Zimbra Collaboration Suite Open-Source እትም የመረጃ ደህንነትን ለማረጋገጥ በርካታ ኃይለኛ መሳሪያዎች አሉት። ከነሱ መካክል - የመልእክት አገልጋይን ከ botnets ጥቃቶች ለመጠበቅ መፍትሄ ፣ ClamAV - የሚመጡ ፋይሎችን እና ፊደላትን በተንኮል አዘል ፕሮግራሞች ለመበከል የሚያስችል ጸረ-ቫይረስ እንዲሁም - ዛሬ ካሉት ምርጥ የአይፈለጌ መልእክት ማጣሪያዎች አንዱ። ነገር ግን፣ እነዚህ መሳሪያዎች ዚምብራ OSEን ከጭካኔ ኃይል ጥቃቶች መጠበቅ አይችሉም። ልዩ መዝገበ-ቃላትን በመጠቀም በጣም የሚያምር ሳይሆን አሁንም በጣም ውጤታማ የሆኑ የይለፍ ቃላትን በተሳካ ሁኔታ ለመጥለፍ እድሉ ብቻ ሳይሆን ከሚከተለው ውጤት ጋር ብቻ ሳይሆን በአገልጋዩ ላይ ትልቅ ጭነት በመፍጠር ሁሉንም ያስኬዳል። ከዚምብራ OSE ጋር አገልጋይን ለመጥለፍ ያልተሳኩ ሙከራዎች።
በመርህ ደረጃ፣ ደረጃውን የጠበቀ የዚምብራ OSE መሳሪያዎችን በመጠቀም እራስዎን ከጭካኔ ሃይል መጠበቅ ይችላሉ። የይለፍ ቃል ደህንነት ፖሊሲ ቅንጅቶች ያልተሳኩ የይለፍ ቃል ለማስገባት ሙከራዎችን ቁጥር እንዲያዘጋጁ ያስችሉዎታል ፣ ከዚያ በኋላ ሊጠቃ የሚችል መለያ ይታገዳል። የዚህ አካሄድ ዋናው ችግር የአንድ ወይም የብዙ ሰራተኞች ሒሳብ ሊታገድባቸው በሚችልበት ሁኔታ ምንም ማድረግ በማይችሉበት የጭካኔ ጥቃት ምክንያት እና በሰራተኞች ስራ ላይ የሚያስከትለው መቋረጥ ትልቅ ኪሳራ ሊያስከትል ይችላል. ድርጅቱ. ለዚያም ነው ይህንን የመከላከያ አማራጭ ከጭካኔ ኃይል አለመጠቀም የተሻለው.
በዚምብራ OSE ውስጥ የተሰራ እና በኤችቲቲፒ በኩል ከዚምብራ OSE ጋር ያለውን ግንኙነት በራስ ሰር ሊያቋርጥ የሚችል DoSFilter የሚባል ልዩ መሳሪያ ከጭካኔ ለመከላከል በጣም ተስማሚ ነው። በሌላ አነጋገር የ DoSFilter የአሠራር መርህ ከፖስትስክሪን አሠራር መርህ ጋር ተመሳሳይ ነው, እሱ ለተለየ ፕሮቶኮል ብቻ ጥቅም ላይ ይውላል. በመጀመሪያ አንድ ተጠቃሚ ሊያደርጋቸው የሚችላቸውን የእርምጃዎች ብዛት ለመገደብ የተነደፈ፣ DoSFilter እንዲሁም የጭካኔ ኃይል ጥበቃን ሊሰጥ ይችላል። በዚምብራ ውስጥ ከተሰራው መሳሪያ ውስጥ ያለው ቁልፍ ልዩነት ከተወሰኑ ያልተሳኩ ሙከራዎች በኋላ ተጠቃሚውን በራሱ አያግደውም ነገር ግን ወደ አንድ የተወሰነ መለያ ለመግባት ብዙ ሙከራዎች የሚደረጉበት የአይፒ አድራሻ ነው። ለዚህም ምስጋና ይግባውና የስርዓት አስተዳዳሪው ከጭካኔ ኃይል መጠበቅ ብቻ ሳይሆን የኩባንያውን ሰራተኞች በቀላሉ ወደ ታማኝ የአይፒ አድራሻዎች እና ንዑስ አውታረመረቦች ዝርዝር በመጨመር የኩባንያውን ሰራተኞች ከማገድ መቆጠብ ይችላል ።
የ DoSFilter ትልቅ ጥቅም ወደ አንድ መለያ ለመግባት ከብዙ ሙከራዎች በተጨማሪ ይህንን መሳሪያ በመጠቀም የሰራተኛውን የማረጋገጫ መረጃ የያዙ አጥቂዎችን በራስ-ሰር ማገድ እና ከዚያ በተሳካ ሁኔታ ወደ መለያው በመግባት በመቶዎች የሚቆጠሩ ጥያቄዎችን መላክ መጀመሩ ነው። ወደ አገልጋዩ.
የሚከተሉትን የኮንሶል ትዕዛዞችን በመጠቀም DoSFilterን ማዋቀር ይችላሉ፡
- zimbraHttpDosFilterMaxRequestsPerSec — ይህንን ትእዛዝ በመጠቀም ለአንድ ተጠቃሚ የሚፈቀደውን ከፍተኛ የግንኙነቶች ብዛት ማዘጋጀት ይችላሉ። በነባሪ ይህ ዋጋ 30 ግንኙነቶች ነው።
- zimbraHttpDosFilterDelayMilis - ይህንን ትዕዛዝ በመጠቀም በቀድሞው ትዕዛዝ ከተጠቀሰው ገደብ በላይ ለሚሆኑ ግንኙነቶች በሚሊሰከንዶች መዘግየት ማዘጋጀት ይችላሉ. ከኢንቲጀር ዋጋዎች በተጨማሪ አስተዳዳሪው 0 ን ሊገልጽ ይችላል, ምንም መዘግየት እንዳይኖር, እና -1, ከተጠቀሰው ገደብ በላይ የሆኑ ሁሉም ግንኙነቶች በቀላሉ ይቋረጣሉ. ነባሪው ዋጋ -1 ነው።
- zimbraHttpThrottleSafeIPs - ይህንን ትእዛዝ በመጠቀም አስተዳዳሪው የታመኑ የአይፒ አድራሻዎችን እና ከላይ የተዘረዘሩትን እገዳዎች የማይገዙ ንዑስ አውታረ መረቦችን ሊገልጽ ይችላል። የዚህ ትዕዛዝ አገባብ በተፈለገው ውጤት ላይ ተመስርቶ ሊለያይ እንደሚችል ልብ ይበሉ. ስለዚህ, ለምሳሌ, ትዕዛዙን በማስገባት zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, ሙሉውን ዝርዝር ሙሉ በሙሉ ይተካዋል እና አንድ የአይፒ አድራሻ ብቻ ይተዉታል. ትዕዛዙን ካስገቡ zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, ያስገቡት የአይፒ አድራሻ ወደ ነጭ ዝርዝር ውስጥ ይታከላል. በተመሳሳይም የመቀነስ ምልክትን በመጠቀም ማንኛውንም አይፒ ከተፈቀደው ዝርዝር ውስጥ ማስወገድ ይችላሉ.
እባክዎን DoSFilter Zextras Suite Pro ቅጥያዎችን ሲጠቀሙ ብዙ ችግሮችን ሊፈጥር እንደሚችል ልብ ይበሉ። እነሱን ለማስወገድ ትዕዛዙን በመጠቀም በአንድ ጊዜ የሚደረጉ ግንኙነቶችን ከ 30 ወደ 100 ለመጨመር እንመክራለን. zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. በተጨማሪም, የኢንተርፕራይዝ ውስጣዊ ኔትወርክን ወደ የተፈቀዱ ዝርዝር ውስጥ ለመጨመር እንመክራለን. ይህ ትዕዛዙን በመጠቀም ሊከናወን ይችላል zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. በ DoSFilter ላይ ማንኛውንም ለውጥ ካደረጉ በኋላ ትዕዛዙን ተጠቅመው የመልእክት አገልጋይዎን እንደገና ማስጀመርዎን ያረጋግጡ zmmailboxdctl እንደገና ያስጀምሩ.
የ DoSFilter ዋንኛ ጉዳቱ በመተግበሪያ ደረጃ ላይ ስለሚሰራ እና ከሰሜን ጋር የመገናኘት ችሎታን ሳይገድብ አጥቂዎች በአገልጋዩ ላይ የተለያዩ ድርጊቶችን እንዲፈጽሙ ብቻ ሊገድበው ይችላል. በዚህ ምክንያት ለአገልጋዩ የማረጋገጫ ወይም ደብዳቤ ለመላክ የሚላኩ ጥያቄዎች ምንም እንኳን በግልጽ ባይሳካላቸውም፣ አሁንም ቢሆን ጥሩ የድሮ የ DoS ጥቃትን ይወክላሉ፣ ይህም በከፍተኛ ደረጃ ሊቆም አይችልም።
የድርጅት አገልጋይዎን በዚምብራ OSE ሙሉ በሙሉ ለመጠበቅ እንደ Fail2ban ያሉ መፍትሄዎችን መጠቀም ይችላሉ ፣ይህም የመረጃ ስርዓት ምዝግብ ማስታወሻዎችን ለተደጋጋሚ እርምጃዎች በተከታታይ የሚቆጣጠር እና የፋየርዎል መቼቶችን በመቀየር ተላላፊውን የሚያግድ ማዕቀፍ ነው። በዚህ ዝቅተኛ ደረጃ ላይ ማገድ አጥቂዎችን ከአገልጋዩ ጋር ባለው የአይፒ ግንኙነት ደረጃ ላይ እንዲያሰናክሉ ያስችልዎታል። ስለዚህም Fail2Ban DoSFilter በመጠቀም የተሰራውን ጥበቃ በሚገባ ማሟላት ይችላል። Fail2Banን ከዚምብራ OSE ጋር እንዴት ማገናኘት እንደምትችል እና በዚህም የድርጅትህን የአይቲ መሠረተ ልማት ደህንነትን እንጨምር።
እንደ ማንኛውም የድርጅት ደረጃ አፕሊኬሽን ዚምብራ የትብብር ስዊት ኦፕን-ምንጭ እትም የስራውን ዝርዝር ምዝግብ ማስታወሻ ይይዛል። አብዛኛዎቹ በአቃፊው ውስጥ ተቀምጠዋል / መርጦ/ዚምብራ/ሎግ/ በፋይሎች መልክ. ከእነዚህ ውስጥ ጥቂቶቹ እነሆ፡-
- mailbox.log - የጄቲ ደብዳቤ አገልግሎት ምዝግብ ማስታወሻዎች
- audit.log - የማረጋገጫ ምዝግብ ማስታወሻዎች
- clamd.log - የጸረ-ቫይረስ ክወና ምዝግብ ማስታወሻዎች
- freshclam.log - የጸረ-ቫይረስ ዝመና መዝገቦች
- convertd.log - አባሪ መቀየሪያ ምዝግብ ማስታወሻዎች
- zimbrastats.csv - የአገልጋይ አፈፃፀም ምዝግብ ማስታወሻዎች
የዚምብራ ምዝግብ ማስታወሻዎች በፋይሉ ውስጥም ይገኛሉ /var/log/zimbra.logየ Postfix እና የዚምብራ ምዝግብ ማስታወሻዎች የሚቀመጡበት።
ስርዓታችንን ከጭካኔ ኃይል ለመጠበቅ ክትትል እናደርጋለን mailbox.log, ኦዲት.ሎግ и zimbra.log.
ሁሉም ነገር እንዲሰራ Fail2Ban እና iptables በአገልጋይዎ ላይ ከዚምብራ OSE ጋር መጫኑ አስፈላጊ ነው። ኡቡንቱ እየተጠቀሙ ከሆነ ትእዛዞቹን በመጠቀም ይህንን ማድረግ ይችላሉ። dpkg -s fail2banCentOS ን ከተጠቀሙ ትእዛዞቹን በመጠቀም ማረጋገጥ ይችላሉ። yum ዝርዝር ተጭኗል fail2ban. Fail2Ban ን ከሌልዎት እሱን መጫን ችግር አይሆንም ምክንያቱም ይህ ጥቅል በሁሉም መደበኛ ማከማቻዎች ውስጥ ይገኛል ።
አንዴ ሁሉም አስፈላጊ ሶፍትዌሮች ከተጫነ Fail2Banን ማዋቀር መጀመር ይችላሉ። ይህንን ለማድረግ የማዋቀሪያ ፋይል መፍጠር ያስፈልግዎታል /etc/fail2ban/filter.d/zimbra.confትክክል ያልሆኑ የመግባት ሙከራዎችን የሚያሟሉ እና የFail2Ban ስልቶችን የሚቀሰቅሱ የዚምብራ OSE ምዝግብ ማስታወሻዎች መደበኛ መግለጫዎችን የምንጽፍበት። Zimbra.conf የማረጋገጫ ሙከራ ሲከሽፍ ከሚጥላቸው የተለያዩ ስህተቶች ጋር የሚዛመዱ የዚምብራ.conf ይዘቶች ምሳሌ እዚህ አለ፡-
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =አንዴ የዚምብራ OSE መደበኛ አገላለጾች ከተጠናቀሩ በኋላ የፋይል2ባንን ውቅር በራሱ ማስተካከል ለመጀመር ጊዜው አሁን ነው። የዚህ መገልገያ ቅንጅቶች በፋይሉ ውስጥ ይገኛሉ /etc/fail2ban/jail.conf. እንደዚያ ከሆነ ትዕዛዙን ተጠቅመን የመጠባበቂያ ቅጂውን እንሥራ cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. ከዚያ በኋላ፣ ይህን ፋይል በግምት ወደሚከተለው ፎርም እንቀንስበታለን።
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5ምንም እንኳን ይህ ምሳሌ በጣም አጠቃላይ ቢሆንም አሁንም Fail2Ban እራስዎ ሲያዋቅሩ ሊቀይሩዋቸው የሚፈልጓቸውን አንዳንድ መለኪያዎች ማብራራት ጠቃሚ ነው፡
- ችላ በል - ይህንን ግቤት በመጠቀም Fail2Ban አድራሻዎችን የማይፈትሽበት የተወሰነ አይ ፒ ወይም ሳብኔት መግለጽ ይችላሉ። እንደ ደንቡ, የድርጅቱ ውስጣዊ አውታረመረብ እና ሌሎች የታመኑ አድራሻዎች ችላ ተብለው ወደ ዝርዝር ውስጥ ተጨምረዋል.
- Bantime - አጥፊው የሚታገድበት ጊዜ። በሰከንዶች ውስጥ ይለካል. የ-1 እሴት ማለት ቋሚ እገዳ ማለት ነው.
- ማክስሬትሪ — አንድ አይፒ አድራሻ አገልጋዩን ለማግኘት የሚሞክርበት ከፍተኛው ጊዜ ብዛት።
- ላክ - Fail2Ban ሲቀሰቀስ የኢሜል ማሳወቂያዎችን በራስ-ሰር እንዲልኩ የሚያስችልዎ ቅንብር።
- የማግኛ ጊዜ ከፍተኛው ያልተሳኩ ሙከራዎች ብዛት ካለቀ በኋላ አይፒ አድራሻው እንደገና አገልጋዩን ለመድረስ የሚሞክርበትን የጊዜ ክፍተት እንዲያዘጋጁ የሚያስችልዎ ቅንብር (የማክስሬትሪ መለኪያ)
ፋይሉን በFail2Ban ቅንጅቶች ካስቀመጠ በኋላ፣ የሚቀረው ትዕዛዙን በመጠቀም ይህንን መገልገያ እንደገና ማስጀመር ነው። አገልግሎት አልተሳካም 2ban እንደገና መጀመር. እንደገና ከተጀመረ በኋላ ዋናዎቹ የዚምብራ ምዝግብ ማስታወሻዎች ከመደበኛ አገላለጾች ጋር መጣጣምን በተከታታይ መከታተል ይጀምራሉ። ለዚህም ምስጋና ይግባውና አስተዳዳሪው የዚምብራ ትብብር ስዊት ኦፕን-ምንጭ እትም የመልዕክት ሳጥኖችን ብቻ ሳይሆን በዚምብራ OSE ውስጥ የሚሰሩትን ሁሉንም አገልግሎቶች ለመጠበቅ እና እንዲሁም ያልተፈቀደ መዳረሻ ለማግኘት የሚደረጉ ሙከራዎችን ማንኛውንም አጥቂ ሊሰርዝ ይችላል። .
ከZextras Suite ጋር ለተያያዙ ሁሉም ጥያቄዎች፣ የZextras Ekaterina Triandafilidi ተወካይን በኢሜል ማግኘት ይችላሉ። [ኢሜል የተጠበቀ]
ምንጭ: hab.com