ፕሮሆስተር > ጦማር > አስተዳደር > በ Zimbra Collaboration Suite Open-Source እትም ውስጥ የኤስኤስኤል ግንኙነት የደህንነት ቅንብሮችን ማሻሻል

በ Zimbra Collaboration Suite Open-Source እትም ውስጥ የኤስኤስኤል ግንኙነት የደህንነት ቅንብሮችን ማሻሻል

የኢንክሪፕሽን ጥንካሬ ለንግድ ስራ የመረጃ ስርዓቶችን ሲጠቀሙ በጣም አስፈላጊ ከሆኑ አመልካቾች አንዱ ነው, ምክንያቱም በየቀኑ ከፍተኛ መጠን ያለው ሚስጥራዊ መረጃን በማስተላለፍ ላይ ይሳተፋሉ. በአጠቃላይ ተቀባይነት ያለው የኤስ ኤስ ኤል ግንኙነትን ጥራት ለመገምገም የሚያስችል ዘዴ ከQualys SSL Labs ነጻ ሙከራ ነው። ይህ ፈተና በማንኛውም ሰው ሊካሄድ ስለሚችል፡ በተለይ ለSaaS አቅራቢዎች በዚህ ፈተና ላይ ከፍተኛውን ውጤት ማግኘት በጣም አስፈላጊ ነው። የSaaS አቅራቢዎች ብቻ ሳይሆኑ ተራ ኢንተርፕራይዞችም የኤስኤስኤል ግንኙነት ጥራት ያስባሉ። ለነሱ፣ ይህ ፈተና ሊከሰቱ የሚችሉ ተጋላጭነቶችን ለመለየት እና የሳይበር ወንጀለኞችን ክፍተቶች በሙሉ ለመዝጋት ጥሩ አጋጣሚ ነው።

በ Zimbra Collaboration Suite Open-Source እትም ውስጥ የኤስኤስኤል ግንኙነት የደህንነት ቅንብሮችን ማሻሻል
Zimbra OSE ሁለት አይነት SSL ሰርተፍኬቶችን ይፈቅዳል። የመጀመሪያው በራሱ የተፈረመ ሰርተፊኬት ሲሆን በመጫን ጊዜ በራስ-ሰር የሚጨመር ነው። ይህ የምስክር ወረቀት ነፃ ነው እና ምንም የጊዜ ገደብ የለውም፣ ይህም Zimbra OSE ን ለመሞከር ወይም በውስጣዊ አውታረመረብ ውስጥ ብቻ ለመጠቀም ምቹ ያደርገዋል። ነገር ግን፣ ወደ ድር ደንበኛ ሲገቡ፣ ተጠቃሚዎች ከአሳሹ ይህ ሰርተፍኬት የማይታመን መሆኑን ማስጠንቀቂያ ያያሉ፣ እና አገልጋይዎ በእርግጠኝነት ከ Qualys SSL Labs ሙከራውን ይወድቃል።

ሁለተኛው በማረጋገጫ ባለስልጣን የተፈረመ የንግድ SSL ሰርተፍኬት ነው። እንደነዚህ ያሉ የምስክር ወረቀቶች በአሳሾች በቀላሉ ተቀባይነት አላቸው እና አብዛኛውን ጊዜ ለዚምብራ OSE ለንግድ አገልግሎት ያገለግላሉ። የንግድ ሰርተፍኬቱ በትክክል ከተጫነ በኋላ ወዲያውኑ ዚምብራ OSE 8.8.15 በፈተናው ውስጥ ከ Qualys SSL Labs A ነጥብ ያሳያል። ይህ በጣም ጥሩ ውጤት ነው፣ ግባችን ግን የA+ ውጤትን ማስመዝገብ ነው።

በ Zimbra Collaboration Suite Open-Source እትም ውስጥ የኤስኤስኤል ግንኙነት የደህንነት ቅንብሮችን ማሻሻል

በ Zimbra Collaboration Suite Open-Source እትም ውስጥ የኤስኤስኤል ግንኙነት የደህንነት ቅንብሮችን ማሻሻል

Zimbra Collaboration Suite Open-Source እትምን ሲጠቀሙ ከQualys SSL Labs በፈተናው ውስጥ ከፍተኛውን ውጤት ለማግኘት ብዙ ደረጃዎችን ማጠናቀቅ አለብዎት፡-

1. የዲፊ-ሄልማን ፕሮቶኮል መለኪያዎችን መጨመር

በነባሪ፣ ሁሉም የዚምብራ OSE 8.8.15 OpenSSL የሚጠቀሙ አካላት የ Diffie-Hellman ፕሮቶኮል ቅንጅቶች ወደ 2048 ቢት ተቀናብረዋል። በመርህ ደረጃ፣ ይህ ከQualys SSL Labs በፈተና ውስጥ A+ ነጥብ ለማግኘት ከበቂ በላይ ነው። ነገር ግን፣ ከአሮጌ ስሪቶች እያሻሻሉ ከሆነ፣ ቅንብሮቹ ዝቅተኛ ሊሆኑ ይችላሉ። ስለዚህ ማሻሻያውን ከጨረሱ በኋላ የዲፊ-ሄልማን ፕሮቶኮልን ወደ ተቀባይነት ያለው 2048 ቢት የሚጨምር የ zmdhparam set -new 2048 ትእዛዝን እንዲያሄዱ ይመከራል እና ከተፈለገ ተመሳሳይ ትእዛዝን በመጠቀም መጨመር ይችላሉ ። የመለኪያዎች ዋጋ ወደ 3072 ወይም 4096 ቢት, በአንድ በኩል ወደ ትውልድ ጊዜ መጨመር ያመጣል, በሌላ በኩል ግን በደብዳቤ አገልጋዩ የደህንነት ደረጃ ላይ አዎንታዊ ተጽእኖ ይኖረዋል.

2. ጥቅም ላይ የዋሉ የተመከሩ የምስክሮች ዝርዝርን ጨምሮ

በነባሪ፣ Zimbra Collaborataion Suite Open-Source እትም በአስተማማኝ ግንኙነት ውስጥ የሚያልፍ ውሂብን የሚያመሰጥሩ ሰፋ ያሉ ጠንካራ እና ደካማ ምስጢሮችን ይደግፋል። ነገር ግን የኤስ ኤስ ኤል ግንኙነትን ደህንነት ሲፈተሽ ደካማ ምስጢሮችን መጠቀም ከባድ ኪሳራ ነው። ይህንን ለማስቀረት, ጥቅም ላይ የዋሉ የምስጢር ዝርዝሮችን ማዋቀር ያስፈልግዎታል.

ይህንን ለማድረግ ትዕዛዙን ይጠቀሙ zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

ይህ ትእዛዝ ወዲያውኑ የተመከሩ የምዝግብ ማስታወሻዎችን ያካትታል እና ምስጋና ይግባውና ትዕዛዙ ወዲያውኑ አስተማማኝ ምስጢሮችን በዝርዝሩ ውስጥ ሊያካትት እና የማይታመኑትን ሊያካትት ይችላል። አሁን የቀረው የ zmproxyctl ዳግም ማስጀመር ትዕዛዙን በመጠቀም የተገላቢጦሽ ፕሮክሲ ኖዶችን እንደገና ማስጀመር ነው። ዳግም ከተነሳ በኋላ የተደረጉት ለውጦች ተግባራዊ ይሆናሉ።

ይህ ዝርዝር በአንድ ወይም በሌላ ምክንያት የማይስማማዎት ከሆነ ትዕዛዙን በመጠቀም ብዙ ደካማ ምስጢሮችን ከእሱ ማስወገድ ይችላሉ zmprov mcf +zimbraSSLExcludeCipherSuites. ስለዚህ, ለምሳሌ, ትዕዛዙ zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, ይህም የ RC4 ምስጠራዎችን መጠቀምን ሙሉ በሙሉ ያስወግዳል. በAES እና 3DES ምስጠራዎችም እንዲሁ ማድረግ ይቻላል።

3. HSTS ን አንቃ

የነቁ ስልቶች የግንኙነት ምስጠራን እና የTLS ክፍለ ጊዜ መልሶ ማግኛን ለማስገደድ እንዲሁም በQualys SSL Labs ፈተና ውስጥ ፍጹም ነጥብ ለማግኘት ያስፈልጋሉ። እነሱን ለማንቃት ትዕዛዙን ማስገባት አለብዎት zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". ይህ ትእዛዝ አስፈላጊውን ራስጌ ወደ ውቅሩ ያክላል፣ እና አዲሶቹ ቅንብሮች እንዲተገበሩ ትዕዛዙን በመጠቀም ዚምብራ OSEን እንደገና ማስጀመር ይኖርብዎታል። zmcontrol እንደገና መጀመር.

ቀድሞውንም በዚህ ደረጃ፣ ከQualys SSL Labs የተገኘው ሙከራ የA+ ደረጃን ያሳያል፣ ነገር ግን የአገልጋይዎን ደህንነት የበለጠ ለማሻሻል ከፈለጉ፣ ሊወስዷቸው የሚችሏቸው ሌሎች በርካታ እርምጃዎች አሉ።

በ Zimbra Collaboration Suite Open-Source እትም ውስጥ የኤስኤስኤል ግንኙነት የደህንነት ቅንብሮችን ማሻሻል

ለምሳሌ፣ በሂደት ውስጥ ያሉ ግንኙነቶችን በግዳጅ ምስጠራን ማንቃት ትችላላችሁ፣ እና ከዚምብራ OSE አገልግሎቶች ጋር ሲገናኙ የግዳጅ ምስጠራን ማንቃት ይችላሉ። የኢንተር ሂደት ግንኙነቶችን ለመፈተሽ የሚከተሉትን ትዕዛዞች ያስገቡ።

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

የግዳጅ ምስጠራን ለማንቃት የሚከተለውን ማስገባት አለቦት።

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

ለእነዚህ ትዕዛዞች ምስጋና ይግባውና ሁሉም ከፕሮክሲ አገልጋዮች እና ከደብዳቤ አገልጋዮች ጋር የሚደረጉ ግንኙነቶች ይመሳሰላሉ እና እነዚህ ሁሉ ግንኙነቶች በተኪ ይሆናሉ።

በ Zimbra Collaboration Suite Open-Source እትም ውስጥ የኤስኤስኤል ግንኙነት የደህንነት ቅንብሮችን ማሻሻል

ስለዚህ፣ ምክሮቻችንን በመከተል፣ በኤስኤስኤል የግንኙነት ደህንነት ፈተና ከፍተኛውን ነጥብ ማግኘት ብቻ ሳይሆን የዚምብራ OSE መሠረተ ልማትን በከፍተኛ ሁኔታ ማሳደግ ይችላሉ።

ከZextras Suite ጋር ለተያያዙ ሁሉም ጥያቄዎች፣ የZextras Ekaterina Triandafilidi ተወካይን በኢሜል ማግኘት ይችላሉ። [ኢሜል የተጠበቀ]

ምንጭ: hab.com

አስተያየት ያክሉ