Шпаргалка знаний - Вклад [ru]

Установка и настройка почтового сервера Zimbra 10.1.0 на RockyLinux 9.5

2025-10-23T16:11:32Z

Admin: /* Starting proxy...nginx: [emerg] bind() to 0.0.0.0:143 failed (13: Permission denied) failed. */

Zimbra — это продукт Synacor с открытым исходным кодом, используемый для совместной работы, чата по электронной почте, календаря, чата, а также видеоконференций.

После установки на сервер RockyLinux 9.5 (Minimal) (x86_64) 6Gb RAM, 4 CPU, 50Gb SSD, приступаем к подготовке сервера. ('''''https://rockylinux.org/ru-RU/download''''')

Проверить какая у вас версия ОС можно командой:
<pre>
cat /etc/*release
</pre>

=== Подготовка сервера ===
Обновляем RockyLinux 9.5:
<pre>
dnf update -y
</pre>
Устанавливаем репозиторий '''EPEL''' и дополнительные пакеты для загрузки и распаковки:
<pre>
dnf install epel-release wget nano mc unzip open-vm-tools dnf-utils net-tools diffutils curl tar vim screen git perl -y
</pre>

=== Настройка времени ===
Устанавливаем корректный часовой пояс:
<pre>
\cp /usr/share/zoneinfo/Europe/Moscow /etc/localtime
</pre>
''* данной командой мы установим часовой пояс по московскому времени.''

Теперь устанавливаем и запускаем службу для автоматической синхронизации времени:
<pre>
dnf install chrony -y
systemctl enable chronyd
systemctl start chronyd
</pre>

=== Безопасность ===
Если на сервере используется '''SELinux''' (по умолчанию, на системах RPM), рекомендуется ее отключить.
<pre>
sed -i "s/SELINUX=enforcing/SELINUX=disabled/" /etc/selinux/config
setenforce 0
</pre>
''* первая команда редактирует конфигурационный файл, чтобы '''SELinux''' не запускался автоматически, вторая — отключает его разово.''

=== Брандмауэр ===
Для нормальной работы Zimbra нужно открыть много портов:
* 25 — основной порт для обмена почтой по протоколу SMTP.
* 80 — веб-интерфейс для чтения почты (http).
* 110 — POP3 для загрузки почты.
* 143 — IMAP для работы с почтовым ящиком с помощью клиента.
* 443 — SSL веб-интерфейс для чтения почты (https).
* 465 — безопасный SMTP для отправки почты с почтового клиента.
* 587 — SMTP для отправки почты с почтового клиента (submission).
* 993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
* 995 — SSL POP3 для загрузки почты.
* 5222 — для подключения к Zimbra по протоколу XMPP.
* 5223 — для защищенного подключения к Zimbra по протоколу XMPP.
* 7071 — для защищенного доступа к администраторской консоли.
* 8443 — SSL веб-интерфейс для чтения почты (https).
* 7143 — IMAP для работы с почтовым ящиком с помощью клиента.
* 7993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
* 7110 — POP3 для загрузки почты.
* 7995 — SSL POP3 для загрузки почты.
* 9071 — для защищенного подключения к администраторской консоли.
<pre>
firewall-cmd --permanent --add-port={25,80,110,143,443,465,587,993,995,5222,5223,9071,7071,8443,7143,7993,7110,7995}/tcp
firewall-cmd --reload
</pre>
В конце установки ZIMBRA почему-то отключается файрволл, так что нужно его запустить и сделать автозапуском!!!
------------------------------
==== Управление firewall (если нужно): ====
В некоторых системах CentOS может не оказаться firewalld. Для его установки вводим:
<pre>
yum install firewalld -y
</pre>
Для автоматического запуска вводим:
<pre>
systemctl enable firewalld
</pre>
И для остановки или запуска службы:
<pre>
systemctl stop firewalld
systemctl start firewalld
</pre>
Посмотреть созданные правила:
<pre>
firewall-cmd --list-all
</pre>
Добавление правило для открытия 80-о порта:
<pre>
firewall-cmd --permanent --add-port=80/tcp
</pre>
Удалим правило для открытия 80-о порта:
<pre>
firewall-cmd --permanent --remove-port=80/tcp
</pre>
-------------------------
=== DNS и имя сервера ===
Для корректной работы почтового сервера необходимо создать mx-записи для домена.
Но для установки Zimbra важнее, чтобы в локальном файле hosts была запись о нашем сервере, в противном случае, установка прервется с ошибкой. И так, задаем FQDN-имя для сервера:
<pre>
hostnamectl set-hostname mail.putyato.ru
</pre>
Теперь открываем на редактирование файл:
<pre>
nano /etc/hosts
</pre>
И добавляем в конец файла:
<pre>
10.7.7.7 mail.putyato.ru mail
</pre>
* где 10.7.7.7 — IP-адрес нашего сервера; mail — имя сервера; putyato.ru — наш домен.

Проверяем настройку сетевой карты.
Открываем файл конфигурации и убеждаемся, что DNS1 — это DNS приписанный в нашем роутере, у нас он 10.7.7.1.

Смотрим, какой сетевой интерфейс:
<pre>
ip a
</pre>

<pre>
cd /etc/NetworkManager/system-connections/
ls
nano ens18.nmconnection
cd ~
</pre>
Содержание, как показано ниже. Обращаем внимание на DNS1. Если нужно то исправляем. Должно выглядеть как то так.
<pre>

[connection]
id=ens18
uuid=735d3397-d619-3509-88a3-63e50844f268
type=ethernet
autoconnect-priority=-999
interface-name=ens18
timestamp=1735440234

[ethernet]

[ipv4]
address1=10.7.7.7/16,10.1.0.25
dns=10.7.7.1;8.8.8.8;8.8.4.4;
method=manual

[ipv6]
addr-gen-mode=eui64
method=auto

[proxy]

</pre>
Затем введите следующую команду, чтобы перезапустить сетевую службу.
<pre>
systemctl restart NetworkManager
</pre>
После перезапуска сетевой службы проверьте /etc/resolv.conf файл, чтобы убедиться, что DNS1 всегда является вашим собственным почтовым сервером.
<pre>
cat /etc/resolv.conf
</pre>
Должны получить вот такой ответ, если не получили то поправляем этот файл:
<pre>
# Generated by NetworkManager
search putyato.ru
nameserver 10.7.7.1
nameserver 8.8.8.8
nameserver 8.8.4.4
</pre>

=== Подготовка сервера Zimbra ===
Установите репозиторий EPEL и необходимые пакеты.
<pre>
yum -y install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
yum -y install vim wget screen git perl
</pre>
Сначала мы загрузим и используем приведенный ниже скрипт для автоматической настройки /etc/hosts, имени хоста и локального DNS с помощью BIND и установки зависимостей, необходимых Zimbra.
<pre>
screen -S install-zimbra
cd ~/
git clone https://github.com/jmutai/scripts.git
</pre>
Перейдите к файлу.
<pre>
cd scripts/zimbra/
</pre>
Запустите автоматическую настройку Zimbra, установив необходимые пакеты.
<pre>
./zimbra_install_prereqs_rhel.sh
</pre>
Действуйте, как показано ниже:
<pre>
Complete!
[INFO] : Configuring Firewall
success
success
usage: see firewall-cmd man page
firewall-cmd: error: unrecognized arguments: -add-port 8443/tcp
success

Input Zimbra Base Domain. E.g example.com : putyato.ru
Input Zimbra Mail Server hostname (first part of FQDN). E.g mail : mail
Please insert your IP Address : 10.7.7.7
....
[INFO] : Disable mail services if active
Input your timezone value, example Africa/Nairobi: Europe/Moscow
</pre>

'''Настройка DNS-сервера привязки'''

Теперь запустите приведенный ниже сценарий, чтобы настроить DNS-сервер привязки, если у вас нет активного DNS-сервера.
<pre>
./zimbra_bind_setup_rhel.sh
</pre>
Действуйте, как показано ниже.
<pre>
Press key enter

[INFO] : Configuring Firewall & Selinux
Redirecting to /bin/systemctl stop firewalld.service
Redirecting to /bin/systemctl stop iptables.service
Failed to stop iptables.service: Unit iptables.service not loaded.
Redirecting to /bin/systemctl stop ip6tables.service
Failed to stop ip6tables.service: Unit ip6tables.service not loaded.
Removed /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Failed to disable unit: Unit file iptables.service does not exist.
Failed to disable unit: Unit file ip6tables.service does not exist.
......

Complete!

Input Zimbra Base Domain. E.g example.com : putyato.ru
Input Zimbra Mail Server hostname (first part of FQDN). E.g mail: mail
Input Zimbra Server IP Address : 10.7.7.7
........
</pre>
После завершения проверьте, разрешается ли IP:
<pre>
dig A mail.putyato.ru
</pre>
Получаем:
<pre>
; <<>> DiG 9.16.23-RH <<>> A mail.putyato.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47120
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 059c2f02f0726bd7010000006772710315db7d1d8bc09e69 (good)
;; QUESTION SECTION:
;mail.putyato.ru. IN A

;; ANSWER SECTION:
mail.putyato.ru. 86400 IN A 10.7.7.7

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Dec 30 13:08:03 MSK 2024
;; MSG SIZE rcvd: 88
</pre>
Также убедитесь, что записи MX разрешаются:
<pre>
dig MX putyato.ru
</pre>
Получаем:
<pre>
; <<>> DiG 9.16.23-RH <<>> MX putyato.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32976
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: fbf4481fa993c711010000006772724d0482acc7c01b91af (good)
;; QUESTION SECTION:
;putyato.ru. IN MX

;; ANSWER SECTION:
putyato.ru. 86400 IN MX 0 mail.putyato.ru.

;; ADDITIONAL SECTION:
mail.putyato.ru. 86400 IN A 10.7.7.7

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Dec 30 13:13:33 MSK 2024
;; MSG SIZE rcvd: 104
</pre>

=== Загрузка дистрибутива и установка Zimbra ===
Скачиваем лицензионный дистрибутив ZIMBRA 10.1.0 с официального сайта. Распаковываем архив. (Можно скачать с ломаный дистрибутив: '''https://techfiles.online/zimbra/''')

<big>Если мы установим дистрибутив с сайта '''https://techfiles.online/zimbra/''', то копировать сертификаты, вводить ключ, ставить блокировку в HOST файле не нужно. Пропустить данные пункты.</big>

<pre>
cd ~
wget https://files.zimbra.com/downloads/10.1.0_GA/zcs-NETWORK-10.1.0_GA_4688.RHEL9_64.20240911074203.tgz
tar -xzvf zcs-*.tgz
</pre>
или
<pre>
cd ~
wget "https://cloud.putyato.pro/index.php/s/TkX47w2ggTcZLMT/download/zcs-NETWORK-10.1.0_GA_4688.RHEL9_64.20240911074203.tgz" --no-check-certificate -O zcs-NETWORK-10.1.0_GA_4688.RHEL9_64.20240911074203.tgz
tar -xzvf zcs-*.tgz
</pre>

---------------
Далее с помощью программы WinSCP (https://winscp.net/eng/download.php) копируем следующие файлы:
zimbra-license-tools.jar, app.jar в корневую папку root.
или:
<pre>
cd ~
wget "https://cloud.putyato.pro/index.php/s/CHQ2FfTdka2Zx4x/download/zimbra-license-tools.jar" --no-check-certificate -O zimbra-license-tools.jar
wget "https://cloud.putyato.pro/index.php/s/CHQ2FfTdka2Zx4x/download/app.jar" --no-check-certificate -O app.jar
</pre>
Данные взяты с сайта: '''https://softoroom.org/topic60461s30.html'''
--------------

Начинаем установку самой ZIMBRA.
<pre>
cd ~
cd zcs-*/
./install.sh --skip-activation-check
</pre>
Процесс установки будет происходить, как показано ниже.
<pre>
[root@mail zcs-NETWORK-10.1.0_GA_4688.RHEL9_64.20240911074203]# ./install.sh --skip-activation-check

Operations logged to /tmp/install.log.j5mRhLRW
Checking for existing installation...
zimbra-drive...NOT FOUND
zimbra-imapd...NOT FOUND
zimbra-patch...NOT FOUND
zimbra-mta-patch...NOT FOUND
zimbra-proxy-patch...NOT FOUND
zimbra-license-tools...NOT FOUND
zimbra-license-extension...NOT FOUND
zimbra-network-store...NOT FOUND
zimbra-network-modules-ng...NOT FOUND
zimbra-chat...NOT FOUND
zimbra-talk...NOT FOUND
zimbra-ldap...NOT FOUND
zimbra-logger...NOT FOUND
zimbra-mta...NOT FOUND
zimbra-dnscache...NOT FOUND
zimbra-snmp...NOT FOUND
zimbra-store...NOT FOUND
zimbra-apache...NOT FOUND
zimbra-spell...NOT FOUND
zimbra-convertd...NOT FOUND
zimbra-memcached...NOT FOUND
zimbra-proxy...NOT FOUND
zimbra-archiving...NOT FOUND
zimbra-core...NOT FOUND

----------------------------------------------------------------------
PLEASE READ THIS AGREEMENT CAREFULLY BEFORE USING THE SOFTWARE.
SYNACOR, INC. ("SYNACOR") WILL ONLY LICENSE THIS SOFTWARE TO YOU IF YOU
FIRST ACCEPT THE TERMS OF THIS AGREEMENT. BY DOWNLOADING OR INSTALLING
THE SOFTWARE, OR USING THE PRODUCT, YOU ARE CONSENTING TO BE BOUND BY
THIS AGREEMENT. IF YOU DO NOT AGREE TO ALL OF THE TERMS OF THIS
AGREEMENT, THEN DO NOT DOWNLOAD, INSTALL OR USE THE PRODUCT.

License Terms for this Zimbra Collaboration Suite Software:
https://www.zimbra.com/license/zimbra-public-eula-2-6.html
----------------------------------------------------------------------
</pre>
На экране отобразится лицензионное соглашение — принимаем его, при том 2 раза:
<pre>
Do you agree with the terms of the software license agreement? [N] Y
</pre>
Разрешаем использование репозитория от Zimbra:
<pre>
Use Zimbra's package repository [Y] Y
</pre>
Устанавливаем необходимые модули (или все):
<pre>
Install zimbra-ldap [Y] Y
Install zimbra-logger [Y] Y
Install zimbra-mta [Y] Y
Install zimbra-dnscache [Y] n
Install zimbra-snmp [Y] Y
Install zimbra-license-daemon [Y] Y
Install zimbra-store [Y] Y
Install zimbra-apache [Y] Y
Install zimbra-spell [Y] Y
Install zimbra-convertd [Y] Y
Install zimbra-memcached [Y] Y
Install zimbra-proxy [Y] Y
Install zimbra-archiving [N] Y
Install zimbra-onlyoffice [Y] Y
Install p7zip-plugins from epel-release repository (without p7zip-plugins, some decoders for Amavis may not be available). [Y] Y
</pre>
Подтверждаем ранее введенные настройки:
<pre>
The system will be modified. Continue? [N] Y
</pre>
Начнется процесс установки и конфигурирования Zimbra. Ждем окончания процесса.
Если для нашего домена еще нет записи MX, мы увидим сообщение:
<pre>
It is suggested that the domain name have an MX record configured in DNS
</pre>
Установщик предложит поменять домен — отвечаем Yes и меняем домен mail.putyato.ru на putyato.ru:
<pre>
Change domain name? [Yes] Yes
Create domain: [mail.putyato.ru] putyato.ru
</pre>
... установщик покажет меню с настройкой Zimbra:
<pre>
Main menu
1) Common Configuration:
2) zimbra-ldap: Enabled
3) zimbra-logger: Enabled
4) zimbra-mta: Enabled
5) zimbra-snmp: Enabled
6) zimbra-store: Enabled
+Create Admin User: yes
+Admin user to create: admin@putyato.ru
******* +Admin Password UNSET
+Anti-virus quarantine user: virus-quarantine.alrrusyk@putyato.ru
+Enable automated spam training: yes
+Spam training user: spam.cwrvvil_mv@putyato.ru
+Non-spam(Ham) training user: ham.bnmoebu3g@putyato.ru
+SMTP host: mail.putyato.ru
+Web server HTTP port: 8080
+Web server HTTPS port: 8443
+Web server mode: https
+IMAP server port: 7143
+IMAP server SSL port: 7993
+POP server port: 7110
+POP server SSL port: 7995
+Use spell check server: yes
+Spell server URL: http://mail.putyato.ru:7780/aspell.php
+Enable version update checks: TRUE
+Enable version update notifications: TRUE
+Version update notification email: admin@putyato.ru
+Version update source email: admin@putyato.ru
+Install mailstore (service webapp): yes
+Install UI (zimbra,zimbraAdmin webapps): yes

7) zimbra-spell: Enabled
8) zimbra-convertd: Enabled
9) zimbra-proxy: Enabled
10) zimbra-onlyoffice: Enabled
11) zimbra-license-daemon: Enabled
12) Default Class of Service Configuration:
13) Enable default backup schedule: yes
s) Save config to file
x) Expand menu
q) Quit
</pre>
В данном случае мы можем поменять любую из настроек. Настройки, которые необходимо сделать для продолжения установки показаны звездочками — в данном примере необходимо задать пароль администратора (Admin Password)
<pre>
Address unconfigured (**) items (? - help) 6

Store configuration

1) Status: Enabled
2) Create Admin User: yes
3) Admin user to create: admin@putyato.ru
** 4) Admin Password UNSET
5) Anti-virus quarantine user: virus-quarantine.alrrusyk@putyato.ru
6) Enable automated spam training: yes
7) Spam training user: spam.cwrvvil_mv@putyato.ru
8) Non-spam(Ham) training user: ham.bnmoebu3g@putyato.ru
9) SMTP host: mail.putyato.ru
10) Web server HTTP port: 8080
11) Web server HTTPS port: 8443
12) Web server mode: https
13) IMAP server port: 7143
14) IMAP server SSL port: 7993
15) POP server port: 7110
16) POP server SSL port: 7995
17) Use spell check server: yes
18) Spell server URL: http://mail.putyato.ru:7780/aspell.php
19) Enable version update checks: TRUE
20) Enable version update notifications: TRUE
21) Version update notification email: admin@putyato.ru
22) Version update source email: admin@putyato.ru
23) Install mailstore (service webapp): yes
24) Install UI (zimbra,zimbraAdmin webapps): yes

Select, or 'r' for previous menu [r] 4

Password for admin@putyato.ru (min 6 characters): [hRGHRCaX] [ЗДЕСЬ ПИШЕМ ПАРОЛЬ ДЛЯ АДМИНА]
</pre>
Теперь выходим из меню:
<pre>
Select, or 'r' for previous menu [r] r
</pre>
И применяем настройки:
<pre>
Select from menu, or press 'a' to apply config (? - help) a
</pre>
Сохраняем конфигурационный файл:
<pre>
Save configuration data to a file? [Yes] Yes
</pre>
Соглашаемся с путем сохранения файла:
<pre>
Save config in file: [/opt/zimbra/config.20863]
</pre>
Продолжаем конфигурирование:
<pre>
The system will be modified - continue? [No] Y
</pre>
В конечном итоге, нажимаем Enter:
<pre>
Configuration complete - press return to exit
</pre>
1. Сервер установлен. Однако, установщик меняет пароль пользователя root. Меняем его обратно:
<pre>
passwd root
</pre>
2. Остановить Zimbra:
<pre>
su - zimbra -c "zmlicensectl --service stop" && su - zimbra -c "zmcontrol stop"
</pre>
3. Скопировать jar-файлы из архива:
<pre>
cd ~
mv /opt/zimbra/lib/ext-common/zimbra-license-tools.jar /opt/zimbra/lib/ext-common/zimbra-license-tools.jar.orig && cp ./zimbra-license-tools.jar /opt/zimbra/lib/ext-common
mv /opt/zimbra/license/lib/app.jar /opt/zimbra/license/lib/app.jar.orig && cp ./app.jar /opt/zimbra/license/lib
</pre>

'''ПОПРАВИТЬ РАЗРЕШЕНИЕ и ВЛАДЕЛЬЦА'''

4. Добавить записи в файл /etc/hosts:
<pre>
nano /etc/hosts
</pre>
<pre>
127.0.0.1 zextras.tools
127.0.0.1 analytics.zextras.tools
127.0.0.1 notifications.zextras.com
127.0.0.1 updates.zextras.com
127.0.0.1 zimbra.com
127.0.0.1 license.zimbra.com
</pre>

5. Запустить Zimbra:
<pre>
su - zimbra -c "zmcontrol start" && su - zimbra -c "zmlicensectl --service start"
</pre>

=== zimbraMtaLmtpHostLookup ===
Если наш сервер находится за NAT и разрешение IP происходит не во внутренний адрес, а внешний (можно проверить командой nslookup <имя сервера>), после настройки наш сервер не сможет принимать почту, а в логах мы можем увидеть ошибку delivery temporarily suspended: connect to 7025: Connection refused). Это происходит из-за попытки Zimbra передать письмо в очереди по внутреннему порту локальной почты 7025 (LMTP) на внешний адрес, который недоступен из NAT. Для решения проблемы можно использовать внутренний DNS с другими А-записями (split dns) или собственный поиск IP-адресов для lmtp, а не для DNS. Рассмотрим второй вариант — вводим две команды:
<pre>
su - zimbra -c "zmprov ms $myhostname zimbraMtaLmtpHostLookup native"
su - zimbra -c "zmprov mcf zimbraMtaLmtpHostLookup native"
</pre>
* где $myhostname — имя нашего почтового сервера.

После перезапускаем службы зимбры:
<pre>
su - zimbra -c "zmmtactl restart"
</pre>
Проверьте статус и версию Zimbra с помощью этих команд:
<pre>
su - zimbra -c "zmcontrol status"
su - zimbra -c "zmcontrol -v"
</pre>
1) Заходим https://10.7.7.7:7071 чтобы активировать через web интерфейс.

2) Теперь перейдите в «Настройка -> Глобальные настройки -> Лицензия» и активировать онлайн ключом: '''4BCC9A0584944C1C844E77309'''

Перезапускаем сервер
<pre>
reboot
</pre>

=== Настройка zimbra после установки ===
Чтобы начать пользоваться сервером, внесем основные настройки. Для этого открываем браузер и вводим адрес https://<IP-адрес сервера>:7071 — должна открыться страница с ошибкой, разрешаем открытие страницы и мы увидим форму для входа в панель администрирования Zimbra. Вводим логин admin и пароль, который задавали при установке.
В нашем случае https://10.7.7.7:7071

[[File:Mail_01.jpg|link=]]

==== Добавление домена ====
Если мы не меняли рабочий домен в настройках во время установки сервера, то основной домен будет таким же, как имя сервера. Как правило, это не то, что нам нужно. И так, заходим в Настройка - Домены. В правой части окна кликаем по значку шестеренки и Создать:

[[File:Mail_02.jpg|link=]]

Задаем название для нового домена:

[[File:Mail_03.jpg|link=]]

... и кликаем Далее.
В следующем окне выбираем сервер:

[[File:Mail_04.jpg|link=]]

... можно нажать Готово.
Теперь поменяем домен по умолчанию. Переходим в Настройка - Глобальные настройки. Меняем значение для поля «Домен по умолчанию»:

[[File:Mail_05.jpg|link=]]

... и нажимаем Сохранить.

==== Создание почтового ящика ====
Переходим с главного меню панели администрирования в Управление - Учетные записи. Справа кликаем по шестеренке - Создать:

[[File:Mail_06.jpg|link=]]

Задаем имя учетной записи, а также фамилию пользователя:

[[File:Mail_07.jpg|link=]]

Задаем пароль пользователя и, по желанию, ставим галочку Требуется сменить пароль:

[[File:Mail_08.jpg|link=]]

При необходимости создания административной учетной записи ставим галочку Глобальный администратор:

[[File:Mail_09.jpg|link=]]

Готово
=== Конфигурации после установки: ===
Вам необходимо выполнить некоторые настройки после установки, хотя это и не обязательно. Когда мы устанавливаем Zimbra, он создает системного пользователя Zimbra с отключенным паролем. На самом деле, он использует ключи ssh для подключения. Поэтому нам нужно обновить ключи ssh следующим образом.
<pre>
[root@mail ~]# sudo -u zimbra -i
[zimbra@mail ~]$ zmupdateauthkeys

Updating keys for mail.putyato.ru
Fetching key for mail.putyato.ru
Updating keys for mail.putyato.ru
Updating /opt/zimbra/.ssh/authorized_keys
</pre>
Теперь, чтобы отобразить статистику сервера в консоли администратора, нам нужно обновить файлы конфигурации Syslog следующим образом.

Если вы работаете как выход пользователя Zimbra (выполните команду exit) , переключитесь на пользователя root и выполните следующую команду.
<pre>
[root@mail ~]# /opt/zimbra/libexec/zmsyslogsetup
updateSyslog: Updating /etc/rsyslog.conf...done.
</pre>
Желательно включить автоматическую проверку вложений электронной почты антивирусом ClamAV . Поэтому выполните следующую команду.
<pre>
[root@mail ~]# su - zimbra
[zimbra@mail ~]$ zmprov mcf zimbraAttachmentsScanURL clam://localhost:3310/
[zimbra@mail ~]$ zmprov mcf zimbraAttachmentsScanEnabled TRUE
</pre>
==== Почтовый сервер Zimbra и антивирус ClamAV (после блокировки из России)⁠⁠ ====
Наверняка у многих сисадминов из РФ всплыла проблема с отказом антивируса ClamAV работающим в связке с почтовым сервером Zimbra. Набросал краткий мануал.
Так как Clamav принадлежит по факту корпорации Cisco, то достучаться из Россия уже просто не получится (по состоянию на 16.03.2022)
Будем использовать tor-прокси (в связке TOR+Privoxy) . В моем случае все крутится в отдельном крошечном lxc ( вы можете вынести на отдельный vds вне корп сети, как угодно. Но самом почтовике делать явно не стоит)
Вносим изменения в:
<pre>
nano /opt/zimbra/conf/freshclam.conf.in
</pre>
Необходимо в раскомментировать и поправить :
HTTPProxyServer **.**.**.** # Адрес прокси-сервера
HTTPProxyPort 8446 # порт прокси-сервера (стандартный 8118)

Я Установил:
<pre>
HTTPProxyServer 66.76.140.239
HTTPProxyPort 39593
</pre>
Под zimbra делаем полный рестарт антивируса :
<pre>
su zimbra
zmantivirusctl restart
</pre>
Проверяем:
<pre>
$ zmantivirusctl status

antivirus is running
</pre>

=== Настройка DNS ===
Для корректной работы почты необходимо настроить DNS для нашего домена.

'''1. Запись MX.'''
Позволяет определить почтовый сервер для домена.

'''2. Запись A.'''
Для нашего сервера, который определен как MX запись нужна запись А, которая указывает на его IP-адрес. В моем примере это сервер mail.putyato.ru, который из сети Интернет должен разрешаться во внешний IP-адрес.

'''3. PTR.'''
Данная запись представляет из себя обратное разрешение IP-адреса в домен. С ее помощью подтверждается легитимность отправителя.

'''4. SPF.'''
Это запись TXT, которая определяет список серверов для домена, с которых разрешена отправка почты.

'''5. DKIM.'''
Подтверждение владельца домена. Письмо отправляется с зашифрованным заголовком и расшифровать его можно с помощью последовательности, хранящейся в TXT-записи на DNS. Соответственно, если владелец домена разместил такую последовательность, то он и является его владельцем.

'''6. DMARC.'''
Определяет для домена политику проверки писем.

{| class="wikitable"
|+ Зона
|-
! Хост !! Тип !! Значение
|-
| * || A || 67.248.99.132
|-
| @ || A || 67.248.99.132
|-
| www || A || 67.248.99.132
|-
| || ||
|-
| @ || MX || 10 mail
|-
| mail || A || 67.248.99.132
|-
| @ || TXT || v=spf1 a mx -all
|-
| 3EF6B3C0-2E8A-11CD-A4E2-B3DCE640B747._domainkey || TXT || v=DKIM1;k=rsa;
p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMI...
6Kcp7+JglnrttF5p6Pz8GUIApECGx2htTle...
|-
| _domainkey || TXT || 0=~
|}

=== Проброс портов на роутере ===
Если наш сервер находится во внутренней сети, необходимо настроить проброс портов. В двух словах, это настройка на сетевом устройстве, которое смотрит в Интернет, которая позволит запросы на определенный порт передать на наш почтовый сервер.
Требуется пробросить следующие порты: 80(HTTP), 443(HTTPS), 993(IMAP/S), 25(SMTP), 5222(XMPP), 7025(LMTP)

=== Настройка DKIM ===
Отдельно рассмотрим процесс настройки подписи DKIM на почтовом сервере Zimbra. Формирование ключей выполняется для каждого из доменов из командной строки. Подключаемся к серверу по SSH и вводим команду:
<pre>
su - zimbra -c "/opt/zimbra/libexec/zmdkimkeyutil -a -d putyato.ru"
</pre>
* данная команда создаст последовательности ключей для домена putyato.ru.
Мы должны получить ответ на подобие:
<pre>
Public signature to enter into DNS:
5D8C3E02-4EFA-11EA-872A-D9A5B4628C49._domainkey IN TXT ( "v=DKIM1; k=rsa; "
"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5iLy58AJ1fdB15BZgh/VtGfZsi+TrDyvqqZaL5pJ+MQaQrpqHW8AF5kyxW2QzAMjyKzySMZX0PoHUuV93Yxf2t52IFihvb7ivqmRwlqFV3gU7j8zqbAGWHfZo4Ydw0kUmU6pm+Z85aWt4k7rQ7vWXludQGf8yIaSMMmodxze9E5VUOtUA18dIEEPcbwSgOO6YhQLuC78T4FiF5"
"8epQnsX0voSfg9tMW+r+P1b5fTy5Guyqh1plWYseKxPzHKHbc4Lokcgo1AZzKG5Mvo5OCXsKUE1fSoc366AFSoUnWr23P7oUbf+NjXzPMS8ESGA9TfpDA6eRJT4QEpi72AdIy4rQIDAQAB" ) ; ----- DKIM key 5D8C3E02-4EFA-11EA-872A-D9A5B4628C49 for putyato.ru
</pre>
В данном ответе нас интересуют записи 5D8C3E02-4EFA-11EA-872A-D9A5B4628C49._domainkey — это имя для TXT в домене putyato.ru; "v=DKIM1; k=rsa; " "p=M...AB" — содержимое записи.

В настройках домена необходимо добавить данную запись, после чего подождать, минут 15. После выполняем проверку:
<pre>
opendkim-testkey -d putyato.ru -s 5D8C3E02-4EFA-11EA-872A-D9A5B4628C49 -x /opt/zimbra/conf/opendkim.conf
</pre>
* где putyato.ru — наш домен; 5D8C3E02-4EFA-11EA-872A-D9A5B4628C49 — селектор, который мы видели в записи 5D8C3E02-4EFA-11EA-872A-D9A5B4628C49._domainkey.
* если при вводе команды мы получим ошибку «Command 'opendkim-testkey' not found», необходимо установить opendkim-tools командой yum install opendkim-tools.

Для просмотра имеющихся записей DKIM можно воспользоваться командой:
<pre>
su - zimbra -c "/opt/zimbra/libexec/zmdkimkeyutil -q -d putyato.ru"
</pre>
==== Отправка тестового письма ====
Открываем браузер и переходим по ссылке https://<IP-адрес сервера>:8443/ — откроется веб-клиент для чтения и отправки почты. В качестве логина используем созданный email и его пароль.

Теперь заходим на сайт https://www.mail-tester.com/ и копируем email-адрес для отправки тестового сообщения.

Создаем новое сообщение и отправляем его на тестовый адрес. Возвращаемся на сайт для проверки и кликаем по (Затем проверьте оценку).

Если наше письмо не получило 10 баллов, анализируем проблемы и исправляем их.

=== Получение сертификата Let’s Encrypt.===

==== Установка Certbot. ====
Переходим к установке клиента Certbot:
<pre>
dnf install certbot python3-certbot-nginx
</pre>
После установки клиента certbot проверьте установленную версию программного обеспечения Let's Encrypt, выполнив следующую команду:
<pre>
certbot --version
</pre>

Процесс получения бесплатного сертификата '''SSL/TLS''' для '''Nginx''' будет выполняться вручную с помощью автономного плагина '''Let's Encrypt'''.

Для этого метода требуется, чтобы порт '''80''' был свободен в то время, пока клиент '''Let's Encrypt''' проверяет личность сервера и генерирует сертификаты.

Итак, если '''Nginx''' уже запущен, остановите демон с помощью следующей команды и запустите утилиту ss , чтобы убедиться, что порт 80 больше не используется в сетевом стеке.

1. Теперь пришло время получить бесплатный сертификат SSL от Let's Encrypt , выполнив команду:
<pre>
certbot certonly --standalone
</pre>

После ввода команды мы должны получить вывод с просьбой указать e-mail, где указываем свой почтовый ящик и нажимаем Enter:
<pre>
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices)
(Enter 'c' to cancel): admin@putyato.ru
</pre>
2. После ввода e-mail нам предлагается ознакомиться и подтвердить лицензионное соглашение, нажав «Y»:
<pre>
- - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.4-April-3-2024.pdf. You must agree in
order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y
</pre>
3. Снова видим запрос на публикацию введенного e-mail, который отклоняем клавишей «N» и видимо сообщение «Аккаунт зарегистрирован»:
<pre>
- - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N
Account registered.
</pre>
4. На этом шаге Certbot исследует конфигурационный файл и директорию веб-сервера и должен найти домен сайта. Если не найдет, то попросит ввести домен:
<pre>
Please enter the domain name(s) you would like on your certificate (comma and/or
space separated) (Enter 'c' to cancel): mail.putyato.ru
</pre>
и получаем ответ, где говорится, что сертификат развернут и запросы на 80 порт (http) перенаправляются на 443 (https). Может открыть страницу сайта в браузере и убедиться, что адресная строка с https://.
<pre>
Requesting a certificate for mail.putyato.ru

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/mail.putyato.ru/fullchain.pem
Key is saved at: /etc/letsencrypt/live/mail.putyato.ru/privkey.pem
This certificate expires on 2025-04-02.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
* Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
* Donating to EFF: https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
</pre>
5. Наконец, если все прошло как надо, на вашем bash-терминале отобразится поздравительное информационное сообщение. Сообщение также будет отображаться, когда срок действия сертификата истечет.
<pre>
This certificate expires on 2025-04-02.
</pre>
6. Для контрольной проверки введем команду, которая принудительно перевыпустит сертификат:
<pre>
certbot renew --dry-run
</pre>
--------------------------------------------------------

==== Установка сертификата ====
Процесс установки сертификата для ZIMBRA, несколько, отличается от многих других сервисов — он требует дополнительных телодвижений.

И так, сначала скопируем полученные сертификаты в каталог ZIMBRA — в моем случае, команды такие:
<pre>
cp /etc/letsencrypt/live/mail.putyato.ru/* /opt/zimbra/ssl/zimbra/commercial/
</pre>
* где mail.putyato.ru — домен, для которого мы получали сертификат.
Меняем владельца для скопированных файлов:
<pre>
chown zimbra /opt/zimbra/ssl/zimbra/commercial/*
</pre>
Теперь нюанс — zimbra не примет цепочку сертификатов, если в ней не будет корневых от Let's Encrypt. Получить их можно по ссылкам:

1. https://letsencrypt.org/certs/isrgrootx1.pem.txt.
или
https://cloud.putyato.pro/index.php/s/Nq9RzgyCE593zsr/download/isrgrootx1.pem.txt

2. https://letsencrypt.org/certs/letsencryptauthorityx3.pem.txt.
или
https://cloud.putyato.pro/index.php/s/wnCdj6eFAwr9wTT/download/letsencryptauthorityx3.pem.txt

Полученную последовательность добавляем к файлу chain.pem:
<pre>
nano /opt/zimbra/ssl/zimbra/commercial/chain.pem
</pre>
<pre>
-----BEGIN CERTIFICATE-----
<первую последовательность оставляем>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<вторую последовательность удаляем>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFazCCA1OgAwIBAgIRAIIQz7DSQONZRGPgu2OCiwAwDQYJKoZIhvcNAQELBQAw
TzELMAkGA1UEBhMCVVMxKTAnBgNVBAoTIEludGVybmV0IFNlY3VyaXR5IFJlc2Vh
cmNoIEdyb3VwMRUwEwYDVQQDEwxJU1JHIFJvb3QgWDEwHhcNMTUwNjA0MTEwNDM4
WhcNMzUwNjA0MTEwNDM4WjBPMQswCQYDVQQGEwJVUzEpMCcGA1UEChMgSW50ZXJu
ZXQgU2VjdXJpdHkgUmVzZWFyY2ggR3JvdXAxFTATBgNVBAMTDElTUkcgUm9vdCBY
MTCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoCggIBAK3oJHP0FDfzm54rVygc
h77ct984kIxuPOZXoHj3dcKi/vVqbvYATyjb3miGbESTtrFj/RQSa78f0uoxmyF+
0TM8ukj13Xnfs7j/EvEhmkvBioZxaUpmZmyPfjxwv60pIgbz5MDmgK7iS4+3mX6U
A5/TR5d8mUgjU+g4rk8Kb4Mu0UlXjIB0ttov0DiNewNwIRt18jA8+o+u3dpjq+sW
T8KOEUt+zwvo/7V3LvSye0rgTBIlDHCNAymg4VMk7BPZ7hm/ELNKjD+Jo2FR3qyH
B5T0Y3HsLuJvW5iB4YlcNHlsdu87kGJ55tukmi8mxdAQ4Q7e2RCOFvu396j3x+UC
B5iPNgiV5+I3lg02dZ77DnKxHZu8A/lJBdiB3QW0KtZB6awBdpUKD9jf1b0SHzUv
KBds0pjBqAlkd25HN7rOrFleaJ1/ctaJxQZBKT5ZPt0m9STJEadao0xAH0ahmbWn
OlFuhjuefXKnEgV4We0+UXgVCwOPjdAvBbI+e0ocS3MFEvzG6uBQE3xDk3SzynTn
jh8BCNAw1FtxNrQHusEwMFxIt4I7mKZ9YIqioymCzLq9gwQbooMDQaHWBfEbwrbw
qHyGO0aoSCqI3Haadr8faqU9GY/rOPNk3sgrDQoo//fb4hVC1CLQJ13hef4Y53CI
rU7m2Ys6xt0nUW7/vGT1M0NPAgMBAAGjQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNV
HRMBAf8EBTADAQH/MB0GA1UdDgQWBBR5tFnme7bl5AFzgAiIyBpY9umbbjANBgkq
hkiG9w0BAQsFAAOCAgEAVR9YqbyyqFDQDLHYGmkgJykIrGF1XIpu+ILlaS/V9lZL
ubhzEFnTIZd+50xx+7LSYK05qAvqFyFWhfFQDlnrzuBZ6brJFe+GnY+EgPbk6ZGQ
3BebYhtF8GaV0nxvwuo77x/Py9auJ/GpsMiu/X1+mvoiBOv/2X/qkSsisRcOj/KK
NFtY2PwByVS5uCbMiogziUwthDyC3+6WVwW6LLv3xLfHTjuCvjHIInNzktHCgKQ5
ORAzI4JMPJ+GslWYHb4phowim57iaztXOoJwTdwJx4nLCgdNbOhdjsnvzqvHu7Ur
TkXWStAmzOVyyghqpZXjFaH3pO3JLF+l+/+sKAIuvtd7u+Nxe5AW0wdeRlN8NwdC
jNPElpzVmbUq4JUagEiuTDkHzsxHpFKVK7q4+63SM1N95R1NbdWhscdCb+ZAJzVc
oyi3B43njTOQ5yOf+1CceWxG1bQVs5ZufpsMljq4Ui0/1lvh+wjChP4kqKOJ2qxq
4RgqsahDYVvTH9w7jXbyLeiNdd8XM2w9U/t7y0Ff/9yi0GE44Za4rF2LN9d11TPA
mRGunUHBcnWEvgJBQl9nJEiU0Zsnvgc/ubhPgXRR4Xq37Z0j4r7g1SgEEzwxA57d
emyPxgcYxn/eR44/KJ4EBs+lVDR3veyJm+kXQ99b21/+jh5Xos1AnX5iItreGCc=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFjTCCA3WgAwIBAgIRANOxciY0IzLc9AUoUSrsnGowDQYJKoZIhvcNAQELBQAw
TzELMAkGA1UEBhMCVVMxKTAnBgNVBAoTIEludGVybmV0IFNlY3VyaXR5IFJlc2Vh
cmNoIEdyb3VwMRUwEwYDVQQDEwxJU1JHIFJvb3QgWDEwHhcNMTYxMDA2MTU0MzU1
WhcNMjExMDA2MTU0MzU1WjBKMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNTGV0J3Mg
RW5jcnlwdDEjMCEGA1UEAxMaTGV0J3MgRW5jcnlwdCBBdXRob3JpdHkgWDMwggEi
MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCc0wzwWuUuR7dyXTeDs2hjMOrX
NSYZJeG9vjXxcJIvt7hLQQWrqZ41CFjssSrEaIcLo+N15Obzp2JxunmBYB/XkZqf
89B4Z3HIaQ6Vkc/+5pnpYDxIzH7KTXcSJJ1HG1rrueweNwAcnKx7pwXqzkrrvUHl
Npi5y/1tPJZo3yMqQpAMhnRnyH+lmrhSYRQTP2XpgofL2/oOVvaGifOFP5eGr7Dc
Gu9rDZUWfcQroGWymQQ2dYBrrErzG5BJeC+ilk8qICUpBMZ0wNAxzY8xOJUWuqgz
uEPxsR/DMH+ieTETPS02+OP88jNquTkxxa/EjQ0dZBYzqvqEKbbUC8DYfcOTAgMB
AAGjggFnMIIBYzAOBgNVHQ8BAf8EBAMCAYYwEgYDVR0TAQH/BAgwBgEB/wIBADBU
BgNVHSAETTBLMAgGBmeBDAECATA/BgsrBgEEAYLfEwEBATAwMC4GCCsGAQUFBwIB
FiJodHRwOi8vY3BzLnJvb3QteDEubGV0c2VuY3J5cHQub3JnMB0GA1UdDgQWBBSo
SmpjBH3duubRObemRWXv86jsoTAzBgNVHR8ELDAqMCigJqAkhiJodHRwOi8vY3Js
LnJvb3QteDEubGV0c2VuY3J5cHQub3JnMHIGCCsGAQUFBwEBBGYwZDAwBggrBgEF
BQcwAYYkaHR0cDovL29jc3Aucm9vdC14MS5sZXRzZW5jcnlwdC5vcmcvMDAGCCsG
AQUFBzAChiRodHRwOi8vY2VydC5yb290LXgxLmxldHNlbmNyeXB0Lm9yZy8wHwYD
VR0jBBgwFoAUebRZ5nu25eQBc4AIiMgaWPbpm24wDQYJKoZIhvcNAQELBQADggIB
ABnPdSA0LTqmRf/Q1eaM2jLonG4bQdEnqOJQ8nCqxOeTRrToEKtwT++36gTSlBGx
A/5dut82jJQ2jxN8RI8L9QFXrWi4xXnA2EqA10yjHiR6H9cj6MFiOnb5In1eWsRM
UM2v3e9tNsCAgBukPHAg1lQh07rvFKm/Bz9BCjaxorALINUfZ9DD64j2igLIxle2
DPxW8dI/F2loHMjXZjqG8RkqZUdoxtID5+90FgsGIfkMpqgRS05f4zPbCEHqCXl1
eO5HyELTgcVlLXXQDgAWnRzut1hFJeczY1tjQQno6f6s+nMydLN26WuU4s3UYvOu
OsUxRlJu7TSRHqDC3lSE5XggVkzdaPkuKGQbGpny+01/47hfXXNB7HntWNZ6N2Vw
p7G6OfY+YQrZwIaQmhrIqJZuigsrbe3W+gdn5ykE9+Ky0VgVUsfxo52mwFYs1JKY
2PGDuWx8M6DlS6qQkvHaRUo0FMd8TsSlbF0/v965qGFKhSDeQoMpYnwcmQilRh/0
ayLThlHLN81gSkJjVrPI0Y8xCVPB4twb1PFUd2fPM3sA1tJ83sZ5v8vgFv2yofKR
PB0t6JzUA81mSqM3kxl5e+IZwhYAyO0OTg3/fs8HqGTNKd9BqoUwSRBzp06JMg5b
rUCGwbCUDI0mxadJ3Bz4WxR6fyNpBK2yAinWEsikxqEt
-----END CERTIFICATE-----
</pre>
* где мы добавили к файлу две последовательности.

Теперь зайдем в систему под пользователем zimbra:
<pre>
su - zimbra
</pre>
... и перейдем в каталог:
<pre>
$ cd /opt/zimbra/ssl/zimbra/commercial
</pre>
Проверяем, правильно ли сформированы сертификаты для Zimbra:
<pre>
$ zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
</pre>
Мы должны получить ответ:
<pre>
** Verifying 'cert.pem' against 'privkey.key'
Certificate 'cert.pem' and private key 'privkey.key' match.
** Verifying 'cert.pem' against 'chain.pem'
Valid certificate chain: cert.pem: OK
</pre>
Переименовываем закрытый ключ:
<pre>
$ mv privkey.pem commercial.key
</pre>
Можно устанавливать сертификаты:
<pre>
$ zmcertmgr deploycrt comm cert.pem chain.pem
</pre>
Чтобы настройка применилась, перезапускаем zimbra и выходим из его окружения:
<pre>
$ zmcontrol restart
$ exit
</pre>

==== Продление сертификата ====
На роутере напрямую пробросить 80 и 443 порт на виртуальную машину с ZIMBRA, проброс через прокси не работает.
Отключить проверку SSL сертификата:
<pre>
su - zimbra -c "zmlocalconfig -e ldap_starttls_supported=0"
su - zimbra -c "zmcontrol restart"
</pre>

Обновление сертификата не потребует больших усилий. Для начала, обновляем сертификат Let's Encrypt:
<pre>
certbot certonly --standalone
</pre>
Скопируем обновленные сертификаты в каталог зимбры:
<pre>
cp /etc/letsencrypt/live/mail.putyato.ru/* /opt/zimbra/ssl/zimbra/commercial/
</pre>
* где mail.putyato.ru — домен, для которого мы получали сертификат.
Меняем владельца для файлов:
<pre>
chown zimbra /opt/zimbra/ssl/zimbra/commercial/*
</pre>
Переходим в каталог с сертификатами:
<pre>
cd /opt/zimbra/ssl/zimbra/commercial
</pre>
Загружаем корневые сертификаты Let's Encrypt:
<pre>
wget https://letsencrypt.org/certs/isrgrootx1.pem.txt
wget https://letsencrypt.org/certs/letsencryptauthorityx3.pem.txt
</pre>
или
<pre>
wget "https://cloud.putyato.pro/index.php/s/Nq9RzgyCE593zsr/download/isrgrootx1.pem.txt" --no-check-certificate -O isrgrootx1.pem.txt
wget "https://cloud.putyato.pro/index.php/s/wnCdj6eFAwr9wTT/download/letsencryptauthorityx3.pem.txt" --no-check-certificate -O letsencryptauthorityx3.pem.txt
</pre>

Создаем файл с полной цепочкой сертификатов:
<pre>
echo "-----BEGIN CERTIFICATE-----" > new_chain.pem
openssl x509 -in chain.pem -outform der | base64 -w 64 >> new_chain.pem
echo "-----END CERTIFICATE-----" >> new_chain.pem
mv new_chain.pem chain.pem
cat isrgrootx1.pem.txt >> chain.pem
cat letsencryptauthorityx3.pem.txt >> chain.pem
</pre>
Проверяем корректность сертификатов:
<pre>
su - zimbra -c "zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/privkey.pem /opt/zimbra/ssl/zimbra/commercial/cert.pem /opt/zimbra/ssl/zimbra/commercial/chain.pem"
</pre>
Переименовываем закрытый ключ:
<pre>
mv privkey.pem commercial.key
</pre>
Можно устанавливать сертификаты:
<pre>
su - zimbra -c "zmcertmgr deploycrt comm /opt/zimbra/ssl/zimbra/commercial/cert.pem /opt/zimbra/ssl/zimbra/commercial/chain.pem"
</pre>
Включаем проверку SSL сертификата:
<pre>
su - zimbra -c "zmlocalconfig -e ldap_starttls_supported=1"
</pre>
Чтобы настройка применилась, перезапускаем zimbra:
<pre>
su - zimbra -c "zmcontrol restart"
</pre>
Готово.

Если почта организована через прокси, то нужно полученные два сертификата скопировать в папку на прокси виртуальной машины:

Почтовая виртуалка:

'''/opt/zimbra/ssl/zimbra/commercial'''

Берем два файла: '''fullchain.pem; commercial.key'''

И копируем их в папку ('''/etc/letsencrypt/live/mail.putyato.ru/''') на прокси виртуальной машины.

Восстанавливаем проброс портов 443 и 80 на роутере, на прокси виртуалку.

И все готово!

=== Настройка почтового клиента ===
Приведем пример настройки почтового клиента. Подключимся к нашему серверу по IMAP и отправим почту по SMTP. В качестве почтового клиента я буду использовать Mozilla Thunderbird — принцип настройки других клиентов аналогичен.

Для настройки используем следующие параметры:
{| class="wikitable"
|+ Настройки
|-
! Настройка !! IMAP !! POP3 !! SMTP
|-
| Адрес сервера || IP-адрес сервера или его имя
|-
| Порт || 143 || 110 || 587
|-
| SSL || STARTTLS
|-
| Имя пользователя || Почтовый адрес, к которому выполняем подключение
|-
| Пароль || Пароль для почтового ящика
|}
Пример настройки:

[[File:Mail_10.jpg|link=]]

=== Защита от СПАМа ===
==== 1. Обновление правил в SpamAssassin ====
Для улучшения защиты от СПАМ-сообщений мы включим автоматическое обновление правил для SpamAssassin. Для этого вводим:
<pre>
su - zimbra -c "zmlocalconfig -e antispam_enable_rule_updates=true"
su - zimbra -c "zmlocalconfig -e antispam_enable_restarts=true"
</pre>
После перезапустим соответствующие службы:
<pre>
su - zimbra -c "zmamavisdctl restart"
su - zimbra -c "zmmtactl restart"
</pre>
==== 2. Черные списки ====
Чтобы усилить защиту, разрешим проверку отправителя в черных списках:
<pre>
su - zimbra -c 'zmprov mcf zimbraMtaRestriction "reject_rbl_client zen.spamhaus.org"'
</pre>
* в данном примере мы подключаем rbl-список от zen.spamhaus.org.
==== 3. Настройка mynetworks ====
После установки Zimbra в опции postfix mynetworks может оказаться подсеть, в которой находится наш сервер. На практике, это приводит к возможности отправки сообщений без пароля, что в свою очередь, позволяет любому вирусу в нашей сети делать нелегальную рассылку.
Задаем для mynetworks только адрес локальной петли и адрес сервера:
<pre>
su - zimbra -c 'zmprov ms mail.putyato.ru zimbraMtaMyNetworks "127.0.0.0/8 10.7.7.7/32"'
</pre>
* где 10.7.7.7 — IP-адрес нашего почтового сервера.
Перезапускаем postfix:
<pre>
su - zimbra -c 'postfix reload'
</pre>
Проверить текущую настройку можно командой:
<pre>
su - zimbra -c 'postconf mynetworks'
</pre>

=== Дополнительные настройки ===
==== Добавление отправителей в белый список ====
Может возникнуть ситуация, при которой нам нужно изменить назначение СПАМ-балов для некоторых отправителей. Для этого открываем файл:
<pre>
nano /opt/zimbra/conf/amavisd.conf.in
</pre>
Находим строку:
<pre>
{ # a hash-type lookup table (associative array)
...
}
</pre>
... и внутри фигурных скобок {} добавим нужный нам домен или конкретного отправителя:
<pre>
...
'putyato.ru' => -10.0,
'sender@putyato2.ru' => -10.0,
}
</pre>
* таким образом мы сказали, что для писем с домена putyato.ru и отправителя sender@putyato2.ru отнимать 10 баллов за СПАМ. Такие письма начнут приходить без блокировки (при условии, что не будет отправлен явный СПАМ, который наберет очень много баллов).

После настройки перезапускаем amavis:
<pre>
su - zimbra -c "zmamavisdctl stop && zmamavisdctl start"
</pre>
==== Размер отправляемого сообщения ====
Задать максимальный размер сообщений можно командой:
<pre>
su - zimbra -c 'zmprov modifyConfig zimbraMtaMaxMessageSize 31457280'
</pre>
* в данном примере мы задаем максимальный размер сообщения 30 мб.

После перезапускаем postfix:
<pre>
su - zimbra -c "postfix reload"
</pre>
==== Сделать пользователя админом ====
<pre>
su zimbra
zmprov ma pavel@putyato.ru zimbraIsAdminAccount TRUE
</pre>
==== Служебные сообщения ====
* кому приходят все служебные сообщения
<pre>
zmlocalconfig -e smtp_destination=admin@putyato.ru
</pre>
==== Отключение redolog ====
<pre>
zmprov mcf zimbraRedoLogEnabled FALSE
</pre>

=== Возможные проблемы ===
==== Служба zmconfigd не стартует ====
В консоли управления почтовым сервером мы можем увидеть ошибку запуска службы zmconfigd. При попытке запустить ее:
<pre>
$ zmconfigdctl start
</pre>
... мы получаем ошибку:
<pre>
Starting zmconfigd...failed
</pre>
Решение:
<pre>
yum -y install nmap-ncat
</pre>
После пробуем запустить сервис (от пользователя zimbra):
<pre>
$ zmconfigdctl start
</pre>
==== Файл zmstat.out большого размера ====
Файл /opt/zimbra/zmstat/zmstat.out становится очень большим. Если открыть его, то мы увидим много строк:
<pre>
Use of uninitialized value $line in pattern match (m//) at /opt/zimbra/libexec/zmstat-io line 76.
</pre>
Причина:
Ошибка в скрипте /opt/zimbra/libexec/zmstat-io.

Решение:
Открываем скрипт, в котором есть ошибка:
<pre>
nano /opt/zimbra/libexec/zmstat-io
</pre>
Переходим на неправильную строку - 1 (в нашем примере, 75). Мы должны увидеть:
<pre>
while ($line !~ /^avg-cpu/ && $line !~ /^Device:/) {
</pre>
Меняем на:
<pre>
while ($line !~ /^avg-cpu/ && $line !~ /^Device/) {
</pre>
* то есть, убираем : после Device.
Перезапускаем службы Zimbra:
<pre>
su - zimbra -c "zmcontrol restart"
</pre>

==== Отключение и включение проверки SSL сертификата. ====
Отключить проверку:
<pre>
su - zimbra -c "zmlocalconfig -e ldap_starttls_supported=0"
</pre>
Включить проверку:
<pre>
su - zimbra -c "zmlocalconfig -e ldap_starttls_supported=1"
</pre>

==== Получение писем с переполнением диска. ====
Когда у вас установлен Snap на экземпляре Zimbra (при установке Certbot), вы можете получать массу электронных писем от инструментов мониторинга Zimbra с предупреждениями, в которых говорится:
<pre>
Feb 14 19:40:01 mail zimbramon[4751]: 4751:crit: Disk warning: mail.ttc-service.ru: /var/lib/snapd/snap/core/14447 on device /dev/loop0 at 100%
</pre>
Это нормально, так как все /dev/loopX доступны только для чтения и автоматически создаются Snap. Вы можете увидеть их, выполнив df -h :
<pre>
[root@mail ~]# df -h
Filesystem Size Used Avail Use% Mounted on
devtmpfs 1.9G 0 1.9G 0% /dev
tmpfs 1.9G 0 1.9G 0% /dev/shm
tmpfs 1.9G 215M 1.7G 12% /run
tmpfs 1.9G 0 1.9G 0% /sys/fs/cgroup
/dev/mapper/centos_mail-root 96G 22G 75G 23% /
/dev/sda1 1014M 193M 822M 19% /boot
tmpfs 379M 0 379M 0% /run/user/0
/dev/loop1 62M 62M 0 100% /var/lib/snapd/snap/core20/904
/dev/loop5 50M 50M 0 100% /var/lib/snapd/snap/certbot/952
/dev/loop2 99M 99M 0 100% /var/lib/snapd/snap/core/10823
/dev/loop0 100M 100M 0 100% /var/lib/snapd/snap/core/10859
/dev/loop4 50M 50M 0 100% /var/lib/snapd/snap/certbot/1042
</pre>

Вы можете исключить эти устройства из мониторинга Zimbra, выполнив zmlocalconfig -e zmstat_df_excludes='/dev/loop0:/dev/loop1:/dev/loop2:/dev/loop3:/dev/loop4:/dev/loop5:/dev /loopX' как пользователь Zimbra:
<pre>
su - zimbra
zmlocalconfig -e zmstat_df_excludes=’/dev/loop0:/dev/loop1:/dev/loop2:/dev/loop3:/dev/loop4:/dev/loop5’
zmstatctl restart
</pre>
That’s all, these devices won’t bother you no more.

==== Как удалить DNSCACHE из сервисов Zimbra. ====
<pre>
su - zimbra
zmcontrol status
zmprov ms `zmhostname` -zimbraServiceEnabled dnscache
zmprov ms `zmhostname` -zimbraServiceInstalled dnscache
zmcontrol status
exit
</pre>

==== Starting proxy...nginx: [emerg] bind() to 0.0.0.0:143 failed (13: Permission denied) failed. ====
<pre>
/opt/zimbra/libexec/zmfixperms
sudo setenforce Permissive
su - zimbra
zmprov -l gacf zimbraImapBindPort zimbraImapProxyBindPort
zmprov -l gs `zmhostname` zimbraImapBindPort zimbraImapProxyBindPort
exit
su - zimbra -c "zmcontrol restart"
</pre>

Установка и настройка почтового сервера Zimbra 10.1.0 на RockyLinux 9.5

2025-10-23T15:26:04Z

Admin: /* Как удалить DNSCACHE из сервисов Zimbra. */

Установка и настройка почтового сервера Zimbra 10.1.0 на RockyLinux 9.5

2025-10-23T15:25:27Z

Admin:

Zimbra — это продукт Synacor с открытым исходным кодом, используемый для совместной работы, чата по электронной почте, календаря, чата, а также видеоконференций.

После установки на сервер RockyLinux 9.5 (Minimal) (x86_64) 6Gb RAM, 4 CPU, 50Gb SSD, приступаем к подготовке сервера. ('''''https://rockylinux.org/ru-RU/download''''')

Проверить какая у вас версия ОС можно командой:
<pre>
cat /etc/*release
</pre>

=== Подготовка сервера ===
Обновляем RockyLinux 9.5:
<pre>
dnf update -y
</pre>
Устанавливаем репозиторий '''EPEL''' и дополнительные пакеты для загрузки и распаковки:
<pre>
dnf install epel-release wget nano mc unzip open-vm-tools dnf-utils net-tools diffutils curl tar vim screen git perl -y
</pre>

=== Настройка времени ===
Устанавливаем корректный часовой пояс:
<pre>
\cp /usr/share/zoneinfo/Europe/Moscow /etc/localtime
</pre>
''* данной командой мы установим часовой пояс по московскому времени.''

Теперь устанавливаем и запускаем службу для автоматической синхронизации времени:
<pre>
dnf install chrony -y
systemctl enable chronyd
systemctl start chronyd
</pre>

=== Безопасность ===
Если на сервере используется '''SELinux''' (по умолчанию, на системах RPM), рекомендуется ее отключить.
<pre>
sed -i "s/SELINUX=enforcing/SELINUX=disabled/" /etc/selinux/config
setenforce 0
</pre>
''* первая команда редактирует конфигурационный файл, чтобы '''SELinux''' не запускался автоматически, вторая — отключает его разово.''

=== Брандмауэр ===
Для нормальной работы Zimbra нужно открыть много портов:
* 25 — основной порт для обмена почтой по протоколу SMTP.
* 80 — веб-интерфейс для чтения почты (http).
* 110 — POP3 для загрузки почты.
* 143 — IMAP для работы с почтовым ящиком с помощью клиента.
* 443 — SSL веб-интерфейс для чтения почты (https).
* 465 — безопасный SMTP для отправки почты с почтового клиента.
* 587 — SMTP для отправки почты с почтового клиента (submission).
* 993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
* 995 — SSL POP3 для загрузки почты.
* 5222 — для подключения к Zimbra по протоколу XMPP.
* 5223 — для защищенного подключения к Zimbra по протоколу XMPP.
* 7071 — для защищенного доступа к администраторской консоли.
* 8443 — SSL веб-интерфейс для чтения почты (https).
* 7143 — IMAP для работы с почтовым ящиком с помощью клиента.
* 7993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
* 7110 — POP3 для загрузки почты.
* 7995 — SSL POP3 для загрузки почты.
* 9071 — для защищенного подключения к администраторской консоли.
<pre>
firewall-cmd --permanent --add-port={25,80,110,143,443,465,587,993,995,5222,5223,9071,7071,8443,7143,7993,7110,7995}/tcp
firewall-cmd --reload
</pre>
В конце установки ZIMBRA почему-то отключается файрволл, так что нужно его запустить и сделать автозапуском!!!
------------------------------
==== Управление firewall (если нужно): ====
В некоторых системах CentOS может не оказаться firewalld. Для его установки вводим:
<pre>
yum install firewalld -y
</pre>
Для автоматического запуска вводим:
<pre>
systemctl enable firewalld
</pre>
И для остановки или запуска службы:
<pre>
systemctl stop firewalld
systemctl start firewalld
</pre>
Посмотреть созданные правила:
<pre>
firewall-cmd --list-all
</pre>
Добавление правило для открытия 80-о порта:
<pre>
firewall-cmd --permanent --add-port=80/tcp
</pre>
Удалим правило для открытия 80-о порта:
<pre>
firewall-cmd --permanent --remove-port=80/tcp
</pre>
-------------------------
=== DNS и имя сервера ===
Для корректной работы почтового сервера необходимо создать mx-записи для домена.
Но для установки Zimbra важнее, чтобы в локальном файле hosts была запись о нашем сервере, в противном случае, установка прервется с ошибкой. И так, задаем FQDN-имя для сервера:
<pre>
hostnamectl set-hostname mail.putyato.ru
</pre>
Теперь открываем на редактирование файл:
<pre>
nano /etc/hosts
</pre>
И добавляем в конец файла:
<pre>
10.7.7.7 mail.putyato.ru mail
</pre>
* где 10.7.7.7 — IP-адрес нашего сервера; mail — имя сервера; putyato.ru — наш домен.

Проверяем настройку сетевой карты.
Открываем файл конфигурации и убеждаемся, что DNS1 — это DNS приписанный в нашем роутере, у нас он 10.7.7.1.

Смотрим, какой сетевой интерфейс:
<pre>
ip a
</pre>

<pre>
cd /etc/NetworkManager/system-connections/
ls
nano ens18.nmconnection
cd ~
</pre>
Содержание, как показано ниже. Обращаем внимание на DNS1. Если нужно то исправляем. Должно выглядеть как то так.
<pre>

[connection]
id=ens18
uuid=735d3397-d619-3509-88a3-63e50844f268
type=ethernet
autoconnect-priority=-999
interface-name=ens18
timestamp=1735440234

[ethernet]

[ipv4]
address1=10.7.7.7/16,10.1.0.25
dns=10.7.7.1;8.8.8.8;8.8.4.4;
method=manual

[ipv6]
addr-gen-mode=eui64
method=auto

[proxy]

</pre>
Затем введите следующую команду, чтобы перезапустить сетевую службу.
<pre>
systemctl restart NetworkManager
</pre>
После перезапуска сетевой службы проверьте /etc/resolv.conf файл, чтобы убедиться, что DNS1 всегда является вашим собственным почтовым сервером.
<pre>
cat /etc/resolv.conf
</pre>
Должны получить вот такой ответ, если не получили то поправляем этот файл:
<pre>
# Generated by NetworkManager
search putyato.ru
nameserver 10.7.7.1
nameserver 8.8.8.8
nameserver 8.8.4.4
</pre>

=== Подготовка сервера Zimbra ===
Установите репозиторий EPEL и необходимые пакеты.
<pre>
yum -y install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
yum -y install vim wget screen git perl
</pre>
Сначала мы загрузим и используем приведенный ниже скрипт для автоматической настройки /etc/hosts, имени хоста и локального DNS с помощью BIND и установки зависимостей, необходимых Zimbra.
<pre>
screen -S install-zimbra
cd ~/
git clone https://github.com/jmutai/scripts.git
</pre>
Перейдите к файлу.
<pre>
cd scripts/zimbra/
</pre>
Запустите автоматическую настройку Zimbra, установив необходимые пакеты.
<pre>
./zimbra_install_prereqs_rhel.sh
</pre>
Действуйте, как показано ниже:
<pre>
Complete!
[INFO] : Configuring Firewall
success
success
usage: see firewall-cmd man page
firewall-cmd: error: unrecognized arguments: -add-port 8443/tcp
success

Input Zimbra Base Domain. E.g example.com : putyato.ru
Input Zimbra Mail Server hostname (first part of FQDN). E.g mail : mail
Please insert your IP Address : 10.7.7.7
....
[INFO] : Disable mail services if active
Input your timezone value, example Africa/Nairobi: Europe/Moscow
</pre>

'''Настройка DNS-сервера привязки'''

Теперь запустите приведенный ниже сценарий, чтобы настроить DNS-сервер привязки, если у вас нет активного DNS-сервера.
<pre>
./zimbra_bind_setup_rhel.sh
</pre>
Действуйте, как показано ниже.
<pre>
Press key enter

[INFO] : Configuring Firewall & Selinux
Redirecting to /bin/systemctl stop firewalld.service
Redirecting to /bin/systemctl stop iptables.service
Failed to stop iptables.service: Unit iptables.service not loaded.
Redirecting to /bin/systemctl stop ip6tables.service
Failed to stop ip6tables.service: Unit ip6tables.service not loaded.
Removed /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Failed to disable unit: Unit file iptables.service does not exist.
Failed to disable unit: Unit file ip6tables.service does not exist.
......

Complete!

Input Zimbra Base Domain. E.g example.com : putyato.ru
Input Zimbra Mail Server hostname (first part of FQDN). E.g mail: mail
Input Zimbra Server IP Address : 10.7.7.7
........
</pre>
После завершения проверьте, разрешается ли IP:
<pre>
dig A mail.putyato.ru
</pre>
Получаем:
<pre>
; <<>> DiG 9.16.23-RH <<>> A mail.putyato.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47120
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 059c2f02f0726bd7010000006772710315db7d1d8bc09e69 (good)
;; QUESTION SECTION:
;mail.putyato.ru. IN A

;; ANSWER SECTION:
mail.putyato.ru. 86400 IN A 10.7.7.7

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Dec 30 13:08:03 MSK 2024
;; MSG SIZE rcvd: 88
</pre>
Также убедитесь, что записи MX разрешаются:
<pre>
dig MX putyato.ru
</pre>
Получаем:
<pre>
; <<>> DiG 9.16.23-RH <<>> MX putyato.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32976
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: fbf4481fa993c711010000006772724d0482acc7c01b91af (good)
;; QUESTION SECTION:
;putyato.ru. IN MX

;; ANSWER SECTION:
putyato.ru. 86400 IN MX 0 mail.putyato.ru.

;; ADDITIONAL SECTION:
mail.putyato.ru. 86400 IN A 10.7.7.7

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Dec 30 13:13:33 MSK 2024
;; MSG SIZE rcvd: 104
</pre>

=== Загрузка дистрибутива и установка Zimbra ===
Скачиваем лицензионный дистрибутив ZIMBRA 10.1.0 с официального сайта. Распаковываем архив. (Можно скачать с ломаный дистрибутив: '''https://techfiles.online/zimbra/''')

<big>Если мы установим дистрибутив с сайта '''https://techfiles.online/zimbra/''', то копировать сертификаты, вводить ключ, ставить блокировку в HOST файле не нужно. Пропустить данные пункты.</big>

<pre>
cd ~
wget https://files.zimbra.com/downloads/10.1.0_GA/zcs-NETWORK-10.1.0_GA_4688.RHEL9_64.20240911074203.tgz
tar -xzvf zcs-*.tgz
</pre>
или
<pre>
cd ~
wget "https://cloud.putyato.pro/index.php/s/TkX47w2ggTcZLMT/download/zcs-NETWORK-10.1.0_GA_4688.RHEL9_64.20240911074203.tgz" --no-check-certificate -O zcs-NETWORK-10.1.0_GA_4688.RHEL9_64.20240911074203.tgz
tar -xzvf zcs-*.tgz
</pre>

---------------
Далее с помощью программы WinSCP (https://winscp.net/eng/download.php) копируем следующие файлы:
zimbra-license-tools.jar, app.jar в корневую папку root.
или:
<pre>
cd ~
wget "https://cloud.putyato.pro/index.php/s/CHQ2FfTdka2Zx4x/download/zimbra-license-tools.jar" --no-check-certificate -O zimbra-license-tools.jar
wget "https://cloud.putyato.pro/index.php/s/CHQ2FfTdka2Zx4x/download/app.jar" --no-check-certificate -O app.jar
</pre>
Данные взяты с сайта: '''https://softoroom.org/topic60461s30.html'''
--------------

Начинаем установку самой ZIMBRA.
<pre>
cd ~
cd zcs-*/
./install.sh --skip-activation-check
</pre>
Процесс установки будет происходить, как показано ниже.
<pre>
[root@mail zcs-NETWORK-10.1.0_GA_4688.RHEL9_64.20240911074203]# ./install.sh --skip-activation-check

Operations logged to /tmp/install.log.j5mRhLRW
Checking for existing installation...
zimbra-drive...NOT FOUND
zimbra-imapd...NOT FOUND
zimbra-patch...NOT FOUND
zimbra-mta-patch...NOT FOUND
zimbra-proxy-patch...NOT FOUND
zimbra-license-tools...NOT FOUND
zimbra-license-extension...NOT FOUND
zimbra-network-store...NOT FOUND
zimbra-network-modules-ng...NOT FOUND
zimbra-chat...NOT FOUND
zimbra-talk...NOT FOUND
zimbra-ldap...NOT FOUND
zimbra-logger...NOT FOUND
zimbra-mta...NOT FOUND
zimbra-dnscache...NOT FOUND
zimbra-snmp...NOT FOUND
zimbra-store...NOT FOUND
zimbra-apache...NOT FOUND
zimbra-spell...NOT FOUND
zimbra-convertd...NOT FOUND
zimbra-memcached...NOT FOUND
zimbra-proxy...NOT FOUND
zimbra-archiving...NOT FOUND
zimbra-core...NOT FOUND

----------------------------------------------------------------------
PLEASE READ THIS AGREEMENT CAREFULLY BEFORE USING THE SOFTWARE.
SYNACOR, INC. ("SYNACOR") WILL ONLY LICENSE THIS SOFTWARE TO YOU IF YOU
FIRST ACCEPT THE TERMS OF THIS AGREEMENT. BY DOWNLOADING OR INSTALLING
THE SOFTWARE, OR USING THE PRODUCT, YOU ARE CONSENTING TO BE BOUND BY
THIS AGREEMENT. IF YOU DO NOT AGREE TO ALL OF THE TERMS OF THIS
AGREEMENT, THEN DO NOT DOWNLOAD, INSTALL OR USE THE PRODUCT.

License Terms for this Zimbra Collaboration Suite Software:
https://www.zimbra.com/license/zimbra-public-eula-2-6.html
----------------------------------------------------------------------
</pre>
На экране отобразится лицензионное соглашение — принимаем его, при том 2 раза:
<pre>
Do you agree with the terms of the software license agreement? [N] Y
</pre>
Разрешаем использование репозитория от Zimbra:
<pre>
Use Zimbra's package repository [Y] Y
</pre>
Устанавливаем необходимые модули (или все):
<pre>
Install zimbra-ldap [Y] Y
Install zimbra-logger [Y] Y
Install zimbra-mta [Y] Y
Install zimbra-dnscache [Y] n
Install zimbra-snmp [Y] Y
Install zimbra-license-daemon [Y] Y
Install zimbra-store [Y] Y
Install zimbra-apache [Y] Y
Install zimbra-spell [Y] Y
Install zimbra-convertd [Y] Y
Install zimbra-memcached [Y] Y
Install zimbra-proxy [Y] Y
Install zimbra-archiving [N] Y
Install zimbra-onlyoffice [Y] Y
Install p7zip-plugins from epel-release repository (without p7zip-plugins, some decoders for Amavis may not be available). [Y] Y
</pre>
Подтверждаем ранее введенные настройки:
<pre>
The system will be modified. Continue? [N] Y
</pre>
Начнется процесс установки и конфигурирования Zimbra. Ждем окончания процесса.
Если для нашего домена еще нет записи MX, мы увидим сообщение:
<pre>
It is suggested that the domain name have an MX record configured in DNS
</pre>
Установщик предложит поменять домен — отвечаем Yes и меняем домен mail.putyato.ru на putyato.ru:
<pre>
Change domain name? [Yes] Yes
Create domain: [mail.putyato.ru] putyato.ru
</pre>
... установщик покажет меню с настройкой Zimbra:
<pre>
Main menu
1) Common Configuration:
2) zimbra-ldap: Enabled
3) zimbra-logger: Enabled
4) zimbra-mta: Enabled
5) zimbra-snmp: Enabled
6) zimbra-store: Enabled
+Create Admin User: yes
+Admin user to create: admin@putyato.ru
******* +Admin Password UNSET
+Anti-virus quarantine user: virus-quarantine.alrrusyk@putyato.ru
+Enable automated spam training: yes
+Spam training user: spam.cwrvvil_mv@putyato.ru
+Non-spam(Ham) training user: ham.bnmoebu3g@putyato.ru
+SMTP host: mail.putyato.ru
+Web server HTTP port: 8080
+Web server HTTPS port: 8443
+Web server mode: https
+IMAP server port: 7143
+IMAP server SSL port: 7993
+POP server port: 7110
+POP server SSL port: 7995
+Use spell check server: yes
+Spell server URL: http://mail.putyato.ru:7780/aspell.php
+Enable version update checks: TRUE
+Enable version update notifications: TRUE
+Version update notification email: admin@putyato.ru
+Version update source email: admin@putyato.ru
+Install mailstore (service webapp): yes
+Install UI (zimbra,zimbraAdmin webapps): yes

7) zimbra-spell: Enabled
8) zimbra-convertd: Enabled
9) zimbra-proxy: Enabled
10) zimbra-onlyoffice: Enabled
11) zimbra-license-daemon: Enabled
12) Default Class of Service Configuration:
13) Enable default backup schedule: yes
s) Save config to file
x) Expand menu
q) Quit
</pre>
В данном случае мы можем поменять любую из настроек. Настройки, которые необходимо сделать для продолжения установки показаны звездочками — в данном примере необходимо задать пароль администратора (Admin Password)
<pre>
Address unconfigured (**) items (? - help) 6

Store configuration

1) Status: Enabled
2) Create Admin User: yes
3) Admin user to create: admin@putyato.ru
** 4) Admin Password UNSET
5) Anti-virus quarantine user: virus-quarantine.alrrusyk@putyato.ru
6) Enable automated spam training: yes
7) Spam training user: spam.cwrvvil_mv@putyato.ru
8) Non-spam(Ham) training user: ham.bnmoebu3g@putyato.ru
9) SMTP host: mail.putyato.ru
10) Web server HTTP port: 8080
11) Web server HTTPS port: 8443
12) Web server mode: https
13) IMAP server port: 7143
14) IMAP server SSL port: 7993
15) POP server port: 7110
16) POP server SSL port: 7995
17) Use spell check server: yes
18) Spell server URL: http://mail.putyato.ru:7780/aspell.php
19) Enable version update checks: TRUE
20) Enable version update notifications: TRUE
21) Version update notification email: admin@putyato.ru
22) Version update source email: admin@putyato.ru
23) Install mailstore (service webapp): yes
24) Install UI (zimbra,zimbraAdmin webapps): yes

Select, or 'r' for previous menu [r] 4

Password for admin@putyato.ru (min 6 characters): [hRGHRCaX] [ЗДЕСЬ ПИШЕМ ПАРОЛЬ ДЛЯ АДМИНА]
</pre>
Теперь выходим из меню:
<pre>
Select, or 'r' for previous menu [r] r
</pre>
И применяем настройки:
<pre>
Select from menu, or press 'a' to apply config (? - help) a
</pre>
Сохраняем конфигурационный файл:
<pre>
Save configuration data to a file? [Yes] Yes
</pre>
Соглашаемся с путем сохранения файла:
<pre>
Save config in file: [/opt/zimbra/config.20863]
</pre>
Продолжаем конфигурирование:
<pre>
The system will be modified - continue? [No] Y
</pre>
В конечном итоге, нажимаем Enter:
<pre>
Configuration complete - press return to exit
</pre>
1. Сервер установлен. Однако, установщик меняет пароль пользователя root. Меняем его обратно:
<pre>
passwd root
</pre>
2. Остановить Zimbra:
<pre>
su - zimbra -c "zmlicensectl --service stop" && su - zimbra -c "zmcontrol stop"
</pre>
3. Скопировать jar-файлы из архива:
<pre>
cd ~
mv /opt/zimbra/lib/ext-common/zimbra-license-tools.jar /opt/zimbra/lib/ext-common/zimbra-license-tools.jar.orig && cp ./zimbra-license-tools.jar /opt/zimbra/lib/ext-common
mv /opt/zimbra/license/lib/app.jar /opt/zimbra/license/lib/app.jar.orig && cp ./app.jar /opt/zimbra/license/lib
</pre>

'''ПОПРАВИТЬ РАЗРЕШЕНИЕ и ВЛАДЕЛЬЦА'''

4. Добавить записи в файл /etc/hosts:
<pre>
nano /etc/hosts
</pre>
<pre>
127.0.0.1 zextras.tools
127.0.0.1 analytics.zextras.tools
127.0.0.1 notifications.zextras.com
127.0.0.1 updates.zextras.com
127.0.0.1 zimbra.com
127.0.0.1 license.zimbra.com
</pre>

5. Запустить Zimbra:
<pre>
su - zimbra -c "zmcontrol start" && su - zimbra -c "zmlicensectl --service start"
</pre>

=== zimbraMtaLmtpHostLookup ===
Если наш сервер находится за NAT и разрешение IP происходит не во внутренний адрес, а внешний (можно проверить командой nslookup <имя сервера>), после настройки наш сервер не сможет принимать почту, а в логах мы можем увидеть ошибку delivery temporarily suspended: connect to 7025: Connection refused). Это происходит из-за попытки Zimbra передать письмо в очереди по внутреннему порту локальной почты 7025 (LMTP) на внешний адрес, который недоступен из NAT. Для решения проблемы можно использовать внутренний DNS с другими А-записями (split dns) или собственный поиск IP-адресов для lmtp, а не для DNS. Рассмотрим второй вариант — вводим две команды:
<pre>
su - zimbra -c "zmprov ms $myhostname zimbraMtaLmtpHostLookup native"
su - zimbra -c "zmprov mcf zimbraMtaLmtpHostLookup native"
</pre>
* где $myhostname — имя нашего почтового сервера.

После перезапускаем службы зимбры:
<pre>
su - zimbra -c "zmmtactl restart"
</pre>
Проверьте статус и версию Zimbra с помощью этих команд:
<pre>
su - zimbra -c "zmcontrol status"
su - zimbra -c "zmcontrol -v"
</pre>
1) Заходим https://10.7.7.7:7071 чтобы активировать через web интерфейс.

2) Теперь перейдите в «Настройка -> Глобальные настройки -> Лицензия» и активировать онлайн ключом: '''4BCC9A0584944C1C844E77309'''

Перезапускаем сервер
<pre>
reboot
</pre>

=== Настройка zimbra после установки ===
Чтобы начать пользоваться сервером, внесем основные настройки. Для этого открываем браузер и вводим адрес https://<IP-адрес сервера>:7071 — должна открыться страница с ошибкой, разрешаем открытие страницы и мы увидим форму для входа в панель администрирования Zimbra. Вводим логин admin и пароль, который задавали при установке.
В нашем случае https://10.7.7.7:7071

[[File:Mail_01.jpg|link=]]

==== Добавление домена ====
Если мы не меняли рабочий домен в настройках во время установки сервера, то основной домен будет таким же, как имя сервера. Как правило, это не то, что нам нужно. И так, заходим в Настройка - Домены. В правой части окна кликаем по значку шестеренки и Создать:

[[File:Mail_02.jpg|link=]]

Задаем название для нового домена:

[[File:Mail_03.jpg|link=]]

... и кликаем Далее.
В следующем окне выбираем сервер:

[[File:Mail_04.jpg|link=]]

... можно нажать Готово.
Теперь поменяем домен по умолчанию. Переходим в Настройка - Глобальные настройки. Меняем значение для поля «Домен по умолчанию»:

[[File:Mail_05.jpg|link=]]

... и нажимаем Сохранить.

==== Создание почтового ящика ====
Переходим с главного меню панели администрирования в Управление - Учетные записи. Справа кликаем по шестеренке - Создать:

[[File:Mail_06.jpg|link=]]

Задаем имя учетной записи, а также фамилию пользователя:

[[File:Mail_07.jpg|link=]]

Задаем пароль пользователя и, по желанию, ставим галочку Требуется сменить пароль:

[[File:Mail_08.jpg|link=]]

При необходимости создания административной учетной записи ставим галочку Глобальный администратор:

[[File:Mail_09.jpg|link=]]

Готово
=== Конфигурации после установки: ===
Вам необходимо выполнить некоторые настройки после установки, хотя это и не обязательно. Когда мы устанавливаем Zimbra, он создает системного пользователя Zimbra с отключенным паролем. На самом деле, он использует ключи ssh для подключения. Поэтому нам нужно обновить ключи ssh следующим образом.
<pre>
[root@mail ~]# sudo -u zimbra -i
[zimbra@mail ~]$ zmupdateauthkeys

Updating keys for mail.putyato.ru
Fetching key for mail.putyato.ru
Updating keys for mail.putyato.ru
Updating /opt/zimbra/.ssh/authorized_keys
</pre>
Теперь, чтобы отобразить статистику сервера в консоли администратора, нам нужно обновить файлы конфигурации Syslog следующим образом.

Если вы работаете как выход пользователя Zimbra (выполните команду exit) , переключитесь на пользователя root и выполните следующую команду.
<pre>
[root@mail ~]# /opt/zimbra/libexec/zmsyslogsetup
updateSyslog: Updating /etc/rsyslog.conf...done.
</pre>
Желательно включить автоматическую проверку вложений электронной почты антивирусом ClamAV . Поэтому выполните следующую команду.
<pre>
[root@mail ~]# su - zimbra
[zimbra@mail ~]$ zmprov mcf zimbraAttachmentsScanURL clam://localhost:3310/
[zimbra@mail ~]$ zmprov mcf zimbraAttachmentsScanEnabled TRUE
</pre>
==== Почтовый сервер Zimbra и антивирус ClamAV (после блокировки из России)⁠⁠ ====
Наверняка у многих сисадминов из РФ всплыла проблема с отказом антивируса ClamAV работающим в связке с почтовым сервером Zimbra. Набросал краткий мануал.
Так как Clamav принадлежит по факту корпорации Cisco, то достучаться из Россия уже просто не получится (по состоянию на 16.03.2022)
Будем использовать tor-прокси (в связке TOR+Privoxy) . В моем случае все крутится в отдельном крошечном lxc ( вы можете вынести на отдельный vds вне корп сети, как угодно. Но самом почтовике делать явно не стоит)
Вносим изменения в:
<pre>
nano /opt/zimbra/conf/freshclam.conf.in
</pre>
Необходимо в раскомментировать и поправить :
HTTPProxyServer **.**.**.** # Адрес прокси-сервера
HTTPProxyPort 8446 # порт прокси-сервера (стандартный 8118)

Я Установил:
<pre>
HTTPProxyServer 66.76.140.239
HTTPProxyPort 39593
</pre>
Под zimbra делаем полный рестарт антивируса :
<pre>
su zimbra
zmantivirusctl restart
</pre>
Проверяем:
<pre>
$ zmantivirusctl status

antivirus is running
</pre>

=== Настройка DNS ===
Для корректной работы почты необходимо настроить DNS для нашего домена.

'''1. Запись MX.'''
Позволяет определить почтовый сервер для домена.

'''2. Запись A.'''
Для нашего сервера, который определен как MX запись нужна запись А, которая указывает на его IP-адрес. В моем примере это сервер mail.putyato.ru, который из сети Интернет должен разрешаться во внешний IP-адрес.

'''3. PTR.'''
Данная запись представляет из себя обратное разрешение IP-адреса в домен. С ее помощью подтверждается легитимность отправителя.

'''4. SPF.'''
Это запись TXT, которая определяет список серверов для домена, с которых разрешена отправка почты.

'''5. DKIM.'''
Подтверждение владельца домена. Письмо отправляется с зашифрованным заголовком и расшифровать его можно с помощью последовательности, хранящейся в TXT-записи на DNS. Соответственно, если владелец домена разместил такую последовательность, то он и является его владельцем.

'''6. DMARC.'''
Определяет для домена политику проверки писем.

{| class="wikitable"
|+ Зона
|-
! Хост !! Тип !! Значение
|-
| * || A || 67.248.99.132
|-
| @ || A || 67.248.99.132
|-
| www || A || 67.248.99.132
|-
| || ||
|-
| @ || MX || 10 mail
|-
| mail || A || 67.248.99.132
|-
| @ || TXT || v=spf1 a mx -all
|-
| 3EF6B3C0-2E8A-11CD-A4E2-B3DCE640B747._domainkey || TXT || v=DKIM1;k=rsa;
p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMI...
6Kcp7+JglnrttF5p6Pz8GUIApECGx2htTle...
|-
| _domainkey || TXT || 0=~
|}

=== Проброс портов на роутере ===
Если наш сервер находится во внутренней сети, необходимо настроить проброс портов. В двух словах, это настройка на сетевом устройстве, которое смотрит в Интернет, которая позволит запросы на определенный порт передать на наш почтовый сервер.
Требуется пробросить следующие порты: 80(HTTP), 443(HTTPS), 993(IMAP/S), 25(SMTP), 5222(XMPP), 7025(LMTP)

=== Настройка DKIM ===
Отдельно рассмотрим процесс настройки подписи DKIM на почтовом сервере Zimbra. Формирование ключей выполняется для каждого из доменов из командной строки. Подключаемся к серверу по SSH и вводим команду:
<pre>
su - zimbra -c "/opt/zimbra/libexec/zmdkimkeyutil -a -d putyato.ru"
</pre>
* данная команда создаст последовательности ключей для домена putyato.ru.
Мы должны получить ответ на подобие:
<pre>
Public signature to enter into DNS:
5D8C3E02-4EFA-11EA-872A-D9A5B4628C49._domainkey IN TXT ( "v=DKIM1; k=rsa; "
"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5iLy58AJ1fdB15BZgh/VtGfZsi+TrDyvqqZaL5pJ+MQaQrpqHW8AF5kyxW2QzAMjyKzySMZX0PoHUuV93Yxf2t52IFihvb7ivqmRwlqFV3gU7j8zqbAGWHfZo4Ydw0kUmU6pm+Z85aWt4k7rQ7vWXludQGf8yIaSMMmodxze9E5VUOtUA18dIEEPcbwSgOO6YhQLuC78T4FiF5"
"8epQnsX0voSfg9tMW+r+P1b5fTy5Guyqh1plWYseKxPzHKHbc4Lokcgo1AZzKG5Mvo5OCXsKUE1fSoc366AFSoUnWr23P7oUbf+NjXzPMS8ESGA9TfpDA6eRJT4QEpi72AdIy4rQIDAQAB" ) ; ----- DKIM key 5D8C3E02-4EFA-11EA-872A-D9A5B4628C49 for putyato.ru
</pre>
В данном ответе нас интересуют записи 5D8C3E02-4EFA-11EA-872A-D9A5B4628C49._domainkey — это имя для TXT в домене putyato.ru; "v=DKIM1; k=rsa; " "p=M...AB" — содержимое записи.

В настройках домена необходимо добавить данную запись, после чего подождать, минут 15. После выполняем проверку:
<pre>
opendkim-testkey -d putyato.ru -s 5D8C3E02-4EFA-11EA-872A-D9A5B4628C49 -x /opt/zimbra/conf/opendkim.conf
</pre>
* где putyato.ru — наш домен; 5D8C3E02-4EFA-11EA-872A-D9A5B4628C49 — селектор, который мы видели в записи 5D8C3E02-4EFA-11EA-872A-D9A5B4628C49._domainkey.
* если при вводе команды мы получим ошибку «Command 'opendkim-testkey' not found», необходимо установить opendkim-tools командой yum install opendkim-tools.

Для просмотра имеющихся записей DKIM можно воспользоваться командой:
<pre>
su - zimbra -c "/opt/zimbra/libexec/zmdkimkeyutil -q -d putyato.ru"
</pre>
==== Отправка тестового письма ====
Открываем браузер и переходим по ссылке https://<IP-адрес сервера>:8443/ — откроется веб-клиент для чтения и отправки почты. В качестве логина используем созданный email и его пароль.

Теперь заходим на сайт https://www.mail-tester.com/ и копируем email-адрес для отправки тестового сообщения.

Создаем новое сообщение и отправляем его на тестовый адрес. Возвращаемся на сайт для проверки и кликаем по (Затем проверьте оценку).

Если наше письмо не получило 10 баллов, анализируем проблемы и исправляем их.

=== Получение сертификата Let’s Encrypt.===

==== Установка Certbot. ====
Переходим к установке клиента Certbot:
<pre>
dnf install certbot python3-certbot-nginx
</pre>
После установки клиента certbot проверьте установленную версию программного обеспечения Let's Encrypt, выполнив следующую команду:
<pre>
certbot --version
</pre>

Процесс получения бесплатного сертификата '''SSL/TLS''' для '''Nginx''' будет выполняться вручную с помощью автономного плагина '''Let's Encrypt'''.

Для этого метода требуется, чтобы порт '''80''' был свободен в то время, пока клиент '''Let's Encrypt''' проверяет личность сервера и генерирует сертификаты.

Итак, если '''Nginx''' уже запущен, остановите демон с помощью следующей команды и запустите утилиту ss , чтобы убедиться, что порт 80 больше не используется в сетевом стеке.

1. Теперь пришло время получить бесплатный сертификат SSL от Let's Encrypt , выполнив команду:
<pre>
certbot certonly --standalone
</pre>

После ввода команды мы должны получить вывод с просьбой указать e-mail, где указываем свой почтовый ящик и нажимаем Enter:
<pre>
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices)
(Enter 'c' to cancel): admin@putyato.ru
</pre>
2. После ввода e-mail нам предлагается ознакомиться и подтвердить лицензионное соглашение, нажав «Y»:
<pre>
- - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.4-April-3-2024.pdf. You must agree in
order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y
</pre>
3. Снова видим запрос на публикацию введенного e-mail, который отклоняем клавишей «N» и видимо сообщение «Аккаунт зарегистрирован»:
<pre>
- - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N
Account registered.
</pre>
4. На этом шаге Certbot исследует конфигурационный файл и директорию веб-сервера и должен найти домен сайта. Если не найдет, то попросит ввести домен:
<pre>
Please enter the domain name(s) you would like on your certificate (comma and/or
space separated) (Enter 'c' to cancel): mail.putyato.ru
</pre>
и получаем ответ, где говорится, что сертификат развернут и запросы на 80 порт (http) перенаправляются на 443 (https). Может открыть страницу сайта в браузере и убедиться, что адресная строка с https://.
<pre>
Requesting a certificate for mail.putyato.ru

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/mail.putyato.ru/fullchain.pem
Key is saved at: /etc/letsencrypt/live/mail.putyato.ru/privkey.pem
This certificate expires on 2025-04-02.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
* Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
* Donating to EFF: https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
</pre>
5. Наконец, если все прошло как надо, на вашем bash-терминале отобразится поздравительное информационное сообщение. Сообщение также будет отображаться, когда срок действия сертификата истечет.
<pre>
This certificate expires on 2025-04-02.
</pre>
6. Для контрольной проверки введем команду, которая принудительно перевыпустит сертификат:
<pre>
certbot renew --dry-run
</pre>
--------------------------------------------------------

==== Установка сертификата ====
Процесс установки сертификата для ZIMBRA, несколько, отличается от многих других сервисов — он требует дополнительных телодвижений.

И так, сначала скопируем полученные сертификаты в каталог ZIMBRA — в моем случае, команды такие:
<pre>
cp /etc/letsencrypt/live/mail.putyato.ru/* /opt/zimbra/ssl/zimbra/commercial/
</pre>
* где mail.putyato.ru — домен, для которого мы получали сертификат.
Меняем владельца для скопированных файлов:
<pre>
chown zimbra /opt/zimbra/ssl/zimbra/commercial/*
</pre>
Теперь нюанс — zimbra не примет цепочку сертификатов, если в ней не будет корневых от Let's Encrypt. Получить их можно по ссылкам:

1. https://letsencrypt.org/certs/isrgrootx1.pem.txt.
или
https://cloud.putyato.pro/index.php/s/Nq9RzgyCE593zsr/download/isrgrootx1.pem.txt

2. https://letsencrypt.org/certs/letsencryptauthorityx3.pem.txt.
или
https://cloud.putyato.pro/index.php/s/wnCdj6eFAwr9wTT/download/letsencryptauthorityx3.pem.txt

Полученную последовательность добавляем к файлу chain.pem:
<pre>
nano /opt/zimbra/ssl/zimbra/commercial/chain.pem
</pre>
<pre>
-----BEGIN CERTIFICATE-----
<первую последовательность оставляем>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<вторую последовательность удаляем>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</pre>
* где мы добавили к файлу две последовательности.

Теперь зайдем в систему под пользователем zimbra:
<pre>
su - zimbra
</pre>
... и перейдем в каталог:
<pre>
$ cd /opt/zimbra/ssl/zimbra/commercial
</pre>
Проверяем, правильно ли сформированы сертификаты для Zimbra:
<pre>
$ zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
</pre>
Мы должны получить ответ:
<pre>
** Verifying 'cert.pem' against 'privkey.key'
Certificate 'cert.pem' and private key 'privkey.key' match.
** Verifying 'cert.pem' against 'chain.pem'
Valid certificate chain: cert.pem: OK
</pre>
Переименовываем закрытый ключ:
<pre>
$ mv privkey.pem commercial.key
</pre>
Можно устанавливать сертификаты:
<pre>
$ zmcertmgr deploycrt comm cert.pem chain.pem
</pre>
Чтобы настройка применилась, перезапускаем zimbra и выходим из его окружения:
<pre>
$ zmcontrol restart
$ exit
</pre>

==== Продление сертификата ====
На роутере напрямую пробросить 80 и 443 порт на виртуальную машину с ZIMBRA, проброс через прокси не работает.
Отключить проверку SSL сертификата:
<pre>
su - zimbra -c "zmlocalconfig -e ldap_starttls_supported=0"
su - zimbra -c "zmcontrol restart"
</pre>

Обновление сертификата не потребует больших усилий. Для начала, обновляем сертификат Let's Encrypt:
<pre>
certbot certonly --standalone
</pre>
Скопируем обновленные сертификаты в каталог зимбры:
<pre>
cp /etc/letsencrypt/live/mail.putyato.ru/* /opt/zimbra/ssl/zimbra/commercial/
</pre>
* где mail.putyato.ru — домен, для которого мы получали сертификат.
Меняем владельца для файлов:
<pre>
chown zimbra /opt/zimbra/ssl/zimbra/commercial/*
</pre>
Переходим в каталог с сертификатами:
<pre>
cd /opt/zimbra/ssl/zimbra/commercial
</pre>
Загружаем корневые сертификаты Let's Encrypt:
<pre>
wget https://letsencrypt.org/certs/isrgrootx1.pem.txt
wget https://letsencrypt.org/certs/letsencryptauthorityx3.pem.txt
</pre>
или
<pre>
wget "https://cloud.putyato.pro/index.php/s/Nq9RzgyCE593zsr/download/isrgrootx1.pem.txt" --no-check-certificate -O isrgrootx1.pem.txt
wget "https://cloud.putyato.pro/index.php/s/wnCdj6eFAwr9wTT/download/letsencryptauthorityx3.pem.txt" --no-check-certificate -O letsencryptauthorityx3.pem.txt
</pre>

Создаем файл с полной цепочкой сертификатов:
<pre>
echo "-----BEGIN CERTIFICATE-----" > new_chain.pem
openssl x509 -in chain.pem -outform der | base64 -w 64 >> new_chain.pem
echo "-----END CERTIFICATE-----" >> new_chain.pem
mv new_chain.pem chain.pem
cat isrgrootx1.pem.txt >> chain.pem
cat letsencryptauthorityx3.pem.txt >> chain.pem
</pre>
Проверяем корректность сертификатов:
<pre>
su - zimbra -c "zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/privkey.pem /opt/zimbra/ssl/zimbra/commercial/cert.pem /opt/zimbra/ssl/zimbra/commercial/chain.pem"
</pre>
Переименовываем закрытый ключ:
<pre>
mv privkey.pem commercial.key
</pre>
Можно устанавливать сертификаты:
<pre>
su - zimbra -c "zmcertmgr deploycrt comm /opt/zimbra/ssl/zimbra/commercial/cert.pem /opt/zimbra/ssl/zimbra/commercial/chain.pem"
</pre>
Включаем проверку SSL сертификата:
<pre>
su - zimbra -c "zmlocalconfig -e ldap_starttls_supported=1"
</pre>
Чтобы настройка применилась, перезапускаем zimbra:
<pre>
su - zimbra -c "zmcontrol restart"
</pre>
Готово.

Если почта организована через прокси, то нужно полученные два сертификата скопировать в папку на прокси виртуальной машины:

Почтовая виртуалка:

'''/opt/zimbra/ssl/zimbra/commercial'''

Берем два файла: '''fullchain.pem; commercial.key'''

И копируем их в папку ('''/etc/letsencrypt/live/mail.putyato.ru/''') на прокси виртуальной машины.

Восстанавливаем проброс портов 443 и 80 на роутере, на прокси виртуалку.

И все готово!

=== Настройка почтового клиента ===
Приведем пример настройки почтового клиента. Подключимся к нашему серверу по IMAP и отправим почту по SMTP. В качестве почтового клиента я буду использовать Mozilla Thunderbird — принцип настройки других клиентов аналогичен.

Для настройки используем следующие параметры:
{| class="wikitable"
|+ Настройки
|-
! Настройка !! IMAP !! POP3 !! SMTP
|-
| Адрес сервера || IP-адрес сервера или его имя
|-
| Порт || 143 || 110 || 587
|-
| SSL || STARTTLS
|-
| Имя пользователя || Почтовый адрес, к которому выполняем подключение
|-
| Пароль || Пароль для почтового ящика
|}
Пример настройки:

[[File:Mail_10.jpg|link=]]

=== Защита от СПАМа ===
==== 1. Обновление правил в SpamAssassin ====
Для улучшения защиты от СПАМ-сообщений мы включим автоматическое обновление правил для SpamAssassin. Для этого вводим:
<pre>
su - zimbra -c "zmlocalconfig -e antispam_enable_rule_updates=true"
su - zimbra -c "zmlocalconfig -e antispam_enable_restarts=true"
</pre>
После перезапустим соответствующие службы:
<pre>
su - zimbra -c "zmamavisdctl restart"
su - zimbra -c "zmmtactl restart"
</pre>
==== 2. Черные списки ====
Чтобы усилить защиту, разрешим проверку отправителя в черных списках:
<pre>
su - zimbra -c 'zmprov mcf zimbraMtaRestriction "reject_rbl_client zen.spamhaus.org"'
</pre>
* в данном примере мы подключаем rbl-список от zen.spamhaus.org.
==== 3. Настройка mynetworks ====
После установки Zimbra в опции postfix mynetworks может оказаться подсеть, в которой находится наш сервер. На практике, это приводит к возможности отправки сообщений без пароля, что в свою очередь, позволяет любому вирусу в нашей сети делать нелегальную рассылку.
Задаем для mynetworks только адрес локальной петли и адрес сервера:
<pre>
su - zimbra -c 'zmprov ms mail.putyato.ru zimbraMtaMyNetworks "127.0.0.0/8 10.7.7.7/32"'
</pre>
* где 10.7.7.7 — IP-адрес нашего почтового сервера.
Перезапускаем postfix:
<pre>
su - zimbra -c 'postfix reload'
</pre>
Проверить текущую настройку можно командой:
<pre>
su - zimbra -c 'postconf mynetworks'
</pre>

=== Дополнительные настройки ===
==== Добавление отправителей в белый список ====
Может возникнуть ситуация, при которой нам нужно изменить назначение СПАМ-балов для некоторых отправителей. Для этого открываем файл:
<pre>
nano /opt/zimbra/conf/amavisd.conf.in
</pre>
Находим строку:
<pre>
{ # a hash-type lookup table (associative array)
...
}
</pre>
... и внутри фигурных скобок {} добавим нужный нам домен или конкретного отправителя:
<pre>
...
'putyato.ru' => -10.0,
'sender@putyato2.ru' => -10.0,
}
</pre>
* таким образом мы сказали, что для писем с домена putyato.ru и отправителя sender@putyato2.ru отнимать 10 баллов за СПАМ. Такие письма начнут приходить без блокировки (при условии, что не будет отправлен явный СПАМ, который наберет очень много баллов).

После настройки перезапускаем amavis:
<pre>
su - zimbra -c "zmamavisdctl stop && zmamavisdctl start"
</pre>
==== Размер отправляемого сообщения ====
Задать максимальный размер сообщений можно командой:
<pre>
su - zimbra -c 'zmprov modifyConfig zimbraMtaMaxMessageSize 31457280'
</pre>
* в данном примере мы задаем максимальный размер сообщения 30 мб.

После перезапускаем postfix:
<pre>
su - zimbra -c "postfix reload"
</pre>
==== Сделать пользователя админом ====
<pre>
su zimbra
zmprov ma pavel@putyato.ru zimbraIsAdminAccount TRUE
</pre>
==== Служебные сообщения ====
* кому приходят все служебные сообщения
<pre>
zmlocalconfig -e smtp_destination=admin@putyato.ru
</pre>
==== Отключение redolog ====
<pre>
zmprov mcf zimbraRedoLogEnabled FALSE
</pre>

=== Возможные проблемы ===
==== Служба zmconfigd не стартует ====
В консоли управления почтовым сервером мы можем увидеть ошибку запуска службы zmconfigd. При попытке запустить ее:
<pre>
$ zmconfigdctl start
</pre>
... мы получаем ошибку:
<pre>
Starting zmconfigd...failed
</pre>
Решение:
<pre>
yum -y install nmap-ncat
</pre>
После пробуем запустить сервис (от пользователя zimbra):
<pre>
$ zmconfigdctl start
</pre>
==== Файл zmstat.out большого размера ====
Файл /opt/zimbra/zmstat/zmstat.out становится очень большим. Если открыть его, то мы увидим много строк:
<pre>
Use of uninitialized value $line in pattern match (m//) at /opt/zimbra/libexec/zmstat-io line 76.
</pre>
Причина:
Ошибка в скрипте /opt/zimbra/libexec/zmstat-io.

Решение:
Открываем скрипт, в котором есть ошибка:
<pre>
nano /opt/zimbra/libexec/zmstat-io
</pre>
Переходим на неправильную строку - 1 (в нашем примере, 75). Мы должны увидеть:
<pre>
while ($line !~ /^avg-cpu/ && $line !~ /^Device:/) {
</pre>
Меняем на:
<pre>
while ($line !~ /^avg-cpu/ && $line !~ /^Device/) {
</pre>
* то есть, убираем : после Device.
Перезапускаем службы Zimbra:
<pre>
su - zimbra -c "zmcontrol restart"
</pre>

==== Отключение и включение проверки SSL сертификата. ====
Отключить проверку:
<pre>
su - zimbra -c "zmlocalconfig -e ldap_starttls_supported=0"
</pre>
Включить проверку:
<pre>
su - zimbra -c "zmlocalconfig -e ldap_starttls_supported=1"
</pre>

==== Получение писем с переполнением диска. ====
Когда у вас установлен Snap на экземпляре Zimbra (при установке Certbot), вы можете получать массу электронных писем от инструментов мониторинга Zimbra с предупреждениями, в которых говорится:
<pre>
Feb 14 19:40:01 mail zimbramon[4751]: 4751:crit: Disk warning: mail.ttc-service.ru: /var/lib/snapd/snap/core/14447 on device /dev/loop0 at 100%
</pre>
Это нормально, так как все /dev/loopX доступны только для чтения и автоматически создаются Snap. Вы можете увидеть их, выполнив df -h :
<pre>
[root@mail ~]# df -h
Filesystem Size Used Avail Use% Mounted on
devtmpfs 1.9G 0 1.9G 0% /dev
tmpfs 1.9G 0 1.9G 0% /dev/shm
tmpfs 1.9G 215M 1.7G 12% /run
tmpfs 1.9G 0 1.9G 0% /sys/fs/cgroup
/dev/mapper/centos_mail-root 96G 22G 75G 23% /
/dev/sda1 1014M 193M 822M 19% /boot
tmpfs 379M 0 379M 0% /run/user/0
/dev/loop1 62M 62M 0 100% /var/lib/snapd/snap/core20/904
/dev/loop5 50M 50M 0 100% /var/lib/snapd/snap/certbot/952
/dev/loop2 99M 99M 0 100% /var/lib/snapd/snap/core/10823
/dev/loop0 100M 100M 0 100% /var/lib/snapd/snap/core/10859
/dev/loop4 50M 50M 0 100% /var/lib/snapd/snap/certbot/1042
</pre>

Вы можете исключить эти устройства из мониторинга Zimbra, выполнив zmlocalconfig -e zmstat_df_excludes='/dev/loop0:/dev/loop1:/dev/loop2:/dev/loop3:/dev/loop4:/dev/loop5:/dev /loopX' как пользователь Zimbra:
<pre>
su - zimbra
zmlocalconfig -e zmstat_df_excludes=’/dev/loop0:/dev/loop1:/dev/loop2:/dev/loop3:/dev/loop4:/dev/loop5’
zmstatctl restart
</pre>
That’s all, these devices won’t bother you no more.

==== Как удалить DNSCACHE из сервисов Zimbra. ====
<pre>
su - zimbra
zmcontrol status
zmprov ms `zmhostname` -zimbraServiceEnabled dnscache
zmprov ms `zmhostname` -zimbraServiceInstalled dnscache
zmcontrol status
exit
</pre>

==== Starting proxy...nginx: [emerg] bind() to 0.0.0.0:143 failed (13: Permission denied)
failed. ====
<pre>
/opt/zimbra/libexec/zmfixperms
sudo setenforce Permissive
su - zimbra
zmprov -l gacf zimbraImapBindPort zimbraImapProxyBindPort
zmprov -l gs `zmhostname` zimbraImapBindPort zimbraImapProxyBindPort
exit
</pre>

Файл:NextCloud22.png

2025-01-13T11:43:30Z

Admin:

Установка и настройка NextCloud на RockyLinux 9.5

2025-01-13T11:41:15Z

Admin: Новая страница: «После установки на сервер RockyLinux 9.5 (Minimal) (x86_64) 4Gb RAM, 4 CPU, 200Gb SSD, приступаем к подготовке сервера. === Подготовка сервера === ==== 1. Системные требования ==== С актуальными системными требованиями можно ознакомиться на сайте разработчика в разделе Administration Manual - Ins...»

После установки на сервер RockyLinux 9.5 (Minimal) (x86_64) 4Gb RAM, 4 CPU, 200Gb SSD, приступаем к подготовке сервера.
=== Подготовка сервера ===
==== 1. Системные требования ====

С актуальными системными требованиями можно ознакомиться на сайте разработчика в разделе Administration Manual - Installation and server configuration - System requirements. Необходимо убедиться, что наш сервер соответствует данным требованиям.
<pre>
dnf update -y
dnf upgrade -y
</pre>

==== 2. Правильное время. ====
Устанавливаем утилиту epel-release, chrony и nano:
<pre>
dnf install epel-release nano open-vm-tools chrony -y
</pre>
Запускаем ее службу:
<pre>
systemctl enable chronyd --now
</pre>
Выставляем нужный часовой пояс:
<pre>
timedatectl set-timezone Europe/Moscow
</pre>

==== 3. Отключение SELinux. ====
<pre>
setenforce 0
sed -i "s/SELINUX=enforcing/SELINUX=disabled/" /etc/selinux/config
</pre>

==== 4. Установка репозиториев. ====
Устанавливаем репозиторий Remi (ссылка для Rocky Linux 9):
<pre>
dnf install https://rpms.remirepo.net/enterprise/remi-release-9.rpm
</pre>

==== 5. Установка MariaDB ====
Подключение актуального репозитория:

В примерах выше мы установили СУБД из репозиториев операционных систем. А значит — нет гарантии, что будет установлена последняя версия '''MariaDB'''. Для решения задачи мы можем подключить официальный репозиторий самого разработчика.

Генерируем репозиторий '''mariadb.repo'''.

Скачиваем скрипт из оф.сайта для генерации репозитория '''mariadb.repo''' и даем ему право на выполнение.
<pre>
cd ~
wget https://downloads.mariadb.com/MariaDB/mariadb_repo_setup
chmod +x mariadb_repo_setup
</pre>
После предоставления необходимых прав, нужно запустить этот скрипт и он уже сгенерирует репозиторий.
<pre>
./mariadb_repo_setup
</pre>
Итак, после выполнения скрипта файл '''mariadb.repo''' будет сгенерирован в директории '''/etc/yum.repos.d'''.

Заходим и смотрим, что он там намутил...
<pre>
nano /etc/yum.repos.d/mariadb.repo
</pre>
После генерации репозитория теперь запускаем установку самой MariaDB:
<pre>
dnf install mariadb mariadb-server --allowerasing
</pre>

Чтобы, проверить какие пакеты установились нужно использовать команду:
<pre>
yum list installed | grep mariadb
</pre>
Разрешаем автозапуск и запускаем СУБД:
<pre>
systemctl enable mariadb --now
</pre>

Проверьте состояние службы '''MariaDB''', выполнив следующую команду.
<pre>
systemctl status mariadb
</pre>
Сразу создаем пароль для учетной записи '''root''':
<pre>
mysqladmin -u root password
</pre>

Обновляем кэш для всех подключённых репозиториев:
<pre>
dnf makecache
</pre>
Обновляем все установленные пакеты до последних версий:
<pre>
dnf upgrade -y
</pre>

==== 7. PHP версии 8.3 ====
На момент написания этой статьи версией PHP по умолчанию на RockyLinux 9.5 является PHP 8.0.
Согласно системным требованиям Nexcloud по адресу '''https://docs.nextcloud.com/server/latest/admin_manual/installation/system_requirements.html''' мы собираемся установить PHP 8.3 и использовать его для установки Nextcloud.

Выводим список модулей PHP, которые могут быть включены:
<pre>
dnf module list php
</pre>
<pre>
[root@cloud ~]# dnf module list php
Last metadata expiration check: 0:00:32 ago on Fri Jan 3 12:16:33 2025.
Rocky Linux 9 - AppStream
Name Stream Profiles Summary
php 8.1 common [d], devel, minimal PHP scripting language
php 8.2 common [d], devel, minimal PHP scripting language

Remi's Modular repository for Enterprise Linux 9 - x86_64
Name Stream Profiles Summary
php remi-7.4 common [d], devel, minimal PHP scripting language
php remi-8.0 common [d], devel, minimal PHP scripting language
php remi-8.1 common [d], devel, minimal PHP scripting language
php remi-8.2 common [d], devel, minimal PHP scripting language
php remi-8.3 common [d], devel, minimal PHP scripting language
php remi-8.4 common [d], devel, minimal PHP scripting language
</pre>

Как видно выше, теперь мы можем установить PHP 8.3.

Чтобы включить источник по умолчанию для установки этого пакета скриптов на нашей машине AlmaLinux, нам нужно сначала сбросить его настройки, а затем указать желаемую версию для включения.
<pre>
dnf module reset php
dnf module enable php:remi-8.3 -y
</pre>
Вот и все, мы перешли на PHP 8.3. Теперь, чтобы установить PHP 8.3 с необходимыми расширениями, мы можем выполнить эту команду ниже:
<pre>
dnf install php -y
dnf install httpd wget zip unzip libxml2 openssl php83-php php83-php-ctype php83-php-curl php83-php-gd php83-php-iconv php83-php-json php83-php-libxml php83-php-mbstring php83-php-openssl php83-php-posix php83-php-session php83-php-xml php83-php-zip php83-php-zlib php83-php-pdo php83-php-mysqlnd php83-php-intl php83-php-bcmath php83-php-gmp php83-php-imagick php83-php-pecl-apcu php83-php-redis mod_ssl openssh -y
</pre>
После завершения установки служба PHP-FPM будет запущена, но не будет включена после перезагрузки сервера. Вы можете проверить и подтвердить установленную версию PHP с помощью этой команды.
<pre>
php -v
</pre>
Он вернет такой вывод:
<pre>
[root@cloud ~]# php -v
PHP 8.3.15 (cli) (built: Dec 17 2024 18:18:02) (NTS gcc x86_64)
Copyright (c) The PHP Group
Zend Engine v4.3.15, Copyright (c) Zend Technologies
with Zend OPcache v8.3.15, Copyright (c), by Zend Technologies
</pre>

Создаём каталоги
<pre>
mkdir -p /var/www/cloud.putyato.ru/html
mkdir -p /var/www/cloud.putyato.ru/data
</pre>
'''html —''' в каталоге будет размещаться nextcloud;

'''data —''' в каталоге будут размещаться данные, которые пользователь помещает в облако. По умолчанию nextcloud размещает эти данные в своём каталоге, который доступен из сети интернет, но мы их вынесем из него для безопасности.

=== Настройка Apache ===
Включаем автозапуск и запускаем:
<pre>
systemctl enable httpd
systemctl start httpd
</pre>
Создаём каталоги, в которых будут находиться данные наших сайтов:
<pre>
mkdir -p /etc/httpd/sites-available /etc/httpd/sites-enabled
</pre>
В файле /etc/httpd/conf/httpd.conf в самом конце дописываем строку:
<pre>
nano /etc/httpd/conf/httpd.conf
</pre>
<pre>
........
Include /etc/httpd/sites-enabled
</pre>
Добавляем или изменяем строку раскомментировав:
<pre>
.......
ServerName cloud.putyato.ru
........
</pre>
Создаём файл /etc/httpd/sites-available/cloud.putyato.ru со следующим содержимым:
<pre>
nano /etc/httpd/sites-available/cloud.putyato.ru
</pre>
<pre>
<VirtualHost *:80>
ServerName cloud.putyato.ru
DocumentRoot /var/www/cloud.putyato.ru/html/
DirectoryIndex index.php index.htm index.html

CustomLog "/var/log/httpd/cloud.putyato.ru-access_log" combined
ErrorLog "/var/log/httpd/cloud.putyato.ru-error_log"

<Directory /var/www/cloud.putyato.ru/html/>
Require all granted
AllowOverride All
Options FollowSymLinks MultiViews
<IfModule mod_dav.c>
Dav off
</IfModule>
</Directory>
</VirtualHost>
</pre>
Если во время настройки вы хотите отлаживать процесс и обращаться к серверу по IP, то добавляем ServerAlias. Пример:

<pre>
...
ServerName cloud.putyato.ru
ServerAlias 10.7.7.22
...
</pre>
Создаём символическую ссылку на данный файл:
<pre>
ln -s /etc/httpd/sites-available/cloud.putyato.ru /etc/httpd/sites-enabled/
</pre>
Проверяем и перезапускаем Apache:
<pre>
apachectl configtest
systemctl restart httpd
</pre>

=== Настройка PHP ===
В файле /etc/opt/remi/php83/php.ini раскомментировать и изменить или добавить строки:
<pre>
nano /etc/opt/remi/php83/php.ini
</pre>
<pre>
......
memory_limit = 1G
max_execution_time = 3600
max_input_time = 3600
upload_max_filesize = 10G
post_max_size = 10G
file_uploads = On
upload_tmp_dir = "/tmp"
max_file_uploads = 200
date.timezone = "Europe/Moscow"
........
</pre>
Ряд настроек позволит без проблем загружать файлы большого размера.

date.timezone = «Europe/Moscow» — для города Москва в РФ. Указывайте вашу временную зону, которую можете найти в интернете.

Обратите внимание, что для того, чтобы все корректно работало в Nextcloud, ваш часовой пояс в файле php.ini должен совпадать с настройками часового пояса вашего компьютера. Вы можете узнать часовой пояс компьютера командой:
<pre>
ls -al /etc/localtime
</pre>
В этом случае у вас будет показана информация следующего вида:
<pre>
/etc/localtime -> ../usr/share/zoneinfo/Europe/Moscow
</pre>
В файле /etc/opt/remi/php83/php.d/40-apcu.ini раскомментировать и изменить или добавить строки:
<pre>
nano /etc/opt/remi/php83/php.d/40-apcu.ini
</pre>
<pre>
extension = apcu.so

apc.enable_cli=1
</pre>
В файле /etc/opt/remi/php83/php.d/10-opcache.ini раскомментировать и изменить или добавить строку:
<pre>
nano /etc/opt/remi/php83/php.d/10-opcache.ini
</pre>
<pre>
opcache.interned_strings_buffer=16
</pre>
Проверяем и перезапускаем Apache:
<pre>
apachectl configtest
systemctl restart httpd
</pre>

=== Настройка MariaDB ===
Включаем автозапуск и запускаем:
<pre>
systemctl enable mariadb
systemctl restart mariadb
</pre>
Настраиваем:
<pre>
sudo mariadb-secure-installation
</pre>
1. На вопрос «Enter current password for root (enter for none):» нажимаем Enter.

2. На вопрос «Switch to unix_socket authentication [Y/n]» вводим n и нажимаем Enter. Можете подробнее изучить эту тему и выбирать другий вариант.

3. На вопрос «Change the root password? [Y/n]» нажимаем Enter, т.е. принимаем по умолчанию ответ Y (да).

4. Далее дважды вводим новый пароль, чтобы установить пароль пользователя root базы данных (не операционной системы). При вводе пароль не отображается, поэтому будьте аккуратны.

5. Далее на вопрос «Remove anonymous users? [Y/n]» нажимаем Enter.

6. На вопрос «Disallow root login remotely? [Y/n]» нажимаем Enter.

7. На вопрос «Remove test database and access to it? [Y/n]» нажимаем Enter.

8. На вопрос «Reload privilege tables now? [Y/n]» нажимаем Enter.

Перезапускаем MariaDB:
<pre>
systemctl restart mariadb
</pre>

=== Установка и настройка Redis ===
Устанавливаем и запускаем:
<pre>
dnf install redis -y
systemctl enable redis
systemctl start redis
</pre>
Nextcloud и Redis будут работать на одном сервере. В этом случае с Redis не будут работать системы развёрнутые на других серверах и его работу лучше настроить через Unix-сокет. Откройте конфигурационный файл Redis, который обычно находится по пути /etc/redis/redis.conf, раскомментировать и изменить или добавить строки:
<pre>
nano /etc/redis/redis.conf
</pre>
<pre>
unixsocket /run/redis/redis.sock

unixsocketperm 770

# bind 127.0.0.1 -::1 # закомментируйте эту строку

port 0
</pre>
Создаём каталог и изменяем права:
<pre>
mkdir -p /run/redis
chmod 770 /run/redis/
usermod -aG redis apache
</pre>
Перезапускаем Redis и проверяем работу через unix-сокет:
<pre>
systemctl restart redis
redis-cli -s /var/run/redis/redis.sock
</pre>
Redis выведет командную строку для работы с ним следующего вида:
<pre>
redis /var/run/redis/redis.sock>
</pre>
Вводим '''exit''' и нажимаем Enter для выхода.

=== Установка Nextcloud ===
Переходим на официальный сайт Nextcloud и получаем ссылку на дистрибутив для «Community projects» — «Archive». Далее скачиваем дистрибутив и распаковываем его:
<pre>
cd /tmp
wget https://download.nextcloud.com/server/releases/latest.zip
unzip latest.zip
</pre>
Ссылка на архив может иметь в ваше время другой вид, на момент написания статьи она имела вид указанный в команде. По итогу появится каталог /tmp/nextcloud. Копируем содержимое каталога в каталог, где будет находиться Nextcloud:
<pre>
cd /tmp/nextcloud
cp -Rf . /var/www/cloud.putyato.ru/html/
</pre>
Изменяем права доступа к каталогам для пользователя apache:
<pre>
chown -Rf apache.apache /var/www/cloud.putyato.ru/html
chown -Rf apache.apache /var/www/cloud.putyato.ru/data
chmod 770 /var/www/cloud.putyato.ru/data/
</pre>
==== Настройка Firewall ====
Открываем порты на которых будет работать Nextcloud:
<pre>
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --zone=public --add-port=3306/tcp --permanent
firewall-cmd --reload
</pre>

=== Настройка работы по HTTPS ===
Cгенерируйте SSL по умолчанию для localhost с помощью команды openssl ниже. Но если у вас уже есть сертификаты " /etc/pki/tls/private/localhost.key " и " /etc/pki/tls/certs/localhost.crt ", вы можете пропустить этот этап.
<pre>
openssl req -newkey rsa:2048 -nodes -keyout /etc/pki/tls/private/localhost.key -x509 -days 365 -out /etc/pki/tls/certs/localhost.crt
</pre>
Вы можете просто нажать Enter для ответа на все вопросы, поскольку этот сертификат будет использоваться только для локального хоста, а не для доменного имени WordPress.

Далее:
<pre>
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp apache /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt
</pre>
Далее измените рабочий каталог на « /etc/httpd/conf.d/ » и создайте новую конфигурацию « well-known.conf » с помощью редактора nano.
<pre>
cd /etc/httpd/conf.d/
nano well-known.conf
</pre>
Добавьте следующие конфигурации.
<pre>
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
</pre>
Проверяем и перезапускаем апачи
<pre>
apachectl configtest
sudo systemctl restart httpd
</pre>

В файле /etc/httpd/conf/httpd.conf добавим или изменим строку раскомментировав:
<pre>
nano /etc/httpd/conf/httpd.conf
</pre>
<pre>
......
LoadModule ssl_module modules/mod_ssl.so
</pre>

Мы установим SSL-сертификат для нашего сайта Nextcloud, используя бесплатный SSL-сертификат от Lets Encrypt.

При настройке будем использовать ключи и сертификаты, которые получили (купили) где-либо, т.е. не будет использоваться Let’s Encrypt. Я его не использую, так как облако у меня работает на нестандартных портах и развёрнуто за роутером на домашнем сервере, куда доступ для всех, включая Let’s Encrypt, закрыт.

Для использования Let’s Encrypt воспользуйтесь рекомендациями из официальной документации https://docs.rockylinux.org/guides/security/generating_ssl_keys_lets_encrypt
<pre>
dnf install certbot python3-certbot-apache -y
</pre>
После установки вы можете запустить эту команду для выпуска SSL-сертификата. Опять же, не забудьте заменить поддомен на ваше фактическое имя домена или поддомена; оно должно совпадать с именем в файле конфигурации блока сервера nginx, который мы создали ранее. Также убедитесь, что домен или поддомен уже указывает на IP-адрес вашего сервера.
<pre>
certbot --apache
</pre>
Обязательно ответьте на вопросы, и вы увидите примерно такой вывод:
<pre>
[root@cloud ~]# certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices)
(Enter 'c' to cancel): admin@putyato.ru

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.4-April-3-2024.pdf. You must agree in
order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N
Account registered.

Which names would you like to activate HTTPS for?
We recommend selecting either all domains, or all domains in a VirtualHost/server block.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: cloud.putyato.ru
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1
Requesting a certificate for cloud.putyato.ru

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/cloud.putyato.ru/fullchain.pem
Key is saved at: /etc/letsencrypt/live/cloud.putyato.ru/privkey.pem
This certificate expires on 2025-04-03.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

Deploying certificate
Successfully deployed certificate for cloud.putyato.ru to /etc/httpd/sites-available/cloud.putyato.ru-le-ssl.conf
Congratulations! You have successfully enabled HTTPS on https://cloud.putyato.ru

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
* Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
* Donating to EFF: https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
</pre>

Вносим изменения в файл /etc/httpd/sites-available/cloud.putyato.ru заменяем его содержимое на:
<pre>
nano /etc/httpd/sites-available/cloud.putyato.ru
</pre>
<pre>
<VirtualHost *:80>
ServerName cloud.putyato.ru
ServerAdmin admin@putyato.ru
Redirect / https://cloud.putyato.ru/
</VirtualHost>
<VirtualHost *:443>
ServerName cloud.putyato.ru
DocumentRoot /var/www/cloud.putyato.ru/html/
DirectoryIndex index.php index.htm index.html

CustomLog "/var/log/httpd/cloud.putyato.ru-access_log" combined
ErrorLog "/var/log/httpd/cloud.putyato.ru-error_log"

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3 -TLSv1
SSLCertificateFile /etc/letsencrypt/live/cloud.putyato.ru/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/cloud.putyato.ru/privkey.pem

# SSLCertificateChainFile не нужен в современных версиях Apache. Все промежуточные сертификаты помещаю>

<Directory /var/www/cloud.putyato.ru/html/>
Require all granted
AllowOverride All
Options FollowSymLinks
</Directory>

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>
</VirtualHost>
</pre>
Или измените рабочий каталог на « /etc/httpd/conf.d » и создайте новую конфигурацию « nextcloud.conf » с помощью редактора nano.
<pre>
cd /etc/httpd/conf.d/
nano nextcloud.conf
</pre>
<pre>
<VirtualHost *:80>
ServerName cloud.putyato.ru
ServerAdmin admin@putyato.ru
Redirect / https://cloud.putyato.ru/
</VirtualHost>
<VirtualHost *:443>
ServerName cloud.putyato.ru
DocumentRoot /var/www/cloud.putyato.ru/html/
DirectoryIndex index.php index.htm index.html

CustomLog "/var/log/httpd/cloud.putyato.ru-access_log" combined
ErrorLog "/var/log/httpd/cloud.putyato.ru-error_log"

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3 -TLSv1
SSLCertificateFile /etc/letsencrypt/live/cloud.putyato.ru/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/cloud.putyato.ru/privkey.pem

# SSLCertificateChainFile не нужен в современных версиях Apache. Все промежуточные сертификаты помещаю>

<Directory /var/www/cloud.putyato.ru/html/>
Require all granted
AllowOverride All
Options FollowSymLinks
</Directory>

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>
</VirtualHost>
</pre>
Перезапускаем Apache:
<pre>
systemctl restart httpd
</pre>

==== Запуск и настройка Nextcloud ====
Настраиваем cron. Создаём файл для cron для пользователя apache:
<pre>
crontab -u apache -e
</pre>
Откроется консольный редактор. Вписываем следующее:
<pre>
*/5 * * * * /opt/remi/php83/root/usr/bin/php -f /var/www/cloud.putyato.ru/html/cron.php
</pre>
Далее нажимаем клавишу Escape (ESC), чтобы выйти из режима редактирования и вводим команду:
<pre>
:wq
</pre>
Нажимаем клавишу Enter. Редактор сохранит данные в файле /var/spool/cron/apache и закроется.

Переходим на сайт по адресу '''http://cloud.putyato.ru''' и видим первичное окно настройки, в котором можно задавать настройки.

Продолжаем настройку:

[[File:NextCloud22.png|link=]]

* Указываем логин и пароль учётной записи администратора, которую создаст Nextcloud.

* Указываем путь к каталогу с данными. В нашем случае мы создали каталог '''/var/www/cloud.putyato.ru/data'''. В вашем случае он может быть в любом другом месте. Не размещать его в каталоге html, в котором находятся служебные файлы Nextcloud.

* Указываем базу данных MariaDB: указываем учётную запись администратора к базе данных, имя базы данных для Nextcloud, хост базы данных оставляем по умолчанию.

Нажимаем кнопку Установить. Если вы всё правильно сделали, так как написано в данной статье, то вы увидите страницу, на которой предлагают установить рекомендованные приложения.

Создаём индексы в базе данных и проводим миграцию (команда выполняется от имени пользователя apache):
<pre>
sudo -u apache /opt/remi/php83/root/usr/bin/php /var/www/cloud.putyato.ru/html/occ db:add-missing-indices

sudo -u apache /opt/remi/php83/root/usr/bin/php /var/www/cloud.putyato.ru/html/occ maintenance:repair --include-expensive
</pre>
В файл '''/var/www/cloud.putyato.ru/html/config/config.php''' добавляем строки:
<pre>
nano /var/www/cloud.putyato.ru/html/config/config.php
</pre>
<pre>
'default_phone_region' => 'RU',
'maintenance_window_start' => 1,
'memcache.local' => '\\OC\\Memcache\\APCu',
'memcache.distributed' => '\\OC\\Memcache\\Redis',
'memcache.locking' => '\\OC\\Memcache\\Redis',
'redis' =>
array (
'host' => '/var/run/redis/redis.sock',
'port' => 0,
'timeout' => 0.0,
),
</pre>
Исправляем:
<pre>
nano /var/www/cloud.putyato.ru/html/config/config.php
</pre>
<pre>
.......
'trusted_domains' =>
array (
0 => 'localhost',
1 => 'cloud.putyato.ru',
2 => '10.7.7.22',
),
.......
</pre>
На данном этапе система настроена и работает. Однако рекомендую настроить работу по протоколу HTTPS в целях повышения безопасности.

==== Удаление ненужного ====
Удаляем ненужные данные:
<pre>
rm -f /tmp/latest.zip
rm -fR /tmp/nextcloud
</pre>

=== Настройка виртуального хоста Apache для Nextcloud (не нужно!) ===
На этом этапе вы добавите новую конфигурацию виртуального хоста Apache/httpd для Nextcloud.

1. Измените рабочий каталог на « /etc/httpd/conf.d » и создайте новую конфигурацию « nextcloud.conf » с помощью редактора nano.
<pre>
cd /etc/httpd/conf.d/
nano nextcloud.conf
</pre>
Измените подробное доменное имя и путь к каталогу SSL на свои собственные и вставьте конфигурацию в файл « nextcloud.conf ».
<pre>
<VirtualHost *:80>
ServerName cloud.putyato.ru
ServerAlias 10.7.7.24

# auto redirect HTTP to HTTPS
Redirect permanent / https://cloud.putyato.ru/
</VirtualHost>

<VirtualHost *:443>
ServerName cloud.putyato.ru
ServerAlias 10.7.7.24

DocumentRoot /var/www/cloud.putyato.ru/html/

Protocols h2 http/1.1

# auto redirect www to non-www
<If "%{HTTP_HOST} == 'www.cloud.putyato.ru'">
Redirect permanent / https://cloud.putyato.ru/
</If>

# log files
ErrorLog /var/log/httpd/cloud.putyato.ru-error.log
CustomLog /var/log/httpd/cloud.putyato.ru-access.log combined

SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/cloud.putyato.ru/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/cloud.putyato.ru/privkey.pem

# HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>

<Directory /var/www/cloud.putyato.ru/html/>
Options +FollowSymlinks
AllowOverride All

<IfModule mod_dav.c>
Dav off
</IfModule>

SetEnv HOME /var/www/cloud.putyato.ru/html
SetEnv HTTP_HOME /var/www/cloud.putyato.ru/html
</Directory>
</VirtualHost>
<pre>
Проверяем и перезапускаем апачи
<pre>
apachectl configtest
sudo systemctl restart httpd
</pre>

Установка и настройка почтового сервера Zimbra 10.1.0 на RockyLinux 9.5

2025-01-13T11:28:06Z

Admin: Новая страница: «Zimbra — это продукт Synacor с открытым исходным кодом, используемый для совместной работы, чата по электронной почте, календаря, чата, а также видеоконференций. После установки на сервер RockyLinux 9.5 (Minimal) (x86_64) 6Gb RAM, 4 CPU, 50Gb SSD, приступаем к подготовке сервера. ('''''ht...»

Шпаргалка знаний

2025-01-13T11:26:36Z

Admin:

[[Установка и настройка почтового сервера Zimbra 9.0 на CentOS 7]]

[[Установка и настройка почтового сервера Zimbra 10.1.0 на RockyLinux 9.5]]

[[Установка и настройка «1С-Битрикс: Веб-окружение» на CentOS 7]]

[[Установка и настройка WEB сервера NGINX + Apache (httpd) + MariaDB (MySQL) + PHP + PHP-FPM (fastCGI) + FTP + PHPMyAdmin + Memcached + Postfix на CentOS 7]]

[[Установка и настройка WEB сервера NGINX + Apache (httpd) + MariaDB (MySQL) + PHP + PHP-FPM (fastCGI) + FTP + PHPMyAdmin + Memcached + Postfix на CentOS 8]]

[[Установка и настройка WEB сервера NGINX + Apache (httpd) + MariaDB (MySQL) + PHP + PHP-FPM (fastCGI) + FTP + PHPMyAdmin + Postfix на AlmaLinux 9]]

[[Установка и настройка Nginx reverse proxy, web сервер на на CentOS 7]]

[[Установка и настройка Nginx reverse proxy, web сервер на на CentOS 8]]

[[Установка и настройка Nginx reverse proxy, web сервер на на AlmaLinux 9]]

[[Установка сертификата Let’s Encrypt Nginx в CentOS 7]]

[[Установка сертификата Let’s Encrypt Nginx в CentOS 8, AlmaLinux 9]]

[[Установка и настройка NextCloud на CentOS 8]]

[[Установка и настройка NextCloud на Debian 12]]

[[Установка и настройка NextCloud на AlmaLinux 9]]

[[Установка и настройка NextCloud на RockyLinux 9.5]]

[[Установка и настройка почтового сервера Postfix с виртуальными доменами, системой управления Dovecot, веб-доступом Roundcube на CentOS 8, 9]]

[[Установка и настройка Asterisk + FreePBX на CentOS 8]]

[[Установка и настройка личного IM-мессенджера со сквозным шифрованием только для узкого круга людей на CentOS 8]]

[[Настройка и использование Fail2ban на CentOS]]

[[SimpleX – первый мессенджер без идентификаторов пользователей, настройка сервера на Debian 12]]

[[Настройка сервера IKEv2 VPN с StrongSwan в Ubuntu 20.04]]

[[Настройка своего KMS сервера для активации продуктов Мicrosoft на Debian12, Ubuntu 22.04]]

[[Активация Windows и Office через командную строку Windows PowerShell (администратор)]]

[[Удаление разделов и полная очистка дика через командную стоку Windows PowerShell (администратор)]]

Установка и настройка NextCloud на AlmaLinux 9

2024-10-10T22:02:56Z

Admin: /* Установка Nextcloud */

После установки на сервер AlmaLinux 9 (Minimal) (x86_64) 4Gb RAM, 4 CPU, 200Gb SSD, приступаем к подготовке сервера.
=== Подготовка сервера ===
==== 1. Системные требования ====

С актуальными системными требованиями можно ознакомиться на сайте разработчика в разделе Administration Manual - Installation and server configuration - System requirements. Необходимо убедиться, что наш сервер соответствует данным требованиям.
<pre>
dnf update -y
dnf upgrade -y
</pre>

==== 2. Правильное время. ====
Устанавливаем утилиту chrony и nano:
<pre>
dnf install nano chrony -y
</pre>
Запускаем ее службу:
<pre>
systemctl enable chronyd --now
</pre>
Выставляем нужный часовой пояс:
<pre>
timedatectl set-timezone Europe/Moscow
</pre>
==== 3. Настройка брандмауэра. ====
<pre>
firewall-cmd --permanent --add-port={80,443}/tcp
firewall-cmd --reload
</pre>
==== 4. Отключение SELinux. ====
<pre>
setenforce 0
sed -i "s/SELINUX=enforcing/SELINUX=disabled/" /etc/selinux/config
</pre>
=== Установка и настройка веб-сервера ===
==== PHP версии 8.3 ====
На момент написания этой статьи версией PHP по умолчанию на AlmaLinux 9 является PHP 8.0.
Согласно системным требованиям Nexcloud по адресу '''https://docs.nextcloud.com/server/latest/admin_manual/installation/system_requirements.html''' мы собираемся установить PHP 8.3 и использовать его для установки Nextcloud.
<pre>
dnf -y install https://rpms.remirepo.net/enterprise/remi-release-9.3.rpm
dnf update
</pre>
После обновления мы сможем проверить все доступные версии PHP для установки на наш сервер AlmaLinux после установки репозитория Remi.
<pre>
dnf module list php
</pre>
Вы увидите примерно такой вывод:
<pre>
[root@rh ~]$# dnf module list php
Last metadata expiration check: 0:00:17 ago on Wed 19 Jun 2024 03:51:07 AM CDT.
AlmaLinux 9 - AppStream
Name Stream Profiles Summary
php 8.1 common [d], devel, minimal PHP scripting language
php 8.2 common [d], devel, minimal PHP scripting language

Remi's Modular repository for Enterprise Linux 9 - x86_64
Name Stream Profiles Summary
php remi-7.4 common [d], devel, minimal PHP scripting language
php remi-8.0 common [d], devel, minimal PHP scripting language
php remi-8.1 common [d], devel, minimal PHP scripting language
php remi-8.2 common [d], devel, minimal PHP scripting language
php remi-8.3 common [d], devel, minimal PHP scripting language
</pre>
Как видно выше, теперь мы можем установить PHP 8.3.

Чтобы включить источник по умолчанию для установки этого пакета скриптов на нашей машине AlmaLinux, нам нужно сначала сбросить его настройки, а затем указать желаемую версию для включения.
<pre>
dnf module reset php
dnf module enable php:remi-8.3
</pre>
Вот и все, мы перешли на PHP 8.3. Теперь, чтобы установить PHP 8.3 с необходимыми расширениями, мы можем выполнить эту команду ниже:
<pre>
dnf install php php-{bz2,ctype,curl,fpm,gd,imagick,intl,json,fileinfo,libxml,mbstring,mysqlnd,openssl,posix,session,simplexml,xmlreader,xmlwriter,zip,zlib}
</pre>
После завершения установки служба PHP-FPM будет запущена, но не будет включена после перезагрузки сервера. Вы можете проверить и подтвердить установленную версию PHP с помощью этой команды.
<pre>
php -v
</pre>
Он вернет такой вывод:
<pre>
[root@almalinux8 ~]# php -v
PHP 8.3.8 (cli) (built: Jun 4 2024 14:53:17) (NTS gcc x86_64)
Copyright (c) The PHP Group
Zend Engine v4.3.8, Copyright (c) Zend Technologies
with Zend OPcache v8.3.8, Copyright (c), by Zend Technologies
</pre>

==== Настройка PHP-FPM ====
На машине Almalinux, ‘user’ и ‘group’ в '''/etc/php-fpm.d/www.conf''' по умолчанию являются ‘apache.’ Поскольку мы будем использовать nginx в качестве веб-сервера, нам нужно отредактировать файл конфигурации.
<pre>
nano /etc/php-fpm.d/www.conf
</pre>
Измените ‘user’ и ‘group’ на ‘nginx’.
<pre>
...
user = nginx
group = nginx
...
</pre>
Сохраните файл, затем выйдите. После этого мы отредактируем некоторые значения PHP, необходимые для установки Nextcloud.
<pre>
nano /etc/php.ini
</pre>
Раскомментируйте и измените значения конфигурации, как показано ниже.
<pre>
...
memory_limit = 1024M
date.timezone = "Europe/Moscow"
cgi.fixpathinfo = 0
...
</pre>
Нам также необходимо изменить разрешения сеанса PHP и каталогов OpCache.
<pre>
chown -R root.nginx /var/lib/php/opcache/
chown -R root.nginx /var/lib/php/session/
</pre>
Затем перезапустим PHP-FPM и включим его после перезагрузки.
<pre>
systemctl restart php-fpm
systemctl enable php-fpm
</pre>

====Установка и настройка NGINX ====
После настройки PHP-FPM мы установим и настроим nginx как веб-сервер, а не Apache. Выполните эту команду, чтобы установить его.
<pre>
dnf install nginx -y
</pre>
Запустите nginx и включите его при загрузке.
<pre>
systemctl enable --now nginx
</pre>
Давайте создадим блок сервера nginx.
<pre>
nano /etc/nginx/conf.d/cloud.putyato.ru.conf
</pre>
Вставьте следующее и обязательно замените '''cloud.putyato.ru''' на свое фактическое имя домена или поддомена:
<pre>
upstream php-handler {
server unix:/run/php-fpm/www.sock;
}

# Set the `immutable` cache control options only for assets with a cache busting `v` argument
map $arg_v $asset_immutable {
"" "";
default "immutable";
}

server {
listen 80;
server_name cloud.putyato.ru;

# Path to the root of your installation
root /var/www/nextcloud;

# Prevent nginx HTTP Server Detection
server_tokens off;

# set max upload size and increase upload timeout:
client_max_body_size 512M;
client_body_timeout 300s;
fastcgi_buffers 64 4K;

# Enable gzip but do not remove ETag headers
gzip on;
gzip_vary on;
gzip_comp_level 4;
gzip_min_length 256;
gzip_proxied expired no-cache no-store private no_last_modified no_etag auth;
gzip_types application/atom+xml application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/wasm application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy;

# HTTP response headers borrowed from Nextcloud `.htaccess`
add_header Referrer-Policy "no-referrer" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Download-Options "noopen" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Permitted-Cross-Domain-Policies "none" always;
add_header X-Robots-Tag "none" always;
add_header X-XSS-Protection "1; mode=block" always;

# Remove X-Powered-By, which is an information leak
fastcgi_hide_header X-Powered-By;

index index.php index.html /index.php$request_uri;

# Rule borrowed from `.htaccess` to handle Microsoft DAV clients
location = / {
if ( $http_user_agent ~ ^DavClnt ) {
return 302 /remote.php/webdav/$is_args$args;
}
}

location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}

# Make a regex exception for `/.well-known` so that clients can still
# access it despite the existence of the regex rule
# `location ~ /(\.|autotest|...)` which would otherwise handle requests
# for `/.well-known`.
location ^~ /.well-known {
# The rules in this block are an adaptation of the rules
# in `.htaccess` that concern `/.well-known`.

location = /.well-known/carddav { return 301 /remote.php/dav/; }
location = /.well-known/caldav { return 301 /remote.php/dav/; }

location /.well-known/acme-challenge { try_files $uri $uri/ =404; }
location /.well-known/pki-validation { try_files $uri $uri/ =404; }

# Let Nextcloud's API for `/.well-known` URIs handle all other
# requests by passing them to the front-end controller.
return 301 /index.php$request_uri;
}

# Rules borrowed from `.htaccess` to hide certain paths from clients
location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)(?:$|/) { return 404; }
location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console) { return 404; }

# Ensure this block, which passes PHP files to the PHP process, is above the blocks
# which handle static assets (as seen below). If this block is not declared first,
# then Nginx will encounter an infinite rewriting loop when it prepends `/index.php`
# to the URI, resulting in a HTTP 500 error response.
location ~ \.php(?:$|/) {
# Required for legacy support
rewrite ^/(?!index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|oc[ms]-provider\/.+|.+\/richdocumentscode\/proxy) /index.php$request_uri;

fastcgi_split_path_info ^(.+?\.php)(/.*)$;
set $path_info $fastcgi_path_info;

try_files $fastcgi_script_name =404;

include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param PATH_INFO $path_info;
fastcgi_param HTTPS on;

fastcgi_param modHeadersAvailable true;
# Avoid sending the security headers twice
fastcgi_param front_controller_active true;
# Enable pretty urls
fastcgi_pass php-handler;

fastcgi_intercept_errors on;
fastcgi_request_buffering off;

fastcgi_max_temp_file_size 0;
}

location ~ \.(?:css|js|svg|gif|png|jpg|ico|wasm|tflite|map)$ {
try_files $uri /index.php$request_uri;
add_header Cache-Control "public, max-age=15778463, $asset_immutable";
access_log off;
# Optional: Don't log access to assets

location ~ \.wasm$ {
default_type application/wasm;
}
}

location ~ \.woff2?$ {
try_files $uri /index.php$request_uri;
expires 7d;
# Cache-Control policy borrowed from `.htaccess`
access_log off;
# Optional: Don't log access to assets
}

# Rule borrowed from `.htaccess`
location /remote {
return 301 /remote.php$request_uri;
}

location / {
try_files $uri $uri/ /index.php$request_uri;
}
}
</pre>
Сохраните файл, затем выйдите и перезапустите nginx.
<pre>
systemctl restart nginx
</pre>

=== Установка сервера MySQL ===
Nextcloud поддерживает несколько баз данных, таких как PostgreSQL, Oracle, SQLite и MySQL/MariaDB. В этом руководстве мы будем использовать MySQL 8.0. Давайте сначала установим его, вызвав команду ниже.
<pre>
dnf install mysql mysql-server
systemctl enable --now mysqld
</pre>
Сервер MySQL теперь запущен и будет автоматически запущен после перезагрузки. Вы можете проверить статус, выполнив эту команду:
<pre>
systemctl status mysqld
</pre>
Команда вернет следующий вывод:
<pre>
[root@almalinux9 ~]$# systemctl status mysqld
● mysqld.service - MySQL 8.0 database server
Loaded: loaded (/usr/lib/systemd/system/mysqld.service; enabled; preset: disabled)
Active: active (running) since Wed 2024-06-19 03:26:55 CDT; 1min 41s ago
Process: 4912 ExecStartPre=/usr/libexec/mysql-check-socket (code=exited, status=0/SUCCESS)
Process: 4934 ExecStartPre=/usr/libexec/mysql-prepare-db-dir mysqld.service (code=exited, status=0/SUCCESS)
Main PID: 5009 (mysqld)
Status: "Server is operational"
Tasks: 37 (limit: 23191)
Memory: 459.9M
CPU: 9.713s
CGroup: /system.slice/mysqld.service
└─5009 /usr/libexec/mysqld --basedir=/usr

Jun 19 03:26:41 almalinux9.rosehosting.com systemd[1]: Starting MySQL 8.0 database server...
Jun 19 03:26:41 almalinux9.rosehosting.com mysql-prepare-db-dir[4934]: Initializing MySQL database
Jun 19 03:26:55 almalinux9.rosehosting.com systemd[1]: Started MySQL 8.0 database server.
</pre>

=== Создание базы данных ===
После установки сервера MySQL на предыдущем шаге мы можем приступить к созданию новой базы данных и пользователя для нашего веб-сайта Nextcloud.
<pre>
mysql
</pre>
В оболочке MySQL выполните следующие команды.
<pre>
mysql> CREATE DATABASE nextcloud CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci;

mysql> CREATE USER 'nextcloud'@'localhost' IDENTIFIED BY "nextcloud";

mysql> GRANT ALL PRIVILEGES ON nextcloud.* TO 'nextcloud'@'localhost';

mysql> FLUSH PRIVILEGES;

mysql> \q
</pre>
Не забудьте заменить « nextcloud » на более надежный пароль.

=== Установка SSL-сертификата ===
Мы установим SSL-сертификат для нашего сайта Nextcloud, используя бесплатный SSL-сертификат от Lets Encrypt.
<pre>
dnf install certbot python3-certbot-nginx -y
</pre>
После установки вы можете запустить эту команду для выпуска SSL-сертификата. Опять же, не забудьте заменить поддомен на ваше фактическое имя домена или поддомена; оно должно совпадать с именем в файле конфигурации блока сервера nginx, который мы создали ранее. Также убедитесь, что домен или поддомен уже указывает на IP-адрес вашего сервера.
<pre>
certbot --nginx -d cloud.putyato.ru
</pre>
Обязательно ответьте на вопросы, и вы увидите примерно такой вывод:
<pre>
[root@rh ~]$# certbot --nginx -d cloud.putyato.ru
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices)
(Enter 'c' to cancel): admin@putyato.ru

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.4-April-3-2024.pdf. You must agree in
order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N
Account registered.
Requesting a certificate for cloud.putyato.ru

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/cloud.putyato.ru/fullchain.pem
Key is saved at: /etc/letsencrypt/live/cloud.putyato.ru/privkey.pem
This certificate expires on 2024-09-17.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

Deploying certificate
Successfully deployed certificate for cloud.putyato.ru to /etc/nginx/conf.d/nexcloud.conf
Congratulations! You have successfully enabled HTTPS on https://cloud.example.com

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
* Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
* Donating to EFF: https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
</pre>
Теперь перезапустим nginx.
<pre>
systemctl restart nginx
</pre>

=== Установка Nextcloud ===
Наконец, мы можем приступить к установке Nextcloud. Сначала нам нужно скачать файл архива установки. Перейдите на страницу загрузки Nextcloud и выберите нужную вам версию.

Для этого примера мы загрузим последнюю доступную версию. Давайте выполним эту команду:
<pre>
wget https://download.nextcloud.com/server/releases/latest.zip -O latest.zip
</pre>
Затем извлеките загруженный zip-архив в корневой каталог документов на вашем сервере.
<pre>
unzip latest.zip -d /var/www/
mkdir /var/www/nextcloud/data
chown -R nginx: /var/www/nextcloud
</pre>
После извлечения вы можете приступить к установке Nextcloud через веб-установщик по адресу http://cloud.yourdomain.com, щелкните вкладку MySQL/MariaDB, затем заполните поля по мере необходимости, затем нажмите кнопку «Установить», чтобы завершить установку.

[[File:Next_01.jpg|link=]]

Переключаемся на MySQL/MariaDB, вводим в качестве '''логина, пароля и базы :''' '''nextcloud'''

[[File:Next_02.jpg|link=]]

[[File:Next_08.jpg|link=]]

Завершаем установку, при желании, оставим галочку для установки рекомендованных приложений:

[[File:Next_03.jpg|link=]]

После установки мы окажемся в системе.

=== Проверка безопасности и параметров ===
Для корректной работы системы выполним дополнительную настройку системы. После входа в nextcloud под администратором, переходим в настройки для пользователя:

[[File:Next_04.jpg|link=]]

В разделе «Параметры сервера» переходим в Основные сведения:

[[File:Next_05.jpg|link=]]

В разделе «Проверка безопасности и параметров» мы можем увидеть список проблем.
Рассмотрим процесс решения некоторых из них.
==== 1. PHP не настроен правильно для получения переменных системного окружения ====
Открываем файл php.ini. При нашей установке, это:
<pre>
nano /etc/php-fpm.d/www.conf
</pre>
Снимаем комментарий с параметра PATH:
<pre>
env[PATH] = /usr/local/bin:/usr/bin:/bin
</pre>
Перезапускаем php-fpm:
<pre>
systemctl restart php-fpm
</pre>
==== 2. Разрешённое максимальное значение использования памяти PHP ниже рекомендуемого значения в 512 МБ ====
Открываем на редактирование файл:
<pre>
nano /etc/php.ini
</pre>
Меняем настройку для memory_limit:
<pre>
memory_limit = 512M
</pre>
Перезапускаем php-fpm:
<pre>
systemctl restart php-fpm
</pre>
==== 3. В базе данных отсутствуют некоторые индексы ====
Выполним команду для индексирования баз:
<pre>
sudo -u apache php /var/www/nextcloud/occ db:add-missing-indices
</pre>
==== 4. Некоторые индексы базы данных не были преобразованы в тип big int ====
Выполним команду для преобразования в тип big int:
<pre>
sudo -u apache php /var/www/nextcloud/occ db:convert-filecache-bigint
</pre>
На запрос Continue with the conversion отвечаем утвердительно:
<pre>
Continue with the conversion (y/n)? [n] y
</pre>
==== 5. Настраиваем модуль OPcache ====
Открываем конфигурационный файл:
<pre>
nano /etc/php.d/10-opcache.ini
</pre>
Редактируем следующее:
<pre>
...
opcache.enable=1
...
opcache.enable_cli=1
...
opcache.interned_strings_buffer=32
...
opcache.max_accelerated_files=10000
...
opcache.memory_consumption=256
...
opcache.save_comments=1
...
opcache.revalidate_freq=1
...
</pre>
Перезапускаем php-fpm:
<pre>
systemctl restart php-fpm
</pre>

==== 6. MySQL используется в качестве базы данных, но не поддерживает 4-байтовые символы ====
Выполняем конфигурирование в несколько этапов.

'''Настройка СУБД'''
Заходим в оболочку mysql:
<pre>
mysql -uroot -p
</pre>
Смотрим значение для переменной innodb_file_format:
<pre>
> show variables like 'innodb_file_format';
</pre>
Если видим значение «Antelope», меняем его на Barracuda:
<pre>
> SET GLOBAL innodb_file_format=Barracuda;
> quit
</pre>
'''Настройка Nextcloud'''
Переводим Nextcloud в режим обслуживания:
<pre>
sudo -u apache php /var/www/nextcloud/occ maintenance:mode --on
</pre>
Перезагружаем mariadb (если на первом шаге нам пришлось менять значение для переменной innodb_file_format):
<pre>
systemctl restart mariadb
</pre>
Редактирование базы данных
Снова подключаемся к консоли управления СУБД:
<pre>
mysql -uroot -p
</pre>
Меняем кодировку для базы данных:
<pre>
> ALTER DATABASE nextcloud CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci;
</pre>
* где nextcloud — имя созданной нами базы данных.
Выходим из mariadb:
<pre>
> quit
</pre>
Также задаем новую кодировку для nextcloud
<pre>
sudo -u apache php /var/www/nextcloud/occ config:system:set mysql.utf8mb4 --type boolean --value="true"
</pre>
Преобразуем все таблицы в базе:
<pre>
sudo -u apache php /var/www/nextcloud/occ maintenance:repair
</pre>
Завершаем режим обслуживания:
<pre>
sudo -u apache php /var/www/nextcloud/occ maintenance:mode --off
</pre>
==== 7. Чтобы поменять PHP8.2 на PHP8.3 и более старшую версию. ====
PHP 8.3 недоступен в репозиториях по умолчанию, необходимых для установки репозитория Remi:

Проверяем имеется ли нужная версия по ссылки: dnf install http://rpms.remirepo.net/enterprise

Устанавливаем нужный репозиторий (в нашем случае):
<pre>
dnf install http://rpms.remirepo.net/enterprise/remi-release-8.rpm
</pre>
После этого теперь вы можете сбросить модуль и включить PHP 8.3 и перезаписать модули еже новой версии:
<pre>
dnf module reset php
dnf module install php:remi-8.3 --allowerasing
</pre>
Проверяем версию PHP:
<pre>
php -v
</pre>

==== 8. Не настроена система кеширования. Для увеличения производительности сервера, по возможности, настройте //memcache//. ====
Устанавливаем нужные библиотеки.
<pre>
dnf install php-memcached memcached php-pecl-memcached -y
</pre>
После разрешаем автозапуск и запускаем сервис кэширования:
<pre>
systemctl enable memcached --now
systemctl restart php-fpm
</pre>
Проверяем запустился ли memcached.
<pre>
ps ax | grep memcached
</pre>
Должны увидеть:
<pre>
[root@cloud ~]# ps ax | grep memcached
65140 ? Ssl 0:00 /usr/bin/memcached -p 11211 -u memcached -m 64 -c 1024 -l 127.0.0.1,::1
65169 pts/0 S+ 0:00 grep --color=auto memcached
</pre>
Теперь в конфиге NextCloud по пути: /var/www/nextcloud/config/config.php добавим строки:
<pre>
nano /var/www/nextcloud/config/config.php
</pre>
<pre>
'memcache.local' => '\OC\Memcache\Memcached',
'memcache.distributed' => '\OC\Memcache\Memcached',
'memcached_servers' => [
[ '127.0.0.1', 11211 ],
],
</pre>
Перезапускаем сервер:
<pre>
reboot
</pre>
==== 9. База данных используется для блокировки транзакционных файлов. Для повышения производительности, пожалуйста, настройте //memcache//, если таковой имеется. ====
Чтобы использовать кэш памяти с транзакционной блокировкой файлов, необходимо установить сервер Redis и соответствующий модуль PHP.

Включите репозиторий:
<pre>
dnf install https://rpms.remirepo.net/enterprise/remi-release-8.rpm -y
</pre>
Перечислите все доступные пакеты Redis в репозитории Remi.
<pre>
dnf module list | grep redis
</pre>
Смотрим последнюю версию, она на сегодня 7.2

Предварительно может понадобиться сброс модуля редис
<pre>
dnf module reset redis
</pre>
Предполагая, что последняя основная версия - 7.2, установите эту версию:
<pre>
dnf module install redis:remi-7.2 -y
</pre>
Включите службу Redis для запуска во время загрузки и запускаем сам Redis.
<pre>
systemctl enable redis.service
systemctl start redis.service
</pre>
'''Настройка Redis'''

Откройте файл конфигурации Redis :
<pre>
nano /etc/redis.conf
</pre>
Вписываем туда:
<pre>
maxmemory 128mb
maxmemory-policy allkeys-lru
save 900 1
save 300 10
save 60 10000
</pre>
Сохраните и закройте конфигурационный файл, затем перезапустите Redis, чтобы применить изменения.
<pre>
systemctl restart redis.service
</pre>
Проверяем запустился ли Redis
<pre>
ps ax | grep redis
</pre>
должны увидеть
<pre>
[root@cloud ~]# ps ax | grep redis
1319 ? Ssl 0:01 /usr/bin/redis-server 127.0.0.1:6379
1786 pts/0 S+ 0:00 grep --color=auto redis
</pre>
Теперь в конфиге NextCloud по пути: /var/www/nextcloud/config/config.php добавим строки:
<pre>
nano /var/www/nextcloud/config/config.php
</pre>
<pre>
'filelocking.enabled' => true,
'memcache.locking' => '\OC\Memcache\Redis',
'redis' => array(
'host' => 'localhost',
'port' => 6379,
'timeout' => 0.0,
'password' => '', // Optional, if not defined no password will be used.
),
</pre>
Перезапускаем сервер:
<pre>
reboot
</pre>

==== 10. Не указан регион размещения этого сервера Nextcloud ====
Для устранения данного предупреждения откроем конфигурационный файл NextCloud :
<pre>
nano /var/www/nextcloud/config/config.php
</pre>
и добавляем туда
<pre>
'default_phone_region' => 'RU',
</pre>

=== Установка и настройка клиента ===
Для синхронизации файлов установим и настроим клиента. Nextcloud поддерживает установку на Windows, Linux, Mac, iOS и Android.

Переходим на страницу загрузки Nextcloud и скачиваем нужный клиент. После устанавливаем его, отвечая на все вопросы мастера по умолчанию. Для установки клиента на телефон, пользуемся Google Play или Apple App Store.

Запускаем клиентское приложение и переходим к настройке, кликнув по Войти:

[[File:Next_06.jpg|link=]]

На следующей странице вводим адрес нашего сервера и кликаем по Далее:

[[File:Next_07.jpg|link=]]

Нас перекинет на веб страницу для авторизации — вводим логин и пароль для пользователя. После успешной авторизации можно использовать клиент для синхронизации с файлов с нашим облаком.

Файл:Next 08.jpg

2024-10-10T22:02:07Z

Admin:

Шпаргалка знаний

2024-10-10T13:00:47Z

Admin:

[[Установка и настройка почтового сервера Zimbra 9.0 на CentOS 7]]

[[Установка и настройка «1С-Битрикс: Веб-окружение» на CentOS 7]]

[[Установка и настройка WEB сервера NGINX + Apache (httpd) + MariaDB (MySQL) + PHP + PHP-FPM (fastCGI) + FTP + PHPMyAdmin + Memcached + Postfix на CentOS 7]]

[[Установка и настройка WEB сервера NGINX + Apache (httpd) + MariaDB (MySQL) + PHP + PHP-FPM (fastCGI) + FTP + PHPMyAdmin + Memcached + Postfix на CentOS 8]]

[[Установка и настройка WEB сервера NGINX + Apache (httpd) + MariaDB (MySQL) + PHP + PHP-FPM (fastCGI) + FTP + PHPMyAdmin + Postfix на AlmaLinux 9]]

[[Установка и настройка Nginx reverse proxy, web сервер на на CentOS 7]]

[[Установка и настройка Nginx reverse proxy, web сервер на на CentOS 8]]

[[Установка и настройка Nginx reverse proxy, web сервер на на AlmaLinux 9]]

[[Установка сертификата Let’s Encrypt Nginx в CentOS 7]]

[[Установка сертификата Let’s Encrypt Nginx в CentOS 8, AlmaLinux 9]]

[[Установка и настройка NextCloud на CentOS 8]]

[[Установка и настройка NextCloud на Debian 12]]

[[Установка и настройка NextCloud на AlmaLinux 9]]

[[Установка и настройка почтового сервера Postfix с виртуальными доменами, системой управления Dovecot, веб-доступом Roundcube на CentOS 8, 9]]

[[Установка и настройка Asterisk + FreePBX на CentOS 8]]

[[Установка и настройка личного IM-мессенджера со сквозным шифрованием только для узкого круга людей на CentOS 8]]

[[Настройка и использование Fail2ban на CentOS]]

[[SimpleX – первый мессенджер без идентификаторов пользователей, настройка сервера на Debian 12]]

[[Настройка сервера IKEv2 VPN с StrongSwan в Ubuntu 20.04]]

[[Настройка своего KMS сервера для активации продуктов Мicrosoft на Debian12, Ubuntu 22.04]]

[[Активация Windows и Office через командную строку Windows PowerShell (администратор)]]

[[Удаление разделов и полная очистка дика через командную стоку Windows PowerShell (администратор)]]

Файл:VPN 3.png

2024-10-10T12:59:55Z

Admin:

Файл:VPN 2.png

2024-10-10T12:59:40Z

Admin:

Файл:VPN 1.png

2024-10-10T12:59:28Z

Admin:

3X-UI: Shadowsocks-2022 & XRay (XTLS), настройка сервера на Debian 12

2024-10-10T12:56:32Z

Admin: Новая страница: «После установки на сервер Debian 12 (Minimal) (x86_64) 2Gb RAM, 1 CPU, 20Gb SSD, приступаем к подготовке сервера. '''Выбор провайдера:''' https://hostkey.ru/vps/#preconfigured -300р самый простой VPS/VDS сервер. https://ishosting.com/ru/vps/nl -5$ самый простой VPS/VDS сервер. === 3X-UI. Основные возможности === Шифрование...»

После установки на сервер Debian 12 (Minimal) (x86_64) 2Gb RAM, 1 CPU, 20Gb SSD, приступаем к подготовке сервера.

'''Выбор провайдера:'''

https://hostkey.ru/vps/#preconfigured -300р самый простой VPS/VDS сервер.

https://ishosting.com/ru/vps/nl -5$ самый простой VPS/VDS сервер.

=== 3X-UI. Основные возможности ===
Шифрование трафика: VLESS, Shadowsocks-2022 и XRay (XTLS) позволяют шифровать пользовательский трафик, что делает его невозможным для чтения или мониторинга со стороны провайдера Интернета или других третьих лиц.

Многофакторная аутентификация: поддержка многофакторной аутентификации повышает уровень безопасности и защищает пользовательские данные от несанкционированного доступа.

Гибкие настройки: возможность настраивать параметры соединения, такие как тип шифрования, порты и протоколы, что обеспечивает гибкость в настройке соединения и удобство использования.

Оптимизация скорости: оптимизация для быстрого соединения по сети. Они могут использовать различные технологии, такие как TCP Fast Open и Congestion Control, что позволяет ускорить передачу данных и улучшить качество соединения.

Поддержка различных операционных систем: Windows, MacOS, Linux, Android и iOS. Это обеспечивает универсальность и доступность продукта для пользователей на любой платформе.

Открытый исходный код: предоставляет возможность разработчикам изучить код и внести свои изменения, что может помочь улучшить продукт и его функциональность.

Надежность и стабильность: VLESS, Shadowsocks-2022 и XRay (XTLS) являются надежными и стабильными протоколами. Они предоставляют высокую скорость и стабильность соединения, а также защиту пользовательских данных.

=== Установка ===
Официальный репозиторий 3X-UI: https://github.com/MHSanaei/3x-ui

Официальный репозиторий форка X-UI: https://github.com/alireza0/x-ui

Итак, дано: VPS с IPv4 (неплохо бы иметь еще IPv6, но не обязательно) и Debian либо Ubuntu Linux (на других дистрибутивах суть будет примерно та же самая). И установленные Docker и docker-compose (если вдруг нет - следуйте инструкциям для вашего дистрибутива - '''https://docs.docker.com/engine/install/''' , у меня без проблем установилось простым "'''apt install docker.io docker-compose'''"). Ну и git в придачу.

Задаем права пользователю Debian:
<pre>
su
apt install sudo
su - root
adduser username sudo
reboot
</pre>
''* где '''username''' имя пользователя под которым зашли в систему.''

<pre>
sudo apt update && sudo apt upgrade -y
</pre>

'''Подключаем SSH доступ для пользователя root на Debian'''

Для начала, необходимо создать пароль пользователю root следующей командой:
<pre>
passwd root
</pre>
Теперь открываем настройки SSH-сервера:
<pre>
sudo nano /etc/ssh/sshd_config
</pre>
И отредактируйте в нем следующую строку:
<pre>
PermitRootLogin yes
</pre>
После этого перезагрузите SSH сервис:
<pre>
sudo systemctl restart ssh || sudo systemctl restart sshd
</pre>

==== Устанавливаем Docker. на Debian 12 ====
<pre>
# Add Docker's official GPG key:

sudo apt-get install ca-certificates curl gnupg
sudo install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
sudo chmod a+r /etc/apt/keyrings/docker.gpg
</pre>

<pre>
# Add the repository to Apt sources:

echo \
"deb [arch="$(dpkg --print-architecture)" signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/debian \
"$(. /etc/os-release && echo "$VERSION_CODENAME")" stable" | \
sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
</pre>

<pre>
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
sudo apt install docker.io docker-compose
</pre>

или

==== Устанавливаем Docker. на Debian 11 ====
<pre>
apt-get update -y
</pre>
Когда вы закончите, установите другие необходимые зависимости, используя следующую команду:
<pre>
apt-get install apt-transport-https software-properties-common ca-certificates curl gnupg lsb-release -y
</pre>
==== Установить Докер ====
По умолчанию последняя версия Docker не включена в официальный репозиторий Debian 11. Поэтому вам нужно будет добавить репозиторий Docker CE в APT. Вы можете добавить его с помощью следующей команды:
<pre>
curl -fsSL https://download.docker.com/linux/debian/gpg | apt-key add -
add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/debian $(lsb_release -cs) stable"
</pre>
После добавления репозитория Docker обновите репозиторий и установите Docker CE с помощью следующей команды:
<pre>
apt-get update -y
apt-get install docker-ce docker-ce-cli -y
</pre>
После установки проверьте версию Docker CE с помощью следующей команды:
<pre>
docker version
</pre>
Вы должны получить следующий результат:
<pre>
Client: Docker Engine - Community
Version: 20.10.8
API version: 1.41
Go version: go1.16.6
Git commit: 3967b7d
Built: Fri Jul 30 19:54:22 2021
OS/Arch: linux/amd64
Context: default
Experimental: true

Server: Docker Engine - Community
Engine:
Version: 20.10.8
API version: 1.41 (minimum version 1.12)
Go version: go1.16.6
Git commit: 75249d8
Built: Fri Jul 30 19:52:31 2021
OS/Arch: linux/amd64
Experimental: false
containerd:
Version: 1.4.9
GitCommit: e25210fe30a0a703442421b0f60afac609f950a3
runc:
Version: 1.0.1
GitCommit: v1.0.1-0-g4144b63
docker-init:
Version: 0.19.0
GitCommit: de40ad0
</pre>
==== Управление службами Docker ====
Вы можете легко управлять службой Docker с помощью утилиты systemd.

Чтобы запустить службу Docker, выполните следующую команду:
<pre>
sudo systemctl start docker
</pre>
Чтобы перезапустить службу Docker, выполните следующую команду:
<pre>
sudo systemctl restart docker
</pre>
Чтобы остановить службу Docker, выполните следующую команду:
<pre>
sudo systemctl stop docker
</pre>
Чтобы служба Docker запускалась при перезагрузке системы, выполните следующую команду:
<pre>
sudo systemctl enable docker
</pre>
Чтобы проверить статус Docker, выполните следующую команду:
<pre>
sudo systemctl status docker
</pre>
Вы должны увидеть статус Docker в следующем выводе:
<pre>
? docker.service - Docker Application Container Engine
Loaded: loaded (/lib/systemd/system/docker.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2021-09-10 07:19:35 UTC; 27s ago
TriggeredBy: ? docker.socket
Docs: https://docs.docker.com
Main PID: 29018 (dockerd)
Tasks: 7
Memory: 32.6M
CPU: 407ms
CGroup: /system.slice/docker.service
??29018 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

Sep 10 07:19:34 debian11 dockerd[29018]: time="2021-09-10T07:19:34.809035575Z" level=info msg="scheme \"unix\" not registered, fallback to def>
Sep 10 07:19:34 debian11 dockerd[29018]: time="2021-09-10T07:19:34.809219999Z" level=info msg="ccResolverWrapper: sending update to cc: {[{uni>
Sep 10 07:19:34 debian11 dockerd[29018]: time="2021-09-10T07:19:34.809410545Z" level=info msg="ClientConn switching balancer to \"pick_first\">
Sep 10 07:19:34 debian11 dockerd[29018]: time="2021-09-10T07:19:34.897972507Z" level=info msg="Loading containers: start."
Sep 10 07:19:35 debian11 dockerd[29018]: time="2021-09-10T07:19:35.186940748Z" level=info msg="Default bridge (docker0) is assigned with an IP>
Sep 10 07:19:35 debian11 dockerd[29018]: time="2021-09-10T07:19:35.298681937Z" level=info msg="Loading containers: done."
Sep 10 07:19:35 debian11 dockerd[29018]: time="2021-09-10T07:19:35.356364773Z" level=info msg="Docker daemon" commit=75249d8 graphdriver(s)=ov>
Sep 10 07:19:35 debian11 dockerd[29018]: time="2021-09-10T07:19:35.357524464Z" level=info msg="Daemon has completed initialization"
Sep 10 07:19:35 debian11 systemd[1]: Started Docker Application Container Engine.
Sep 10 07:19:35 debian11 dockerd[29018]: time="2021-09-10T07:19:35.401626151Z" level=info msg="API listen on /run/docker.so
</pre>

==== Установить Docker Compose В Debian 11 ====
Первое, что нужно сделать, это обновить систему. Выполните следующую команду:
<pre>
sudo apt update && sudo apt upgrade -y
</pre>
Вы можете скачать текущую стабильную версию Docker Compose, выполнив следующую команду:
<pre>
sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
</pre>
Чтобы сделать двоичный файл исполняемым, предоставьте следующие разрешения:
<pre>
sudo chmod +x /usr/local/bin/docker-compose
</pre>
В случае сбоя установки вам, возможно, придется создать символическую ссылку между «/usr/bin» и любой другой папкой. Это можно сделать с помощью следующей команды.
<pre>
sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
</pre>
Теперь пришло время протестировать установку. Для подтверждения вывода используйте следующую команду:
<pre>
docker-compose --version
</pre>

=== Установка самой программы 3X-UI ===

Сначала клонируем исходники. Лучше всего использовать последнюю стабильную версию, можно проверить в "Releases" на гитхабе.

Для 3X-UI:
<pre>
git clone https://github.com/MHSanaei/3x-ui.git
cd 3x-ui
</pre>
или

Для X-UI:
<pre>
git clone https://github.com/alireza0/x-ui.git
cd x-ui
</pre>

Запускаем docker-compose:
<pre>
sudo docker-compose up -d
</pre>
Готово! Панель установлена и работает.

Для 3X-UI идем браузером по адресу '''http://yourserverip:2053/panel/''', где '''yourserverip''' - IP-адрес вашего сервера или доменное имя, если оно у вас есть и настроено (обратите внимание, протокол http://, а не https://). Для X-UI нужно сначала посмотреть с помощью команды "docker logs x-ui", на каком именно порту запустилась панель.

Логинимся под стандартными реквизитами '''admin / admin''' и видим нашу прекрасную панель управления:

=== Создание протоколов в графической панели 3X-UI ===
Чтобы войти в веб версию панели, в браузере идём по адресу:

http://xxx.xxx.xxx.xxx:PORT/panel/, где xxx.xxx.xxx.xxx — IP-адрес вашего сервера, а PORT - номер вашего порта. В моём случае это порт 5580.

[[File:Shadowsocks_01.png|link=]]

Логинимся и видим вот такую красивую панель управления 3X-UI

[[File:Shadowsocks_02.png|link=]]

Переходим в '''"Settings"''' (настройки) и там:

Изменить порт на котором работает панель со стандартного '''2053''' на какой-нибудь другой (лучше всего где-нибудь в верхнем конце диапазона, до '''65235''');

Изменить корневой путь URL-адреса панели с / на что-то типа '''/mysecretpanelroot/''';

При желании переключить язык на русский (но имейте в виду, в русском переводе есть некоторые неточности сбивающие с толку);

На второй вкладке "Настройки безопасности" изменить стандартный админский пароль на свой;

После чего сохраняем настройки и рестартуем панель. Нужно будет изменить URL с учетом нового порта и пути, заданных в настройках.

[[File:Shadowsocks_03.png|link=]]

[[File:Shadowsocks_04.png|link=]]

=== Создаем подключения ===
Идем в раздел меню Inbounds (в русском переводе он почему-то называется "Пользователи", это неправильно и сбивает с толку). Нажимаем "Add Inbound" ("Добавить пользователя"):

[[File:Shadowsocks_05.png|link=]]

Появляется милое окошко. Сначала добавим возможность подключаться через '''Shadowsocks-2022'''.

'''"Remark"''' (Примечание) - ввести что угодно, это просто человекочитаемое название;

'''"Протокол"''' выбираем shadowsocks;

'''"Listening IP"''' (в русском переводе называется "Порт IP", и это тоже неправильно и запутывает) можно оставить пустым, тогда сервер будет слушать на всех IP-адресах, либо можно явно указать требуемый;

'''"Порт"''' - панель выберет рандомный.

==== Далее настраиваем пользователя (в момент создания inbound'а создается один, других при желании можно добавить позже): ====

Поле '''"Email"''' на самом деле не обязательно должно содержать емайл, может быть любой текст (имя пользователя) - панель генерирует рандомный набор символов, если вы хотите создавать несколько разных пользователей (например, раздать аккаунты друзьям, смотреть кто сколько накачал и при желании блокировать доступ), то лучше вбить сюда что-то человекочитаемое и понятное;

'''"Subscription"''' - пока что можно вбить тот же самый юзернейм (о подписках я расскажу чуть позже).

Дальше снова идут настройки протокола:

'''"Шифрование"''' - выбираем что-нибудь что начинается с "2022", вариант по умолчанию вполне неплох;

'''"Пароль"''' (ключ) панель сгенерирует автоматически с правильной длиной для выбранного метода шифрования.

Нажимаем '''"Создать"''' и на этом настройка для Shadowsocks закончена, им уже можно пользоваться.

[[File:Shadowsocks_06.png|link=]]

==== Теперь переходим к настройке VLESS с XTLS-Reality. ====
Тут все будет чуточку сложнее, но в целом так же просто.

'''"Remark"''' (Примечание) - любое название;

'''"Протокол"''' - "vless",

'''"Listening IP"''' ("Порт IP", который на самом деле не порт, а адрес) - оставляем пустым, либо задаем вручную если надо;

'''"Порт"''' - вместо рандомного ставим 443;

[[File:Shadowsocks_07.png|link=]]

==== Далее переходим к настройкам клиента. ====
'''"Email"''' - как в и в прошлом пункте, лучше указать что-то человекочитаемое и понятное. Важно: пользователи разных подключений не могут иметь один и тот же емайл (например, наш новый VLESS и старый Shadowsocks созданный в предыдущем пункте), поэтому можно добавить какой-нибудь префикс (например user1vl) для избежания конфликтов.

'''"Subscription"''' - тут наоборот, лучше будет если текст в этом поле будет совпадать с тем, что вы задали для Shadowsocks (подробности ниже). Внимание: в отличие от 3X-UI, в X-UI поле Subscription по умолчанию не отображается, нужно сначала активировать функционал подписок в настройках панели.

'''"Flow"''' - надо выбрать "xtls-rprx-vision". Обратите внимание, поле Flow (см. скриншот) появится только после того, как чуть ниже вы поставите галочку на пункте "Reality". То есть лучше всего настривать так: сначала ставите галочку Reality, а потом заполняете поля с настройками пользователя.

==== Дальше у нас идут настройки транспорта: ====
'''"Reality"''' - как уже сказано выше, должно быть активно;

'''"XTLS"''' - наоборот, должно быть неактивно (это немного запутывает, не смотря на то, что Reality тоже относится к XTLS, здесь под XTLS подразумеваются только устаревшие версии протокола, и галочки "XTLS" и "Reality" в панели являются взаимоисключающими);

'''"uTLS"''' - по умолчанию "firefox", я обычно выбираю "chrome", по факту особо без разницы (главное чтобы не "android", могут быть проблемы с клиентами);

'''"Домен"''' - на самом деле это не домен, а адрес для подключения к вашему серверу. Можно оставить пустым, тогда панель автоматически подставит IP-адрес или домен, по которому вы обращаетесь в панели на сервере.

'''"ShortIds"''' - панель сгенерирует рандомный ID;

'''"Public Key", "Private Key"''' - можно кликнуть на "Get new keys", и панель сама сгенерирует новые для вас;

'''"Dest" и "Server names"''' - вот это самое интересное, это домен, под который вы будете маскироваться. По умолчанию панель предлагает маскировку под yahoo.com и www.yahoo.com с переадресацией на yahoo.com:443, но лучше выбрать какой-нибудь другой домен.

'''Sniffing, HTTP, TLS, QUIC, fakedns''' — оставьте включённым.

[[File:Shadowsocks_08.png|link=]]

Сохраняем введенную форму, и - всё! Настройка завершена.

После этого на странице видим примерно вот это:

[[File:Shadowsocks_09.png|link=]]

Если тыкнуть на кнопочку '''"Меню"''' соответствующую нужному протоколу, можно его активировать/деактивировать, сбросить счетчики трафика, добавить пользователей (в том числе сгенерировать разом N аккаунтов по шаблону), и самое главное - раскрыв (плюсиком) список пользователей, можно посмотреть настройки подключения для вбивания в клиенты для этого пользователя.

Нажав на значок '''QR-кода''', панель покажет QR-код, который можно отсканировать камерой в мобильных клиентах ('''v2rayNG''' или '''Nekobox''' на Android, Wings X/'''FoXray''' или '''Shadowrocket''' или '''V2BOX''' на iOS).

Нажав на иконку информации (с буквой "i") можно посмотреть настройки для вбивания в десктопные клиенты Windows, Linux, MacOS, в том числе и URL, который можно скопировать и вставить.

[[File:Shadowsocks_10.png|link=]]

Там же вы можете найти "subscription URL". Это - специальным образом сгенерированный список подключений для клиентов. Помните, вы указывали "Subscription" при создании пользователя? При запросе по такому subscription URL, сервер выдаст список настроек (сервера, ключи) для всех подключений с этим ID в поле subscription. Многие клиенты (включая v2rayNG, v2rayN, Nekobox, и другие) умеют автоматически либо по запросу скачивать настройки с таких URL и добавлять их к себе - таким образом, если вы добавили какие-то новые протоколы или решили поменять конфигурацию, пользователи могут легко получить новые параметры с вашего сервера.

Внимание: в отличие от 3X-UI, в X-UI поле Subscription по умолчанию не отображается и вообще функционал подписок по умолчанию отключен, его нужно активировать в настройках панели.

Если нажать на '''меню''', то можно изменить, добавить одного или нескольких пользователей, сбросить трафик, экспортировать ключи и т. д.

[[File:Shadowsocks_11.png|link=]]

=== Подключение клиентов ===
==== Подключение устройств на iOS (но не ниже 16 версии) ====
1. Скачайте приложение FoXray из AppStore по ссылке: https://apps.apple.com/ru/app/foxray/id6448898396?ref=dtf.ru

2. В графической панели 3X-UI создайте нового клиента. Для этого: нажмите на кнопку Меню в ранее созданной конфигурации, далее Добавить пользователя. В поле Email напишите название клиента, например "Мой iPhone", а в пункте Flow выберите xtls-rprx-vision.

3. Раскройте (плюсиком) список клиентов и под «Меню» рядом с только что созданным клиентом «Мой iPhone» нажмите на иконку QR-кода:

[[File:Shadowsocks_12.png|link=]]

4. Запустите приложение FoXray и в левом верхнем углу нажмите значок сканирования QR-кода и отсканируйте его с экрана компьютера.

[[File:Shadowsocks_13.png|link=]]

5. Всё, профиль добавлен! Теперь нажмите на кнопку «Play», далее разрешите добавление конфигурации VPN, введите пароль и можете пользоваться VPN соединением.

==== Подключение устройств на Windows ====
1. Скачайте архив с программой Invisible Man XRay c GitHub и распакуйте его ('''https://github.com/InvisibleManVPN/InvisibleMan-XRayClient''')

2. В графической панели 3X-UI создайте нового клиента. Для этого: нажмите на кнопку Меню в ранее созданной конфигурации, далее Добавить пользователя. В поле Email напишите название клиента, например "Мой Windows", а в пункте Flow выберите xtls-rprx-vision.

3. Раскройте (плюсиком) список клиентов и под «Меню", рядом с только что созданным клиентом "Мой Windows» и нажмите на иконку Информация:

[[File:Shadowsocks_14.png|link=]]

4. Скопируйте ссылку для подключение под надписью URL, нажав на кнопку копирования, как на скриншоте ниже:

[[File:Shadowsocks_15.png|link=]]

5. Отправьте любым удобным способом данную ссылку на ваш компьютер, и там также её скопируйте.

6. Запустите программу Invisible Man XRay и перейдите в Manage server configuration.

[[File:Shadowsocks_16.png|link=]]

7. Нажмите на кнопку "плюс" в правом нижнем углу окна.

[[File:Shadowsocks_17.png|link=]]

8. Выберите Import from link и вставьте вашу ссылку, которую вы ранее скопировали в поле, как на скрине:

[[File:Shadowsocks_18.png|link=]]

9. Если вы всё правильно сделали, должна добавиться новая конфигурция. Закройте этот менеджер и нажмите кнопку Run.

[[File:Shadowsocks_19.png|link=]]

10. Готово! VPN на компьютере под управлением операционной системы Windows мы тоже настроили без проблем.

=== Пропускаем трафик через Tor ===
'''Torghost'''

Начала получим репозиторий из гитхаба (кстати, сначала нужно установить git):
<pre>
sudo apt update && sudo apt upgrade
git clone https://github.com/SusmithKrishnan/torghost.git
</pre>
После этого заходим в папку torghost (она появится после клонирования репозитория) и делаем файл build.sh исполняемым:
<pre>
cd torghost
sudo chmod +x build.sh
</pre>
Запускаем установку:
<pre>
sudo ./build.sh
</pre>
Установщик сам подтянет все зависимости и поставит Тор. На этом установка закончена!

Далее ставим обновление:
<pre>
pip3 install -r requirements.txt
wget -c https://github.com/SusmithKrishnan/torghost/releases/download/v3.0.2/torghost-3.0.2-amd64.deb
sudo dpkg -i torghost-*-amd64.deb
</pre>
Открываем файл torghost.py на редактирование и комментируем 15 -ю строку.
<pre>
nano torghost.py
</pre>

<pre>

'''
from packaging import version
'''

</pre>

Запускаем утилиту '''torghost''', ip адрес будет меняться автоматически через каждые 10 минут:
<pre>
sudo python3 torghost.py -s
</pre>

Варианты использования:
<pre>
sudo python3 torghost.py -x (to stop Torghost - the tool will go back to you Ip ADDRESS from your ISP)

sudo python3 torghost.py -u (to update the tool - this is not required to do it every day)

sudo python3 torghost.py -r (to switch the IP Address - you will notice that the IP address that Torghost assigned you at the beginning will change again)

sudo python3 torghost.py -h (to open the help menu)
</pre>

Скрипт чтобы IP адреса менялись через каждую минуту, если нужно:
<pre>
#!/bin/bash
a=1
x=60
while [[ $a -gt 0 ]]
do
python3 torghost.py -s
sleep $x
done
</pre>

=== Дополнительная информация из другого источника ===
Команда для запуска установки панели 3X-UI:

https://github.com/MHSanaei/3x-ui?ysclid=lstfiw45v6910325792

Скачать NekoBox:

https://github.com/MatsuriDayo/NekoBoxForAndroid/releases

Скачать V2RayN:

https://github.com/2dust/v2rayN/releases

Настройка ssh-ключей:

https://simplelinux.ru/nastrojka-podklyucheniya-k-serveru-po-ssh-klyucham/

== Получение SSL сертификата. ==
<pre>
sudo apt-get install certbot -y
sudo certbot certonly --standalone --agree-tos --register-unsafely-without-email -d yourdomain.com
sudo certbot renew --dry-run
</pre>
Или вариант само подписываемого сертификата для docker

Сгенерируйте самоподписанный TLS-сертификат и скопируйте его в панель 3X-UI
<pre>
sudo openssl req -x509 -newkey rsa:4096 -nodes -sha256 -keyout private.key -out public.key -days 3650 -subj "/CN=APP"
sudo docker cp private.key 3x-ui:private.key
sudo docker cp public.key 3x-ui:public.key
</pre>
Указываем путь в панели:

[[File:VPN_4.png|link=]]

== Создания туннеля через несколько VPN серверов. ==
Для того чтобы пропустить наш трафик например через 2 сервера делаем следующее:

1) Копируемым ссылку на подключения например Shadowsocks на конечном сервере.

ss://MjAyMi1GFrZTMtYWVzLTI1Ni1nY206UlA0TTJWbHVudHlpUFdiWEdxdk1ieGd4SVNVOEZnaXUUxDN3ladU82bz06T0NJYkl2c1ZxZ2oyTmw5QVZG9KZUtMTjBzb25TSGprZDU90akxrOD0@135.120.45.13:22467?type=tcp#SS-Vasya_ss

2) Заходим на первый наш сервер, В правом меню нажимаем на '''"Настройка Xray" --> "Исходящие" --> "Добавить исходящий" --> JSON'''

И в поле '''"Link"''' вставляем нашу ссылку.

[[File:VPN_1.png|link=]]

[[File:VPN_2.png|link=]]

3) Нажимаем '''"Сохранить настройки" --> "Перезапустить Xray"'''

4) Далее опять в правом меню нажимаем на '''"Настройка Xray" --> "Правила маршрутизации" --> "Добавить правило"

5) Выбираем в поле "Network" --> "TCP,UDP", и в поле "Outbound" --> наш второй сервер.

[[File:VPN_3.png|link=]]

6) Нажимаем '''"Сохранить настройки" --> "Перезапустить Xray"'''

Все, Трафик идет последовательно через 2 сервера. На выходе мы видим IP последнего сервера.

-----------------------------------------------------------------------------------------------------------------

== Установка 3X-UI НЕ через Docker, а напрямую на сервер Ubuntu 22.04 LTS с правами и пользователем root. ==

Подготовка сервера. ('''все действия выполняем под ROOTом''')
<pre>
apt update && apt upgrade -y
apt curl -y
clear
</pre>
Меняем root пароль, если нужно:
<pre>
passwd
</pre>
Устанавливаем скрипт:
<pre>
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
</pre>
Посте установки скрипта он запросит следующие вопросы:
<pre>
Do you want to continue with the modification [y/n]?: '''Y'''
Please set up your username: '''admin'''
Please set up your password: '''Qwerty'''
Please set up the panel port: (35000 - 65000): '''62457'''
</pre>
Готово! Панель установлена и работает.

Для 3X-UI идем браузером по адресу http://yourserverip:62457, где yourserverip - IP-адрес вашего сервера или доменное имя, если оно у вас есть и настроено (обратите внимание, протокол http://, а не https://).

Заходим на сайт бесплатных доменов: '''https://freemyip.com/'''

Придумываем свой домен третьего уровня. Далее сохраняем ссылку токен которую выдаст сайт.

Нам нужна команда: '''Can i point my domain to an arbitrari IP adress?'''

В команде ввиде ссылки после знака = пишем IP адрес нашего сервера.

Далее нашу поправленную ссылку вставляем в адресное поле нашего браузера, должны увидеть -"Ок" в поле браузера.

Если будет ошибка, то ждем 5 мин и повторяем.

Проверяем доступ к панели по нашему домену!! Если все прошло отлично, то:

Мы можем управлять сервером из консоли через следующие команды:
<pre>
x-ui control menu usages:
----------------------------------------------
x-ui - Enter Admin menu
x-ui start - Start x-ui
x-ui stop - Stop x-ui
x-ui restart - Restart x-ui
x-ui status - Show x-ui status
x-ui enable - Enable x-ui on system startup
x-ui disable - Disable x-ui on system startup
x-ui log - Check x-ui logs
x-ui banlog - Check Fail2ban ban logs
x-ui update - Update x-ui
x-ui install - Install x-ui
x-ui uninstall - Uninstall x-ui
----------------------------------------------
</pre>
Далее на сервере вводим команду:
<pre>
sudo x-ui
</pre>
и выбираем пункт: '''16. SSL Certificate Management'''

Далее пункт: '''1. Get SSL'''

Жмем "Ok"

Вставляем имя нашего домена. '''Please enter your domain name: vpn.domen.com'''

''где '''vpn.domen.com''' наш домен.''

На вопрос: please choose which port do you use,default will be 80 port: '''Жмем Enter.'''

Заходим в нашу панель и вставляем в настройках:

Путь к файлу публичного ключа сертификата панели: '''/root/.acme.sh/your_domain_ecc/fullchain.cer'''

Путь к файлу приватного ключа сертификата панели: '''/root/.acme.sh/your_domain_ecc/your_domain.key'''

Корневой путь URL адреса панели: '''/secretpanel/''' или другой. теперь путь к панели поменялся: '''https://yourdomail:62457/secretpanel/panel/'''

Если вдруг бесплатный домен похерили, то заходим через ip : '''https://youripadress:62457/secretpanel/panel/'''

Далее удаляем пути к сертификатам и папку с сертификатом (rm -r cert ) и создаем по новой сертификат.

== Безопасность сервера ==
=== Создание SSH ключа для входа на сервер через ssh ===

В терминале Windows набираем команду:
<pre>
ssh-keygen
</pre>
Получаем 2 файла приватного и публичного ключа.

Далее уже на сервере создаем папку и файл с публичным ключом:
<pre>
mkdir .ssh
nano .ssh/authorized_keys
</pre>
И вставляем содержимое нашего публичного ключа (id_rsa.pub), который мы сгенерировали в Windows.

Далее в Расширенных настройках программы подключения к серверу установить SSh приватный ключ.

==== Создаем нового пользователя: ====
<pre>
adduser user1
</pre>
''где user1 - имя-нового пользователя''

Выдаем новому пользователю права sudo (из-под рута):
<pre>
usermod -aG sudo user1
</pre>

Заходим на сервер под новым пользователем '''user1'''.

Cоздаем папку и файл с публичным ключом уже для нового пользователя:
<pre>
sudo mkdir .ssh
sudo nano .ssh/authorized_keys
</pre>
И вставляем содержимое нашего публичного ключа (id_rsa.pub), который мы сгенерировали в Windows.

==== Убираем доступ по паролю ====
Идем в папку ssh:
<pre>
cd /etc/ssh/
</pre>
Редактируем файлы конфигурации ssh:
<pre>
sudo nano /etc/ssh/sshd_config
</pre>
Меняем '''Port 22''' на '''Port 5555'''

Меняем '''PermitRootLogin=yes''' на '''PermitRootLogin=no'''

Раскомментируем '''PubkeyAuthentication yes'''

Меняем '''PasswordAuthentication yes''' на '''PasswordAuthentication no'''

Доступ на сервер по ROOT закрыт.
<pre>
sudo nano /etc/ssh/sshd_config.d/50-cloud-init.conf
</pre>
Меняем '''PasswordAuthentication yes''' на '''PasswordAuthentication no'''

Перезапускаем ssh:
<pre>
sudo service ssh restart
</pre>

==== Дополнительно ====
Чтобы переключиться на пользователя ROOT, вводим команду:
<pre>
su
</pre>
Обратно вернемся на пользователя user1:
<pre>
su user1
</pre>

==== Защитим сервер от взлома через брутфорс ====

<pre>
apt install fail2ban -y && apt install ufw -y
</pre>
<pre>
touch /etc/fail2ban/jail.local && nano /etc/fail2ban/jail.local
</pre>
Откроется редактор, вставим в него код:
<pre>
[sshd]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
logpath = /var/log/auth.log
findtime = 600
maxretry = 3
bantime = 43200
</pre>
Отключаем двухсторонний пинг
<pre>
nano /etc/ufw/before.rules
</pre>
Меняем концовку следующего выражения с ACCEPT на DROP:
<pre>
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
</pre>
Включаем фаервол

Чтобы включить фаервол, нужно заранее выписать все используемые порты на сервере, для этого мы установим netstat и посмотрим какие порты нужно открыть:
<pre>
apt install net-tools
</pre>
<pre>
netstat -ntlp | grep LISTEN
</pre>
Смотрите порты, которые идут после 0.0.0.0:порт или IP_адрес вашего_сервера:порт, например:

0.0.0.0:993

76.20.7.12:53

:::22

Их необходимо открыть в UFW или через панель управления вашим сервером/хостингом. Смотря как это реализовано у вас. Например:
<pre>
ufw allow 22/tcp && ufw allow 443 && ufw allow 40000 && ufw enable
</pre>
Напоследок очистимся и перезагрузимся:
<pre>
apt update && apt upgrade -y && apt autoclean -y && apt clean -y && apt autoremove -y && reboot
</pre>

Шпаргалка знаний

2024-10-10T12:55:09Z

Admin:

[[Установка и настройка почтового сервера Zimbra 9.0 на CentOS 7]]

[[Установка и настройка «1С-Битрикс: Веб-окружение» на CentOS 7]]

[[Установка и настройка WEB сервера NGINX + Apache (httpd) + MariaDB (MySQL) + PHP + PHP-FPM (fastCGI) + FTP + PHPMyAdmin + Memcached + Postfix на CentOS 7]]

[[Установка и настройка WEB сервера NGINX + Apache (httpd) + MariaDB (MySQL) + PHP + PHP-FPM (fastCGI) + FTP + PHPMyAdmin + Memcached + Postfix на CentOS 8]]

[[Установка и настройка WEB сервера NGINX + Apache (httpd) + MariaDB (MySQL) + PHP + PHP-FPM (fastCGI) + FTP + PHPMyAdmin + Postfix на AlmaLinux 9]]

[[Установка и настройка Nginx reverse proxy, web сервер на на CentOS 7]]

[[Установка и настройка Nginx reverse proxy, web сервер на на CentOS 8]]

[[Установка и настройка Nginx reverse proxy, web сервер на на AlmaLinux 9]]

[[Установка сертификата Let’s Encrypt Nginx в CentOS 7]]

[[Установка сертификата Let’s Encrypt Nginx в CentOS 8, AlmaLinux 9]]

[[Установка и настройка NextCloud на CentOS 8]]

[[Установка и настройка NextCloud на Debian 12]]

[[Установка и настройка NextCloud на AlmaLinux 9]]

[[Установка и настройка почтового сервера Postfix с виртуальными доменами, системой управления Dovecot, веб-доступом Roundcube на CentOS 8, 9]]

[[Установка и настройка Asterisk + FreePBX на CentOS 8]]

[[Установка и настройка личного IM-мессенджера со сквозным шифрованием только для узкого круга людей на CentOS 8]]

[[Настройка и использование Fail2ban на CentOS]]

[[SimpleX – первый мессенджер без идентификаторов пользователей, настройка сервера на Debian 12]]

[[3X-UI: Shadowsocks-2022 & XRay (XTLS), настройка сервера на Debian 12]]

[[Настройка сервера IKEv2 VPN с StrongSwan в Ubuntu 20.04]]

[[Настройка своего KMS сервера для активации продуктов Мicrosoft на Debian12, Ubuntu 22.04]]

[[Активация Windows и Office через командную строку Windows PowerShell (администратор)]]

[[Удаление разделов и полная очистка дика через командную стоку Windows PowerShell (администратор)]]

Файл:Webserv-1.jpg

2024-10-10T12:53:27Z

Admin:

Файл:Webserv-2.jpg

2024-10-10T12:52:24Z

Admin:

Файл:Webserv-3.jpg

2024-10-10T12:49:20Z

Admin:

Файл:VPN 4.png

2024-10-10T12:27:27Z

Admin:

Файл:Simplex 03.png

2024-10-10T12:13:35Z

Admin:

Файл:Simplex 02.png

2024-10-10T12:13:16Z

Admin:

Файл:Simplex 01.png

2024-10-10T12:12:54Z

Admin:

Файл:Shadowsocks 19.png

2024-10-10T12:12:05Z

Admin:

Файл:Shadowsocks 18.png

2024-10-10T12:11:49Z

Admin:

Файл:Shadowsocks 17.png

2024-10-10T12:11:33Z

Admin:

Файл:Shadowsocks 16.png

2024-10-10T12:11:19Z

Admin:

Файл:Shadowsocks 15.png

2024-10-10T12:11:03Z

Admin:

Файл:Shadowsocks 14.png

2024-10-10T12:10:44Z

Admin:

Файл:Shadowsocks 13.png

2024-10-10T12:10:19Z

Admin:

Файл:Shadowsocks 12.png

2024-10-10T12:09:55Z

Admin:

Файл:Shadowsocks 11.png

2024-10-10T12:09:37Z

Admin:

Файл:Shadowsocks 01.png

2024-10-10T12:09:03Z

Admin:

Файл:Shadowsocks 02.png

2024-10-10T12:08:39Z

Admin:

Файл:Shadowsocks 07.png

2024-10-10T12:08:12Z

Admin:

Файл:Shadowsocks 06.png

2024-10-10T12:07:58Z

Admin:

Файл:Shadowsocks 10.png

2024-10-10T12:07:45Z

Admin:

Файл:Shadowsocks 09.png

2024-10-10T12:07:15Z

Admin:

Файл:Shadowsocks 08.png

2024-10-10T12:01:08Z

Admin:

Файл:Shadowsocks 05.png

2024-10-10T12:00:38Z

Admin:

Файл:Shadowsocks 04.png

2024-10-10T12:00:23Z

Admin:

Файл:Shadowsocks 03.png

2024-10-10T11:54:51Z

Admin:

Файл:Mail 2-10.jpg

2024-10-10T11:54:27Z

Admin:

Файл:Mail 2-08.jpg

2024-10-10T11:54:11Z

Admin:

Файл:Mail 2-11.jpg

2024-10-10T11:53:53Z

Admin:

Файл:Mail 2-09.jpg

2024-10-10T11:53:37Z

Admin:

Файл:Mail 2-07.jpg

2024-10-10T11:53:17Z

Admin:

Файл:Delta-03.png

2024-10-10T11:52:58Z

Admin:

Файл:Delta-02.png

2024-10-10T11:52:42Z

Admin:

Файл:Delta-01.png

2024-10-10T11:52:25Z

Admin:

Файл:Asterisk-04.jpg

2024-10-10T11:51:32Z

Admin: