在本系列的最后，我们将详细介绍如何在 Dovecot 和 Postfix 中设置虚拟用户和邮箱。

欢迎回来，热心的 Linux 系统管理员们！ 在本系列的第一部分和第二部分中，我们学习了如何将 Postfix 和 Dovecot 组合在一起，搭建一个不错的 IMAP 和 POP3 邮件服务器。 现在我们将学习设置虚拟用户，以便我们可以管理所有 Dovecot 中的用户。

抱歉，还不能配置 SSL

我知道我答应过教你们如何设置一个受 SSL 保护的服务器。 不幸的是，我低估了这个话题的范围。 所以，我会下个月再写一个全面的教程。

今天，在本系列的最后一部分中，我们将详细介绍如何在 Dovecot 和 Postfix 中设置虚拟用户和邮箱。 在你看来这是有点奇怪，所以我尽量让下面的例子简单点。我们将使用纯文本文件和纯文本来进行身份验证。 你也可以选择使用数据库后端和较强的加密认证形式，具体请参阅文末链接了解有关这些的更多信息。

虚拟用户

我们希望邮件服务器上用的是虚拟用户而不是 Linux 系统用户。使用 Linux 系统用户不能扩展，并且它们会暴露系统登录账号，给你的服务器带来不必要的风险。 设置虚拟用户需要在 Postfix 和 Dovecot 中编辑配置文件。我们将从 Postfix 开始。首先，我们将从一个干净、简化的 /etc /postfix/main.cf 开始。移动你原始的 main.cf 到别处做个备份，创建一个新的干净的文件，内容如下：

compatibility_level=2
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu/GNU)
biff = no
append_dot_mydomain = no

myhostname = localhost
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/24
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

virtual_mailbox_domains = /etc/postfix/vhosts.txt
virtual_mailbox_base = /home/vmail
virtual_mailbox_maps = hash:/etc/postfix/vmaps.txt
virtual_minimum_uid = 1000
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_transport = lmtp:unix:private/dovecot-lmtp0

你可以直接拷贝这份文件，除了 mynetworks 参数的设置 192.168.0.0/24，它应该是你的本地子网掩码。

接下来，创建用户和组 vmail 来拥有你的虚拟邮箱。虚拟邮箱保存在 vmail 的家目录下。

$ sudo groupadd -g 5000 vmail
$ sudo useradd -m -u 5000 -g 5000 -s /bin/bash vmail

接下来重新加载 Postfix 配置：

$ sudo postfix reload
[sudo] password for carla: 
postfix/postfix-script: refreshing the Postfix mail system

Dovecot 虚拟用户

我们会使用 Dovecot 的 lmtp 协议来连接到 Postfix。你可以这样安装：

$ sudo apt-get install dovecot-lmtpd

main.cf 的最后一行涉及到 lmtp。复制这个 /etc/dovecot/dovecot.conf 示例文件来替换已存在的文件。再说一次，我们只使用这一个文件，而不是 /etc/dovecot/conf.d 内的所有文件。

protocols = imap pop3 lmtp
log_path = /var/log/dovecot.log
info_log_path = /var/log/dovecot-info.log
ssl = no
disable_plaintext_auth = no
mail_location = maildir:~/.Mail
pop3_uidl_format = %g
auth_verbose = yes
auth_mechanisms = plain

passdb {
  driver = passwd-file
  args = /etc/dovecot/passwd
}

userdb {
  driver = static
  args = uid=vmail gid=vmail home=/home/vmail/studio/%u
}

service lmtp {
 unix_listener /var/spool/postfix/private/dovecot-lmtp {
   group = postfix
   mode = 0600
   user = postfix
  }
}

protocol lmtp {
  postmaster_address = postmaster@studio
}
service lmtp {
  user = vmail
}

最后，你可以创建一个含有用户和密码的文件 /etc/dovecot/passwd。对于纯文本验证，我们只需要用户的完整邮箱地址和密码：

alrac@studio:{PLAIN}password
layla@studio:{PLAIN}password
fred@studio:{PLAIN}password
molly@studio:{PLAIN}password
benny@studio:{PLAIN}password

Dovecot 虚拟用户独立于 Postfix 虚拟用户，因此你需要管理 Dovecot 中的用户。保存所有的设置并重启 Postfix 和 Dovecot：

$ sudo service postfix restart
$ sudo service dovecot restart

现在让我们使用老朋友 telnet 来看下 Dovecot 是否设置正确。

$ telnet studio 110
Trying 127.0.1.1...
Connected to studio.
Escape character is '^]'.
+OK Dovecot ready.
user molly@studio
+OK
pass password
+OK Logged in.
quit
+OK Logging out.
Connection closed by foreign host.

现在一切都好！让我们用 mail 命令，发送测试消息给我们的用户。确保使用用户的完整电子邮箱地址而不只是用户名。

$ mail benny@studio
Subject: hello and welcome!
Please enjoy your new mail account!
.

最后一行的英文句点表示发送消息。让我们看下它是否到达了正确的邮箱。

$ sudo ls -al /home/vmail/studio/benny@studio/.Mail/new
total 16
drwx------ 2 vmail vmail 4096 Dec 14 12:39 .
drwx------ 5 vmail vmail 4096 Dec 14 12:39 ..
-rw------- 1 vmail vmail  525 Dec 14 12:39 1481747995.M696591P5790.studio,S=525,W=540

找到了。这是一封我们可以阅读的纯文本文件：

$ less 1481747995.M696591P5790.studio,S=525,W=540
Return-Path: <carla@localhost>
Delivered-To: benny@studio
Received: from localhost
        by studio (Dovecot) with LMTP id V01ZKRuuUVieFgAABiesew
        for <benny@studio>; Wed, 14 Dec 2016 12:39:55 -0800
Received: by localhost (Postfix, from userid 1000)
        id 9FD9CA1F58; Wed, 14 Dec 2016 12:39:55 -0800 (PST)
Date: Wed, 14 Dec 2016 12:39:55 -0800
To: benny@studio
Subject: hello and welcome!
User-Agent: s-nail v14.8.6
Message-Id: <20161214203955.9FD9CA1F58@localhost>
From: carla@localhost (carla)

Please enjoy your new mail account!

你还可以使用 telnet 进行测试，如本系列前面部分所述，并在你最喜欢的邮件客户端中设置帐户，如 Thunderbird，Claws-Mail 或 KMail。

故障排查

当邮件工作不正常时，请检查日志文件（请参阅配置示例），然后运行 journalctl -xe。 这时会提供定位输入错误、未安装包和可以 Google 的短语等所有需要的信息。

接下来？

假设你的 LAN 名称服务配置正确，你现在有一台很好用的 LAN 邮件服务器。 显然，以纯文本发送消息不是最佳的，不支持互联网的邮件也是绝对不可以的。 请参阅 Dovecot SSL 配置和 Postfix TLS 支持，VirtualUserFlatFilesPostfix 涵盖了 TLS 和数据库后端。并请期待我之后的 SSL 指南。这次我说的是真的。

via: https://www.linux.com/learn/sysadmin/building-email-server-ubuntu-linux-part-3

作者：CARLA SCHRODER 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

UFW，即 简单防火墙 （ uncomplicated firewall ） ，是一个 Arch Linux、Debian 或 Ubuntu 中管理防火墙规则的前端。 UFW 通过命令行使用（尽管它有可用的 GUI），它的目的是使防火墙配置简单（即 不复杂 （ uncomplicated ） ）。

开始之前

1、 熟悉我们的入门指南，并完成设置服务器主机名和时区的步骤。

2、 本指南将尽可能使用 sudo。 在完成保护你的服务器指南的章节，创建一个标准用户帐户，强化 SSH 访问和移除不必要的网络服务。 但不要跟着创建防火墙部分 - 本指南是介绍使用 UFW 的，它对于 iptables 而言是另外一种控制防火墙的方法。

3、 更新系统

Arch Linux

sudo pacman -Syu

Debian / Ubuntu

sudo apt-get update && sudo apt-get upgrade

安装 UFW

UFW 默认包含在 Ubuntu 中，但在 Arch 和 Debian 中需要安装。 Debian 将自动启用 UFW 的 systemd 单元，并使其在重新启动时启动，但 Arch 不会。 这与告诉 UFW 启用防火墙规则不同，因为使用 systemd 或者 upstart 启用 UFW 仅仅是告知 init 系统打开 UFW 守护程序。

默认情况下，UFW 的规则集为空，因此即使守护程序正在运行，也不会强制执行任何防火墙规则。 强制执行防火墙规则集的部分在下面。

Arch Linux

1、 安装 UFW：

sudo pacman -S ufw

2、 启动并启用 UFW 的 systemd 单元：

sudo systemctl start ufw
sudo systemctl enable ufw

Debian / Ubuntu

1、 安装 UFW

sudo apt-get install ufw

使用 UFW 管理防火墙规则

设置默认规则

大多数系统只需要打开少量的端口接受传入连接，并且关闭所有剩余的端口。 从一个简单的规则基础开始，ufw default命令可以用于设置对传入和传出连接的默认响应动作。 要拒绝所有传入并允许所有传出连接，那么运行：

sudo ufw default allow outgoing
sudo ufw default deny incoming

ufw default 也允许使用 reject 参数。

警告：

除非明确设置允许规则，否则配置默认 deny 或 reject 规则会锁定你的服务器。确保在应用默认 deny 或 reject 规则之前，已按照下面的部分配置了 SSH 和其他关键服务的允许规则。

添加规则

可以有两种方式添加规则：用端口号或者服务名表示。

要允许 SSH 的 22 端口的传入和传出连接，你可以运行：

sudo ufw allow ssh

你也可以运行：

sudo ufw allow 22

相似的，要在特定端口（比如 111）上 deny 流量，你需要运行：

sudo ufw deny 111

为了更好地调整你的规则，你也可以允许基于 TCP 或者 UDP 的包。下面例子会允许 80 端口的 TCP 包：

sudo ufw allow 80/tcp
sudo ufw allow http/tcp

这个会允许 1725 端口上的 UDP 包：

sudo ufw allow 1725/udp

高级规则

除了基于端口的允许或阻止，UFW 还允许您按照 IP 地址、子网和 IP 地址/子网/端口的组合来允许/阻止。

允许从一个 IP 地址连接：

sudo ufw allow from 123.45.67.89

允许特定子网的连接：

sudo ufw allow from 123.45.67.89/24

允许特定 IP/ 端口的组合：

sudo ufw allow from 123.45.67.89 to any port 22 proto tcp

proto tcp 可以删除或者根据你的需求改成 proto udp，所有例子的 allow 都可以根据需要变成 deny。

删除规则

要删除一条规则，在规则的前面加上 delete。如果你希望不再允许 HTTP 流量，你可以运行：

sudo ufw delete allow 80

删除规则同样可以使用服务名。

编辑 UFW 的配置文件

虽然可以通过命令行添加简单的规则，但仍有可能需要添加或删除更高级或特定的规则。 在运行通过终端输入的规则之前，UFW 将运行一个文件 before.rules，它允许回环接口、ping 和 DHCP 等服务。要添加或改变这些规则，编辑 /etc/ufw/before.rules 这个文件。 同一目录中的 before6.rules 文件用于 IPv6 。

还存在一个 after.rule 和 after6.rule 文件，用于添加在 UFW 运行你通过命令行输入的规则之后需要添加的任何规则。

还有一个配置文件位于 /etc/default/ufw。 从此处可以禁用或启用 IPv6，可以设置默认规则，并可以设置 UFW 以管理内置防火墙链。

UFW 状态

你可以在任何时候使用命令：sudo ufw status 查看 UFW 的状态。这会显示所有规则列表，以及 UFW 是否处于激活状态：

Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
443                        ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)
443 (v6)                   ALLOW       Anywhere (v6)

启用防火墙

随着你选择规则完成，你初始运行 ufw status 可能会输出 Status: inactive。 启用 UFW 并强制执行防火墙规则：

sudo ufw enable

相似地，禁用 UFW 规则：

sudo ufw disable

UFW 会继续运行，并且在下次启动时会再次启动。

日志记录

你可以用下面的命令启动日志记录：

sudo ufw logging on

可以通过运行 sudo ufw logging low|medium|high 设计日志级别，可以选择 low、 medium 或者 high。默认级别是 low。

常规日志类似于下面这样，位于 /var/logs/ufw：

Sep 16 15:08:14 <hostname> kernel: [UFW BLOCK] IN=eth0 OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC=123.45.67.89 DST=987.65.43.21 LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=8475 PROTO=TCP SPT=48247 DPT=22 WINDOW=1024 RES=0x00 SYN URGP=0

前面的值列出了你的服务器的日期、时间、主机名。剩下的重要信息包括：

• [UFW BLOCK]：这是记录事件的描述开始的位置。在此例中，它表示阻止了连接。
• IN：如果它包含一个值，那么代表该事件是传入事件
• OUT：如果它包含一个值，那么代表事件是传出事件
• MAC：目的地和源 MAC 地址的组合
• SRC：包源的 IP
• DST：包目的地的 IP
• LEN：数据包长度
• TTL：数据包 TTL，或称为 time to live。 在找到目的地之前，它将在路由器之间跳跃，直到它过期。
• PROTO：数据包的协议
• SPT：包的源端口
• DPT：包的目标端口
• WINDOW：发送方可以接收的数据包的大小
• SYN URGP：指示是否需要三次握手。 0 表示不需要。

via: https://www.linode.com/docs/security/firewalls/configure-firewall-with-ufw

作者：Linode 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在大多数情况下，Linux 系统管理员使用 SSH 登录到程 Linux 服务器时，要么是通过密码，要么是无密码 SSH 登录或基于密钥的 SSH 身份验证。

如果你想自动在 SSH 登录提示符中提供密码和用户名怎么办？这时 sshpass 就可以帮到你了。

sshpass 是一个简单、轻量级的命令行工具，通过它我们能够向命令提示符本身提供密码（非交互式密码验证），这样就可以通过 cron 调度器执行自动化的 shell 脚本进行备份。

ssh 直接使用 TTY 访问，以确保密码是用户键盘输入的。 sshpass 在专门的 tty 中运行 ssh，以误导 ssh 相信它是从用户接收到的密码。

重要：使用 sshpass 是最不安全的，因为所有系统上的用户在命令行中通过简单的 “ps” 命令就可看到密码。因此，如果必要，比如说在生产环境，我强烈建议使用 SSH 无密码身份验证。

在 Linux 中安装 sshpass

在基于 RedHat/CentOS 的系统中，首先需要启用 EPEL 仓库并使用 yum 命令安装它。

# yum install sshpass
# dnf install sshpass    [Fedora 22 及以上版本]

在 Debian/Ubuntu 和它的衍生版中，你可以使用 apt-get 命令来安装。

$ sudo apt-get install sshpass

另外，你也可以从最新的源码安装 sshpass，首先下载源码并从 tar 文件中解压出内容：

$ wget http://sourceforge.net/projects/sshpass/files/latest/download -O sshpass.tar.gz
$ tar -xvf sshpass.tar.gz
$ cd sshpass-1.06
$ ./configure
# sudo make install 

如何在 Linux 中使用 sshpass

sshpass 与 ssh 一起使用，使用下面的命令可以查看 sshpass 的使用选项的完整描述：

$ sshpass -h

下面为显示的 sshpass 帮助内容：

Usage: sshpass [-f|-d|-p|-e] [-hV] command parameters
-f filename   Take password to use from file
-d number     Use number as file descriptor for getting password
-p password   Provide password as argument (security unwise)
-e            Password is passed as env-var "SSHPASS"
With no parameters - password will be taken from stdin
-h            Show help (this screen)
-V            Print version information
At most one of -f, -d, -p or -e should be used

正如我之前提到的，sshpass 在用于脚本时才更可靠及更有用，请看下面的示例命令。

使用用户名和密码登录到远程 Linux ssh 服务器（10.42.0.1），并检查文件系统磁盘使用情况，如图所示。

$ sshpass -p 'my_pass_here' ssh [email protected] 'df -h' 

重要提示：此处，在命令行中提供了密码，这是不安全的，不建议使用此选项。

sshpass – 使用 SSH 远程登录 Linux

但是，为了防止在屏幕上显示密码，可以使用 -e 标志，并将密码作为 SSHPASS 环境变量的值输入，如下所示：

$ export SSHPASS='my_pass_here'
$ echo $SSHPASS
$ sshpass -e ssh [email protected] 'df -h' 

sshpass – 在终端中隐藏密码

注意：在上面的示例中，SSHPASS 环境变量仅用于临时目的，并将在重新启动后删除。

要永久设置 SSHPASS 环境变量，打开 /etc/profile 文件，并在文件开头输入 export 语句：

export SSHPASS='my_pass_here'

保存文件并退出，接着运行下面的命令使更改生效：

$ source /etc/profile 

另外，也可以使用 -f 标志，并把密码放在一个文件中。 这样，您可以从文件中读取密码，如下所示：

$ sshpass -f password_filename ssh [email protected] 'df -h'

sshpass – 在登录时提供密码文件

你也可以使用 sshpass 通过 scp 传输文件或者 rsync 备份/同步文件，如下所示：

------- Transfer Files Using SCP ------- 
$ scp -r /var/www/html/example.com --rsh="sshpass -p 'my_pass_here' ssh -l aaronkilik" 10.42.0.1:/var/www/html
------- Backup or Sync Files Using Rsync -------
$ rsync --rsh="sshpass -p 'my_pass_here' ssh -l aaronkilik" 10.42.0.1:/data/backup/ /backup/

更多的用法，建议阅读 sshpass 的 man 页面，输入：

$ man sshpass

在本文中，我们解释了 sshpass 是一个非交互式密码验证的简单工具。 虽然这个工具可能是有帮助的，但还是强烈建议使用更安全的 ssh 公钥认证机制。

请在下面的评论栏写下任何问题或评论，以便可以进一步讨论。

作者简介：Aaron Kili 是一位 Linux 和 F.O.S.S 爱好者，未来的 Linux 系统管理员，web 开发人员， 还是 TecMint 原创作者，热爱电脑工作，并乐于分享知识。

via: http://www.tecmint.com/sshpass-non-interactive-ssh-login-shell-script-ssh-password/

作者：Aaron Kili 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

如我们前面两篇文章（使用 mod\_rewrite 执行内部重定向和基于浏览器来显示自定义内容）中提到的，在本文中，我们将解释如何在 Apache 中使用 mod\_rewrite 模块重定向对已移动到另外一台服务器上的资源的访问。

假设你正在重新设计公司的网站。你已决定将内容和样式（HTML文件、JavaScript 和 CSS）存储在一个服务器上，将文档存储在另一个服务器上 - 这样可能会更稳健。

建议阅读： 5 个提高 Apache Web 服务器性能的提示 。

但是，你希望这个更改对用户是透明的，以便他们仍然能够通过之前的网址访问文档。

在下面的例子中，名为 assets.pdf 的文件已从 192.168.0.100（主机名：web）中的 /var/www/html 移动到192.168.0.101（主机名：web2）中的相同位置。

为了让用户在浏览到 192.168.0.100/assets.pdf 时可以访问到此文件，请打开 192.168.0.100 上的 Apache 配置文件并添加以下重写规则（或者也可以将以下规则添加到 .htaccess 文件）中：

RewriteRule "^(/assets\.pdf$)" "http://192.168.0.101$1"  [R,L]

其中 $1 占位符，代表与括号中的正则表达式匹配的任何内容。

现在保存更改，不要忘记重新启动 Apache，让我们看看当我们打开 192.168.0.100/assets.pdf，尝试访问 assets.pdf 时会发生什么：

建议阅读： 25 个有用的网站 .htaccess 技巧

在下面我们就可以看到，为 192.168.0.100 上的 assets.pdf 所做的请求实际上是由 192.168.0.101处理的。

# tail -n 1 /var/log/apache2/access.log

检查 Apache 日志

在本文中，我们讨论了如何对已移动到其他服务器的资源进行重定向。 总而言之，我强烈建议你看看 mod\_rewrite 指南和 Apache 重定向指南，以供将来参考。

一如既往那样，如果您对本文有任何疑虑，请随时使用下面的评论栏回复。 我们期待你的回音！

作者简介：Gabriel Cánepa 是来自阿根廷圣路易斯 Villa Mercedes 的 GNU/Linux 系统管理员和 Web 开发人员。 他在一家全球领先的消费品公司工作，非常高兴使用 FOSS 工具来提高他日常工作领域的生产力。

via: http://www.tecmint.com/redirect-website-url-from-one-server-to-different-server/

作者：Gabriel Cánepa 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

本教程的第 2 部分将介绍如何使用 Dovecot 将邮件从 Postfix 服务器移动到用户的收件箱。

在第一部分中，我们安装并测试了 Postfix SMTP 服务器。Postfix 或任何 SMTP 服务器都不是一个完整的邮件服务器，因为它所做的只是在 SMTP 服务器之间移动邮件。我们需要 Dovecot 将邮件从 Postfix 服务器移动到用户的收件箱中。

Dovecot 支持两种标准邮件协议：IMAP（Internet 邮件访问协议）和 POP3（邮局协议）。 IMAP 服务器会在服务器上保留所有邮件。您的用户可以选择将邮件下载到计算机或仅在服务器上访问它们。 IMAP 对于有多台机器的用户是方便的。但对你而言需要更多的工作，因为你必须确保你的服务器始终可用，而且 IMAP 服务器需要大量的存储和内存。

POP3 是较旧的协议。POP3 服务器可以比 IMAP 服务器服务更多的用户，因为邮件会下载到用户的计算机。大多数邮件客户端可以选择在服务器上保留一定天数的邮件，因此 POP3 的行为有点像 IMAP。但它又不是 IMAP，当你像 IMAP 那样（在多台计算机上使用它时）那么常常会下载多次或意外删除。

安装 Dovecot

启动你的 Ubuntu 系统并安装 Dovecot：

$ sudo apt-get install dovecot-imapd dovecot-pop3d

它会安装可用的配置，并在完成后自动启动，你可以用 ps ax | grep dovecot 确认：

$ ps ax | grep dovecot
15988 ?  Ss 0:00 /usr/sbin/dovecot
15990 ?  S  0:00 dovecot/anvil
15991 ?  S  0:00 dovecot/log

打开你的 Postfix 配置文件 /etc/postfix/main.cf，确保配置了maildir 而不是 mbox 的邮件存储方式，mbox 是给每个用户一个单一大文件，而 maildir 是每条消息都存储为一个文件。大量的小文件比一个庞大的文件更稳定且易于管理。添加如下两行，第二行告诉 Postfix 你需要 maildir 格式，并且在每个用户的家目录下创建一个 .Mail 目录。你可以取任何名字，不一定要是 .Mail：

mail_spool_directory = /var/mail
home_mailbox = .Mail/

现在调整你的 Dovecot 配置。首先把原始的 dovecot.conf 文件重命名放到一边，因为它会调用存放在 conf.d 中的文件，在你刚刚开始学习时把配置放一起更简单些：

$ sudo mv /etc/dovecot/dovecot.conf /etc/dovecot/dovecot-oldconf

现在创建一个新的 /etc/dovecot/dovecot.conf：

disable_plaintext_auth = no
mail_location = maildir:~/.Mail
namespace inbox {
  inbox = yes
  mailbox Drafts {
    special_use = \Drafts
  }
  mailbox Sent {
    special_use = \Sent
  }
  mailbox Trash {
    special_use = \Trash
  }
}
passdb {
  driver = pam
}
protocols = " imap pop3"
ssl = no
userdb {
  driver = passwd
}

注意 mail_location = maildir 必须和 main.cf 中的 home_mailbox 参数匹配。保存你的更改并重新加载 Postfix 和 Dovecot 配置：

$ sudo postfix reload
$ sudo dovecot reload

快速导出配置

使用下面的命令来快速查看你的 Postfix 和 Dovecot 配置：

$ postconf -n
$ doveconf -n

测试 Dovecot

现在再次启动 telnet，并且给自己发送一条测试消息。粗体显示的是你输入的命令。studio 是我服务器的主机名，因此你必须用自己的：

$ telnet studio 25
Trying 127.0.1.1...
Connected to studio.
Escape character is '^]'.
220 studio.router ESMTP Postfix (Ubuntu)
EHLO studio
250-studio.router
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250 SMTPUTF8
mail from: [email protected]
250 2.1.0 Ok
rcpt to: carla@studio
250 2.1.5 Ok
data
354 End data with .Date: November 25, 2016
From: tester
Message-ID: first-test
Subject: mail server test
Hi carla,
Are you reading this? Let me know if you didn't get this.
.
250 2.0.0 Ok: queued as 0C261A1F0F
quit
221 2.0.0 Bye                                                                   
Connection closed by foreign host.

现在请求 Dovecot 来取回你的新消息，使用你的 Linux 用户名和密码登录：

$ telnet studio 110                                            
Trying 127.0.0.1...                                                             
Connected to studio.                                                         
Escape character is '^]'.                                                       
+OK Dovecot ready.                                                              
user carla
+OK
pass password
+OK Logged in.
stat
+OK 2 809
list
+OK 2 messages:
1 383
2 426
.
retr 2
+OK 426 octets
Return-Path: <[email protected]>
X-Original-To: carla@studio
Delivered-To: carla@studio
Received: from studio (localhost [127.0.0.1])
        by studio.router (Postfix) with ESMTP id 0C261A1F0F
        for <carla@studio>; Wed, 30 Nov 2016 17:18:57 -0800 (PST)
Date: November 25, 2016
From: [email protected]
Message-ID: first-test
Subject: mail server test

Hi carla,
Are you reading this? Let me know if you didn't get this.
.
quit
+OK Logging out.
Connection closed by foreign host.

花一点时间比较第一个例子中输入的消息和第二个例子中接收的消息。 返回地址和日期是很容易伪造的，但 Postfix 不会被愚弄。大多数邮件客户端默认显示一个最小的标头集，但是你需要读取完整的标头才能查看真实的回溯。

你也可以在你的 ~/Mail/cur 目录中查看你的邮件，它们是普通文本，我已经有两封测试邮件：

$ ls .Mail/cur/
1480540325.V806I28e0229M351743.studio:2,S
1480555224.V806I28e000eM41463.studio:2,S

测试 IMAP

我们 Dovecot 同时启用了 POP3 和 IMAP 服务，因此让我们使用 telnet 测试 IMAP。

$ telnet studio imap2   
Trying 127.0.1.1...
Connected to studio.
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS 
ID ENABLE IDLE AUTH=PLAIN] Dovecot ready.
A1 LOGIN carla password
A1 OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS 
ID ENABLE IDLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS 
THREAD=ORDEREDSUBJECT MULTIAPPEND URL-PARTIAL CATENATE UNSELECT 
CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE 
QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS 
BINARY MOVE SPECIAL-USE] Logged in
A2 LIST "" "*"
* LIST (\HasNoChildren) "." INBOX
A2 OK List completed (0.000 + 0.000 secs).
A3 EXAMINE INBOX
* FLAGS (\Answered \Flagged \Deleted \Seen \Draft)
* OK [PERMANENTFLAGS ()] Read-only mailbox.
* 2 EXISTS
* 0 RECENT
* OK [UIDVALIDITY 1480539462] UIDs valid
* OK [UIDNEXT 3] Predicted next UID
* OK [HIGHESTMODSEQ 1] Highest
A3 OK [READ-ONLY] Examine completed (0.000 + 0.000 secs).
A4 logout
* BYE Logging out
A4 OK Logout completed.
Connection closed by foreign host

Thunderbird 邮件客户端

图 1 中的屏幕截图显示了我局域网上另一台主机上的图形邮件客户端中的邮件。

图 1： Thunderbird mail

此时，你已有一个可以工作的 IMAP 和 POP3 邮件服务器，并且你也知道该如何测试你的服务器。你的用户可以在他们设置邮件客户端时选择要使用的协议。如果您只想支持一个邮件协议，那么只需要在您的 Dovecot 配置中留下你要的协议名字。

然而，这还远远没有完成。这是一个非常简单、没有加密的、大门敞开的安装。它也只适用于与邮件服务器在同一系统上的用户。这是不可扩展的，并具有一些安全风险，例如没有密码保护。 我们会在下篇了解如何创建与系统用户分开的邮件用户，以及如何添加加密。

via: https://www.linux.com/learn/sysadmin/building-email-server-ubuntu-linux-part-2

作者：CARLA SCHRODER 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

现在让我们强化你的服务器以防止未授权访问。

经常升级系统

保持最新的软件是你可以在任何操作系统上采取的最大的安全预防措施。软件更新的范围从关键漏洞补丁到小 bug 的修复，许多软件漏洞实际上是在它们被公开的时候得到修补的。

自动安全更新

有一些用于服务器上自动更新的参数。Fedora 的 Wiki 上有一篇很棒的剖析自动更新的利弊的文章，但是如果你把它限制到安全更新上，自动更新的风险将是最小的。

自动更新的可行性必须你自己判断，因为它归结为你在你的服务器上做什么。请记住，自动更新仅适用于来自仓库的包，而不是自行编译的程序。你可能会发现一个复制了生产服务器的测试环境是很有必要的。可以在部署到生产环境之前，在测试环境里面更新来检查问题。

• CentOS 使用 yum-cron 进行自动更新。
• Debian 和 Ubuntu 使用 无人值守升级。
• Fedora 使用 dnf-automatic。

添加一个受限用户账户

到目前为止，你已经作为 root 用户访问了你的服务器，它有无限制的权限，可以执行任何命令 - 甚至可能意外中断你的服务器。 我们建议创建一个受限用户帐户，并始终使用它。 管理任务应该使用 sudo 来完成，它可以临时提升受限用户的权限，以便管理你的服务器。

不是所有的 Linux 发行版都在系统上默认包含 sudo，但大多数都在其软件包仓库中有 sudo。 如果得到这样的输出 sudo：command not found，请在继续之前安装 sudo。

要添加新用户，首先通过 SSH 登录到你的服务器。

CentOS / Fedora

1、 创建用户，用你想要的名字替换 example_user，并分配一个密码：

useradd example_user && passwd example_user

2、 将用户添加到具有 sudo 权限的 wheel 组：

usermod -aG wheel example_user

Ubuntu

1、 创建用户，用你想要的名字替换 example_user。你将被要求输入用户密码：

adduser example_user

2、 添加用户到 sudo 组，这样你就有管理员权限了：

adduser example_user sudo

Debian

1、 Debian 默认的包中没有 sudo， 使用 apt-get 来安装：

apt-get install sudo

2、 创建用户，用你想要的名字替换 example_user。你将被要求输入用户密码：

adduser example_user

3、 添加用户到 sudo 组，这样你就有管理员权限了：

adduser example_user sudo

创建完有限权限的用户后，断开你的服务器连接：

exit

重新用你的新用户登录。用你的用户名代替 example_user，用你的服务器 IP 地址代替例子中的 IP 地址：

ssh [email protected]

现在你可以用你的新用户帐户管理你的服务器，而不是 root。 几乎所有超级用户命令都可以用 sudo（例如：sudo iptables -L -nv）来执行，这些命令将被记录到 /var/log/auth.log 中。

加固 SSH 访问

默认情况下，密码认证用于通过 SSH 连接到您的服务器。加密密钥对更加安全，因为它用私钥代替了密码，这通常更难以暴力破解。在本节中，我们将创建一个密钥对，并将服务器配置为不接受 SSH 密码登录。

创建验证密钥对

1、这是在你本机上完成的，不是在你的服务器上，这里将创建一个 4096 位的 RSA 密钥对。在创建过程中，您可以选择使用密码加密私钥。这意味着它不能在没有输入密码的情况下使用，除非将密码保存到本机桌面的密钥管理器中。我们建议您使用带有密码的密钥对，但如果你不想使用密码，则可以将此字段留空。

Linux / OS X

如果你已经创建了 RSA 密钥对，则这个命令将会覆盖它，这可能会导致你不能访问其它的操作系统。如果你已创建过密钥对，请跳过此步骤。要检查现有的密钥，请运行 ls〜/ .ssh / id_rsa *。

ssh-keygen -b 4096

在输入密码之前，按下 回车使用 /home/your_username/.ssh 中的默认名称 id_rsa 和 id_rsa.pub。

Windows

这可以使用 PuTTY 完成，在我们指南中已有描述：使用 SSH 公钥验证。

2、将公钥上传到您的服务器上。 将 example_user 替换为你用来管理服务器的用户名称，将 203.0.113.10 替换为你的服务器的 IP 地址。

Linux

在本机上：

ssh-copy-id [email protected]

OS X

在你的服务器上（用你的权限受限用户登录）：

mkdir -p ~/.ssh && sudo chmod -R 700 ~/.ssh/

在本机上：

scp ~/.ssh/id_rsa.pub [email protected]:~/.ssh/authorized_keys

如果相对于 scp 你更喜欢 ssh-copy-id 的话，那么它也可以在 Homebrew 中找到。使用 brew install ssh-copy-id 安装。

Windows

• 选择 1：使用 WinSCP 来完成。 在登录窗口中，输入你的服务器的 IP 地址作为主机名，以及非 root 的用户名和密码。单击“登录”连接。

一旦 WinSCP 连接后，你会看到两个主要部分。 左边显示本机上的文件，右边显示服务区上的文件。 使用左侧的文件浏览器，导航到你已保存公钥的文件，选择公钥文件，然后点击上面工具栏中的“上传”。

系统会提示你输入要将文件放在服务器上的路径。 将文件上传到 /home/example_user/.ssh /authorized_keys，用你的用户名替换 example_user。

• 选择 2：将公钥直接从 PuTTY 键生成器复制到连接到你的服务器中（作为非 root 用户）：

mkdir ~/.ssh; nano ~/.ssh/authorized_keys

上面命令将在文本编辑器中打开一个名为 authorized_keys 的空文件。 将公钥复制到文本文件中，确保复制为一行，与 PuTTY 所生成的完全一样。 按下 CTRL + X，然后按下 Y，然后回车保存文件。

最后，你需要为公钥目录和密钥文件本身设置权限：

sudo chmod 700 -R ~/.ssh && chmod 600 ~/.ssh/authorized_keys

这些命令通过阻止其他用户访问公钥目录以及文件本身来提供额外的安全性。有关它如何工作的更多信息，请参阅我们的指南如何修改文件权限。

3、 现在退出并重新登录你的服务器。如果你为私钥指定了密码，则需要输入密码。

SSH 守护进程选项

1、 不允许 root 用户通过 SSH 登录。 这要求所有的 SSH 连接都是通过非 root 用户进行。当以受限用户帐户连接后，可以通过使用 sudo 或使用 su - 切换为 root shell 来使用管理员权限。

# Authentication:
...
PermitRootLogin no

2、 禁用 SSH 密码认证。 这要求所有通过 SSH 连接的用户使用密钥认证。根据 Linux 发行版的不同，它可能需要添加 PasswordAuthentication 这行，或者删除前面的 # 来取消注释。

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

如果你从许多不同的计算机连接到服务器，你可能想要继续启用密码验证。这将允许你使用密码进行身份验证，而不是为每个设备生成和上传密钥对。

3、 只监听一个互联网协议。 在默认情况下，SSH 守护进程同时监听 IPv4 和 IPv6 上的传入连接。除非你需要使用这两种协议进入你的服务器，否则就禁用你不需要的。 这不会禁用系统范围的协议，它只用于 SSH 守护进程。

使用选项：

• AddressFamily inet 只监听 IPv4。
• AddressFamily inet6 只监听 IPv6。

默认情况下，AddressFamily 选项通常不在 sshd_config 文件中。将它添加到文件的末尾：

echo 'AddressFamily inet' | sudo tee -a /etc/ssh/sshd_config

4、 重新启动 SSH 服务以加载新配置。

如果你使用的 Linux 发行版使用 systemd（CentOS 7、Debian 8、Fedora、Ubuntu 15.10+）

sudo systemctl restart sshd

如果您的 init 系统是 SystemV 或 Upstart（CentOS 6、Debian 7、Ubuntu 14.04）：

sudo service ssh restart

使用 Fail2Ban 保护 SSH 登录

Fail2Ban 是一个应用程序，它会在太多的失败登录尝试后禁止 IP 地址登录到你的服务器。由于合法登录通常不会超过三次尝试（如果使用 SSH 密钥，那不会超过一个），因此如果服务器充满了登录失败的请求那就表示有恶意访问。

Fail2Ban 可以监视各种协议，包括 SSH、HTTP 和 SMTP。默认情况下，Fail2Ban 仅监视 SSH，并且因为 SSH 守护程序通常配置为持续运行并监听来自任何远程 IP 地址的连接，所以对于任何服务器都是一种安全威慑。

有关安装和配置 Fail2Ban 的完整说明，请参阅我们的指南：使用 Fail2ban 保护服务器。

删除未使用的面向网络的服务

大多数 Linux 发行版都安装并运行了网络服务，监听来自互联网、回环接口或两者兼有的传入连接。 将不需要的面向网络的服务从系统中删除，以减少对运行进程和对已安装软件包攻击的概率。

查明运行的服务

要查看服务器中运行的服务：

sudo netstat -tulpn

如果默认情况下 netstat 没有包含在你的 Linux 发行版中，请安装软件包 net-tools 或使用 ss -tulpn 命令。

以下是 netstat 的输出示例。 请注意，因为默认情况下不同发行版会运行不同的服务，你的输出将有所不同：

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      7315/rpcbind
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      3277/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      3179/exim4
tcp        0      0 0.0.0.0:42526           0.0.0.0:*               LISTEN      2845/rpc.statd
tcp6       0      0 :::48745                :::*                    LISTEN      2845/rpc.statd
tcp6       0      0 :::111                  :::*                    LISTEN      7315/rpcbind
tcp6       0      0 :::22                   :::*                    LISTEN      3277/sshd
tcp6       0      0 ::1:25                  :::*                    LISTEN      3179/exim4
udp        0      0 127.0.0.1:901           0.0.0.0:*                           2845/rpc.statd
udp        0      0 0.0.0.0:47663           0.0.0.0:*                           2845/rpc.statd
udp        0      0 0.0.0.0:111             0.0.0.0:*                           7315/rpcbind
udp        0      0 192.0.2.1:123           0.0.0.0:*                           3327/ntpd
udp        0      0 127.0.0.1:123           0.0.0.0:*                           3327/ntpd
udp        0      0 0.0.0.0:123             0.0.0.0:*                           3327/ntpd
udp        0      0 0.0.0.0:705             0.0.0.0:*                           7315/rpcbind
udp6       0      0 :::111                  :::*                                7315/rpcbind
udp6       0      0 fe80::f03c:91ff:fec:123 :::*                                3327/ntpd
udp6       0      0 2001:DB8::123           :::*                                3327/ntpd
udp6       0      0 ::1:123                 :::*                                3327/ntpd
udp6       0      0 :::123                  :::*                                3327/ntpd
udp6       0      0 :::705                  :::*                                7315/rpcbind
udp6       0      0 :::60671                :::*                                2845/rpc.statd

netstat 告诉我们服务正在运行 RPC（rpc.statd 和 rpcbind）、SSH（sshd）、NTPdate（ntpd）和Exim（exim4）。

TCP

请参阅 netstat 输出的 Local Address 那一列。进程 rpcbind 正在侦听 0.0.0.0:111 和 :::111，外部地址是 0.0.0.0:* 或者 :::* 。这意味着它从任何端口和任何网络接口接受来自任何外部地址（IPv4 和 IPv6）上的其它 RPC 客户端的传入 TCP 连接。 我们看到类似的 SSH，Exim 正在侦听来自回环接口的流量，如所示的 127.0.0.1 地址。

UDP

UDP 套接字是无状态的，这意味着它们只有打开或关闭，并且每个进程的连接是独立于前后发生的连接。这与 TCP 的连接状态（例如 LISTEN、ESTABLISHED和 CLOSE_WAIT）形成对比。

我们的 netstat输出说明 NTPdate ：1）接受服务器的公网 IP 地址的传入连接；2）通过本地主机进行通信；3）接受来自外部的连接。这些连接是通过端口 123 进行的，同时支持 IPv4 和 IPv6。我们还看到了 RPC 打开的更多的套接字。

查明该移除哪个服务

如果你在没有启用防火墙的情况下对服务器进行基本的 TCP 和 UDP 的 nmap 扫描，那么在打开端口的结果中将出现 SSH、RPC 和 NTPdate 。通过配置防火墙，你可以过滤掉这些端口，但 SSH 除外，因为它必须允许你的传入连接。但是，理想情况下，应该禁用未使用的服务。

• 你可能主要通过 SSH 连接管理你的服务器，所以让这个服务需要保留。如上所述，RSA 密钥和 Fail2Ban 可以帮助你保护 SSH。
• NTP 是服务器计时所必需的，但有个替代 NTPdate 的方法。如果你喜欢不开放网络端口的时间同步方法，并且你不需要纳秒精度，那么你可能有兴趣用 OpenNTPD 来代替 NTPdate。
• 然而，Exim 和 RPC 是不必要的，除非你有特定的用途，否则应该删除它们。

本节针对 Debian 8。默认情况下，不同的 Linux 发行版具有不同的服务。如果你不确定某项服务的功能，请尝试搜索互联网以了解该功能是什么，然后再尝试删除或禁用它。

卸载监听的服务

如何移除包取决于发行版的包管理器：

Arch

sudo pacman -Rs package_name

CentOS

sudo yum remove package_name

Debian / Ubuntu

sudo apt-get purge package_name

Fedora

sudo dnf remove package_name

再次运行 sudo netstat -tulpn，你看到监听的服务就只会有 SSH（sshd）和 NTP（ntpdate，网络时间协议）。

配置防火墙

使用防火墙阻止不需要的入站流量能为你的服务器提供一个高效的安全层。 通过指定入站流量，你可以阻止入侵和网络测绘。 最佳做法是只允许你需要的流量，并拒绝一切其他流量。请参阅我们的一些关于最常见的防火墙程序的文档：

• iptables 是 netfilter 的控制器，它是 Linux 内核的包过滤框架。 默认情况下，iptables 包含在大多数 Linux 发行版中。
• firewallD 是可用于 CentOS/Fedora 系列发行版的 iptables 控制器。
• UFW 为 Debian 和 Ubuntu 提供了一个 iptables 前端。

接下来

这些是加固 Linux 服务器的最基本步骤，但是进一步的安全层将取决于其预期用途。 其他技术可以包括应用程序配置，使用入侵检测或者安装某个形式的访问控制。

现在你可以按你的需求开始设置你的服务器了。

via: https://www.linode.com/docs/security/securing-your-server/

作者：Phil Zona 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出