Installieren und Härten von Dolibarr
SSH Key erstellen und Verbindung herstellen
Vorausgesetzt ist ein vorinstallierter Server mit
Ubuntu 20.04.x LTS Focal Fossa (x86-64) bzw. Debian Server 11 bullseye (x86-64) Betriebssystem
mit vorinstalliertem openssh
Sie brauchen Root Rechte am Server
Zugriff erfolgt über einen Windows PC
Die Verbindung wird per SSH und PuTTY hergestellt Zusätzlich verwende ich Cmder
Hier kann man aber auch bei Windows im Startmenü in die Eingabezeile - cmd.exe - eingeben und bestätigen erfüllt den selben zweck
Herstellen einer SSH Verbindung
unter Windows das SSH-Paar erstellen mit Cmder ins eigene Benutzerverzeichnis wechseln
das rot geschriebene mit Ihren Daten ersetzen
cd C:\Users\Name
SSH-Key erzeugen → Pfad und Name bestätigen (Enter) oder eigenen Pfad und Namen eingeben → Passphrase eingeben (man kann es auch leer lassen dies wird jedoch nicht empfohlen)
Standard Sicherheit 2048 Bit - höhere Sicherheit 4096 Bit
ssh-keygen
ssh-keygen -t rsa -b 4096
anmelden am Server
befehle am Server über PuTTY eingeben anmelden mit SERVER.USERNAME und SERVER.PASSWORD
System update
sudo apt-get update -y && sudo apt-get upgrade -y
sudo apt -y install software-properties-common
SSH Server installieren falls er bei der Ubuntu Installation nicht mitinstalliert wurde
sudo apt install openssh-server
SSH als Service aktivieren
sudo systemctl enable ssh
sudo systemctl start ssh
Ordner für SSH Key anlegen
das rot geschriebene mit Ihren Daten ersetzen
mkdir /home/SERVER.USERNAME/.ssh
Dem Ordner die nötigen Rechte geben
das rot geschriebene mit Ihren Daten ersetzen
chmod 700 /home/SERVER.USERNAME/.ssh
chown -R SERVER.USERNAME:SERVER.USERNAME/home/SERVER.USERNAME/.ssh
SSH-Key und authorized-keys erstellen
wechseln auf Windows
eingabe mit Cmder oder cmd.exe
SSH-Key und authorized-keys erstellen im Windows Benutzerordner .ssh erstellen
das rot geschriebene mit Ihren Daten ersetzen
cp C:\Users\Name\.ssh\id_rsa.pub C:\Users\Name\.ssh\authorized_keys
aufs Benutzerkonto wechseln
das rot geschriebene mit Ihren Daten ersetzen
cd C:\Users\Name\
SSH-Key und authorized_keys auf den Server kopieren
das rot geschriebene mit Ihren Daten ersetzen
cat ~/.ssh/id_rsa.pub | ssh SERVER.USERNAME@SERVER-IP"cat >> ~/.ssh/authorized_keys"
mit PuTTY am Server
Ordner und Zugriffsrechte vergeben
das rot geschriebene mit Ihren Daten ersetzen
chmod 700 /home/SERVER.USERNAME/.ssh
chmod 600 /home/SERVER.USERNAME/.ssh/authorized_keys
testen ob SSH Autorisiergun läuft
eval "$(ssh-agent)"
Wenn Sie ein „ Agent pid ….“ Erhalten hat alles geklappt und der SSH-Key am PC kann gelöscht werden.
Dazu wechseln Sie auf Ihren Windows PC und geben bei Cmder oder cmd.exe den Befehl zum löschen des authorized_keys ein
das rot geschriebene mit Ihren Daten ersetzen
rm C:\Users\Name\.ssh\authorized_keys
Server SSH Härten und absichern
mit PuTTY am Server
umbenennen der sshd_config in sshd_config.bak
sudo mv /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
mit einem Texteditor können Sie jetzt die leere sshd_config erstellen
sudo nano /etc/ssh/sshd_config
Bitte Fügen Sie dazu nachstehendes ein
Jetzt können Sie auch ein alternatives SSH Port eintragen
ein freies Port können Sie hier finden
das rot geschriebene mit Ihren Daten ersetzen
# $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options override the
# default value.
Include /etc/ssh/sshd_config.d/*.conf
#Standart Port ist 22
Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key
# Ciphers and keying
#RekeyLimit default none
# Logging
#SyslogFacility AUTH
#LogLevel INFO
# Authentication:
LoginGraceTime 20
PermitRootLogin no
#StrictModes yes
MaxAuthTries 3
#MaxSessions 10
PubkeyAuthentication yes
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
#HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Kerberos options
KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
# GSSAPI options
GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
AllowAgentForwarding no
AllowTcpForwarding no
#GatewayPorts no
X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
#PrintLastLog yes
#TCPKeepAlive yes
PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
PermitTunnel no
#ChrootDirectory none
#VersionAddendum none
# no default banner path
Banner none
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
# override default of no subsystems
Subsystem sftp /usr/lib/openssh/sftp-server
Texteditor verlassen - bei nano CTRL+x (STRG+x) - save mit y bestätigen
sshd_config neu laden
sudo systemctl restart ssh
verwendeten SSH-Port anzeigen
grep -i port /etc/ssh/sshd_config
Die Putty Shell nicht schließen bitte erst den nächsten Schritt am Windows PC durchführen
PuTTY einrichten
PuTTYgen starten → Conversation → Import Key und den Privaten Schlüssel - id_rsa - laden (Passphrase eingeben)
in PuTTYgen auf → Save private key - klicken und das File als - id_rsa.ppk - speichern
sollte eine Passphrase beim laden abgefragt worden sein wird diese übernommen, sonst die Frage nach der Passphrase mit JA/YES beantworten und weiter ohne Passphrase
PuTTY starten rechts auf → Conection - Data → bei Auto-login username den sudo Root User des Servers eintragen
jetzt auf → Conection → SSH → Auth → klicken und unter - Private key file for authentication - den SSH-Key eingeben - C:\Users\Name\.ssh\id_rsa.ppk
jetzt auf → Session - klicken → unter Host Name (or IP address) die IP adresse des Servers oder den Hostnamen eingeben und unter Port das gewählte SSH Port
bei Connection type: SSH auswählen
unter - Save Sessions - einen Namen eingeben und mit Save speichern
ein Doppelklick auf diesen Namen öffnet das Eingabefeld zum Server
PuTTY neustarten und mit neuem Port einloggen
Wenn Sie sich mit Ihrem neuen Port und dem SSH-Key nicht anmeldet können, haben Sie einen Fehler in den Vorhergehenden Schritten und sollten diesen jetzt beheben.
Sie haben keinen Zugriff mehr über SSH wenn es hier einen Fehler gibt.
Ist alles okay - > Putty Shell schließen
exit
und mit Ihren neu eingerichdeten SSH Zugang einloggen - anmelden mit Ihrem SERVER.PASSWORD
UFW Firewall einrichten
Firewall Status abfragen
sudo ufw status
wenn inaktiv UFW Firewall aktivieren und mit ‚y‘ bestätigen
sudo ufw enable
alle eingehenden Anfragen blocken
sudo ufw default deny incoming
alle ausgehenden Anfragen erlauben
sudo ufw default allow outgoing
IPv6 unterstützung aktivieren
cat /etc/default/ufw
Sie können mit dem Standard SSH Port weitermachen, wenn Sie es nicht geändert haben
Falls Sie diesen Befehl verwenden bitte die # vor sudo entfernen
#sudo ufw allow SSH
Falls Sie das Port geändert haben verwenden Sie bitte diesen Befehl
Falls Sie diesen Befehl verwenden bitte die # vor sudo entfernen
das rote Port mit Ihrem Port ersetzen
#sudo ufw allow PORT
zusätzliche Sicherheit gibt es, wenn man nur ausgewählte IP Adresse zulässt
die FROM.IP identifizieren mit der man am Server angemeldet ist
w
erhaltene IP Adresse übernehmen und als FROM.IP Adresse einfügen – ggf. eigene Portadresse.
So haben Sie am Server nur SSH Zugang mit der IP Ihres Clientrechners und dem SSH Port das Sie gewählt haben
Falls Sie diesen Befehl verwenden bitte die # vor sudo entfernen
das rot geschriebene mit Ihren Daten ersetzen
#sudo ufw allow proto tcp from FROM.IP to SERVER.IP port PORT
Wenn Sie diese Einstellung machen müssen Sie in Ihrem Router dafür sorgen das Ihr PC immer dieselbe FROM.IP hat.
Zu guter Letzt müssen Sie für einen reibungslosen Betrieb noch die Standart Ports für HTTP und HTTPS freigeben.
sudo ufw allow http
sudo ufw allow https
ggf Limits für das SSH Port eingeben
Näheres dazu finden Sie zum beispiel hier
Falls Sie diesen Befehl verwenden bitte die # vor sudo entfernen
#sudo ufw limit ssh
zur Kontrolle Firewall Status abfragen
sudo ufw status
UFW Firewall neustarten
sudo ufw reload
Überprüfen ob die UFW Firewall als Service einrichten ist und UFW bei jedem Neustart des Servers aktiviert wird - mit ‚q‘ verlassen
sudo systemctl status ufw.service
nicht zu empfehlen aber manchmal nötig
UFW Firewall deaktivieren - deaktiviert auch den Service
Falls Sie diesen Befehl verwenden bitte die # vor sudo entfernen
#sudo ufw disable
Starten Sie Ihren Server und Putty neu
sudo reboot now
Die Einrichtung Ihres gesicherten SSH Zuganges und der Ubuntu eigenen Firewall ist jetzt abgeschlossen.
Vorbereiten der Einrichtung Ihres Servers
Nach dem Neustart melden Sie sich mit privilegierten Benutzerrechten am Server an
sudo -s
Installieren Sie die folgenden Softwarepakete, als notwendige Grundlage für den Serverbetriebs
apt update -q4 && apt install -y curl gnupg2 git lsb-release ssl-cert ca-certificates apt-transport-https tree locate software-properties-common dirmngr screen htop net-tools zip unzip bzip2 ffmpeg ghostscript libfile-fcntllock-perl libfontconfig1 libfuse2 lsb-release socat
Nach der Installation sorgen Sie für eine saubere Umgebung und machen ein Server update, upgrade und bereinigen den Server von unnötigen Datensätzen.
apt update && apt upgrade -V && apt dist-upgrade && apt autoremove -y
Tragen Sie den zukünftigen Servernamen sowohl in die hosts-Datei, als auch in die hostname-Datei ein.
mv /etc/hosts /etc/hosts.bak
nano /etc/hosts
das rot geschriebene mit Ihren Daten ersetzen
127.0.0.1 localhost 127.0.1.1 ihre.domain.de # The following lines are desirable for IPv6 capable hosts ::1 ihre.domain.de ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters <externe IPv4> ihre.domain.de <externe IPv6> ihre.domain.de
Geben Sie den korrekten Servername in der hostname-Datei an
nano /etc/hostname
Der Servername muss als FQDN, also vollqualifiziert angegeben werden
vorhandenen Eintrag löschen und mit neuem ersetzen
das rot geschriebene mit Ihren Daten ersetzen
ihre.domain.de
Die meisten Internet Provider betreiben ihren eigenen Zeitserver.
Hier eine kleine Liste der Zeitserver Adressen in Deutschland, Österreich, Schweiz
Es wird empfohlen das man 5 Zeitserver einbinden soll, hier habe ich 2 vorgegeben, Sie können die Array ändern und nach Ihren wünschen erweitern
Konfigurieren Sie den Zeitserverdienst und fügen Sie die Zeitserver hinzu.
sed -i "s/#NTP=.*/NTP=ntp1.dismail.de ntp2.dismail.de/" /etc/systemd/timesyncd.conf
Speichern und den Zeitserver für Ihren Server neu Starten
systemctl restart systemd-timesyncd
Für die Individuelle Nutzung ist es nicht praktikabel das der Server in den Energiesparmodus wechselt.
Daher sorgen Sie nun dafür, dass der Server dies nicht tut.
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
Starten Sie abschließend den Server neu
reboot now
und melden sich dann erneut mit Ihren privilegierten Benutzerrechten am Server an
sudo -s
Installieren von NGINX
Fügen Sie dem System weitere Software-Repositorien (Softwarequellen) hinzu, um die aktuellen Releases der jeweiligen Pakete installieren zu können.
Das folgende gilt nur für Ubuntu Server (AMD64 und ARM64)
Stellen Sie sicher, dass das Paket „ubuntu-keyring“ installiert ist
apt install -y ubuntu-keyring
Fügen Sie Ihrem System den nginx-Key hinzu
curl https://nginx.org/keys/nginx_signing.key | gpg --dearmor | sudo tee /usr/share/keyrings/nginx-archive-keyring.gpg >/dev/null
Tragen Sie anschließend die Softwarequellen für Nginx ein
echo "deb [signed-by=/usr/share/keyrings/nginx-archive-keyring.gpg] http://nginx.org/packages/mainline/ubuntu `lsb_release -cs` nginx" | tee /etc/apt/sources.list.d/nginx.list
Um auch die aktuellen PHP-Ressourcen verwenden zu können fügen wir das entsprechende
Repository hinzu:
add-apt-repository -y ppa:ondrej/php
Das folgende gilt nur für nur Debian Server (AMD64):
Stellen Sie sicher, dass das Paket „debian-archive-keyring“ installiert ist
apt install -y debian-archive-keyring
Fügen sie Ihrem Server den nginx-Key hinzu:
curl https://nginx.org/keys/nginx_signing.key | gpg --dearmor | tee /usr/share/keyrings/nginx-archive-keyring.gpg >/dev/null
Ergänzen Sie die Softwarequellen für Nginx und PHP
echo "deb [signed-by=/usr/share/keyrings/nginx-archive-keyring.gpg] http://nginx.org/packages/mainline/debian `lsb_release -cs` nginx" | tee /etc/apt/sources.list.d/nginx.list
echo "deb [arch=amd64] https://packages.sury.org/php/ $(lsb_release -cs) main" | tee /etc/apt/sources.list.d/php.list
Um auch den PHP-Quellen vertrauen zu können ergänzen wir auch diesen Schlüssel:
wget -qO - https://packages.sury.org/php/apt.gpg | apt-key add -
Ab hier geht es wieder für beide Server-Betriebssysteme (Ubuntu und Debian) weiter:
Ergänzen Sie die Paketquellen für MariaDB und aktualisieren das System
Vorbereitung MariaDB:
cd ~ wget https://downloads.mariadb.com/MariaDB/mariadb_repo_setup chmod +x mariadb_repo_setup ./mariadb_repo_setup --mariadb-server-version="mariadb-10.6"
Aktualisierung des Servers:
apt update
Um sicherzustellen, dass keine Relikte früherer Installationen den Betrieb des Webserver stören, entfernen wir diese
apt remove nginx nginx-extras nginx-common nginx-full -y --allow-change-held-packages
Zudem stellen wir sicher, dass das Pendant (Apache2) zum Nginx Webserver weder aktiv noch installiert ist.
systemctl stop apache2.service && systemctl disable apache2.service
Nun sind die Vorbereitungen zur Installation des Webservers Nginx abgeschlossen und wir können diesen mit dem nachfolgenden Befehl installieren
apt install -y nginx
und den Dienst zum automatischen Start nach einem Systemneustart einrichten
systemctl enable nginx.service
Mit Blick auf die späteren Anpassungen wird die Standardkonfiguration gesichert und eine neue Konfigurationsdatei geöffnet
mv /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak && touch /etc/nginx/nginx.conf
nano /etc/nginx/nginx.conf
Kopieren Sie den gesamten nachfolgenden Inhalt in die Datei
das rot geschriebene mit Ihren Daten ersetzen
user www-data;
worker_processes auto;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
multi_accept on; use epoll;
}
http {
server_names_hash_bucket_size 64;
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log warn;
# set_real_ip_from 127.0.0.1; # eine Änderung ist nur nötig, wenn Sie nicht auf Localhost sind
real_ip_header X-Forwarded-For;
real_ip_recursive on;
include /etc/nginx/mime.types;
default_type application/octet-stream;
sendfile on;
send_timeout 3600;
tcp_nopush on;
tcp_nodelay on;
open_file_cache max=500 inactive=10m;
open_file_cache_errors on;
keepalive_timeout 65;
reset_timedout_connection on;
server_tokens off;
resolver 127.0.0.53 valid=30s;
resolver_timeout 5s;
include /etc/nginx/conf.d/*.conf;
}
Speichern Sie die Datei und schließen Sie diese, um im Anschluss den Webserver neu zu starten
service nginx restart
Legen Sie drei Ordner an und setzen die korrekten Berechtigungen
/var/log/dolibarr -> für die zukünftigen log Files /mnt/dokument -> ist Ihr Dokument Ortner /var/www/dolibarr -> ist Ihr ROOT Ordner für Dolibarr
das rot geschriebene mit Ihren Daten ersetzen
mkdir -p /var/log/dolibarr /mnt/dokument /var/www/dolibarr
chown -R www-data:www-data /mnt/dokument /var/www/dolibarr /var/log/dolibarr
Erstellen Sie die nötigen Ordner für die SSL-Zertifikate
mkdir -p /var/www/letsencrypt/.well-known/acme-challenge /etc/letsencrypt/rsa-certs /etc/letsencrypt/ecc-certs
Markieren des „Hilfs“ SSL Zertifikats
make-ssl-cert generate-default-snakeoil -y
Starten Sie abschließend den Server neu
reboot now
und melden sich dann erneut mit privilegierten Benutzerrechten am Server an
sudo -s
PHP Installieren
Das PHP Repository wurde bereits im vorherigen Kapitel eingerichtet und aktiviert, so dass wir direkt mit der Installation beginnen können
apt update -q4 && apt install -y php7.4-fpm php7.4-common php7.4-curl php7.4-intl php7.4-mbstring php7.4-mcrypt php7.4-json php7.4-xmlrpc php7.4-soap php7.4-mysql php7.4-gd php7.4-xml php7.4-cli php7.4-zip
Setzen Sie das richtige Datumsformat, um auch ein korrektes Logging zu ermöglichen
Hier eine Aufstellung um die für Sie passende zu finden
das rot geschriebene mit Ihren Daten ersetzen
timedatectl set-timezone Europe/Berlin
jetzt können wir die php.ini anpassen
sed -i "s/file_uploads =.*/file_uploads = On/" /etc/php/7.4/fpm/php.ini
sed -i "s/allow_url_fopen =.*/allow_url_fopen = Off/" /etc/php/7.4/fpm/php.ini
sed -i "s/memory_limit =.*/memory_limit = 1024M/" /etc/php/7.4/fpm/php.ini
sed -i "s/;cgi.fix_pathinfo=.*/cgi.fix_pathinfo = 1/" /etc/php/7.4/fpm/php.ini
sed -i "s/upload_max_filesize =.*/upload_max_filesize = 100M/" /etc/php/7.4/fpm/php.ini
sed -i "s/post_max_size =.*/post_max_size = 100M/" /etc/php/7.4/fpm/php.ini
sed -i "s/max_execution_time =.*/max_execution_time = 3600/" /etc/php/7.4/fpm/php.ini
sed -i "s/;date.timezone =.*/date.timezone = Europe\/\Berlin/" /etc/php/7.4/fpm/php.ini
Starten Sie nun beide Dienste, nginx und PHP, neu
service php7.4-fpm restart
service nginx restart
MariaDB Installieren
Die Installation von MariaDB erfolgt mit diesem Befehl
apt update -q4 && apt install -y mariadb-server
Härten wir nun den Datenbankserver mittels des mitgelieferten Tools „mysql_secure_installation“
Bei einer Erstinstallation besteht kein Root Passwort, so dass Sie die Abfrage mit ENTER bestätigen könne. Es wird empfohlen, ein Passwort direkt zu setzen, der entsprechende Dialog erscheint automatisch
das rot geschriebene mit Ihren Daten ersetzen
mysql_secure_installation
Enter current password for root (enter for none): <ENTER>
Switch to unix_socket authentication [Y/n] Y
Set root password? [Y/n] Y
root-Passwort 2-mal eingeben – Ihr-starkes-stück-Passwort -
Remove anonymous users? [Y/n] Y
Disallow root login remotely? [Y/n] Y
Remove test database and access to it? [Y/n] Y
Reload privilege tables now? [Y/n] Y
Stoppen Sie nun den Datenbankserver und sichern dann die Standardkonfiguration, um unmittelbar danach Anpassungen vornehmen zu können
service mysql stop
mv /etc/mysql/my.cnf /etc/mysql/my.cnf.bak
nano /etc/mysql/my.cnf
Kopieren Sie alle nachfolgenden Zeilen in die leere Datei
[client] default-character-set = utf8mb4 port = 3306 socket = /var/run/mysqld/mysqld.sock [mysqld_safe] log_error=/var/log/mysql/mysql_error.log nice = 0 socket = /var/run/mysqld/mysqld.sock [mysqld] basedir = /usr bind-address = 127.0.0.1 binlog_format = ROW bulk_insert_buffer_size = 16M character-set-server = utf8mb4 collation-server = utf8mb4_general_ci concurrent_insert = 2 connect_timeout = 5 datadir = /var/lib/mysql default_storage_engine = InnoDB expire_logs_days = 2 general_log_file = /var/log/mysql/mysql.log general_log = 0 innodb_buffer_pool_size = 2G innodb_buffer_pool_instances = 1 innodb_flush_log_at_trx_commit = 2 innodb_log_buffer_size = 32M innodb_max_dirty_pages_pct = 90 innodb_file_per_table = 1 innodb_open_files = 400 innodb_io_capacity = 4000 innodb_flush_method = O_DIRECT innodb_read_only_compressed=OFF key_buffer_size = 128M lc_messages_dir = /usr/share/mysql lc_messages = en_US log_bin = /var/log/mysql/mariadb-bin log_bin_index = /var/log/mysql/mariadb-bin.index log_error = /var/log/mysql/mysql_error.log log_slow_verbosity = query_plan log_warnings = 2 long_query_time = 1 max_allowed_packet = 16M max_binlog_size = 100M max_connections = 200 max_heap_table_size = 64M myisam_recover_options = BACKUP myisam_sort_buffer_size = 512M port = 3306 pid-file = /var/run/mysqld/mysqld.pid query_cache_limit = 2M query_cache_size = 64M query_cache_type = 1 query_cache_min_res_unit = 2k read_buffer_size = 2M read_rnd_buffer_size = 1M skip-external-locking skip-name-resolve slow_query_log_file = /var/log/mysql/mariadb-slow.log slow-query-log = 1 socket = /var/run/mysqld/mysqld.sock sort_buffer_size = 4M table_open_cache = 400 thread_cache_size = 128 tmp_table_size = 64M tmpdir = /tmp transaction_isolation = READ-COMMITTED #unix_socket=OFF user = mysql wait_timeout = 600 [mysqldump] max_allowed_packet = 16M quick quote-names [isamchk] key_buffer = 16M
Speichern und schließen Sie die Datei und starten dann den Datenbankserver neu, um die Dolibarr-Datenbank, den Dolibarr-Benutzer und sein Passwort einzurichten:
root-Passwort eingeben – Ihr-starkes-stück-Passwort -
das rot geschriebene mit Ihren Daten ersetzen
service mysql restart
mysql -uroot -p
CREATE DATABASE DatenbankName CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci; CREATE USER DatenbankUser@localhost identified by 'DatenbankPasswort'; GRANT ALL PRIVILEGES on DatenbankName.* to DatenbankUser@localhost; FLUSH privileges; quit;
Aus Erfahrung heraus empfehle ich Ihnen, den Server einmalig neu zu starten:
reboot now
Wir richten nun verschiedene vhost, also Serverkonfigurationsdateien ein und modifizieren die Standard vhost-Datei persistent.
Sichern die Standard vhost-Datei namens default.conf und legen leere vHost-Dateien zum Konfigurieren an.
sudo -s
[ -f /etc/nginx/conf.d/default.conf ] && mv /etc/nginx/conf.d/default.conf /etc/nginx/conf.d/default.conf.bak
touch /etc/nginx/conf.d/default.conf
touch /etc/nginx/conf.d/http.conf
touch /etc/nginx/conf.d/dolibarr.conf
Somit ist durch die leere „default.conf“ Datei auch bei späteren Aktualisierungen des Webservers sichergestellt, dass diese Standardkonfiguration den Dolibarr betrieb nicht beeinflusst.
Erstellen Sie die globale vhost-Datei, um die http-Standardanfragen permanent auf https umzuleiten und zudem die SSL-Zertifikatskommunikation mit Let’sEncrypt zu ermöglichen
nano /etc/nginx/conf.d/http.conf
Kopieren Sie alle nachfolgenden Zeilen in die Datei http.conf
das rot geschriebene mit Ihren Daten ersetzen
upstream php-handler {
server unix:/run/php/php7.4-fpm.sock;
}
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name ihre.domain.de;
root /var/www;
location ^~ /.well-known/acme-challenge {
default_type text/plain;
root /var/www/letsencrypt;
}
location / {
return 301 https://$host$request_uri;
}
}
Bearbeiten Sie nun die eigentliche Dolibarr vHost-Datei „dolibarr.conf“, die sämtliche Konfigurationen für den Betrieb von Dolibarr enthält.
nano /etc/nginx/conf.d/dolibarr.conf
Kopieren Sie alle nachfolgenden Zeilen in die Datei dolibarr.conf
das rot geschriebene mit Ihren Daten ersetzen
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
root /var/www/dolibarr/htdocs;
index index.php index.html index.htm;
server_name ihre.domain.de;
ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem;
ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key;
ssl_trusted_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem;
#ssl_certificate /etc/letsencrypt/rsa-certs/fullchain.pem;
#ssl_certificate_key /etc/letsencrypt/rsa-certs/privkey.pem;
#ssl_certificate /etc/letsencrypt/ecc-certs/fullchain.pem;
#ssl_certificate_key /etc/letsencrypt/ecc-certs/privkey.pem;
#ssl_trusted_certificate /etc/letsencrypt/ecc-certs/chain.pem;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_protocols TLSv1.3 TLSv1.2;
ssl_ciphers 'TLS-CHACHA20-POLY1305-SHA256:TLS-AES-256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384';
ssl_ecdh_curve X448:secp521r1:secp384r1;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
client_max_body_size 100M;
client_body_timeout 3600s;
fastcgi_buffers 64 4K;
location ~ ^/api/(?!(index\.php))(.*)
{
try_files $uri /api/index.php/$2?$query_string;
}
location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)(?:$|/)
{
return 404;
}
location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console)
{
return 404;
}
location ~ [^/]\.php(/|$)
{
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_pass unix:/run/php/php7.4-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param PATH_TRANSLATED $document_root$fastcgi_script_name;
include fastcgi_params;
fastcgi_read_timeout 3600;
fastcgi_send_timeout 3600;
}
location ~ ^/api/(?!(index\.php))(.*)
{
try_files $uri /api/index.php/$2?$query_string;
}
gzip on;
gzip_vary on;
gzip_comp_level 4;
gzip_min_length 256;
gzip_proxied expired no-cache no-store private no_last_modified no_etag auth;
gzip_types application/atom+xml application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/wasm application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy;
location ^~ /.well-known
{
location = /.well-known/carddav
{
return 301 /remote.php/dav/;
}
location = /.well-known/caldav
{
return 301 /remote.php/dav/;
}
location /.well-known/acme-challenge
{
try_files $uri $uri/ =404;
}
location /.well-known/pki-validation
{
try_files $uri $uri/ =404;
}
return 301 /index.php$request_uri;
}
}
wenn Sie Ihr Dolibarr hinter einem Proxi oder Revers-Proxi installieren müssen Sie dafür eine weiter .conf erstellen
nano /etc/nginx/conf.d/proxi.conf
Kopieren Sie nachstehendes in Ihre proxi.conf
das rot geschriebene mit Ihren Daten ersetzen
# nur verwenden, wenn Sie einen Proxi oder revers-Proxi Server nutzen
server {
listen 80;
location /
{
proxy_pass http://SERVER-IP;
client_max_body_size 100M;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_http_version 1.1;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
}
}
Speichern und schließen Sie diese Datei und erweitern dann die Server- und Systemsicherheit durch die Möglichkeit des sicheren Schlüsselaustauschs mittels eines Diffie-Hellman Schlüssels
openssl dhparam -dsaparam -out /etc/ssl/certs/dhparam.pem 4096
Das Generieren kann – in Abhängigkeit von der Systemleistung – einige Minuten dauern. Erst wenn das Generieren abgeschlossen ist, starten Sie den Webserver erneut.
service nginx restart
Erstellen der Let’s Encrypt Zertifikate
Bitte stellen Sie sicher, dass Ihr Server sowohl über Port 80/TCP als auch über Port 443/TCP von außen erreichbar ist.
Das Erstellen und Aktualisieren von Let’s Encrypt Zertifikaten erfolgt zwingend über http und Port 80!
Wenn Sie auf einem Heimserver arbeiten erfolgt die Freigabe auf Ihren Router
Zudem muss eine Umleitung Ihrer Domain bei Ihrem Provider bestehen.
Wie das geht erfahren sie bei Ihrem Provider und in den Einstellungen Ihres Routers.
Für das Zertifikatshandling erstellen wir nun einen dedizierten Benutzer und fügen diesen der www-data Gruppe hinzu
Einfach Enter drücken ohne etwas einzutragen bis ->
Is the information correct? [Y/n] Y
adduser --disabled-login certuser
geben Sie Ihrem „Hilfsuser“ die nötigen Rechte
usermod -a -G www-data certuser
Diesem technischen Benutzer erteilen wir noch die notwendigen Berechtigungen, um bei einer Zertifikatserneuerung den notwendigen Webserverstart initiieren zu können.
touch /etc/sudoers.d/certuser
Kopieren Sie alles von „cat …“ bis „… EOF“ und fügen es in die Shell ein
cat <<EOF >/etc/sudoers.d/certuser certuser ALL=NOPASSWD: /bin/systemctl reload nginx.service EOF
Bestätigen Sie mit Enter um die Datei zu erstellen
Wechseln Sie in die Shell des neuen Benutzers (certuser) um die Zertifikatssoftware zu installieren und verlassen diese Shell direkt im Anschluss wieder
su - certuser
curl https://get.acme.sh | sh
exit
Passen Sie die entsprechenden Datei- und Verzeichnisberechtigungen an, um die neuen Zertifikate darin speichern zu können
chmod -R 775 /var/www/letsencrypt && chmod -R 770 /etc/letsencrypt && chown -R www-data:www-data /var/www/ /etc/letsencrypt
Setzen Sie Let’s Encrypt als Standard CA für Ihren Server
su - certuser -c ".acme.sh/acme.sh --set-default-ca --server letsencrypt"
und wechseln dann erneut in die Shell des neuen Benutzers
su - certuser
Den nachfolgenden Schritt bitte sehr sorgfältig durchlesen, anpassen und ausführen!!
Let’s Encrypt gestattet nur maximal 5 Wiederholungen pro Domain und Woche, bei jedem durchlauf sind somit 2 Vorgänge weg.
Beantragen Sie nun die SSL-Zertifikate von Let’s Encrypt und ersetzen dabei ihre.domain.de mit Ihrer Domain
das rot geschriebene mit Ihren Daten ersetzen
acme.sh --issue -d ihre.domain.de --server letsencrypt --keylength 4096 -w /var/www/letsencrypt --key-file /etc/letsencrypt/rsa-certs/privkey.pem --ca-file /etc/letsencrypt/rsa-certs/chain.pem --cert-file /etc/letsencrypt/rsa-certs/cert.pem --fullchain-file /etc/letsencrypt/rsa-certs/fullchain.pem --reloadcmd "sudo /bin/systemctl reload nginx.service"
acme.sh --issue -d ihre.domain.de --server letsencrypt --keylength ec-384 -w /var/www/letsencrypt --key-file /etc/letsencrypt/ecc-certs/privkey.pem --ca-file /etc/letsencrypt/ecc-certs/chain.pem --cert-file /etc/letsencrypt/ecc-certs/cert.pem --fullchain-file /etc/letsencrypt/ecc-certs/fullchain.pem --reloadcmd "sudo /bin/systemctl reload nginx.service"
Verlassen Sie die Shell des neuen Benutzers
exit
Jetzt legen Sie ein Skript an, dass zukünftig die Berechtigungen überprüft und korrigiert
nano /root/permissions.sh
Kopieren Sie alle Zeilen in die Datei das rot geschriebene mit Ihren Daten ersetzen
#!/bin/bash
find /var/www/ -type f -print0 | xargs -0 chmod 0640
find /var/www/ -type d -print0 | xargs -0 chmod 0750
chmod -R 775 /var/www/letsencrypt
chmod -R 770 /etc/letsencrypt
chown -R www-data:www-data /var/www /etc/letsencrypt
chown -R www-data:www-data /mnt/dokument
exit 0
Markieren Sie das Skript als ausführbar und führen es dann direkt aus
chmod +x /root/permissions.sh
/root/permissions.sh
Entfernen Sie Ihre bisher verwendeten Self-Signed-Zertifikate aus nginx und aktivieren Sie die neuen, vollwertigen und bereits gültigen SSL Zertifikate von Let’s Encrypt.
sed -i '/ssl-cert-snakeoil/d' /etc/nginx/conf.d/dolibarr.conf
sed -i s/#\ssl/\ssl/g /etc/nginx/conf.d/dolibarr.conf
Um sowohl die SSL-Zertifikate automatisch zu erneuern, als auch den notwendigen Webserverneustart zu initiieren, wurde automatisch ein Cronjob angelegt.
crontab -l -u certuser
Starten Sie jetzt den Webserver neu
service nginx restart
Installieren von Dolibarr
Dafür gibt es mehrere Varianten.
Die Lösung die ich benutze ist vielleicht nicht die eleganteste jedoch können Sie sich sicher sein, dass Sie die aktuellste Version von Dolibarr verwendet.
Ersetzen Sie die Versionsnummer gegen die aktuelle Dollibarr Versions Nummer die Sie, unter anderem auch, hier finden können.
Wir beginnen nun die ‚eigentliche‘ Installation von Dolibarr und laden das aktuelle Dolibarr Release herunter
das rot geschriebene mit Ihren Daten ersetzen
cd /tmp && wget https://sourceforge.net/projects/dolibarr/files/Dolibarr%20ERP-CRM/15.0.1/dolibarr-15.0.1.zip
Entpacken Sie Dolibarr
unzip dolibarr-15.0.1.zip && rm /tmp/dolibarr-15.0.1.zip
verschieben Sie den Inhalt von Ihem erzeugten Dolibarr Ordner in Ihr Webverzeichnis und entfernen Sie, im selben schritt, die Versionsnummer
das rot geschriebene mit Ihren Daten ersetzen
mv dolibarr-15.0.1/* /var/www/dolibarr
setzen der Berechtigung
das rot geschriebene mit Ihren Daten ersetzen
chown -R www-data:www-data /var/www/dolibarr
Wir können nun mit der installation von Dolibarr fortfahren.
Öffnen Sie Dolibarr in Ihrem Browser
das rot geschriebene mit Ihren Daten ersetzen
ihre.domain.de
den Dokumentortner eintragen - /mnt/dokument den DatenbankName eintragen Datenbank erstellen nicht anklicken DatenbankUser und DatenbankPasswort eintragen Erstellen Sie ein Benutzerkonto… anklicken root und root-Passwort - Ihr-starkes-stück-Passwort -eintragen Admin-Name und Admin-Passwort eintragen
jetzt können Sie sich bei Dolibarr einloggen
Absicherung von Dolibarr
Um Dolibarr in einer sicheren (zumindest sicherer) Umgebung zu nutzen machen Sie bitte mit der Serverseitigen Einrichtung weiter
Server update und upgrade und unnötiges löschen
apt update && apt upgrade -V && apt dist-upgrade -y && apt autoremove -y
Server neustart
reboot now
und mit dem priviligierten Benutzerrechten am Server anmelden
sudo -s
Jetzt wo die Installation geklappt hat können Sie die Lese- und Schreibzeiten wieder verringern
sed -i "s/fastcgi_read_timeout.*/fastcgi_read_timeout 360;/" /etc/nginx/conf.d/dolibarr.conf
sed -i "s/fastcgi_send_timeout.*/fastcgi_send_timeout 360;/" /etc/nginx/conf.d/dolibarr.conf
Jetzt legen Sie die install.lock an um zu verhindern das eine erneute Installation erfolgt
das rot geschriebene mit Ihren Daten ersetzen
nano /mnt/dokument/install.lock
# nur ein Enter und wieder raus
Texteditor verlassen - bei nano CTRL+x (STRG+x) - save mit y bestätigen
Wie solltes es auch anders sein müssen Sie auch die php.ini anpassen
sed -i "s/session.use_strict_mode =.*/session.use_strict_mode = 1/" /etc/php/7.4/fpm/php.ini
sed -i "s/session.use_only_cookies =.*/session.use_only_cookies = 1/" /etc/php/7.4/fpm/php.ini
sed -i "s/session.cookie_httponly =.*/session.cookie_httponly = 1/" /etc/php/7.4/fpm/php.ini
sed -i "s/session.cookie_samesite =.*/session.cookie_samesite = Lax/" /etc/php/7.4/fpm/php.ini
sed -i "s/;allow_url_fopen =.*/allow_url_fopen = Off/" /etc/php/7.4/fpm/php.ini
sed -i "s/allow_url_include =.*/allow_url_include = Off/" /etc/php/7.4/fpm/php.ini
Sie können diese PHP-Funktionen deaktivieren, falls Sie keine Systembefehle in benutzerdefiniertem Code ausführen
sed -i "s/disable_functions =.*/disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,pcntl_unshare,passthru,shell_exec,system,proc_open,popen/" /etc/php/7.4/fpm/php.ini
für den fall das Sie Ihre Meinung ändert und doch benutzerdefinierte Code ausführen
sed -i "s/disable_functions =.*/disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals/" /etc/php/7.4/fpm/php.ini
Starten Sie nun beide Dienste, Nginx und PHP, neu
service php7.4-fpm restart
service nginx restart
Öffnen Sie bei Dolibarr gehen Sie auf Einstellungen → Sicherheit → klick auf den Reiter Passwörter → ganz runter scrollen, hier klicken Sie bei -> Datenbankpasswort in der Konfigurationsdatei conf.php verschlüsselt speichern (empfohlene Einstellung) auf → Aktivieren
gehen Sie zurück zur Serverseite
das rot geschriebene mit Ihren Daten ersetzen
nano /var/www/dolibarr/htdocs/conf/conf.php
nachstehendes suchen und anpassen, speichern und schließen
$dolibarr_main_prod='0'; -> ändern in -> $dolibarr_main_prod='1';
Jetzt vergeben Sie an die /conf.php nur Leserechte
das rot geschriebene mit Ihren Daten ersetzen
chmod -R 400 /var/www/dolibarr/htdocs/conf/conf.php
Installieren von fail2ban
Als nächstes installieren wir Fail2ban um den Server gegen Brute-force-Attacken und
fehlerhafte Login versuche zu schützen:
apt update -q4 && apt install -y fail2ban
Erstellen Sie eine neue Filterdatei für "Passwort vergessen" und beschreiben sie
touch /etc/fail2ban/filter.d/passforgotten.conf
Kopieren Sie alles von „cat …“ bis „… EOF“ und fügen es in die Shell ein:
cat <<EOF >/etc/fail2ban/filter.d/passforgotten.conf [Definition] failregex = ^ [A-Z\s]+ <HOST>\s+--- Access to .*/passwordforgotten.php - action=buildnewpassword ignoreregex = EOF
Bestätigen Sie mit Enter um die Datei zu erstellen
Erstellen Sie eine neue Filterdatei für "Passwort Falscheingabe" und beschreiben sie
touch /etc/fail2ban/filter.d/passwrong.conf
Kopieren Sie alles von „cat …“ bis „… EOF“ und fügen es in die Shell ein:
cat <<EOF >/etc/fail2ban/filter.d/passwrong.conf [Definition] failregex = ^ [A-Z\s]+ <HOST>\s+functions_dolibarr::check_user_password_.* Authentication KO ignoreregex = EOF
Bestätigen Sie mit Enter um die Datei zu erstellen
Damit dieser Filter zum Einsatz kommt, wird dies Fail2ban noch bekannt gemacht:
nano /etc/fail2ban/jail.local
Hier fügen wir folgenden Inhalt ein
[passforgotten] ; rule against call of passwordforgottenpage enabled = true port = http,https filter = passforgotten logpath = /var/log/passforgotten.log action = %(action_mw)s bantime = 86400 ; 1 day findtime = 3600 ; 1 hour maxretry = 5 [passwrong] ; rule against bruteforce hacking (login + api) enabled = true port = http,https filter = passwrong logpath = /var/log/passwrong.log action = %(action_mw)s bantime = 86400 ; 1 day findtime = 3600 ; 1 hour maxretry = 5
Erstellen Sie 2 Logfiles für ihre Dolibarr-Filter
fügen Sie in jedes Log nur ein Enter ein und speichern
nano /var/log/passforgotten.log
nano /var/log/passwrong.log
Mit den zuvor dargestellten Parametern wird nach 5 fehlerhaften Anmeldeversuchen (maxretry) innerhalb der letzten 3600 (findtime, das entspricht 1h) die IP des potentiellen Angreifers für einen Zeitraum von 86400 Sekunden (bantime, enspricht 1Tag) gesperrt.
Starten Sie fail2ban neu und überprüfen den fail2ban-status
service fail2ban restart
service fail2ban status
Wenn Sie alles richtig eingegeben haben ist der Status "grün" sein
Installieren von Postfix
Aktualisieren Sie ihren Server und installieren Sie Postfix.
Sie haben damit die Möglichkeit, sich von Fail2ban, Apticron und bei SSH-Anmeldungen per Mail informieren zu lassen
apt update -q4 && apt install -y postfix mailutils
Erstellen Sie Ihre Mailkonfiguration
Wählen Sie zuerst Satellite system aus geben dann ihre.domain.de und zuletzt noch Ihren smtp.server ein
verschieben Sie die Original main.cf nach main.cf.bak
mv /etc/postfix/main.cf /etc/postfix/main.cf.bak
und fügen Sie nun die folgende Postfixkonfiguration ein
nano /etc/postfix/main.cf
Fügen Sie das Nachfolgende ein
das rot geschriebene mit Ihren Daten ersetzen
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no
append_dot_mydomain = no
readme_directory = no
compatibility_level = 2
smtpd_tls_security_level=may
smtp_tls_security_level=may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
#sollten Ihr Server nicht der localhost sein das anpassen
myhostname = localhost
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = $myhostname, ihre-domain.de, localhost.ihre.domain.de, localhost
relayhost = smtp.Server:587
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = loopback-only
inet_protocols = all
#Bei Problemen mit IPv6 stellen Sie die Zeile wie nachfolgend um
#inet_protocols = ipv4
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
sender_canonical_maps = hash:/etc/postfix/sender_canonical
smtp_use_tls = yes
smtp_enforce_tls = yes
erstellen und hinterlegen Sie nun die Zugangsdaten für das Versenden von Mails
nano /etc/postfix/sasl_passwd
verwenden Sie bitte hier Ihre Email Zugangsdaten von Ihrem Mailanbieter
Tragen Sie die Daten wie folgt ein und ersetzen die roten Werte durch Ihre
smtp.server ihre@mailadresse.de:ihr.Email.Passwort
Da in dieser Datei das Passwort im Klartext steht setzen wir die Dateiberechtigungen auf 600 (nur ein User mit Server-Root-Recht kann schreiben und lesen)
chmod 600 /etc/postfix/sasl_passwd
Schreiben Sie nun die Domain in die Datei mailname
nano /etc/mailname
Ersetzen Sie den roten Wert durch Ihre Email Domain
mailadresse.de
Abschließend definieren wir noch den Bezug von Benutzern zu Mailadressen. Öffnen Sie die Datei
nano /etc/postfix/sender_canonical
und legen dort Benutzer und Mailadressen fest
das rot geschriebene mit Ihren Daten ersetzen
root ihre@mailadresse.de < ihre@mailadresse.de > ihre@mailadresse.de www-data ihre@mailadresse.de default ihre@mailadresse.de
Jetzt werden die Konfiguration kompiliert und Postfix neu gestartet
postmap /etc/postfix/sasl_passwd
postmap /etc/postfix/sender_canonical
service postfix restart
Testen Sie nun den Versandt einer Mail über Ihr Postfix
das rot geschriebene mit Ihren Daten ersetzen
echo "Dies ist eine Testmail" | mailx -s "Test ob Ihre Einstellungen richtig sind" ihre@mailadresse.de
Sollte die Mail nicht ankommen, so sehen Sie bitte im Log (mail.log) nach
nano /var/log/mail.log
Passen Sie die PHP-Konfiguration an um auch PHP-Mails über postfix zu versenden
Setzen Sie den sendmail_path wie folgt:
sed -i "s/;sendmail_path =.*/sendmail_path = \/usr\/\sbin\/\sendmail -t -i/" /etc/php/7.4/fpm/php.ini
und starten dann PHP neu
service php7.4-fpm restart
Ersetzen Sie in der fail2ban-Konfiguration die nachfolgenden Parameter durch Ihre, um Benachrichtigungen bei fehlerhaften Login versuchen und Banns zu erhalten. Sichern Sie dazu die Originalkonfiguration von fail2ban und bearbeiten diese dann
das rot geschriebene mit Ihren Daten ersetzen
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak
sed -i "s/destemail =.*/destemail = ihre@mailadresse.de /" /etc/fail2ban/jail.conf
sed -i "s/sender =.*/sender = ihre@mailadresse.de /" /etc/fail2ban/jail.conf
sed -i "s/mta =.*/mta = mail/" /etc/fail2ban/jail.conf
sed -i "s/action = %(action_)s.*/action = %(action_mwl)s/" /etc/fail2ban/jail.conf
Um bei einem Serverneustart fail2ban-Mails zu unterdrücken passen Sie die folgende Datei an
nano /etc/fail2ban/action.d/mail-buffered.local
Kopieren Sie den Inhalt hinein
[Definition] actionstart = actionstop =
Legen Sie dann Dummy-Dateien durch das Ausführen der folgenden Befehle an
cp /etc/fail2ban/action.d/mail-buffered.local /etc/fail2ban/action.d/mail.local
cp /etc/fail2ban/action.d/mail-buffered.local /etc/fail2ban/action.d/mail-whois-lines.local
cp /etc/fail2ban/action.d/mail-buffered.local /etc/fail2ban/action.d/mail-whois.local
cp /etc/fail2ban/action.d/mail-buffered.local /etc/fail2ban/action.d/sendmail-buffered.local
cp /etc/fail2ban/action.d/mail-buffered.local /etc/fail2ban/action.d/sendmail-common.local
Starten Sie den fail2ban-Service neu
service fail2ban restart
und Sie werden ab sofort (nur noch) bei Banns, also neu blockierten IP-Adressen die durch fehlerhafte Login versuche aufgefallen sind, informiert.
Information über Server Updates und Upgrades
Apticron informiert Sie über verfügbare Systemaktualisierungen bzw. auch dann, wenn ihr System „up2date“ ist
Installieren Sie Apticron aus den Standardsoftwarequellen von Ubuntu
apt update -q4 && apt install -y apticron
Nun passen wir apticron an und ändern wenigstens die folgenden Parameter
Die .conf ist selbsterklärend und Sie können weitere Anpassungen nach Ihren Vorstellungen vornehmen
cp /usr/lib/apticron/apticron.conf /etc/apticron/apticron.conf
nano /etc/apticron/apticron.conf
Suchen Sie bitte mit strg+w (ctrl+w) alles vor dem "=" und ersetzen es mit Ihren Daten
das rot geschriebene mit Ihren Daten ersetzen
EMAIL="ihre@mailadresse.de"
SYSTEM="ihre.domain.de"
NOTIFY_HOLDS="1"
NOTIFY_NO_UPDATES="1"
CUSTOM_SUBJECT='$SYSTEM: $NUM_PACKAGES package update(s)'
CUSTOM_NO_UPDATES_SUBJECT='$SYSTEM: no updates available'
CUSTOM_FROM="ihre@mailadresse.de"
Überprüfen Sie Apticron und den soeben konfigurierten Mailversand indem sie Apticron aufrufen
apticron
Sie erhalten nun umgehend eine Mailbenachrichtigungen über Ihren aktuellen Systemzustand. Passen Sie zuletzt noch den Cronjob an, um sich regelmäßig und automatisch benachrichtigen zu lassen
cp /etc/cron.d/apticron /etc/cron.d/apticron.bak
nano /etc/cron.d/apticron
nachfolgendes bitte einfügen
das rot geschriebene mit Ihren Daten ersetzen - dabei handelt es sich um eine Zeitangabe - Minute Stunde
30 7 * * * root if test -x /usr/sbin/apticron; then /usr/sbin/apticron --cron; else true; fi
Apticron Informiert Sie jetzt jeden zu der von Ihnen eingestellten Uhrzeit per Mail über Ihren Systemaktualitätsgrad und möglich Aktualisierungs Maßnahmen.
Näheres über Cron und die möglichen intervalle können Sie hier nachlesen
Nachricht bei SSH Einwahl
wenn Sie über erfolgreichen SSH-Einwahl informiert werden möchten Passen Sie die Profildatei an
nano /etc/profile
erweitern Sie die Datei am Ende um die folgenden Zeilen
das rot geschriebene mit Ihren Daten ersetzen
if [ -n "$SSH_CLIENT" ]; then
echo 'Login on' `hostname` `date` `who -m` | mail -s "Login on `hostname` from `echo $SSH_CLIENT |
awk '{print $1}'`" ihre@mailadresse.de
fi
Bei jeder erfolgreichen SSH-Einwahl werden Sie ab sofort aktiv benachrichtigt.
Solange Sie selbst es wahren ist alles okay – aber wenn nicht……
service php7.4-fpm restart
service nginx restart
apt update && apt upgrade -V && apt dist-upgrade -y && apt autoremove -y
reboot now
Installation und Konfiguration von Redis
So installieren Sie den Redis um die Dolibarrperformance zu steigern, da durch Redis die Last auf der MariaDB-Dolibarrdatenbank reduziert wird
Wechseln Sie in den privilegierten Benutzermodus
sudo -s
Installieren Sie Redis
apt update -q4 && apt install -y redis-server
Passen Sie die Redis Konfiguration durch das Sichern und Anpassen der Konfiguration durch Ausführen der nachfolgenden Befehle an
cp /etc/redis/redis.conf /etc/redis/redis.conf.bak
sed -i "s/port 6379/port 0/" /etc/redis/redis.conf
sed -i s/\#\ unixsocket/\unixsocket/g /etc/redis/redis.conf
sed -i "s/unixsocketperm 700/unixsocketperm 770/" /etc/redis/redis.conf
sed -i "s/# maxclients 10000/maxclients 10240/" /etc/redis/redis.conf
usermod -aG redis www-data
cp /etc/sysctl.conf /etc/sysctl.conf.bak
sed -i '$avm.overcommit_memory = 1' /etc/sysctl.conf
Starten Sie den gesamten Server neu
reboot now
Gratulation, Redis ist jetzt Installiert und eingerichtet.
Wenn alles geklappt hat ist Ihre Dolibarr Installation jetzt im Internett mit einem SSL-Zertifikat verschlüsselt und kann mit
https://ihre.domain.de
aufgerufen werden
Bitte nehmen Sie sich etwas Zeit und überprüfen den Sicherheitsstatus Ihres Servers.
Ziel sollte sein, mindestens ein „A+“-Ergebnis in den Tests zu erzielen
Testen Sie Ihre Server Sicherheit, es gibt dafür viele Anbieter, zwei davon habe ich nachfolgend verlinkt.
https://www.ssllabs.com/ssltest/index.html
https://observatory.mozilla.org/
Viel Spaß und erfolg bei der Installation und Nutzung von Dolibarr