AMPP Server

Per installare il server SSH digitate

sudo apt-get install ssh openssh-server

Da questo punto in avanti è possibile usare un client SSH come PuTTY per connettersi al server Ubuntu 16.04 LTS da una qualsiasi workstation e terminare l'installazione comodamente seduti alla propria postazione.

http://www.cyberciti.biz/faq/setting-up-an-network-interfaces-file/

Digitare

sudo apt-get update

per aggiornare il database dei package di apt e poi

sudo apt-get upgrade

per installare gli ultimi apgrade (se esistono).

AppArmor è un pacchetto che dovrebbe garantire la sicurezza. In realtà, spesso, causa più problemi di quanti ne previene. Deve essere fermato digitando

sudo systemctl stop apparmor
sudo update-rc.d -f apparmor remove

e disinstallato digitando

sudo apt-get remove apparmor apparmor-utils

Alcuni dei seguenti pacchetti sono propedeutici al completamento del server, altri servono solo per rendere la vita “più facile”.

sudo apt-get install mc imagemagick build-essential unzip zip p7zip-full 
sudo apt-get install nmap openssl zlib1g-dev autoconf bison autotools-dev flex 
sudo apt-get install libarchive-zip-perl libio-compress-perl libpcre3 perl perl-modules g++ libpopt-dev m4 make libtool 
sudo apt-get install lynx ncftp
sudo apt-get install curl

Attualmente ci sono ben due versioni di MySQL disponibili:

• MySQL “classico” il cui sviluppo è garantito da Oracle.
• MariaDB un fork di MySQL proma che venisse acquisito da Oracle, il cui sviluppo è garantito da Monty Widenius (lo sviluppatore originario)

Di seguito verranno illustrate entrambe le alternative (le sezioni 7.1 e 7.2 sono in mutua esclusione)

Per installare MySQL digitare

sudo apt-get -y install mysql-server mysql-client

I pacchetti mysql-server e mysql-client sono dei “meta-pacchetti”, di fatto sono degli alias all'ultima versione scaricabile.

Durante l'installazione verrà richiesta la password per l'utente root di MySQL. Tale password è valida sia per l'utente root@localhost che per root@server1.example.com.

A termine installazione MySQL è già operativo ma volendo rimuovere il DB di test e l'utente anonimo è consigliabile eseguire una riconfigurazione sicura.

sudo mysql_secure_installation

di seguito l'output del comando con le relative risposte

Securing the MySQL server deployment.

Enter password for user root: ← Enter the MySQL root password

VALIDATE PASSWORD PLUGIN can be used to test passwords
and improve security. It checks the strength of password
and allows the users to set only those passwords which are
secure enough. Would you like to setup VALIDATE PASSWORD plugin?

Press y|Y for Yes, any other key for No:
Using existing password for root.
Change the password for root ? (Press y|Y for Yes, any other key for No) : ← Digitare Y se volete cambiare la password di root immessa poco prima, altrimenti digitare 'n'.

… skipping.
By default, a MySQL installation has an anonymous user,
allowing anyone to log into MySQL without having to have
a user account created for them. This is intended only for
testing, and to make the installation go a bit smoother.
You should remove them before moving into a production
environment.

Remove anonymous users? (Press y|Y for Yes, any other key for No) : ← Y
Success.

Normally, root should only be allowed to connect from
'localhost'. This ensures that someone cannot guess at
the root password from the network.

Disallow root login remotely? (Press y|Y for Yes, any other key for No) : ← Y
Success.

By default, MySQL comes with a database named 'test' that
anyone can access. This is also intended only for testing,
and should be removed before moving into a production
environment.

Remove test database and access to it? (Press y|Y for Yes, any other key for No) : ← Y
- Dropping test database…
Success.

- Removing privileges on test database…
Success.

Reloading the privilege tables will ensure that all changes
made so far will take effect immediately.

Reload privilege tables now? (Press y|Y for Yes, any other key for No) : ← Y
Success.

All done!

L'installazione “sicura” è finita.

Per installare MySQL digitare

sudo apt-get -y install mariadb-server mariadb-client

Eseguiamo la configurazione

sudo mysql_secure_installation

di seguito l'output del comando con le relative risposte

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB
SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY!

In order to log into MariaDB to secure it, we'll need the current
password for the root user. If you've just installed MariaDB, and
haven't set the root password yet, you should just press enter here.

Enter current password for root (enter for none): ←- Enter
OK, successfully used password, moving on…

Setting the root password or using the unix_socket ensures that nobody
can log into the MariaDB root user without the proper authorisation.

You already have your root account protected, so you can safely answer 'n'.

Switch to unix_socket authentication [Y/n] ←- N
… skipping.

You already have your root account protected, so you can safely answer 'n'.

Change the root password? [Y/n] ←- Y
New password: ←- Digitare la nuova password di root per MariaDB
Re-enter new password: ←- Reinserire la password per controllo
Password updated successfully!
Reloading privilege tables..
… Success!


By default, a MariaDB installation has an anonymous user, allowing anyone
to log into MariaDB without having to have a user account created for
them. This is intended only for testing, and to make the installation
go a bit smoother. You should remove them before moving into a
production environment.

Remove anonymous users? [Y/n] ←- Y
… Success!

Normally, root should only be allowed to connect from 'localhost'. This
ensures that someone cannot guess at the root password from the network.

Disallow root login remotely? [Y/n] ←- Y
… Success!

By default, MariaDB comes with a database named 'test' that anyone can
access. This is also intended only for testing, and should be removed
before moving into a production environment.

Remove test database and access to it? [Y/n] ←- Y
- Dropping test database…
… Success!
- Removing privileges on test database…
… Success!

Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.

Reload privilege tables now? [Y/n] ←- Y
… Success!

Cleaning up…

All done! If you've completed all of the above steps, your MariaDB
installation should now be secure.

Thanks for using MariaDB!

A prescindere da quale DB sia stato installato (MySQL / MariaDB) è consigliabile eseguire un test di connessione digitando quanto segue

sudo mysql -u root -p

Digitando la password di root dovremmo entrare sulla console del DB.

Poichè, durante l'installazione, si è deciso di impedire all'utente root di loggare da remoto si rende necessario creare un nuovo utente che ci consenta di operare tramite interfacce remote tipo phpMyAdmin. Il codice seguente serve a tale scopo:

CREATE USER '<#sys_dba>'@'localhost' IDENTIFIED BY '<#YourPassword>';
GRANT ALL PRIVILEGES ON *.* TO '<#sys_dba>'@'localhost' WITH GRANT OPTION;
CREATE USER '<#sys_dba>'@'%' IDENTIFIED BY '<#YourPassword>';
GRANT ALL PRIVILEGES ON *.* TO '<#sys_dba>'@'%' WITH GRANT OPTION;
FLUSH PRIVILEGES;

Per evitare di lasciare la password di root o del nuovo utente amministratore nei batch di bachup, sarebbe consigliabile creare anche un utente specifico per i backups.

GRANT SELECT, RELOAD, FILE, SUPER, LOCK TABLES, SHOW VIEW ON *.* TO '<#Your_Backup_User>'@'localhost' IDENTIFIED BY '<#Your_Backup_User_Password>' WITH MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
FLUSH PRIVILEGES;

Per uscirne digitare ​quit​

Installare Apache digitando

sudo apt-get install apache2 apache2-doc apache2-utils libexpat1 ssl-cert

Per avviare automaticamente Apache all'avvio del sistema

sudo systemctl start apache2
sudo systemctl enable apache2

e poi lo verifichiamo con

sudo systemctl status apache2

Per installare PHP e gran parte delle sue librerie digitare

sudo apt-get install php8.1 libapache2-mod-php8.1 php8.1-curl php8.1-fpm php8.1-cli php8.1-common php8.1-gd php8.1-intl php8.1-bz2 php8.1-imap php8.1-pspell php8.1-snmp php8.1-tidy php8.1-xmlrpc php8.1-xml php8.1-mysql php8.1-mbstring php8.1-zip php8.1-imagick php8.1-memcache php8.1-dev php8.1-gettext php8.1-xsl php8.1-calendar php8.1-exif php8.1-tokenizer php8.1-uuid php8.1-yaml php-json php-pear

Consiglio di aggiungere anche i seguenti moduli per i collegamenti con DB diversi da MySQL

sudo apt-get install php8.1-ldap php8.1-odbc php8.1-pgsql php8.1-sqlite3 php8.1-mongodb php8.1-sybase php8.1-interbase

In PHP 8 è inclusa un opcode cacher, uno strumento in grado di ottimizzare le prestazioni del codice PHP. Inoltre è consigliabile installare anche APCu che è un wrapper per garantire la retrocompatibilità con le funzioni di caching APC, un sistema di caching molto usato su PHP e implementato in molti CMS. Per installarli è sufficiente digitare:

sudo apt-get -y install php8.1-opcache php8.1-apcu

Molti script php usano lo short tag che nelle ultime versioni di PHP8 e disattivo di default, per ovviare a questo problema editare il file php.ini

cd /etc/php/8.1/apache2
sudo nano php.ini

Premere Ctrl+W e digitare short_open_tag seguito da Invio.
Ripetere questa operazione sino a trovare una riga che riporta

short_open_tag = Off

Trasformarla in

short_open_tag = On

Riavviare Apache in modo che le modifiche vengano rese attive

sudo service apache2 restart

Ora la configurazione è ricaricata e PHP è pronto. In caso di problemi, usare il procedimento precedente per modificare i seguenti valori come segue

display_errors = On
display_startup_errors = On

Per installare il modulo Python di Apache digitare

sudo apt-get install libapache2-mod-wsgi-py3

Per poter usare la potenza degli ambienti virtuali di Python installare i seguenti pacchetti

sudo apt-get install python3-pip python3-venv python-is-python3

Per cercarne altri

sudo apt-cache search python

sudo apt install libmysqlclient-dev

Per installare il modulo Perl di Apache digitare

sudo apt-get install libapache2-mod-perl2

Creare un nuovo utente (potrebbe essere fatto anche sull'utente corrente ma essendo un “sudoers” è potenzialmente pericoloso). Nel resto della guida referenzierò tale utente come <#webmaster>.

sudo adduser <#webmaster> 

Dopo averne impostato la password aggiungerlo al gruppo www-data

sudo usermod -aG www-data <#webmaster>

Loggarsi con il nuovo utente

su <#webmaster>

e creare la seguente struttura di cartelle nella sua /home

cd $HOME
mkdir www
cd www
mkdir public_html
mkdir materiale
mkdir config
mkdir cgi-bin
mkdir backup
mkdir logs
mkdir stats

Queste cartelle serviranno ad ospitare il sito ed il suo backup.

Accedere alla cartella public_html e creare una cartella per ogni dominio che si desidera gestire

cd public_html
mkdir miosito.com

Tornate nella cartella superiore

cd ..

Poi accedere alla cartella cgi-bin e creare una cartella per ogni dominio che si desidera gestire

cd cgi-bin
mkdir miosito.com

Tornare all'utente precedente

exit

cambiare il gruppo sulla cartella appena creata e riavviare il webserver

sudo chown -R <#webmaster>:www-data /home/<#webmaster>
sudo chown -R <#webmaster>:www-data /home/<#webmaster>/www/public_html
sudo chown -R <#webmaster>:www-data /home/<#webmaster>/www/logs
sudo chown -R <#webmaster>:www-data /home/<#webmaster>/www/cgi-bin
sudo chown -R <#webmaster>:www-data /home/<#webmaster>/www/stats
sudo service apache2 restart

Sistemare i permessi sulla cartella /home/<#webmaster>/www/public_html come segue:

sudo chmod 755 -R /home/<#webmaster>
sudo chmod 775 -R /home/<#webmaster>/www/public_html
sudo chmod 755 -R /home/<#webmaster>/www/logs
sudo chmod 775 -R /home/<#webmaster>/www/cgi-bin
sudo chmod 755 -R /home/<#webmaster>/www/stats

Spostarsi nella cartella dei siti di Apache e creare il nuovo file di configurazione.
Ovviamente la dicitura miosito andrà sostituita con il nome del sito.

cd /etc/apache2/sites-available/
sudo cp 000-default.conf 010-miosito.conf

Ora modifichiamo il file di configurazione per impostare la nuova DocumentRoot del sito

sudo nano 010-miosito.conf

Trovare la riga che contiene DocumentRoot e modificarla per farla puntare alla cartella contenete il sito.

ServerName miosito.com
ServerAlias www.miosito.com
 
ServerAdmin Your@email
DocumentRoot /home/<#webmaster>/www/public_html/miosito.com/
 
<Directory /home/<#webmaster>/www/public_html/miosito.com/>
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
</Directory>
.
.
.
ErrorLog /home/<#webmaster>/www/logs/error_http_miosito_com.log
CustomLog /home/<#webmaster>/www/logs/access_http_miosito_com.log combined
.
.
.
ScriptAlias /cgi-bin/ /home/<#webmaster>/www/cgi-bin/miosito.com/
<Directory /home/<#webmaster>/www/cgi-bin/miosito.com/>
            AllowOverride All
            Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
            Order allow,deny
            Allow from all
            Require all granted
</Directory>

A questo punto il file di configurazione è pronto e deve essere attivato

sudo a2ensite 010-miosito.conf

e per evitare che vada in conflitto con la configurazione di default

sudo a2dissite 000-default.conf

Ora è necessario riavviare Apache

sudo systemctl reload apache2

Per poter usare PHP controllare che /etc/apache2/mods-available/php8.1.conf sia corretto:

sudo nano /etc/apache2/mods-available/php8.1.conf

<FilesMatch ".+\.ph(p[3457]?|t|tml)$">
    SetHandler application/x-httpd-php
</FilesMatch>
<FilesMatch ".+\.phps$">
    SetHandler application/x-httpd-php-source
    # Deny access to raw php sources by default
    # To re-enable it's recommended to enable access to the files
    # only in specific virtual host or directory
    Require all denied
</FilesMatch>
# Deny access to files without filename (e.g. '.php')
<FilesMatch "^\.ph(p[3457]?|t|tml|ps)$">
    Require all denied
</FilesMatch>

# Running PHP scripts in user directories is disabled by default
#
# To re-enable PHP in user directories comment the following lines
# (from <IfModule ...> to </IfModule>.) Do NOT set it to On as it
# prevents .htaccess files from disabling it.
#<IfModule mod_userdir.c>
#    <Directory /home/*/public_html>
#        php_admin_flag engine Off
#    </Directory>
#</IfModule>

Esistono due modi per gestire il codice Python con Apache

• Il Publisher Handler – Consente di scrivere scripts in puro Python (.py) che vengono interpretati
• PSP Handler – Python Server Pages, consentono di embeddare codice Python nell'HTML come avviene per PHP (.psp).

Perché Apache comprenda queste estensioni e le utilizzi in modo corretto è necessario editare il file mod_python.conf in /etc/apache2/mods-available/

sudo nano /etc/apache2/mods-available/python.conf

e valorizzarlo come segue

<IfModule mod_python.c>
        AddHandler mod_python .py .psp
        PythonHandler mod_python.publisher | .py
        PythonHandler mod_python.psp | .psp
</IfModule>

A questo punto è necessario attivare il modulo Python

sudo a2enmod python

Analogamente a quanto visto per Python è necessario creare il file perl.conf in /etc/apache2/mods-available/

sudo nano /etc/apache2/mods-available/perl.conf

e valorizzarlo come segue

<IfModule mod_perl.c>
        AddHandler perl-script .pl
        PerlHandler ModPerl::PerlRunPrefork
	PerlOptions +ParseHeaders
	PerlSendHeader On
</IfModule>

Anche in questo caso il modulo deve essere attivato

sudo a2enmod perl

SSL/ TLS è un layer du sicurezza che permette di codificare la connessione fra un client ed un server.
Per GOOGLE i siti che non supportano SSL hanno un punteggio più basso e molti browser iniziano a “storcere il naso” se il sito non è crittografato SSL (specialmente se in presenza di una richiesta di credenziali).
Per farsi che Apache abiliti il protocollo https (quindi la crittografia SSL) digitare:

sudo a2enmod ssl
sudo a2ensite default-ssl

In questo modo /etc/apache2/sites-available/default-ssl.conf verrà incluso nella configurazione di apache.

Poichè per poter attivare un certificato SSL Gratis da Let's Encrypt è necessario che l'indirizzo il server sia già raggiungibile tramite DNS, questa parte della guida è stata spostata al punto 16.

Perché tutto funzioni correttamente è necessario editare il file /etc/apache2/mods-available/dir.conf

sudo nano /etc/apache2/mods-available/dir.conf

e modificare la direttiva DirectoryIndex come segue

<IfModule mod_dir.c>
   #DirectoryIndex index.html index.cgi index.pl index.php index.xhtml index.htm
  DirectoryIndex index.html index.htm index.shtml index.cgi index.php index.php3 index.pl index.xhtml
 </IfModule>

Ora è necessario abilitare alcuni moduli di Apache ( rewrite , suexec , e include )

sudo a2enmod rewrite
sudo a2enmod suexec
sudo a2enmod include
sudo a2enmod userdir

ed, in fine, è necessario riavviare Apache affinchè tutte le modifiche diventino effettive

sudo systemctl restart apache2

Poiché Apache instrada le chiamate sulla base dell'url che riceve, si rende necessario che il sistema operativo da cui verranno svolti i controlli conosca l'indirizzo del server web associato al dominio scelto (miosito.com).
Per fare ciò, evitando di dover implementare un server DNS apposito, é necessario modificare un file di sistema come vedremo di seguito.

Spostarsi nella cartella C:\Windows\System32\drivers\etc ed editare il file hosts aggiungendo la riga seguente

mio.ind.iri.zzo  miosito.com

Una volta salvato il file il nuovo dominio dovrebbe essere raggiungibile immediatamente.

Analogamente a quanto avviene per Windows, si renderá necessario modificare il file /etc/hosts.
Per fare ciò digitare

sudo nano /etc/hosts

Una volta salvato il file il nuovo dominio dovrebbe essere raggiungibile immediatamente.

Per ottenere l'indirizzo IP da mettere nel file hosts è necessario, sul web server, procedere come segue

sudo ifconfig

che dovrebbe restituire qualcosa di molto simile a quanto riportato di seguito

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet XXX.XXX.XXX.XXX  netmask 255.255.255.0  broadcast YYY.YYY.YYY.YYY
        inet6 ffff::ffff:ffff:ffff:ffff  prefixlen 64  scopeid 0x20<link>
        ether 00:15:5d:46:11:07  txqueuelen 1000  (Ethernet)
        RX packets 269808  bytes 370708199 (370.7 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 121356  bytes 8868073 (8.8 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 236  bytes 22352 (22.3 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 236  bytes 22352 (22.3 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

La parte da riportare nel file hosts è quella contrassegnata come XXX.XXX.XXX.XXX.

Per verificare il corretto funzionamento di Apache è sufficiente spostarsi in /home/webmaster/public_html/miosito.com e creare i seguenti files come utente webmaster.

su <#webmaster>
cd /home/<#webmaster>/www/public_html/miosito.com

Questo file verifica il corretto funzionamento di PHP mostrando la pagina informativa.

nano info.php

<HTML>
    <HEAD>
        <TITLE>Test PHP</TITLE> 
    </HEAD>
    <BODY>
        <?php phpinfo(); ?>
    </BODY>
</HTML>

Per testare aprire un bowser e puntare a http://[your_site]/info.php.

Questo file verifica il corretto funzionamento di Python in modalità Publisher Handler.

nano test.py

def index(req):
  return "Test successful";

Per testare aprire un bowser e puntare a http://[your_site]/test.py.

Questo file verifica il corretto funzionamento di Python in modalità Python Server Pages.

nano test.psp

<html>
    <body>
        <h1><% req.write("Hello!") %></h1>
    </body>
</html>

Per testare aprire un bowser e puntare a http://[your_site]/test.psp.

Questo file verifica il corretto funzionamento di Perl come CGI e contrariamente agli altri deve essere posizionato in /home/webmaster/www/cgi-bin.

cd /home/<#webmaster>/www/cgi-bin/miosito.com
nano printenv.pl

#!c:/perl/bin/perl.exe
##
##  printenv -- demo CGI program which just prints its environment
##

print "Content-type: text/plain; charset=iso-8859-1\n\n";
foreach $var (sort(keys(%ENV))) {
    $val = $ENV{$var};
    $val =~ s|\n|\\n|g;
    $val =~ s|"|\\"|g;
    print "${var}=\"${val}\"\n";
}

Per testare aprire un bowser e puntare a http://[your_site]/cgi-bin/printenv.pl.

Digitare exit per tornare all'utente amministratore.

Per installare ProFTPD digitare

sudo apt-get install proftpd ucf

Il programma di installazione chiede di selezionare la modalità di funzionamento.
Selezionare standalone.

Editare il file proftpd.conf assicurandosi che le variabili riportate di seguito abbiano il valore indicato. In alternativa modificarle od aggiungerle.

sudo nano /etc/proftpd/proftpd.conf

[...]
DefaultRoot ~
IdentLookups off
ServerName "FTP <#MioSito>"
[...]

Riavviare il servizio per rendere attive le modifiche

sudo /etc/init.d/proftpd restart

Per impostarlo in modo che venga avviato al boot

sudo update-rc.d proftpd defaults

Poiché tutti i log e molte operazioni sono legate all'orario di sistema, è una buona idea tenere aggiornato l'orologio di sistema con un NTP (network time protocol) server su internet.
Per fare questo digitare

sudo apt-get install ntp ntpdate

Ora l'orologio di sistema verrà costantemente aggiornato

Perchè un webserver possa essere visibile nel web è necessario che abbia un dominio registrato che punti su di lui.
Se avete l'IP fisso nessun problema ma, che succede se avete un IP dinamico ?
Serve qualcosa che mantenga allineato il vostro indirizzo con il dominio che avete registrato.
Io ho scelto di farlo attraverso il servizio di NO-IP Per mantenere il vostro IP sincronizzato con NO-IP è necessario installare il client di NO-IP.
Una volta esisteva un pacchetto di sistema ma nelle ultime versioni di Ubuntu è stato dismesso quindi sarà necessario procedere come segue

sudo -i
cd /usr/local/src/
wget http://www.noip.com/client/linux/noip-duc-linux.tar.gz
tar xf noip-duc-linux.tar.gz
cd noip-2.1.9-1/
make install
rm /usr/local/src/noip-duc-linux.tar.gz
exit

Questo installerà il client di sincronia, per configurarlo digitare

sudo /usr/local/bin/noip2 -C

Per cambiare l'intervallo di sincronizzazione digitare

sudo /usr/local/bin/noip2 -U 120

Per far ripartire il servizio digitare

sudo /usr/local/src/noip-2.1.9-1/debian.noip2.sh restart

#! /bin/sh
 
### BEGIN INIT INFO
# Provides:          noip2
# Required-Start:    $syslog
# Required-Stop:     $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: noip.com client service
### END INIT INFO
 
# . /lib/lsb/init-functions
case "$1" in
    start)
        echo "Starting noip2."
        /usr/local/bin/noip2
    ;;
    stop)
        echo "Shutting down noip2."
        killall noip2
        #killproc /usr/local/bin/noip2
    ;;
    *)
        echo "Usage: $0 {start|stop}"
        exit 1
esac
 
exit 0

Ora è necessario fornire i permessi di esecuzione ed aggiornare lo script rc.d:

sudo chmod +x /etc/init.d/noip2
sudo update-rc.d noip2 defaults

Ora, riavviando il server, l'indirizzo IP su NOIP verrà aggiornato automaticamente.

Let's Encrypt è un ente certificatore creato da GOOGLE con l'appoggio dei principali enti certificatori mondiali.
Come gran parte delle cose realizzate da GOOGLE è possibile usufruirne tramite un comodo script in Python che, altrettanto comodamente, può essere recuperato con l'apt-get.

sudo apt-get -y install python-letsencrypt-apache

Poichè lasciare il backup sugli stessi dischi che si stanno backuppando potrebbe non essere un'idea geniale, ho acquistato un disco esterno dove poter copiare i bacups.
Per prima cosa attaccare un disco esterno ed identificarlo

sudo fdisk -l

(dalle dimensioni dovrebbe essere facilmente identificabile)
Nel mio caso è stato identificato dal sistema come /dev/sdb1.
A questo punto si procede alla formattazione in ext4 (In questo modo sarà leggibile solo da linux se preferite che venga visto anche da windows non eseguite il passo successivo) .

sudo mkfs.ext4 -L BackupsDisk /dev/sdb1

Poi è necessario montare il disco, io ho optato per un mount in fase di startup del server.
Eseguire il comando seguente e prendere nota dello UUID

sudo lsblk --output NAME,LABEL,FSTYPE,UUID

il cui risultato

sdb
└─sdb1                        BackupsDisk ext4        aca1e3de-aa82-46e2-b54d-de9950f672f7

Vi fornirà lo UUID del disco. Ora sarà necessario editare il file fstab per aggiungere il mount in fase di boot

sudo nano /etc/fstab

aggiungere al file fstab la seguente riga

UUID=aca1e3de-aa82-46e2-b54d-de9950f672f7 /media/backups ext4 defaults 0       1

Ovviamente al parametro UUID dovrete sostituire quello precedentemente copiato, il mount point potete metterlo anche diverso da quello che ho indicato io …
per tutti gli altri parametri rimando alla guida seguente.

Posizionarsi nella cartella /usr/local/sbin e creare il file backmeup.sh

cd /usr/local/sbin
sudo nano backmeup.sh

il cui contenuto è il seguente

date=`date +%Y%m%d_%H%M%S`
usrname='<#webmaster>'
dbackups='/home/'$usrname'/backup/'
fname=$dbackups'backup-'$date'.tar'
dumpfile=$dbackups'dump-all-'$date'.sql'
dumpusers=$dbackups'MySQLUserGrants-'$date'.sql'
zfname=$dbackups'backup-'$date'.7z'
oldfiles=$dbackups'backup-*.7z'
fddimg=$dbackups'backup-mbr-'$date'.img'
fetcname=$dbackups'backup-etc-'$date'.tgz'
frootname=$dbackups'backup-root-'$date'.tar'
fvarlogname=$dbackups'backup-varlog-'$date'.tar'
fhomename=$dbackups'backup-home-'$date'.tar'
fconfigfiles=$dbackups'backup-configfiles-'$date'.tar'
dconffiles=$dbackups'configfiles'
MYSQL_CONN="-u<#BackUp_User> -p<#BackUp_User_Password>"
 
cd $dbackups
 
echo ==== INIZIO [`date +%Y%m%d_%H%M%S`] ====
 
# Elimina Backups vecchi
echo ==[ Elimina Backups vecchi ]==
rm $oldfiles
 
 
#BackUp MBR
#echo ==[ BackUp MBR ]==
#dd if=/dev/sda of=$fddimg bs=512 count=1
 
# Ripulisce i vecchi files di configurazione precedentemente salvati
echo ==[ Ripulisce i vecchi files di configurazione precedentemente salvati ]==
rm $dconffiles/*.txt
rm $dconffiles/*.cf
rm $dconffiles/*.ini
 
 
# Esporto il crontab, le configurazioni di postfix (in 2 formati) ed il php.ini
echo ==[ Esporto il crontab, le configurazioni di postfix [in 2 formati] ed il php.ini ]==
crontab -l > $dconffiles/crontab.txt
postconf > $dconffiles/postconf.txt
cp /etc/postfix/main.cf $dconffiles/
cp /etc/php5/apache2/php.ini $dconffiles/
 
#Eseguo il dump del DB (Ricordardi di modificare user e password)
echo ==[ Eseguo il dump del DB ]==
mysqldump ${MYSQL_CONN} --add-drop-table --all-databases > $dumpfile
mysql ${MYSQL_CONN} --skip-column-names -A -e "SELECT CONCAT('SHOW GRANTS FOR ''',user,'''@''',host,''';') AS query FROM mysql.user WHERE user NOT IN ('root','pma','phpmyadmin','debian-sys-maint')" | mysql ${MYSQL_CONN} --skip-column-names -A | sed 's/$/;/g' > $dumpusers
 
# Backup delle webapps installate con apt-get
echo ==[ Backup delle webapps installate con apt-get ]==
echo $fname
tar cpvf $fname /usr/share/phpmyadmin
tar rpvf $fname /usr/share/webmin
 
echo ==[ Backup /etc /root /var/log ]==
tar -czvpf $fetcname /etc
tar cpvf $frootname /root
tar cpvf $fvarlogname /var/log
 
echo ==[ Backup dump file del DB ]==
tar rvf $fname $dumpfile $dumpusers
rm $dumpfile
rm $dumpusers
 
echo ==[ Compressione files di configurazione ]==
tar cpvf $fconfigfiles $dconffiles
 
echo ==[ Compressione di tutti i files backuppati ]==
7z a $zfname $fname
7z a $zfname $fetcname
7z a $zfname $frootname
7z a $zfname $fvarlogname
7z a $zfname $fddimg
7z a $zfname $fconfigfiles
 
echo ==[ Rimozione dei backups non compressi ]==
rm $fname
rm $fetcname
rm $frootname
rm $fvarlogname
rm $fddimg
rm $fconfigfiles
 
echo ==[ Backup /home ]==
tar -cpvf $fhomename --exclude backup /home/$usrname
 
echo ==[ Compressione /home ]==
7z a $zfname $fhomename
 
echo ==[ Rimozione dei backup /home non compresso ]==
rm $fhomename
 
echo ==[ Sistemazione diritti backup compresso ]==
chown $usrname:www-data $zfname
 
echo ==[ Copia in backups ]==
cp $zfname /media/backups/
 
echo ==== FINE [`date +%Y%m%d_%H%M%S`] ====

avendo cura di sostituire nelle righe seguenti i vostri dati

usrname='<#webmaster>'
dbackups='/home/'$usrname'/backup/'
MYSQL_CONN="-u<#BackUp_User> -p<#BackUp_User_Password>"

Ora rendetelo eseguibile con

sudo chmod 775 backmeup.sh

Poichè molte parti dello script richiedono i privilegi di root per funzionare, dovremo avere cura di schedulare lo script nel crontab del root.

sudo -i
crontab -e

Aggiungere al file crontab la seguente riga

00 20 * * * /usr/local/sbin/backmeup.sh > /var/log/my_backup.log

Premere Ctrl+X e salvare le modifiche ed uscire dalla modalità root con

exit

Ora il vostro backup è pronto per essere eseguito.
Se volete fare un primo giro di prova senza attendere l'esecuzione della schedulazione

cd /usr/local/sbin
sudo ./backmeup.sh

Al termine dello script verificate che il file generato si trovi sia sotto la cartella backup dell'utente webmaster che sul disco dei backups

Spesso è utile poter accedere al server da remoto per cambiare configurazioni o modificare parametri che non si vuole siano “aggredibile” tramite un'interfaccia web da chiunque. Per questo ci viene in aiuto il procolollo SSH il cui server abbiamo installato come primo passo di questa guida. Poichè esporre il protocollo SSH con la richiesta di login e password rappresenta comunque un rischio, è preferibile disattivare la richiesta delle credenziali ma accedere tramite un meccanismo a chiave pubblica e privata.

Per la parte successiva della guida è necessario disporre di PuttyGen che può essere scaricato qui

Per fare ciò è necessario creare la cartella .ssh nella home dell'utente con cui intendete collegarvi. Immaginando di essere già nella sua home procedere come segue:

mkdir .ssh
cd .ssh
nano authorized_keys2 #salvare il file vuoto
cd ..
chmod 600 .ssh/authorized_keys2
chmod 700 .ssh

Avviare PuttyGen, selezionare SSH-2 RSA nel riquadro Type of key to generate e specificare 1024 (o valore superiore) come valore per Number of bits in a generated key.
A questo punto premere il tasto Generate.
Durante il processo di generazione è necessario “agitale” il puntatore del mouse nell'area in alto della finestra di PuttyGen per aumentare il random della chiave.
Quando la barra blu arriva a fine dell'indicatore, le chiavi sono state generate.
Mettete in Key comment qualcosa che faccia capire di quale chiave si tratta (avendo generato una chiave per ognuno dei miei dispositivi mobili, nel commento ho messo il nome del dispositivo in modo da sapere a quale fa riferimento la chiave. La cosa potrebbe tornare utile in caso di furto o smarrimento per poter disattivare solo quel dispositivo). Per aumentare la sicurezza, potete impostare una passphrase che vi verrà richiesta al momento dell'utilizzo della chiave, non è obbligatorio metterla ma senza chiunque avrà la chiave potrà collegarsi (io la uso per la macchina in ufficio, per evitare che chiunque possa collegarsi al mio server da li). Se volete impostarla digitate la password desiderata nel campo Key passphrase e ripetetela nel campo Confirm passphrase.

Ora premete Save publick key e salvate la chiave in un percorso “sicuro” del vostro PC avendo cura di darle un nome che vi consenta di capire a quale sistema verrà applicata.

Premete Save private key.
Potete salvare questa chiave nello stesso percorso dell'altra ma badate di potervi accedere solo voi e di non perderla perchè se disattivate il login tramite username/password non sarà più possibile accedere al server se non con una live. Potete dare qualsiasi nome vogliate al file ma l'estensione deve rimanere .ppk.
Ora copiate la chiave pubblica dalla finestra di PuttyGen

Accedere al server con il solito login username/password e salvare la chiave precedentemente copiata nel file authorized_keys2

cd .ssh
nano authorized_keys2

Portatevi alla fine del file e premete il tasto destro del mouse per incollare.
La linea aggiunta dovrebbe assomigliare a questa

ssh-rsa AAAAB3NzaC1yc2EA[...]Lg5whU0zMuYE5IZu8ZudnP6ds= myname@example.com

webalizer
dokuwiki
Key-Based SSH Logins With PuTTY
TeamSpeack3 Server
https://www.howtoforge.com/tutorial/install-apache-with-php-and-mysql-on-ubuntu-16-04-lamp/
https://www.howtoforge.com/tutorial/install-nextcloud-server-and-client-on-debian-9/
https://www.svennd.be/setting-up-postfix-tsl-with-lets-encrypt/

mkdir /home/[YOUR USERNAME]/www
mount --bind /var/www /home/[YOUR USERNAME]/www