Нараўне з шыфраваннем лістоў і выкарыстаннем электронна-лічбавага подпісу, адным з самых эфектыўных і малазатратных спосабаў абароны электроннай пошты ад узлому з'яўляецца пісьменная парольная палітыка бяспекі. Запісаныя на паперках, якія захоўваюцца ў агульнадаступных файлах ці проста нядосыць складаныя паролі заўсёды з'яўляюцца вялікім брэхам у інфармацыйнай бяспецы прадпрыемства і могуць прывесці да ўзнікнення сур'ёзных інцыдэнтаў з адчувальнымі для бізнэсу наступствамі. Менавіта таму на любым прадпрыемстве павінна існаваць строгая парольная палітыка бяспекі.
Зрэшты, любы бяспечнік ведае, што парольная палітыка будзе прыносіць вынік толькі тады, калі яна не проста існуе, але і няўхільна выконваецца ўсімі, ці хаця б ключавымі супрацоўнікамі арганізацыі. Дабіцца гэтага складаней, чым здаецца. І без таго моцна загружаныя працай супрацоўнікі ўвесь час забываюць аб неабходнасці змены пароля, альбо ідуць па шляху найменшага супраціву, кожны раз робячы пароль усё прасцей і прасцей, зводзячы такім чынам на нішто ўвесь эфект. Менавіта таму пытанне захавання парольнай палітыкі на прадпрыемствах звычайна вырашаецца рознымі тэхнічнымі сродкамі.
Для таго, каб сачыць за выкананнем парольнай палітыкі ў Zimbra, ніякіх іншых прыкладанняў не спатрэбіцца. Дамагчыся гэтага можна пры дапамозе ўбудаваных сродкаў.
Перш варта разабрацца ў тым, як уладкована кіраванне паролямі ў Zimbra. У момант стварэння новага ўліковага запісу, адміністратарам ёй прысвойваецца часовы пароль. Пасля гэтага карыстач зможа самастойна ўвайсці ва ўліковы запіс і змяніць пароль. Усе паролі захоўваюцца ў зашыфраваным выглядзе на серверы з Zimbra і дзякуючы гэтаму недаступныя нават адміністратару сервера. Менавіта таму ў выпадку, калі карыстач забывае пароль, яму прыйдзецца ствараць новы. Нагадаем, што да нядаўняга часу для стварэння новага пароля патрабаваўся ўдзел адміністратара, але ў апошняй версіі Zimbra Creative Suite 8.8.9 была дададзена магчымасць для карыстачоў самастойна ўсталёўваць новы пароль.
Параметры парольнай палітыкі можна знайсці ў настройках асобных карыстальнікаў і груп карыстальнікаў. Наладзіць можна:
- Password length - дазваляе ўсталяваць мінімальную і максімальную даўжыню пароля. Па змаўчанні мінімальная даўжыня пароля складае 6 сімвалаў, а максімальная - 64.
- Password aging - дазваляе ўсталяваць час, па заканчэнні якога пароль становіцца несапраўдным. Карыстачам не абавязкова чакаць заканчэнні тэрміну дзеяння пароля, замяніць яго можна і да заканчэння тэрміна яго дзеяння
- Minimum upper case characters - дазваляе ўсталяваць мінімальную колькасць загалоўных літар, якія выкарыстоўваюцца ў паролі
- Minimum lower case characters - дазваляе ўсталяваць мінімальную колькасць малых літар, якія выкарыстоўваюцца ў паролі.
- Minimum numeric characters - дазваляе ўсталяваць мінімальную колькасць лічбаў ад 0 да 9, якія выкарыстоўваюцца ў паролі.
- Minimum punctuation symbols — дазваляе ўсталяваць мінімальную колькасць знакаў прыпынку і спецзнакаў, якія выкарыстоўваюцца ў паролі.
- Enforce password history - дазваляе ўсталяваць лік запамінаваных пароляў, каб карыстач перыядычна не выкарыстоўваў паўтаральныя паролі
- Password locked - гэтая опцыя дазваляе забараніць карыстачу змяняць пароль
- Enable failed log in lockout - гэтая опцыя дазваляе наладзіць рэакцыю сістэмы на ўвод няправільнага пароля
Як бачыце, налады пароляў у Zimbra досыць гнуткія і здольныя падстроіцца пад парольную палітыку на практычна любым прадпрыемстве. Акрамя таго, за кошт выкарыстання просценькага скрыпту можна наладзіць адпраўку карыстальнікам напамінкаў аб тым, што час дзеяння іх пароля неўзабаве скончыцца. Дзякуючы такому напамінку, супрацоўнік зможа ў спакойным становішчы змяніць пароль, у то час як не адкрываная з раніцы пошта ў празявавшего момант змены пароля супрацоўніка можа негатыўна адбіцца на яго эфектыўнасці.
Для таго, каб гэты скрыпт зарабіў, яго трэба скапіяваць у файл і зрабіць гэты файл выкананым. Рэкамендуецца аўтаматызаваць выкананне гэтага скрыпту пры дапамозе Cron так, каб ён штодня апавяшчаў карыстачоў, якія даўно не абнаўлялі пароль аб тым, што ён неўзабаве перастане працаваць. Акрамя таго, у скрыпце замест zimbra.server.com неабходна падставіць імя вашага ўласнага дамена.
#!/bin/bash
# Задаем ряд переменных:
# Сперва количество дней для первого напоминания, затем для последнего:
FIRST="3"
LAST="1"
# Задаем адрес отправителя:
FROM="[email protected]"
# Задаем адрес получателя, который будет получать письмо со списком аккаунтов с истекшими паролями
ADMIN_RECIPIENT="[email protected]"
# Указываем путь к исполняемому файлу Sendmail
SENDMAIL=$(ionice -c3 find /opt/zimbra/common/sbin/sendmail* -type f -iname sendmail)
# Получаем список всех пользователей.
USERS=$(ionice -c3 /opt/zimbra/bin/zmprov -l gaa $DOMAIN)
# Указываем дату с точностью до секунды:
DATE=$(date +%s)
# Проверяем каждого из них:
for USER in $USERS
do
# Узнаем, когда был установлен пароль
USERINFO=$(ionice -c3 /opt/zimbra/bin/zmprov ga "$USER")
PASS_SET_DATE=$(echo "$USERINFO" | grep zimbraPasswordModifiedTime: | cut -d " " -f 2 | cut -c 1-8)
PASS_MAX_AGE=$(echo "$USERINFO" | grep "zimbraPasswordMaxAge:" | cut -d " " -f 2)
NAME=$(echo "$USERINFO" | grep givenName | cut -d " " -f 2)
# Проверяем, нет ли среди пользователей тех, у кого срок действия пароля уже истек.
if [[ "$PASS_MAX_AGE" -eq "0" ]]
then
continue
fi
# Высчитываем дату окончания действия паролей
EXPIRES=$(date -d "$PASS_SET_DATE $PASS_MAX_AGE days" +%s)
# Считаем, сколько дней осталось до окончания срока действия пароля
DEADLINE=$(( (($DATE - $EXPIRES)) / -86400 ))
# Отправляем письмо пользователям
SUBJECT="$NAME - Ваш пароль станет недействительным через $DEADLINE дней"
BODY="
Здравствуйте, $NAME,
Пароль вашего аккаунта станет недействительным через $DEADLINE дней, Пожалуйста, создайте новый как можно скорее.
Вы можете также создать напоминание о смене пароля в календаре Zimbra.
Заранее спасибо.
С уважением, IT-отдел
"
# Первое предупреждение
if [[ "$DEADLINE" -eq "$FIRST" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Reminder email sent to: $USER - $DEADLINE days left"
# Последнее предупреждение
elif [[ "$DEADLINE" -eq "$LAST" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Reminder email sent to: $USER - $DEADLINE days left"
# Final
elif [[ "$DEADLINE" -eq "1" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Last chance for: $USER - $DEADLINE days left"
fi
doneТакім чынам, можна сказаць, што Zimbra Collaboration Suite суцэль падыдзе нават тым прадпрыемствам, на якіх укаранёная цвёрдая парольная палітыка, а дзякуючы ўбудаваным функцый дамагчыся ад супрацоўнікаў яе няўхільнага выканання будзе досыць проста.
Па ўсіх пытаннях, звязаных з Zextras Suite вы можаце звярнуцца да Прадстаўніка кампаніі «Zextras» Кацярыны Трыандафілідзі па электроннай пошце. [электронная пошта абаронена]
Крыніца: habr.com