NETBUK LINUX SERVER un'idea della Nabuk Family

Transcript

1 NETBUK LINUX SERVER un'idea della Nabuk Family Powered by Ubuntu Server Edition Versione pagina 1

2 Versione pagina 2

3 INDICE Pagina Prefazione... 4 Convenzioni... 4 Preparazione ed Installazione del sistema (Ubuntu i386 Server Edition LTS)... 5 Note sull'editor di testo nano... 7 Login nel Sistema Operativo... 7 Configurazione interfaccia di rete (operazioni di controllo - non necessarie)... 8 Configurazione del webserver Apache2 (operazioni di controllo - non necessarie) Configurazione SSL di Apache2 Soluzione Soluzione Installazione servizio no-ip Installazione e configurazione del server MySQL (operazioni di controllo - non necessarie) Installazione PHP (operazioni di controllo - non necessarie) Installazione del server openssh Installazione e configurazione dei server mail Postfix e Dovecot Aggiungere utenti di posta elettronica (di sistema) Soluzione Soluzione Soluzione Installazione e configurazione interfaccia webmail: Squirrelmail Implementazione con database utenti in MySQL Passo 1: Configurazione di Dovecot Passo 2: Configurazione di Postfix Passo 3: Aggiungere utenti al database Installazione e configurazione del server ftp Pure-Ftpd Impostazioni personalizzate netbuk server Ringraziamenti Versione pagina 3

4 Prefazione Questa breve guida mostra come installare e configurare passo-passo alcune applicazioni server utilizzando la distribuzione GNU/Linux Ubuntu Server Edition in modalità testuale un server di rete degno di tale status non ha bisogno di interfacce grafiche in particolare ci si soffermerà sulla funzionalità LAMP (ovvero Linux Apache MySQL PHP Perl Python). Essendo una guida di carattere generale e redatta da un neofita del mondo open source, mi scuso anticipatamente per eventuali errori, imprecisioni ed omissioni; non vuole essere una sorta di testo definitivo ma una risposta alle molte domande e difficoltà incontrate da neofiti come il sottoscritto. Il documento è in perenne aggiornamento ed è resa disponibile a tutti secondo la licenza pubblica generale (GPL), modificabile, integrabile, traducibile in ogni lingua e stampabile infinite volte, indicando sempre l'autore o gli autori del progetto di base. Le informazioni qui contenute hanno il solo scopo didattico e divulgativo. L'autore declina ogni responsabilità circa l'uso delle tecniche descritte all'interno. I marchi e prodotti citati, se protetti da copyright, sono di proprietà dei loro rispettivi proprietari in Italia e nel resto del mondo. SI RACCOMANDA DI TENERE COLLEGATO IL PC AL MODEM-ROUTER E DI AVERE ATTIVA LA CONNESSIONE AD INTERNET DURANTE LA FASE D'INSTALLAZIONE DEL SISTEMA OPERATIVO IN MODO DI RECUPERARE AGEVOLMENTE PACCHETTI D'INSTALLAZIONE EVENTUALMENTE NON PRESENTI NEL CD D'INSTALLAZIONE STESSO. Convenzioni In questa guida saranno utilizzate le seguenti note: Nota interessante, tip, informazione tecnica. Cautela, potenziali problemi di configurazione. Attenzione, potenziali rischi sulla sicurezza del sistema. I nomi dei file ed i percorsi verranno visualizzati con caratteri a spaziatura singola, così come i comandi da digitare a riga di comando verranno visualizzati in questo modo: comando da digitare I tasti principali utilizzati saranno così visualizzati: [Ctrl] [Shift] [Alt] Pulsante Control Pulsante invio Pulsante Shift Pulsante Alternate La selezione di un'opzione viene visualizzata in questo modo: "Scelta opzione". Versione pagina 4

5 Preparazione ed Installazione del sistema (Ubuntu i386 Server Edition LTS) Per poter installare la distribuzione Ubuntu Server Edition bisogna prima di tutto disporre di un pc le cui caratteristiche minime siano almeno le seguenti: Ram: 64 MegaBytes HDD: 500 MegaByte Detto questo, non è detto che il sistema non funzioni anche su macchine con requisiti tecnici inferiori, ma ci si potrebbe trovare in situazioni tali da avere un sistema non all'altezza delle proprie aspettative; lo spazio richiesto su disco (HDD) potrebbe aumentare, anche in modo considerevole, in funzione delle applicazioni e servizi da installare; essendo questo un profilo base per server, si consideri di utilizzare dischi di dimensioni maggiori. Una volta appurate le caratteristiche tecniche del pc adibito a server, bisogna avere a disposizione il CD d'installazione del sistema operativo in oggetto, scaricabile gratuitamente all'indirizzo Masterizzata la ISO su un CD vergine, passiamo alla fase d'installazione vera e propria. Verificare che nel Bios del pc sia abilitato il Boot da CD/DVD-Rom. Accendiamo il pc, inseriamo il CD fresco fresco di masterizzazione ed attendiamo che il sistema d'installazione venga inizializzato; leggiamo il testo visualizzato. Scegliamo la lingua di sistema utilizzata selezionando "Italiano"; premere per confermare l'opzione selezionata. E' giunto il momento di procedere alla fase d'installazione vera e propria: spostatevi in basso con i tasti di direzione (frecce) fino a selezionare "Installa Ubuntu server" e premete. Quando richiesto, selezionate la nazione legata alla lingua (Italia) e premete ; l'installer controllerà il CD, il vostro hardware e, se presente, il server DHCP. Se il vostro sistema ha più di un'interfaccia di rete, selezionate quella principale personalmente ho scelto come principale quella della scheda madre e secondaria quella inserita nello slot PCI, anche se i relativi nomi (eth0, eth1) risultavano invertiti. Se non viene trovato un server DHCP in rete, bisognerà provvedere manualmente alla configurazione dell'interfaccia di rete inserendo indirizzo IP, subnet mask, indirizzo gateway e del server DNS; un esempio di configurazione potrebbe essere la seguente: Indirizzo IP: Subnet Mask: Gateway: Indirizzo-Ip-del-router (es.: ) Server DNS: Indirizzo-Ip-del-router (es.: ) Inseriamo, quando richiesto, il nome del nostro server, ad esempio MioServer (ricordo a tal proposito di fare attenzione alle maiuscole... ma questo dovreste già saperlo, cosa ve lo dico a fare...) premiamo e successivamente digitiamo il nome del dominio al quale appartiene il server: visto che stiamo installando un server della Grande Rete Nabuk, il dominio sarà netbuk.org premiamo e proseguiamo nell'installazione. Versione pagina 5

6 Provvediamo alla partizione dell'hdd ed alla sua formattazione - cancelliamo tranquillamente l'intero disco se il computer in oggetto svolge solo la funzione di server. Sistemiamo quando richiesto l'orologio di sistema. Personalmente, avendo inserito due HDD nel computer, ho provveduto al partizionamento manuale del disco secondario (sdb GB) in questo modo: - n 1: partizione primaria da 60 GB montata come /var/www - n 2: partizione primaria da 103,9 GB montata come /home Il disco principale (sda - 80 GB) è stato partizionato in automatico ed è risultato così composto: - n 1 primaria 79,1 GB f ext3 / - n 5 logica 2,9 GB f swap swap La procedura d'installazione ci chiederà d'inserire un utente, procediamo quindi alla sua creazione inserendo il nome completo dell'utente, nome per l'account (di login) e password (da inserire due volte)... stesso discorso di prima per le maiuscole/minuscole... Se non utilizzate un proxy lasciate vuoto il campo quando richiesto e premete per proseguire con la scelta del software da installare. Qui è possibile scegliere diverse configurazioni di sistema, anche contemporaneamente, ma noi andiamo con calma ed a piccoli passi, quindi attiviamo (con la barra spaziatrice) l'opzione LAMP e premiamo. LAMP = per un webserver Linux Apache MySQL PHP Perl Python Il sistema provvederà a completare l'installazione dei pacchetti supplementari selezionati e non ci resta che attendere che tutte le operazioni siano eseguite, in particolare la scansione dei vari link via web dove risiedono i repository aggiornati. Non abbiamo ancora finito nelle configurazioni di base, fortunatamente, con questa versione di Ubuntu Server, ci viene richiesto di digitare una nuova password di root di MySQL e ci risparmiano l'onere di doverlo fare manualmente in fase di configurazione... ma cosa aspettate??? Inserite la password e premete [invio], ridigitatela per confermare quanto inserito e ri-premete per proseguire. Al termine verrà installato il boot-loader (GRUB) e sarà richiesto di rimuovere il CD dal lettore: rimuoviamolo e premiamo per effettuare il reboot del sistema. Complimenti, ora siete i felici possessori di un server Ubuntu!!! Non gioite prima del tempo: bisogna passare alla fase di configurazione. Quando editate un file di configurazione ricordate di fare molta attenzione a quanto digitate: le singole chiavi/valori sono nella quasi totalità dei casi case-sensitive! Ciò significa che se digitate ad esempio 'Maildir' anziché 'MailDir', sebbene la parola sia letteralmente la medesima, il sistema non risponderà nel modo nel quale ci si aspetti, con grande perdita di tempo nella ricerca dell'errore. Versione pagina 6

7 Note sull'editor di testo nano Prima di proseguire occorre accennare ad alcuni comandi dell'editor di testo (nano) che andremo ad utilizzare per modificare i files di configurazione. Innanzitutto l'editor di testo in questione viene lanciato mediante il comando sudo nano /percorso/filename (sudo serve nel caso in cui non siamo loggati come root) ed i comandi da digitare mezzo tastiera sono dati dall'unione del tasto [Ctrl] + una lettera e comunque sono visualizzati anche a video, per cui è molto difficile sbagliare. Login nel Sistema Operativo Poiché il sistema appena installato non dispone di una comoda e confortevole interfaccia grafica, bisogna rimboccarsi le maniche e configurare tutto a riga di comando non abbiate paura, non è poi così difficile come si possa pensare, questa guida passo-passo serve appunto per questo!!! Ma veniamo al dunque: appena effettuato il boot, il sistema attende il login da parte dell'utente ed allora cosa aspettiamo? Logghiamoci digitando NomeUtente PasswordUtente Non è necessario sbloccare l'account del super-utente (root, per chi non l'avesse capito...), quindi per proseguire nella fase di configurazione del server basta ricordarsi che per lanciare i comandi con privilegi amministrativi bisogna digitare sudo nomecomando, digitando successivamente la password del vostro utente e premendo. Per completezza di informazioni, l'account root viene attivato ed utilizzato la prima volta in questo modo digitando: sudo passwd root una volta digitato il comando ci verrà chiesto "Enter new UNIX password:", digitiamo quindi la PasswordDiRoot e successivamente confermiamo ridigitandola. (Ricordiamoci che bisogna premere il pulsante per proseguire nelle operazioni...) Non ci resta che assumere i privilegi di root digitando: su e successivamente, se richiesta, la PasswordDiRoot per loggarci nel sistema. Non per fare il guastafeste, ma abilitare il super-utente mi pare una grande boiata... però se proprio proprio non ne potete fare a meno... a vostro rischio e pericolo, ne vade comunque la sicurezza del vostro server. Versione pagina 7

8 Configurazione interfaccia di rete (operazioni di controllo non necessarie) La maggior parte delle configurazioni di rete, viene concentrato in un unico file, /etc/network/interfaces. Se si dispone di un unico dispositivo ethernet, questo sarà denominato eth0 ed il file di configurazione conterrà le seguenti informazioni, modificabili all'occorrenza attraverso l'editor nano come spiegato in precedenza. Controlliamo quindi il file digitando: sudo nano /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address netmask network broadcast gateway # dns-* options are implemented by the resolvconf package, if installed dns-nameserver dns-search netbuk.org Vediamo cosa significano queste informazioni: auto eth0 specifica che l'interfaccia ethernet 0 deve essere avviata in fase di boot iface eth0 inet static specifica che l'interfaccia (iface) eth0 deve avere uno spazio di indirizzi Ipv4 (inet) e che deve avere una configurazione statica (static) address x.x.x.x specifica l'indirizzo IP (versione 4) dell'interfaccia eth0 netmask x.x.x.x specifica la sottomaschera di rete dell'interfaccia eth0 network x.x.x.x specifica la classe ella rete gateway x.x.x.x specifica l'indirizzo IP (versione 4) del gateway di "uscita" verso Internet (router) dns-nameserver x.x.x.x specifica l'indirizzo IP (versione 4) del server dei nomi di dominio (router) Se le informazioni non sono corrette, apportate le modifiche del caso e salvate; in questo caso andrà riavviato il servizio dell'interfaccia ethernet digitando: sudo /etc/init.d/networking restart Poiché la configurazione è stata fatta manualmente, bisognerà anche dare una controllatina alla risoluzione dei nomi e dei server DNS inseriti nel file di configurazione /etc/resolv.conf e /etc/hosts. Cominciamo controllando il file /etc/resolv.conf digitando: sudo nano /etc/resolv.conf Versione pagina 8

9 nameserver domain netbuk.org Passiamo ora al file /etc/hosts digitando: sudo nano /etc/hosts localhost MioServer.netbuk.org MioServer # The following lines are desirable for IPv6 capable hosts ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters ff02::3 ip6-allhosts Se le informazioni non sono corrette, apportate le modifiche del caso e salvate; in questo caso andrà anche riavviato il servizio come indicato precedentemente. Passiamo ora al file /etc/hostname digitando: sudo nano /etc/hostname MioServer Se le informazioni non sono corrette, apportate le modifiche del caso e salvate; in questo caso andrà anche riavviato il servizio come indicato precedentemente. Controlliamo se le informarzioni inserite sono esatte digitando: hostname -f Il server dovrebbe rispondere con il proprio nome completo (FQDN); per fare la prova del nove digitiamo il comando: hostname Il server dovrebbe rispondere con il proprio nome. Nel caso in cui il server non restituisca i valori come sopra descritto, si spenga la macchina digitando sudo init 0. Riavviamo, logghiamoci nel sistema e controlliamo di nuovo con il comando sopra descritto; a questo punto dovrebbe essere tutto a posto. Per maggiori informazioni e specifiche riguardanti la configurazione della rete, fare riferimento alla guida reperibile online all'indirizzo: Versione pagina 9

10 Configurazione del webserver Apache2 (operazioni di controllo non necessarie) Apache è il webserver maggiormente utilizzato nei sistemi Linux e, nella fattispecie, nel nostro server è stato installato Apache 2 in combinazione con il motore database MySQL, il linguaggio di pre-processamento dell'ipertesto PHP, Perl e Python (configurazione LAMP, appunto...). Se comunque abbiamo la necessità di dover installare questo servizio, inseriamo il CD-Rom del sistema operativo e digitiamo il seguente comando con privilegi di root: sudo apt-get install apache2 Il file di configurazione principale del server web è, di default, /etc/apache2/apache2.conf. Digitiamo dunque: sudo nano /etc/apache2/apache2.conf Il file dovrebbe contenere molte informazioni, ma noi ci soffermeremo solamente su alcune di esse, e precisamente: Timeout 120 KeepAlive On User www-data Group www-data Include /etc/apache2/httpd.conf Include /etc/apache2/ports.conf Include /etc/apache2/conf.d/[^.#] Attenzione, non impostare mai la direttiva User a Root a meno che non sia estremamente necessario. Questo può creare una falla di sicurezza del webserver. Se le informazioni non sono corrette, apportate le modifiche del caso e salvate; in questo caso andrà anche riavviato il servizio digitando: sudo /etc/init.d/apache2 restart Passiamo ora al file di configurazione ports.conf per controllare che il nostro webserver sia in ascolto sulla porta 80 (oppure 443 per l'https) digitando: sudo nano /etc/apache2/ports.conf Sul monitor compariranno le seguenti informazioni: Listen 80 <IfModule mod_ssl.c> Listen 443 </IfModule> Versione pagina 10

11 Se le informazioni non sono corrette, apportate le modifiche del caso e salvate. Passiamo al file di configurazione 000-default per controllare dove risiede la cartella di destinazione del sito web nel nostro webserver digitando il comando: sudo nano /etc/apache2/sites-enabled/000-default Controlliamo che il file di configurazione assomigli a qualcosa del genere: NameVirtualHost * <VirtualHost *> ServerAdmin webmaster@localhost DocumentRoot /var/www <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> ErrorLog /var/log/apache2/error.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn CustomLog /var/log/apache2/access.log combined ServerSignature On Alias /doc/ "/usr/share/doc/" <Directory "/usr/share/doc/"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from / ::1/128 </Directory> </VirtualHost> Versione pagina 11

12 Se le informazioni non sono corrette, apportate le modifiche del caso e salvate; riavviamo il server apache per fargli acquisire le nuove impostazioni come descritto precedentemente e controlliamo che funzioni a dovere digitando: telnet MioServer 80 Proviamo anche così: telnet MioServer.netbuk.org 80 Se tutto è andato a buon fine, il sistema dovrebbe rispondere in questo modo: Trying Connected to MioServer.netbuk.org. Escape character is '^]'. Digitiamo quit per uscire (potrebbe essere necessario nel caso del collegamento sulla porta 443 di dover digitare anche exit) ed ora possiamo inserire i files che comporranno il nostro sito web nella directory /var/www così come indicato nel file 000-default. Se volete che il server sia raggiungibile tramite il protocollo http anche via internet ricordatevi di effettuare il portforwarding sul router della porta 80 (TCP) verso l'indirizzo ip del server in oggetto (potrebbe anche interessarvi la 443 TCP per il servizio protetto https). Personalmente ho caricato in questa directory il CMS e107 ma ciò non significa che non sia possibile inserirvi un proprio sito creato ad hoc. Se avete intenzione di utilizzare un CMS che faccia uso del servizio Php, si raccomanda di configurare tale server si veda il paragrafo dedicato prima di procedere al suo utilizzo. Se uploadate manualmente i file ricordatevi di settare i giusti permessi: chmod 755 alle cartelle chmod 644 ai files Per maggiori informazioni e specifiche riguardanti la configurazione del webserver Apache2, fare riferimento alla guida reperibile on-line all'indirizzo: Versione pagina 12

13 Configurazione SSL di Apache2 Prima di cominciare bisogna sapere che i dati tra client e server vengono inviati in chiaro, quindi senza alcun meccanismo di protezione dall'essere letto ed interpretato da chiunque si trovi nel mezzo. SSL è un protocollo che fornisce il supporto necessario alla cifratura proteggendo i dati in transito e garantendo l'identità del server. L'implementazione SSL si basa sui concetti di crittografia RSA a chiave pubblica e privata (CSR - certificate-signing request) e di certicati X.509 per mezzo dei quali si garantisce l'identità del server (quindi il certificato include i dati del nostro server e la chiave pubblica, il tutto rilasciato da una certification authority, CA universalmente riconosciuta). Le azioni da effettuare saranno quelle di generazione di un certificato auto-firmato (self-signed certificate) e la configurazione del mod_ssl di apache2, non è un'operazione strettamente necessaria e, se il vostro server non necessita di una connessione sicura, potete tralasciare le righe sottostanti. (Soluzione 1) Cominciamo prima di tutto con l'installare OpenSSL e con il generare la nostra chiave privata RSA lunga 1024 bit utilizzando l'algoritmo Triple DES dalla quale verrà poi ricavata la chiave pubblica: sudo apt-get install openssl cd /etc/apache2 sudo openssl genrsa -des3 -out server.key 1024 In fase di creazione della chiave ci verrà imposto la scelta di una pass-phrase che dovremo digitare tutte le volte che useremo la chiave privata; per ragioni di sicurezza si consiglia di scegliere un frase ben congegnata e sufficientemente lunga ma che possiate ricordare all'occorrenza. Generating RSA private key, 1024 bit long modulus e is (0x10001) enter pass phrase for server.key: Verifing Enter pass phrase for server.key: Successivamente provvediamo a proteggerla in lettura: sudo chmod 400 server.key sudo chown root:root server.key Provvediamo quindi alla generazione del CSR e provvediamo dopo alla sua protezione: sudo openssl req -new -key server.key -out server.csr Come indicato precedentemente, visto che stiamo utilizzando la chiave privata, ci verrà richiesta la digitazione della pass phrase; digitiamola e premiamo per proseguire; ci verrà chiesto l'inserimento di alcune informazioni (inseriamo. dove desideriamo lasciare i campi vuoti); ecco un esempio:... Country Name (2 letter code) [AU]:IT State or Province Name (full name) [Some-State]:. Locality Name (eg, city) []:. Organization Name (eg, company) [Internet Widgits Pty Ltd]:mioserver Versione pagina 13

14 Organizational Unit Name (eg, section):mioserver CA Common Name (eg, YOUR name) []:mioserver.no-ip.org Address Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:. An optional company name []:. Provvediamo ora alla protezione del CSR appena generato: sudo chmod 400 server.csr sudo chown root:root server.csr E' arrivato il momento di auto-firmare (sostituendoci ad una Certificate Authority, CA) il CSR ottenuto dalla procedura sopra menzionata ottenendo in questo modo un certificato valido CRT: sudo openssl x509 -req -days in server.csr -signkey server.key -out server.crt In questo caso si è supposto di generare un certificato valido per 10 anni mediante il comando -days 3650 Volendo si potrebbe anche visionare in chiaro il certificato appena creato digitando: sudo openssl x509 -text in server.crt Bene, abbiamo finito il grosso del lavoro, non ci resta altro da fare che configurare apache2 in modo tale che accetti connessioni protette (abilitando il mod_ssl) ed il rewriting dell'url (abilitando il rewrite) digitando, qui ci sono due soluzioni, una semplice - un solo comando ed una più manuale : SOLUZIONE 1 sudo a2enmod ssl sudo a2enmod rewrite Il sistema confermerà l'abilitazione dei moduli e suggerirà il riavvio di apache2 (ma questo lo faremo più tardi...). SOLUZIONE 2 Caricare il moduli manualmente nella directory dei moduli abilitati di apache2 creando dei link ai files digitando: sudo ln -s /etc/apache2/mods-available/ssl.conf /etc/apache2/mods-enabled/ssl.conf sudo ln -s /etc/apache2/mods-available/ssl.load /etc/apache2/mods-enabled/ssl.load sudo ln -s /etc/apache2/mods-available/rewrite.load /etc/apache2/mods-enabled/rewrite.load Versione pagina 14

15 Torniamo al file di configurazione 000-default in.../sites-enabled/ digitando il comando: sudo nano /etc/apache2/sites-enabled/000-default Modifichiamo l'inizio del file in questo modo, lasciando pure il resto del file così com'è: NameVirtualHost *:80 <VirtualHost *:80> Salviamo in uscita e provvediamo alla copia del file di configurazione in oggetto e successivamente apriamolo digitando: cd /etc/apache2/sites-enabled sudo cp 000-default ssl-default sudo nano /etc/apache2/sites-enabled/ssl-default Modifichiamolo in modo che assomigli a questo, facendo attenzione alla direttiva CustomLog ed inserendo le direttive che riguardano SSL (si vedano a tal proposito le ultime righe del file): NameVirtualHost *:443 <VirtualHost *:443> ServerAdmin webmaster@localhost DocumentRoot /var/www <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> ErrorLog /var/log/apache2/error.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn CustomLog /var/log/apache2/access-ssl.log combined [Segue] Versione pagina 15

16 ServerSignature On Alias /doc/ "/usr/share/doc/" <Directory "/usr/share/doc/"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from / ::1/128 </Directory> </VirtualHost> SSLEngine On SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire SSLCertificateFile /etc/apache2/server.crt SSLCertificateKeyFile /etc/apache2/server.key Apportiamo le modifiche e salviamo; riavviamo il server apache2 per fargli acquisire le nuove impostazioni come descritto precedentemente; se ci viene restituito un messaggio di errore, si ricontrolli la configurazione di apache2, magari abbiamo scritto qualcosa in modo errato. Attenzione, sinceratevi che il server apache2 sia in ascolto anche sulla porta 443 controllando il file /etc/ apache2/ports.conf e che sul vostro router sia stato effettuato il port-forwarding della porta 443 dalla pubblica all'ip del vostro server. L'unico neo riscontrato in questa procedura è quello di dover digitare la pass phrase ogni qual volta si avvia / riavvia apache2 quindi sarebbe forse illogico configurare un sistema in questo modo (specialmente se il server dovesse riavviarsi da solo e voi non siate lì ad attivare manualmente apache2) Versione pagina 16

17 (Soluzione 2) Questa soluzione è più semplice rispetto a quella precedentemente esposta e prevede l'installazione di un pacchetto che inspiegabilmente non viene più distribuito con il pacchetto apache2. Cominciamo con l'installare i pacchetti necessari: sudo apt-get install openssl sudo apt-get install ssl-cert Passiamo ora alla fase di creazione della chiave digitando: sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/server.pem Una volta lanciato il comando apparirà la finestra di dialogo per la configurazione del certificato; digitiamo. per lasciare i campi vuoti: Configure an SSL certificate The two letter code for Country. (e.g. GB) (countryname):it Your state, counry or province. (stateofprovincename):. The name of the city or town that you live in. (localityname):. The name of the company or organisation the certificate is for. (organisationname):mioserver The Division or section of the organisation the certificate is for. (organisationunitname):mioserver CA The hostname of the server the certificate il for. This must be fille in. (commonname):mioserver.no-ip.org The address that should be associated with the certificate. ( Address):[email protected] Attenzione, a causa di un bug, la durata del certificato è limitata a 30 giorni; bug risolto nelle versioni successive. Torniamo al file di configurazione 000-default in sites-enabled digitando il comando: sudo nano /etc/apache2/sites-enabled/000-default Modifichiamo l'inizio del file in questo modo, lasciando pure il resto del file così com'è: NameVirtualHost *:80 <VirtualHost *:80> Salviamo in uscita e provvediamo alla copia del file di configurazione in oggetto e successivamente apriamolo digitando: cd /etc/apache2/sites-enabled sudo cp 000-default ssl-default sudo nano /etc/apache2/sites-enabled/ssl-default Modifichiamolo in modo che assomigli a quanto indicato nella pagina seguente, facendo attenzione alla direttiva CustomLog ed inserendo le direttive che riguardano SSL (si vedano a tal proposito le ultime righe del file): Versione pagina 17

18 NameVirtualHost *:443 <VirtualHost *:443> ServerAdmin DocumentRoot /var/www <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> ErrorLog /var/log/apache2/error.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn CustomLog /var/log/apache2/access-ssl.log combined ServerSignature On Alias /doc/ "/usr/share/doc/" <Directory "/usr/share/doc/"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from / ::1/128 </Directory> SSLEngine On SSLCertificateFile /etc/apache2/server.pem </VirtualHost> Salviamo il file in uscita. Bene, abbiamo finito il grosso del lavoro, non ci resta altro da fare che configurare apache2 in modo tale che accetti connessioni protette (abilitando il mod_ssl) ed il rewriting dell'url (abilitando il rewrite) digitando: sudo a2enmod ssl sudo a2enmod rewrite Versione pagina 18

19 Il sistema confermerà l'abilitazione dei moduli e suggerirà il riavvio di apache2; riavviamo il server apache per fargli acquisire le nuove impostazioni come descritto precedentemente e se ci viene restituito un messaggio di errore, si ricontrolli la configurazione di apache2, magari abbiamo scritto qualcosa in modo errato. Personalmente ho preferito quest'ultima soluzione in quanto non si è resa necessaria la mia presenza fisica al momento di avvio del server poiché il servizio httpd non necessita dell'inserimento della pass phrase per il servizio protetto tramite SSL. Per maggiori informazioni e specifiche riguardanti la configurazione del webserver Apache2, fare riferimento alla guida reperibile on-line all'indirizzo: Versione pagina 19

20 INSTALLAZIONE SERVIZIO NOIP No-ip ( offre il servizio di redirect a quegli utenti che hanno una connessione ad internet il cui indirizzo Ip pubblico viene assegnato dinamicamente tramite DHCP; in pratica no-ip non fà altro che tracciare nei propri server l'ip dell'utente tramite un programma (DUC) che gira in background sul computer locale. Prima di configurare il proprio computer bisogna registrarsi a no-ip, quindi colleghiamoci all'indirizzo sopracitato ed effettuiamo la registrazione al servizio gratuito; servirà comunicare in particolare: - indirizzo Mia @MioProvider.it - password: MiaPassword Effettuiamo il login con i dati che abbiamo appena comunicato e: - aggiungiamo un hostname: MioServer.no-ip.org - assegniamogli l'indirizzo IP pubblico rilevabile sotto il nome dell'account (in alto a sinistra) e premiamo il pulsante aggiorna al centro della pagina. Le modifiche apportate diverranno operative entro i prossimi cinque minuti, giusto il tempo di installare e configurare il DUC sul nostro server. sudo apt-get install no-ip In fase di installazione/configurazione dobbiamo assicurarci di avere la connessione remota attiva, quindi ci verrà richiesto d'inserire: - indirizzo Mia @MioProvider.it - password: MiaPassword - minuti di aggiornamento: lasciamo pure 30 Il programma genererà il file di configurazione in /usr/local/etc/noip2.config e provvederà a dare i giusti permessi al file eseguibile /usr/local/bin/noip2; in particolare controllate che i permessi siano 700 e che il proprietario sia root:root; nel caso non lo fossero digitate a riga di comando: sudo chmod 700 /usr/local/bin/noip2 sudo chown root:root /usr/local/bin/noip2 Bene, abbiamo quasi finito... diamo una stiratina al firewall aprendo in modo bidirezionale la porta 8245 (TCP) nel caso in cui fosse attivo (non dovrebbe esserlo) ed effettuiamo sul router il port-forwarding della porta 8245 tcp per il servizio no-ip. Ora controlliamo lo stato del servizio DUC digitando a riga di comando: noip2 -S Per maggiori informazioni e specifiche riguardanti la configurazione di tale servizio, fare riferimento alla guida reperibile on-line all'indirizzo: Versione pagina 20

21 INSTALLAZIONE E CONFIGURAZIONE DEL SERVER MySQL (operazioni di controllo non necessarie) MySQL è un robusto database SQL concepito per funzionare in multi-thread e multi-utenza in situazioni missioncritical ad elevato carico. L'installazione di tale servizio avviene dando i seguenti comandi (mi raccomando di avere il cd d'installazione inserito nel lettore, questo passaggio non è necessario se avete installato Ubuntu Server LAMP): sudo apt-get install mysql-server mysql-client Una volta completata la fase d'installazione passiamo alla configurazione. Il servizio MySQL, sebbene sia già operativo sul server (su Ubuntu LAMP fino alla versione 7,10), ha bisogno di un'aggiustatina per quanto riguarda la sicurezza: infatti, se lasciamo le impostazioni di base, chiunque avrà accesso ai database presenti sul server. Alla luce di quanto esposto, apriamo il file di configurazione e cominciamo a fare in modo che questo server sia in ascolto su tutte le interfacce, non solo su localhost : sudo nano /etc/mysql/my.cnf... #bind-address = Se le informazioni non dovessero corrispondere, apportate le modifiche del caso e salvate. Ora non ci resta che configurare, nel caso non lo sia stato fatto in fase d'installazione del sistema operativo, i privilegi di accesso ai database digitando: sudo mysqladmin -u root password passwordroot sudo mysqladmin -p -u root -h localhost password passwordroot sudo mysqladmin -h MioServer.netbuk.org -u root password passwordroot Riavviamo il server MySQL per fargli acquisire le nuove impostazioni digitando: sudo /etc/init.d/mysql restart Per maggiori informazioni e specifiche riguardanti la configurazione del server PHP, fare riferimento alla guida reperibile on-line all'indirizzo: Versione pagina 21

22 INSTALLAZIONE PHP (operazioni di controllo non necessarie) PHP è un linguaggio di script pensato per il web. Anche se questa guida è nata come aiuto per la distro Ubuntu Server LAMP, mi sento in dovere di spendere quattro parole per installare questo servizio (valevole anche per Debian). Questo passaggio non è necessario se avete installato un server LAMP. Digitiamo: sudo apt-get install php5 libapache2-mod-php5 apache2-mpm-prefork Apt provvederà ad effettuare l'installazione dei pacchetti (compreso la disinstallazione del pacchetto apache2-mpmworker) e, quando richiesto, effettuate il cambio del dvd 1 con il numero 2 (questo è valevole per la distro Debian). Qui non c'è nulla da configurare, eventualmente controllate che tale servizio funzioni creando un semplice file di testo (chiamato info.php) con scritto: <? phpinfo();?> Salviamolo nella cartella /var/www e successivamente, con il nostro browser preferito, colleghiamoci al nostro server nuovo di pacca e digitando l'indirizzo Come risultato otterremo una serie di informazioni su php; se così non fosse, provate a riavviare apache2 come descritto precedentemente. Per maggiori informazioni e specifiche riguardanti la configurazione del server PHP, fare riferimento alla guida reperibile on-line all'indirizzo: Versione pagina 22

23 INSTALLAZIONE DEL SERVER OPENSSH OpenSSH è una versione open-source della famiglia di protocolli e strumenti SSH (Secure Shell) per il controllo remoto di un computer o trasferimento di files tra computers. Gli strumenti tradizionali utilizzati per svolgere queste funzioni, come ad esempio telnet o rcp, sono insicuri poiché trasmettono la password dell'utente in chiaro. La componente server openssh, sshd, è continuamente in ascolto per eventuali richiesta di connessioni. Quando viene effettuata una richiesta di connessione, sshd istituisce il corretto collegamento a seconda del tipo di strumento client utilizzato. L'installazione del server OpenSSH è semplice; digitiamo: sudo apt-get install openssh-server xauth Il sistema risolverà automaticamente le dipendenze e ci informerà che alcune librerie saranno aggiornate ed una volta completata la fase d'installazione il server openssh si configurerà automaticamente. E' anche possibile selezionare tale pacchetto in fase d'installazione del sistema operativo stesso (si veda la nota a pagina 2). Bene, facciamo una copia di backup del file di configurazione di base e diamogli una stiratina digitando: sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.originale sudo nano /etc/ssh/sshd_config Visto che vogliamo fare i preziosi, abbiamo la possibilità: di cambiare la porta sulla quale è in ascolto sshd; cerchiamo la direttiva Port e modifichiamo quella di default (22) in un altra a piacimento - ad esempio la 2222; concedere il login mediante credenziali a chiavi pubbliche, senza alcuna richiesta di password; abilitare e/o cambiare il banner di login contenuto nel file /etc/issue.net decommentando la direttiva Banner /etc/issue.net; Nel file di configurazione sono presenti molte opzioni di controllo che potrebbero, nel caso in cui l'accesso al vostro server avvenga da remoto mediante ssh e sia stato fatto un errore di configurazione, rendere inaccessibile il server stesso; si raccomanda quindi di prestare molta attenzione durante la modifica del file ssh_config da computer remoto. Una volta effettuate tutte le modifiche del caso riavviamo il server sshd digitando: sudo /etc/init.d/ssh restart Per ultimo, anche per completezza di informazioni date, se proprio proprio non digerite il fatto di dover digitare la password ogni qualvolta vi colleghiate al vostro server, si ha la possibilità, come indicato precedentemente, di effettuare il login mediante credenziali pubbliche (SSH Key). L'autenticazione SSH utilizza due chiavi: una privata ed una pubblica, ma procediamo con ordine. Versione pagina 23

24 Iniziamo con il generare le chiavi utilizzando DSA (Autenticazione Identità Utente); da notare che durante tale processo ci verrà richiesta la digitazione della password; inseriamola per proseguire nella generazione. Digitiamo quindi: sudo ssh-keygen -t dsa Di default le chiavi pubbliche generate sono memorizzate nella directory ~/.ssh/ e le chiavi sono così nominate: id_dsa la chiave privata id_dsa.pub la chiave pubblica Non ci resta che copiare il file contenente la chiave pubblica nel computer remoto ed 'appenderlo' nel file ~/.ssh/authorized_keys2 mediante il comando: sudo cat id_dsa.pub >>.ssh/authorized_keys2 Diamo una stiratina ai permessi di lettura/scrittura al file authorized_keys2 (solo l'utente autenticato deve accedervi) ed il gioco è fatto; digitiamo quindi: sudo chmod 644.ssh/authorized_keys2 Per collegarci da remoto al nostro server non ci serve altro che un programma che supporti tale protocollo, come ad esempio Putty (per i sistemi Windows ), inserire l'indirizzo e porta alla quale risponde il nostro server e premere [Connetti]. Et voilà... una bella shell a riga di comando dalla quale amministrare in tutta sicurezza il vostro server tranquillamente dalla poltrona del salotto (non in ufficio, mi raccomando, non siete pagati per farvi gli affari vostri...) Per quanto mi riguarda, nel mio piccolo, mi sono limitato all'installazione del server SSH ed alla modifica del banner e della porta, lasciando tutto il resto così com'era. Per maggiori informazioni e specifiche riguardanti la configurazione del server SSH, fare riferimento alla guida reperibile on-line all'indirizzo: Versione pagina 24

25 INSTALLAZIONE E CONFIGURAZIONE DEI SERVER MAIL POSTFIX E DOVECOT Vi piacerebbe disporre di un mail server sul vostro server di rete? Bene, questa sezione fà per voi. Postfix è il Mail Transfer Agent (MTA) predefinito di Ubuntu; Dovecot è un Mail Delivery Agent progettato per garantire la sicurezza. Supporta la maggior parte dei formati di caselle di posta: mbox o maildir. Tralascerò volutamente (e temporaneamente) le impostazioni di connessione protetta tramite certificati (TLS) per i quali dedicherò più avanti un paragrafo apposito. E' anche possibile selezionare tale pacchetto in fase d'installazione del sistema operativo stesso (si veda la nota a pagina 2). Veniamo subito al dunque: dobbiamo installare alcune cose. Come? Semplice: inseriamo il cd-rom d'installazione nel lettore e digitiamo i seguenti comandi: sudo apt-get install postfix dovecot-common dovecot-imapd dovecot-pop3d procmail openssl ssl-cert Nella prima parte di questo capitolo è descritta una configurazione base di tali servizi in effetti funziona per passarsi tra gli utenti del sistema operativo; per l'utilizzo di questi server sulla netbuk.org è necessaria l'implementazione di un database MySQL contenente gli utenti. Una volta completata la fase d'installazione passiamo alla configurazione; cominciamo dal servizio IMAP/POP offerto da Dovecot; digitiamo: sudo nano /etc/dovecot/dovecot.conf Controlliamo le voci di configurazione inserite nel file che ora apparirà, in particolare soffermiamoci su alcune di esse e controlliamo che non siano eventualmente commentate (cioè precedute da un #) e, se eventualmente lo fossero, decommentiamole: ## Dovecot configuration file ##... protocols = imap pop3 imaps pop3s listen = #disable_plaintext_auth = yes ## in Ubuntu 7.04: disable_plaintext_auth = no log_timestamp = "%Y-%m-%d %H:%M:%S " log_path = /var/log/dovecot.log [Segue] Versione pagina 25

26 ssl_listen = login_greeting = Dovecot ready on MioServer.netbuk.org. mail_location = mbox:~/mail/:inbox=/var/mail/%u protocol pop3 { pop3_uidl_format = %08Xu%08Xv } auth default { mechanisms = plain }... Se le informazioni non dovessero corrispondere, apportate le modifiche del caso e salvate (fate riferimento ai comandi dell'editor spiegati precedentemente). Riavviamo il server dovecot per fargli acquisire le nuove impostazioni e controlliamo che funzioni a dovere digitando: sudo /etc/init.d/dovecot restart telnet MioServer 110 Se tutto è andato a buon fine, il sistema dovrebbe rispondere in questo modo: Trying Connected to MioServer.netbuk.org. Escape character is '^]'. +OK Dovecot ready on MioServer.netbuk.org. Controlliamo se l'accesso dell'utente UtenteDiProva (l'utente che abbiamo creato in fase d'installazione) funziona; digitiamo in sequenza: user UtenteDiProva pass passwordutente Se tutto è andato a buon fine, il sistema dovrebbe rispondere in questo modo: +OK Logged In. Digitiamo List per visualizzare la lista dei messaggi e successivamente Quit [invio] per uscire da Dovecot. Diamo una sbirciatina agli alias per controllare che la posta di root sia girata all'utentediprova; digitiamo: sudo nano /etc/aliases Se troviamo la dicitura root: UtenteDiProva, possiamo uscire dall'editor (fate riferimento ai comandi spiegati precedentemente). Nel caso in cui si volesse cambiare l'utente al quale girare la posta di root, questo file andrebbe modificato, ma ciò non comporterebbe l'immediata modifica al comportamento dell'mta (Mail Transport Agent) nel nostro caso Postfix. Nel mio caso ho previsto anche l'alias webmaster, perciò il file degli alias è così composto: Versione pagina 26

27 # Added by installer for initial user webmaster: root root: UtenteDiProva Si possono aggiungere tutti gli alias che si vogliono, ricordatevi però di aggiornare sempre il database. Per rendere operativa questa modifica bisogna aggiornare il database degli alias; digitate il seguente comando: sudo postalias hash:/etc/aliases E' giunto il momento di passare alla configurazione del servizio SMTP offerto da Postfix; digitiamo: sudo nano /etc/postfix/main.cf Controlliamo le voci di configurazione inserite nel file che ora apparirà, in particolare soffermiamoci su alcune di esse e controlliamo che non siano eventualmente commentate (cioè precedute da un #) e, se eventualmente lo fossero, decommentiamole: ## Postfix configuration file ## smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = no append_dot_mydomain = no #delay_warning_time = 4h # TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache myhostname = MioServer.netbuk.org mydomain = netbuk.org alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases # myorigin = /etc/mailname mynetworks = /8, /24 mynetworks_style = class mydestination = $myhostname, localhost.$mydomain, localhost relayhost = mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 recipient_delimiter = + home_mailbox = Maildir/ command_directory = /usr/sbin mailq_path = /usr/sbin/sendmail.postfix newaliases_path = /usr/bin/newaliases.postfix html_directory = no Versione pagina 27

28 Se le informazioni non dovessero corrispondere, apportate le modifiche del caso e salvate (fate riferimento ai comandi dell'editor spiegati precedentemente). Riavviamo il server Postfix per fargli acquisire le nuove impostazioni e controlliamo che funzioni a dovere digitando: sudo /etc/init.d/postfix restart telnet MioServer 25 Se tutto è andato a buon fine, il sistema dovrebbe rispondere in questo modo: Trying Connected to MioServer.netbuk.org. Escape character is '^]'. 220 MioServer.netbuk.org ESMTP Postfix (Ubuntu) Vediamo i servizi di posta attivi digitando helo MioServer ; se tutto è andato a buon fine, il sistema dovrebbe rispondere in questo modo: 250 MioServer.netbuk.org. Digitiamo Quit per uscire da Postfix. Se volete che tale servizio del server sia raggiungibile anche via internet ricordatevi di effettuare il port-forwarding verso l'indirizzo ip del server in oggetto sul router delle porte (non è necessario se il servizio è raggiungibile mediante Squirrelmail): 25 tcp per il servizio server SMTP 110 tcp per il servizio POP3 110 udp per il servizio POP3 Per maggiori informazioni e specifiche riguardanti la configurazione del mail-server, fare riferimento alla guida reperibile on-line all'indirizzo: Versione pagina 28

29 AGGIUNGERE UTENTI DI POSTA ELETTRONICA (E DI SISTEMA) Aggiungere uno o più utenti a riga di comando non è per nulla qualcosa di astruso. Il comando da dare è adduser con un paio di opzioni ad hoc in modo tale che gli stessi non abbiano la possibilità di avere una home e relativa login al sistema operativo. Le opzioni disponibili sono diverse, ma a noi interessano queste: -NomeUtente in minuscolo!!!!!!! -M non assegna alcuna directory /home/nomeutente -s /sbin/nologin non assegna alcuna shell di login -p PasswordUtente assegna la password all'utente [Soluzione 1 non necessarie per un Netbuk server] Alla luce di quanto sopra esposto, digitiamo: sudo adduser NomeUtente -M -s /sbin/nologin -p PasswordUtente [Soluzione 2 non necessarie per un Netbuk server] Potremmo solamente digitare: sudo adduser NomeUtente Il sistema ora visualizzerà le operazioni che sta effettuando: Adding user 'NomeUtente'... Adding new group 'NomeUtente' (1001)... Adding new user 'NomeUtente' (1001) with group 'NomeUtente'... Enter new UNIX password: Inseriamo la password e premiamo, ci verrà richiesto di confermarla ridigitandola; alla fine ci verrà richiesto di digitare il nome completo, telefoni ed altro: premiamo per lasciare i campi vuoti e successivamente digitiamo [y] per confermare la correttezza dei dati inseriti. Abbiamo creato un nuovo utente. [Soluzione 3] In ottica Netbuk.org si deve solamente creare l'utente virtuale vmail assegnandogli il gruppo di appartenenza e la propria directory alla quale si setteranno i giusti permessi d'accesso. Digitiamo quindi i comandi: sudo useradd -u 501 -g mail -d /var/vmail -s /sbin/nologin -c 'Virtual Mailbox' vmail sudo mkdir /var/vmail sudo chmod 770 /var/vmail/ sudo chown vmail:mail /var/vmail/ Versione pagina 29

30 Le opzioni utilizzate sono queste: -u assegna la uid -g assegna il gruppo di appartenenza -d assegna la directory dove 'agisce' l'utente -s assegna la shell (in questo caso non può effettuare il login) -c assegna una descrizione dell'utente Per maggiori informazioni e specifiche riguardanti l'aggiunta di utenti, fare riferimento alla guida reperibile on-line all'indirizzo: Versione pagina 30

31 INSTALLAZIONE E CONFIGURAZIONE INTERFACCIA WEBMAIL: SQUIRRELMAIL Squirrelmail è uno standard di webmail basato su pacchetti scritti in PHP; include il supporto nativo di PHP per i protocolli IMAP e SMTP, rendendo tutte le pagine in puro HTML 4,0 (con JavaScript non obbligatorio) per la massima compatibilità tra i vari browsers. Tale servizio necessita di poche risorse di sistema, è molto facile da configurare ed installare e dispone di tutte quelle funzionalità che si può desiderare da un client di posta elettronica. Inseriamo il cd-rom d'installazione nel lettore e digitiamo i seguenti comandi: sudo apt-get install squirrelmail squirrelmail-locales Copiamo il file della configurazione nella directory di apache2 e successivamente passiamo alla modifica manuale delle impostazioni in esso contenute; digitiamo: sudo cp /etc/squirrelmail/apache.conf /etc/apache2/sites-enabled/sq-apache.conf sudo nano /etc/apache2/sites-enabled/sq-apache.conf Controlliamo le voci di configurazione inserite nel file che ora apparirà, in particolare soffermiamoci su alcune di esse e modifichiamole in questo modo: Alias /webmail /usr/share/squirrelmail... <IfModule mod_rewrite.c> <IfModule mod_ssl.c> <Location /webmail> RewriteEngine on RewriteCond %{HTTPS}!^on$ [NC] RewriteRule. [L] </Location> </IfModule> </IfModule> Apportiamo le modifiche del caso e salvate (fate riferimento ai comandi dell'editor spiegati precedentemente). Poiché il nostro O.S. utilizza di default il set di caratteri UTF-8, potrebbe essere difficoltoso impostare come lingua l'italiano che, in Squirrelmail, di default utilizza il set di caratteri ISO Per evitare di sbattervi come è capitato al sottoscritto, editate il file i18n.php digitando: sudo nano /usr/share/squirrelmail/functions/i18n.php Controlliamo le voci di configurazione inserite nel file che ora apparirà, in particolare soffermiamoci su alcune di esse ed apportiamo alcune modifiche in questo modo:... //$languages['it_it']['name'] = 'Italian'; $languages['it_it']['charset'] = 'iso '; //$languages['it_it']['locale'] = array('it_it.iso8859-1','it_it.iso ','it_it'); //$languages['it']['alias'] = 'it_it'; $languages['it_it']['name'] = 'Italian'; [Segue] Versione pagina 31

32 //$languages['it_it']['charset'] = 'utf-8'; $languages['it_it']['locale'] = array('it_it.utf-8','it_it.utf-8','it_it'); $languages['it']['alias'] = 'it_it';... Apportiamo le modifiche del caso e salvate (fate riferimento ai comandi dell'editor spiegati precedentemente). E' giunto il momento di passare alla configurazione vera e propria di Squirrelmail; tralasciando la configurazione di base (file config.php) effettuiamo l'override di alcune voci di configurazione mediante il file config_local.php; digitiamo: sudo nano /etc/squirrelmail/config_local.php Inseriamo le voci di configurazione che ci interessano facendo in modo che il file in oggetto assomigli a quanto indicato di seguito: <?php /** * Local config overrides. */ $org_name = "MioServer webmail"; $org_title = "MioServer webmail"; $org_logo = SM_PATH. 'images/sm_logo.png'; $org_logo_width = '630'; $org_logo_height = '200'; $provider_uri = ' $provider_name = 'MioServer'; $squirrelmail_default_language = 'it_it'; $default_charset = 'iso '; $imap_server_type = 'dovecot'; $default_folder_prefix $trash_folder $sent_folder $draft_folder = ''; = 'INBOX.Trash'; = 'INBOX.Sent'; = 'INBOX.Drafts'; $default_move_to_trash = true; $default_move_to_sent = true; $default_save_as_draft = true; $show_prefix_option = false; $default_sub_of_inbox = false; $show_contain_subfolders_option = false; $optional_delimiter = 'detect'; $delete_folder = false; $force_username_lowercase $theme_default = 7; $smtp_auth_mech = 'plain'; = true; $imap_auth_mech = 'login'; $use_imap_tls = false; $use_smtp_tls = false;?> Versione pagina 32

33 Apportiamo le modifiche del caso e salvate (fate riferimento ai comandi dell'editor spiegati precedentemente). In questo esempio si presuppone che: sia stata personalizzata l'immagine raffigurante il logo ($org_logo); siano state impostate le nuove dimensioni del logo ($org_logo_width e $org_logo_height); il linguaggio utilizzato sia l'italiano; l'imap server utilizzato sia Dovecot; gli username di login siano minuscoli; il tema scelto sia il numero 7 (ice); imap e smtp TLS siano settati su false; Riavviamo il server Apache2 per fargli acquisire le nuove impostazioni come descritto precedentemente. Attiviamo (su un altro pc in rete locale) il nostro browser preferito e colleghiamoci all'indirizzo del nostro server: Se tutto è andato a buon fine verrete reindirizzati all'indirizzo richiesto su protocollo protetto (https) e dovrebbe apparire la pagina di login di Squirrelmail, non ci resta che digitare i valori richiesti in ottica netbuk.org (bisogna implementare il database utenti) -, quindi proviamo: utest pwtest E premiamo [login], oppure, per entrare. Se proprio non funziona provate a riavviare il server (non dovrebbe essere necessario). Personalizzazione dell'immagine della pagina di login le immagini utilizzate da Squirrelmail risiedono nella directory /usr/share/squirrelmail/images Se siete interessati a personalizzare l'immagine della pagina di login di Squirrelmail, dovete sostituire (o modificare) il file immagine chiamato sm_logo.png e dare il comando sudo chmod 644 ai file immagine eventualmente uploadati. Per maggiori informazioni e specifiche riguardanti la configurazione del mail-server, fare riferimento alla guida reperibile on-line all'indirizzo: Versione pagina 33

34 IMPLEMENTAZIONE CON DATABASE UTENTI IN MYSQL Poiché il nostro è un Netbuk Server, si è deciso di inserire gli utenti in database MySQL in modo tale da poter ridistribuire e 'backuppare' gli stessi da un server all'altro in caso di emergenze/aggiornamenti. Cominciamo con la creazione del database 'netbukusers' in MySQL. Colleghiamoci quindi al server MySQL ed inseriamo la password dell'utente root di MySQL quando richiesto - digitiamo: mysql -u root -p Ora digitiamo i comandi necessari per la creazione ed utilizzo del nostro database: CREATE DATABASE netbukusers; USE netbukusers; (ex mail) Creiamo la tabella relativa agli utenti, digitiamo: CREATE TABLE user ( username VARCHAR (50) NOT NULL, password VARCHAR (100) NOT NULL, password_md5 VARCHAR (100) NOT NULL, VARCHAR (100) NOT NULL, activaction_code VARCHAR (100) NOT NULL, valid TINYINT (1) NOT NULL default 0, active TINYINT (1) NOT NULL default 0, username_e107 VARCHAR (50) NOT NULL default '', PRIMARY KEY (username) ) COMMENT = 'Utenti Netbuk'; Bene, non ci resta che settare i giusti privilegi ed uscire dal server MySQL digitando: GRANT ALL PRIVILEGES ON mail.* TO mail@localhost IDENTIFIED BY 'una_password'; FLUSH PRIVILEGES; exit - PASSO 1: Configurazione di Dovecot Cominciamo la fase di configurazione dal servizio IMAP/POP offerto da Dovecot e modifichiamo parte della configurazione (file dovecot.conf) precedentemente esposta in questo modo: ## Dovecot configuration file Ubuntu ##... mail_location = maildir:/var/vmail/%n/maildir/ #passdb passwd { # args = #} passdb sql { args = /etc/dovecot/dovecot-sql.conf [Segue] Versione pagina 34

35 } #userdb passwd{ # args= #} userdb sql { args = /etc/dovecot/dovecot-sql.conf } ############################################# # Non è obbligatorio, però per effettuare # # il debug potrebbe essere utile abilitare: # ############################################# auth_verbose = yes auth_debug = yes auth_debug_passwords = yes... Salvate (fate riferimento ai comandi dell'editor spiegati precedentemente) ed uscite dall'editor di testo. Passiamo ora al file dovecot-sql.conf così come indicato nel file di configurazione appena modificato; digitiamo: sudo nano /etc/dovecot/dovecot-sql.conf Il contenuto dovrebbe essere simile a quanto sotto riportato: driver = mysql # Connessione al database # # host = server mysql user= utente per la connessione al database # # password = password per la connessione dbname = database da usare # connect = host= user=mail password=una_password dbname=netbukusers # PLAIN = le password sono salvate in chiaro nel database (SCONSIGLIATO) # # PLAIN-MD5 = le password vengono salvate con l'algoritmo MD5 (CONSIGLIATO) # # per il momento lasciamo pure PLAIN... # default_pass_scheme = PLAIN password_query = SELECT username, password \ FROM user WHERE username='%u' AND active=1 user_query = SELECT user.* AS home, 501 AS uid, 8 AS gid \ FROM user WHERE username='%u' AND active=1 Salvate (fate riferimento ai comandi dell'editor spiegati precedentemente) ed uscite dall'editor di testo. Riavviamo il server dovecot per fargli acquisire le nuove impostazioni e controlliamo che funzioni a dovere digitando: sudo /etc/init.d/dovecot restart Versione pagina 35

36 - PASSO 2: Configurazione di Postfix Dobbiamo installare un pacchetto che consente al nostro mail server d'interfacciarsi al server MySQL: inseriamo il cdrom d'installazione nel lettore e digitiamo i seguenti comandi: sudo apt-get install postfix-mysql Modifichiamo la configurazione del servizio SMTP offerto da Postfix (file main.cf) precedentemente vagliata in questo modo: ## Postfix configuration file Ubuntu ##... #home_mailbox = /var/vmail/%d/%n/maildir/ #la %d non è più utilizzata home_mailbox = /var/vmail/%n/maildir/ # Virtual mailbox setting virtual_mailbox_base = /var/vmail/ virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox.cf virtual_minimum_uid = 500 virtual_uid_maps = static:501 virtual_gid_maps = static:8 virtual_transport = virtual Salvate (fate riferimento ai comandi dell'editor spiegati precedentemente) ed uscite dall'editor di testo. Apriamo il file mysql_virtual_mailbox.cf così come indicato nel file di configurazione appena modificato; digitiamo: sudo nano /etc/postfix/mysql_virtual_mailbox.cf Il contenuto dovrebbe essere simile a quanto sotto riportato: user = mail password = una_password hosts = dbname = netbukusers table = users #select_field = maildir additional_conditions = AND active=1 where_field = username Salvate (fate riferimento ai comandi dell'editor spiegati precedentemente) ed uscite dall'editor di testo. Riavviamo il server Postfix per fargli acquisire le nuove impostazioni. sudo /etc/init.d/postfix restart - PASSO 3: Aggiungere utenti al database Colleghiamoci al server MySQL ed aggiungiamo l'utente in questo caso l'utente di prova utest con password pwtest - digitando: Versione pagina 36

37 mysql -u root -p USE netbukusers; INSERT INTO user (username, password, password_md5, , activaction_code, valid, active, username_e107) \ VALUES ('utest', 'pwtest', 'pwtest_md5', 'indirizzo_ ', 'codice_attivazione', 1, 1, 'utest'); Bene, non ci resta che uscire dal server MySQL digitando: exit E testare se tutto funziona mediante l'interfaccia web di squirrelmail... Per maggiori informazioni e specifiche riguardanti la configurazione del mail-server, fare riferimento alla guida reperibile on-line all'indirizzo: Versione pagina 37

38 INSTALLAZIONE E CONFIGURAZIONE DEL SERVER FTP PURE-FTPD Un server che si rispetti dispone, tra le altre cose, di un servizio FTP e, visto che anche noi vogliamo che il nostro non sia da meno, provvederemo ad installare tale servizio dando i seguenti comandi (mi raccomando di avere la connessione ad internet attiva per recuperare facilmente i pacchetti necessari!): apt-get install pureftpd-basic pureftpd-mod-mysql openssl ss-cert cacertificates Durante la fase di installazione selezionare autonomo; la configurazione di ftps e della gestione delle quote viene per il momento tralasciata. Una volta completata la fase d'installazione passiamo alla configurazione dei moduli digitando: sudo nano /etc/proftpd/modules.conf Decommentiamo le voci di configurazione che ci interessano come indicato di seguito:... LoadModule mod_sql.c LoadModule mod_sql_mysql.c... Salvate (fate riferimento ai comandi dell'editor spiegati precedentemente) e passate alla modifica del file proftpd.conf digitando: sudo nano /etc/proftpd/proftpd.conf Controlliamo le voci di configurazione inserite facendo in modo tale che questo file assomigli a quanto riportato di seguito: DefaultRoot /var/ftp/%u RequireValidShell off CreateHome on 700 User Group Proftpd ftp AuthOrder mod_sql.c mod_auth_unix.c Include /etc/proftpd/sql.conf <Anonymous /var/ftp/pub/> User anonymous_ftp Group ftp UserAlis anonymous anonymous_ftp AnonRequirePassword off RequireValidShell off DisplayLogin welcome.msg [Segue] Versione pagina 38

39 <Directory *> <Limit WRITE> DenyAll </Limit> </Directory> </Anonymous> Salvate, fate riferimento ai comandi dell'editor spiegati precedentemente. Per modificare il messaggio di benvenuto agite sul file welcome.msg Passate alla modifica del file sql.conf digitando: sudo nano /etc/proftpd/sql.conf Controlliamo le voci di configurazione inserite facendo in modo tale che questo file assomigli a quanto riportato di seguito: SQLBackend SQLEngine on SQLNEvativeCache SQLLogFile mysql off /var/log/proftpd/mysql.log SQLDefaultUID 117 SQLDefaultGID 2000 RequireValidShell off SQLHomedirOnDemand on SQLAuthTypes SQLConnectInfo Plaintext ftp@localhost netbukusers una_ftp_password SQLUserWhereClausole active=1 SQLUserInfo username password active Salvate, fate riferimento ai comandi dell'editor spiegati precedentemente. In ottica Netbuk.org si deve solamente creare l'utente virtuale anonymous_ftp assegnandogli il gruppo di appartenenza e la propria directory alla quale si setteranno i giusti permessi d'accesso e creare il gruppo ftp. Digitiamo quindi i comandi: sudo groupadd -g 2000 ftp sudo usermod -g 2000 pureftpd sudo useradd -u g d /var/ftp/pub -s /sbin/nologin anonymous_ftp sudo mkdir /var/ftp sudo chown -R pureftpd:ftp /var/ftp sudo mkdir /var/ftp/pub sudo chown -R anonymous_ftp:ftp /var/ftp/pub Versione pagina 39

40 Le opzioni utilizzate sono queste: -u assegna la uid -g assegna il gruppo di appartenenza -d assegna la directory dove 'agisce' l'utente -s assegna la shell (in questo caso non può effettuare il login) Passiamo ora al database 'netbukusers' in MySQL e settiamo i giusti privilegi. Colleghiamoci quindi al server MySQL ed inseriamo la password dell'utente root di MySQL quando richiesto - digitiamo: mysql -u root -p USE netbukusers; GRANT ALL PRIVILEGES ON netbukusers.* TO ftp@localhost 'una_ftp_password'; FLUSH PRIVILEGES; exit IDENTIFIED BY Riavviamo il server pureftpd per fargli acquisire le nuove impostazioni e controlliamo che funzioni a dovere digitando: sudo /etc/init.d/pureftpd restart telnet MioServer 21 Se tutto è andato a buon fine, il sistema dovrebbe rispondere in questo modo: Trying Connected to MioServer.netbuk.org. Escape character is '^]'. 220 benvenuti sul servizio Ftp di MioServer.netbuk.org. Inseriamo il nome utente e password e tentiamo il login: user utest pass pwtest Se tutto è andato a buon fine, il sistema dovrebbe rispondere in questo modo: 230 Loggin successful. Digitiamo stat per visualizzare lo stato del server,e successivamente digitiamo Quit [invio] per uscire da pureftp. Attenzione, sinceratevi che sul vostro router sia stato effettuato il port-forwarding della porta 21 (TCP) dalla pubblica all'ip del vostro server. Per maggiori informazioni e specifiche riguardanti la configurazione dell'ftp-server, fare riferimento alla guida reperibile on-line all'indirizzo: Versione pagina 40

41 IMPOSTAZIONI PERSONALIZZATE NETBUK SERVER Se siamo arrivati a questo punto significa che il nostro server è (quasi) pronto per accettare l'inserimento automatico degli utenti; a tal proposito bisogna creare delle cartelle nelle quali risiederanno gli script utilizzati. Digitiamo: sudo mkdir /var/netbuk_scripts Lasciamo temporaneamente in sospeso il contenuto di queste cartelle e passiamo alla fase di configurazione di Apache2 per renderle accessibili dalla rete. Creiamo un nuovo file nominato registrazione.conf digitando: sudo nano /etc/apache2/sites-enabled/registrazione.conf Inseriamo quanto sotto riportato: Alias /registrazione /var/netbuk_scripts <Directory /var/netbuk_scriptsl> Options Indexes FollowSymLinks <IfModule mod_php4.c> php_flag register_globals off </IfModule> <IfModule mod_php5.c> php_flag register_globals off </IfModule> <IfModule mod_dir.c> DirectoryIndex index.php </IfModule> </Directory> # reindirizza su https se disponibile <IfModule mod_rewrite.c> <IfModule mod_ssl.c> <Location /registrazione> RewriteEngine on RewriteCond %{HTTPS}!^on$ [NC] RewriteRule. [L] </Location> </IfModule> </IfModule> Salvate (fate riferimento ai comandi dell'editor spiegati precedentemente) e riavviamo il server Apache2 per fargli acquisire le nuove impostazioni come descritto precedentemente. Contattiamo l'amministratore di un altro netbuk server e facciamoci passare la cartella compressa contenete tutti i files necessari per la messa in strada del nostro webserver. Una volta ottenuta la cartella compressa decomprimiamo il contenuto sul server e spostiamoci nella cartella appena creata, visualizzando i files in essa contenuti: Versione pagina 41

42 sudo tar -zxvf nome_del_file.tar.gz nome_del_file cd /nome_del_file dir Copiamo i file contenuti nella cartella _www_ nella directory /var/www: cd /_www_ dir sudo cp nome_del_file /var/www/nome_del_file Settando eventualmente, come descritto nel capitolo riguardante apache2, i giusti permessi ai files contenuti in questa cartella; Copiamo i file contenuti nella cartella _netbuk_scripts_ nella directory /var/netbuk_scripts: cd /_netbuk_scripts_ dir sudo cp nome_del_file /var/netbuk_scripts/nome_del_file Settiamo i permessi di esecuzione alla cartella ed a tutto il suo contenuto digitando: sudo chmod 755 -R /var/netbuk_scripts Abbiamo finito, attiviamo (su un altro pc in rete locale) il nostro browser preferito e colleghiamoci all'indirizzo del nostro server e terminiamo la fase di configurazione in modo più agevole (vedi note sottostanti). Qui purtroppo si entra pericolosamente nello specifico per cui bisogna contattare un netbuk administrator... Questo capitolo è work-in-progress e deve ancora essere testato dalla parte in cui si devono uploadare e copiare i files nelle varie cartelle. Al momento sto aggiornando gli script scritti da Name29 in modo tale da essere suddivisi in pubblici (per la sola registrazione) ed amministrativi (cancellazione/creazione tabelle, creazione/modifica/cancellazione degli utenti, creazione utenti amministrativi di default, ecc...) Versione pagina 42

43 RINGRAZIAMENTI Si ringrazia prima di tutto mio fratello che, grazie alla sua pazienza unita alle competenze in ambito elettronico, ha sviluppato la sezione hardware/software dell'alimentazione ad energia solare del proprio Netbuk Server nonché testato la presente guida, oltre al fatto di aver redatto la Guida alle W-Lan, un ottimo supporto alle comunità wireless; mia moglie ed i miei figli, che con santa pazienza mi sopportano ogni giorno regalandomi instancabilmente momenti d'immensa felicità e soddisfazione; un ringraziamento particolare va a Name29, utente di Nabuk.org, che grazie alle proprie competenze e tempo libero mi ha aiutato a correggere ed in parte a redigere questa guida. i LUG (Linux User Group) italiani, che forniscono assistenza e competenza a chi, come me, ha bisogno di aiuto nel vasto mondo di Linux; le comunità del software libero... che ci aiutino a creare un mondo migliore; per ultimo ma non ultimo, un particolare ringraziamento è rivolto agli utenti del forum di che, con la loro esperienza e tenacia, nonostante la cronica mancanza di tempo libero a disposizione, hanno saputo far crescere questo forum e, quando tutto sembrava perduto, lo hanno fatto risorgere dalla ceneri come la fenice, recuperando i fratelli lasciati soli con un tam-tam di di richiamo; per finire vorrei ringraziare tutti quanti hanno collaborato alla creazione del progetto Netbuk ed in particolare i componenti della Nabuk Wireless Family. Ultimo aggiornamento 2009/04/07 by Alnath Versione pagina 43