchina.

Bash, Alias

2019-08-05T11:19:08Z

Luigi.dacunto:

{{Configurazioni_Linux}}

==Introduzione==
Configurazioni utili per Alias, bash.
<pre>
$ cat ~/.bashrc | grep alias
# alias ls='ls $LS_OPTIONS'
# alias ll='ls $LS_OPTIONS -l'
# alias l='ls $LS_OPTIONS -lA'
</pre>

==Configurazioni==
<pre>
echo " " >> ~/.bashrc
echo " " >> ~/.bashrc
echo "alias cp='cp -i'" >> ~/.bashrc
echo "alias mv='mv -i'" >> ~/.bashrc
echo "alias rm='rm -i'" >> ~/.bashrc
echo "alias l.='ls -d .* --color=auto'" >> ~/.bashrc
echo "alias ll='ls -l --color=auto'" >> ~/.bashrc
echo "alias ls='ls --color=auto'" >> ~/.bashrc

source ~/.bashrc
</pre>

* '''echo " " >> ~/.bashrc''' si aggiunge al file di configurazione una/due righe vuote per staccare dal contenuto già presente nel file
* '''alias cp='cp -i'''' alias per il comando "copia", lanciando "cp" viene aggiunto in automatico il parametro -i che sta per "interactive" ovvero viene chiesta conferma in caso di file da sovrascrivere
* '''mv -i;rm -i''' alias per i comandi muovi e rimuovi con parametro ''''''interactive'''''' come il comando "cp"
* '''ls''' alias per il comando list files dove
** '''ls -d''' visualizza lista directory - con ' */'
** '''ls -l''' visualizza lista con long format - mostra permessi
** '''ls --color=auto''' visualizza lista con formato colore automatico

Lanciando in fine il comando '''source ~/.bashrc''' si richiama il file di configurazione che viene riletto e applicato senza necessità di riavviare la macchina.

Bash, Alias

2019-08-05T11:15:51Z

Luigi.dacunto: Creata pagina con "{{Configurazioni_Linux}} ==Introduzione== Configurazioni utili per Alias, bash. <pre> $ cat ~/.bashrc | grep alias # alias ls='ls $LS_OPTIONS' # alias ll='ls $LS_OPTIONS -l'..."

{{Configurazioni_Linux}}

==Introduzione==
Configurazioni utili per Alias, bash.
<pre>
$ cat ~/.bashrc | grep alias
# alias ls='ls $LS_OPTIONS'
# alias ll='ls $LS_OPTIONS -l'
# alias l='ls $LS_OPTIONS -lA'
</pre>

==Configurazioni==
<pre>
echo " " >> ~/.bashrc
echo " " >> ~/.bashrc
echo "alias cp='cp -i'" >> ~/.bashrc
echo "alias mv='mv -i'" >> ~/.bashrc
echo "alias rm='rm -i'" >> ~/.bashrc
echo "alias l.='ls -d .* --color=auto'" >> ~/.bashrc
echo "alias ll='ls -l --color=auto'" >> ~/.bashrc
echo "alias ls='ls --color=auto'" >> ~/.bashrc

source ~/.bashrc
</pre>

* '''echo " " >> ~/.bashrc''' si aggiunge al file di configurazione una/due righe vuote per staccare dal contenuto già presente nel file
* '''alias cp='cp -i'''' alias per il comando "copia", lanciando "cp" viene aggiunto in automatico il parametro -i che sta per "interactive" ovvero viene chiesta conferma in caso di file da sovrascrivere
* '''mv -i;rm -i''' alias per i comandi muovi e rimuovi con parametro ''''''interactive'''''' come il comando "cp"
* '''ls''' alias per il comando list files dove
** '''ls -d''' visualizza lista directory - con ' */'
** '''ls -l''' visualizza lista con long format - mostra permessi
** '''ls --color=auto''' visualizza lista con formato colore automatico
* '''alias which='alias | /usr/bin/which --tty-only --read-alias --show-dot --show-tilde' '''

Lanciando in fine il comando '''source ~/.bashrc''' si richiama il file di configurazione che viene riletto e applicato senza necessità di riavviare la macchina.

Pagina principale

2019-07-03T11:52:10Z

Luigi.dacunto:

{{Benvenuto}}

__NOTOC__

==Titoli disponibili==

===Ambienti Windows===
====Esempi Comandi====
* [[Robocopy Esempi di Utilizzo]]
====Scripting====

====Procedure====

===Ambienti Linux===
====Esempi Comandi====
* [[rsync Esempi di Utilizzo]]
* [[tar Esempi di Utilizzo]]

====Scripting====
* [[Aggiungere packages.sury.org repository]]
* [[Certbot (v. 0.28.0+) renew in Crontab]]

====Procedure====

====Configurazioni====
* [[Profile, history]]
* [[Bash, Alias]]
* [[SSHD]]

Pagina principale

2019-07-03T11:51:58Z

Luigi.dacunto:

{{Benvenuto}}

__NOTOC__

==Titoli disponibili==

===Ambienti Windows===
====Esempi Comandi====
* [[Robocopy Esempi di Utilizzo]]
====Scripting====

====Procedure====

----
===Ambienti Linux===
====Esempi Comandi====
* [[rsync Esempi di Utilizzo]]
* [[tar Esempi di Utilizzo]]

====Scripting====
* [[Aggiungere packages.sury.org repository]]
* [[Certbot (v. 0.28.0+) renew in Crontab]]

====Procedure====

====Configurazioni====
* [[Profile, history]]
* [[Bash, Alias]]
* [[SSHD]]

Pagina principale

2019-07-03T11:51:38Z

Luigi.dacunto:

{{Benvenuto}}

__NOTOC__

==Titoli disponibili==

===Ambienti Windows===
====Esempi Comandi====
* [[Robocopy Esempi di Utilizzo]]
====Scripting====

====Procedure====

===Ambienti Linux===
====Esempi Comandi====
* [[rsync Esempi di Utilizzo]]
* [[tar Esempi di Utilizzo]]

====Scripting====
* [[Aggiungere packages.sury.org repository]]
* [[Certbot (v. 0.28.0+) renew in Crontab]]

====Procedure====

====Configurazioni====
* [[Profile, history]]
* [[Bash, Alias]]
* [[SSHD]]

Profile, history

2019-07-03T11:19:56Z

Luigi.dacunto:

{{Configurazioni_Linux}}

==Introduzione==
Configurazioni utili per la history.
<pre>
$ echo $HISTFILE
/home/myuser/.bash_history
</pre>

==Configurazioni==
<pre>
echo export HISTSIZE=\"\" >> /etc/profile
echo export HISTCONTROL=erasedups >> /etc/profile
echo export HISTCONTROL=ignoredups >> /etc/profile
echo export HISTTIMEFORMAT=\"%F %T \" >> /etc/profile
echo shopt -s histappend >> /etc/profile
</pre>

===HISTSIZE===
<pre>
$ echo $HISTSIZE
500
</pre>

* '''export HISTSIZE=""''' = setta dimensione illimitata.

===HISTCONTROL===
<pre>
$ echo $HISTCONTROL
ignorespace:ignoredups
</pre>

* '''export HISTCONTROL=ignoredups:ignorespace''':
** '''erasedups'''' = cancella dalla history eventuali ripetizioni di comandi in successione se presenti
** '''ignoredups''' = ignora i comandi ripetuti in successione tenendo il singolo comando senza tenere quindi il totale delle volte eseguito in successione
** '''ignorespace''' = ignora i comandi che iniziano con uno spazio, un comando inviato in questo modo " pwd" non verrà registrato a differenza di "pwd"

===HISTTIMEFORMAT===
<pre>
$ echo $HISTTIMEFORMAT
%F %T
</pre>

* '''export HISTTIMEFORMAT=\"%F %T \"''' = imposta il salvataggio dei log dell'history comprensivi di formato data/ora in base ai parametri passati

<pre>
y year in 2-digit format
Y year in 4-digit format
m month in 2-digit format
d day in 2-digit format
T time in 24-hour format
%r date in 12 hour AM/PM format
%D date in mm/dd/yy format
</pre>

===shopt===
<pre>
shopt -s histappend
</pre>

Con questo comando è possibile cambiare il comportamento opzionale addizionale della Shell.

* '''-s''' = abilita ''optname''
* '''histappend''' = Se impostato, l'elenco dell'History viene aggiunto al file indicato dal valore della variabile HISTFILE quando la shell viene chiusa, anziché sovrascrivere il file perdendo lo storico ad ogni chiusura della shell.

[[Category:history]]
[[Category:shell]]

Profile, history

2019-07-03T11:19:32Z

Luigi.dacunto:

Profile, history

2019-07-03T11:17:30Z

Luigi.dacunto: Creata pagina con "{{Configurazioni_Linux}} ==Introduzione== Configurazioni utili per la history. <pre> $ echo $HISTFILE /home/myuser/.bash_history </pre> ==Configurazioni== <pre> echo export..."

Configurazioni Ambiente Linux

2019-07-03T09:33:23Z

Luigi.dacunto:

{{Configurazioni_Linux}}

* [[Profile, history]]
* [[Bash, Alias]]
* [[SSHD]]

Configurazioni Ambiente Linux

2019-07-03T09:30:48Z

Luigi.dacunto: Creata pagina con "{{Configurazioni_Linux}}"

MediaWiki:Sidebar

2019-07-03T09:30:24Z

Luigi.dacunto:

MediaWiki:Sidebar

2019-07-03T09:29:55Z

Luigi.dacunto:

Template:Configurazioni Linux

2019-07-03T09:28:25Z

Luigi.dacunto:

'''Categoria: Configurazioni Linux''' 
[[File:Script-linux.png|destra|100px]]
 {{-}}

[[Category:Configurazioni Linux]]

Template:Configurazioni Linux

2019-07-03T09:27:46Z

Luigi.dacunto: Creata pagina con "'''Categoria: Configurazioni Linux''' 100px {{-}} Category:Configurazioni Linux"

'''Categoria: Configurazioni Linux''' 
[[File:Script-Linux.png|destra|100px]]
 {{-}}

[[Category:Configurazioni Linux]]

Aggiungere packages.sury.org repository

2019-07-02T10:49:24Z

Luigi.dacunto:

{{Script_Linux}}
[[File:Debian-logo.png|sinistra|100px]]

==Introduzione==
Repository per l'aggiunta di PHP 5.6, 7.0-1-2-3 distro Debian.

{{-}}
===Shell Script===
<pre>
#!/bin/bash
# To add this repository please do:

if [ "$(whoami)" != "root" ]; then
SUDO=sudo
fi

${SUDO} apt-get -y install apt-transport-https lsb-release ca-certificates
${SUDO} wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
${SUDO} sh -c 'echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list'
${SUDO} apt-get update
</pre>

[[Category:PHP]]
[[Category:Debian]]

Aggiungere packages.sury.org repository

2019-07-02T10:49:00Z

Luigi.dacunto:

{{Script_Linux}}
[[File:Debian-logo.png|sinistra|100px]]

==Introduzione==
Repository per l'aggiunta di PHP 5.6, 7.0-1-2-3 distro Debian.

===Shell Script===
<pre>
#!/bin/bash
# To add this repository please do:

if [ "$(whoami)" != "root" ]; then
SUDO=sudo
fi

${SUDO} apt-get -y install apt-transport-https lsb-release ca-certificates
${SUDO} wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
${SUDO} sh -c 'echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list'
${SUDO} apt-get update
</pre>

[[Category:PHP]]
[[Category:Debian]]

Aggiungere packages.sury.org repository

2019-07-02T10:48:25Z

Luigi.dacunto:

{{Script_Linux}}

==Introduzione==
Repository per l'aggiunta di PHP 5.6, 7.0-1-2-3 distro Debian.
[[File:Linux-logo.png|destra|100px]]
 {{-}}
===Shell Script===
<pre>
#!/bin/bash
# To add this repository please do:

if [ "$(whoami)" != "root" ]; then
SUDO=sudo
fi

${SUDO} apt-get -y install apt-transport-https lsb-release ca-certificates
${SUDO} wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
${SUDO} sh -c 'echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list'
${SUDO} apt-get update
</pre>

[[Category:PHP]]
[[Category:Debian]]

File:Debian-logo.png

2019-07-02T10:47:44Z

Luigi.dacunto:

Aggiungere packages.sury.org repository

2019-07-02T10:46:05Z

Luigi.dacunto:

{{Script_Linux}}

==Introduzione==
Repository per l'aggiunta di PHP 5.6, 7.0-1-2-3 distro Debian.

===Shell Script===
<pre>
#!/bin/bash
# To add this repository please do:

if [ "$(whoami)" != "root" ]; then
SUDO=sudo
fi

${SUDO} apt-get -y install apt-transport-https lsb-release ca-certificates
${SUDO} wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
${SUDO} sh -c 'echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list'
${SUDO} apt-get update
</pre>

[[Category:PHP]]
[[Category:Debian]]

Certbot (v. 0.28.0+) renew in Crontab

2019-07-02T10:44:59Z

Luigi.dacunto:

{{Script_Linux}}
<pre>
30 5 * */2 * /usr/bin/certbot renew >> /var/log/le-renew.log
</pre>

[[Category:SSL]]