Serwer poczty na FreeBSD 13 (cz. 2): instalacja systemu, DNS i SSH

· 2 min czytania
FreeBSDSSHDNSserwer pocztowybezpieczeństwo

W części 1 omówiliśmy architekturę i komponenty systemu pocztowego. Czas na fundament: instalację FreeBSD 13, podział dysku, aktualizację systemu oraz konfigurację DNS/revDNS i SSH.

📅 Wersje z epoki (2021). Polecenia i zrzuty pochodzą z projektu z 2021 r. (FreeBSD 11 → 13). Przy wdrożeniu sprawdź aktualne wydania.

Środowisko i sprzęt

Ze względu na złożoność systemu pocztowego wykorzystałem serwer dedykowany w OVH. Parametry maszyny:

  • procesor Atom N2800 — 4 rdzenie, taktowanie 1066 MHz
  • pamięć RAM 4 GB DDR
  • dysk HDD 2 TB
  • karta sieciowa 100 Mb/s

Maszyna ma adres IPv4 37.187.124.66. W DNS dodany jest rekord A dla domeny projekt.brylka.net wskazujący na adres maszyny; ustawiony jest także revDNS.

System stawiamy bez GUI — zarządzanie odbywa się zdalnie przez SSH, w trybie tekstowym. Postfix i Dovecot są przeznaczone dla systemów uniksowych, więc Windows odpada.

Instalacja systemu operacyjnego

OVH udostępnia do instalacji na serwerach dedykowanych 64‑bitowy FreeBSD w wersji 11 (później zaktualizujemy do 13).

Wybór systemu operacyjnego w panelu OVH.

Na maszynie jest jeden dysk HDD, dlatego dzielimy go na partycje tak, aby przepełnienie np. poczty nie zaburzyło pracy systemu. W katalogu /var przechowywana będzie m.in. poczta użytkowników — warto dać mu dedykowaną partycję. Dla wydajności docelowo warto rozważyć osobny dysk SSD na system, a pocztę trzymać na HDD.

Podział dysku na partycje — dedykowana partycja /var na pocztę.

Po uruchomieniu maszyny OVH wysyła e‑mail z danymi do logowania. Logujemy się, sprawdzamy wersję i zmieniamy hasło.

Pierwsze logowanie do systemu, sprawdzenie wersji i zmiana hasła.

Następnie aktualizujemy system do wersji 13. Po wykonaniu podstawowych kroków aktualizacji oraz dodaniu do jądra obsługi IPFW i dummynet (rekompilacja źródeł — tu przydaje się więcej rdzeni) uzyskujemy trzynastą wersję FreeBSD:

--------------------------------------------------------------
>>> Installing kernel BRYLKAKERNEL completed on Sun May 16 14:03:44 CEST 2021
--------------------------------------------------------------

Czas budowania jądra: 5025 s ≈ 84 minuty przy 4 rdzeniach.

Po aktualizacji system jest gotowy na instalację oprogramowania pocztowego.

Konfiguracja DNS i revDNS

W panelu OVH dodajemy odpowiednie wpisy DNS dla domeny projekt.brylka.net oraz revDNS dla adresu 37.187.124.66. Poprawność sprawdzamy odpytując DNS:

Odpytanie DNS Google o nazwę projekt.brylka.net oraz adres IP 37.187.124.66.

Dla poczty kluczowe są rekordy MX (wskazuje serwer poczty domeny) oraz SPF (autoryzacja serwerów wysyłających):

Rekordy MX i SPF dla domeny projekt.brylka.net.

Konfiguracja SSH

Domyślnie w systemie z OVH działa SSH, a logować może się nawet root — to wyłączamy. Dobrą praktyką jest też przeniesienie SSH na wysoki port (rzadziej skanowany przez boty). W /etc/ssh/sshd_config:

Port 6622
PermitRootLogin no

Zmiana portu sshd na 6622 i zakaz logowania na konto root.

Przed przeładowaniem sshd pamiętaj, by dodać użytkownika do grupy wheel — dzięki temu po zalogowaniu przez SSH będzie mógł wykonać su i uzyskać uprawnienia roota.

Co dalej

W części 3 instalujemy serwer Apache, zabezpieczamy go certyfikatem Let’s Encrypt (HTTPS) i dokładamy PHP — fundament pod webowe panele (phpMyAdmin, PostfixAdmin, Roundcube).