Настройка парольной политики безопасности в Zimbra

Наряду с шифрованием писем и использованием электронно-цифровой подписи, одним из самых эффективных и малозатратных способов защиты электронной почты от взлома является грамотная парольная политика безопасности. Записанные на бумажках, хранящиеся в общедоступных файлах или просто недостаточно сложные пароли всегда являются большой брешью в информационной безопасности предприятия и могут привести к возникновению серьезных инцидентов с ощутимыми для бизнеса последствиями. Именно поэтому на любом предприятии должна существовать строгая парольная политика безопасности.

Настройка парольной политики безопасности в Zimbra

Впрочем, любой безопасник знает, что парольная политика будет приносить результат только тогда, когда она не просто существует, но и неукоснительно соблюдается всеми, или хотя бы ключевыми сотрудниками организации. Добиться этого сложнее, чем кажется. И без того сильно загруженные работой сотрудники постоянно забывают о необходимости смены пароля, либо идут по пути наименьшего сопротивления, каждый раз делая пароль все проще и проще, сводя таким образом на нет весь эффект. Именно поэтому вопрос соблюдения парольной политики на предприятиях обычно решается различными техническими средствами.

Для того, чтобы следить за соблюдением парольной политики в Zimbra, никаких сторонних приложений не потребуется. Добиться этого можно при помощи встроенных средств.

Сперва стоит разобраться в том, как устроено управление паролями в Zimbra. В момент создания новой учетной записи, администратором ей присваивается временный пароль. После этого пользователь сможет самостоятельно войти в учетную запись и сменить пароль. Все пароли хранятся в зашифрованном виде на сервере с Zimbra и благодаря этому недоступны даже администратору сервера. Именно поэтому в случае, если пользователь забывает пароль, ему придется создавать новый. Напомним, что до недавнего времени для создания нового пароля требовалось участие администратора, но в последней версии Zimbra Creative Suite 8.8.9 была добавлена возможность для пользователей самостоятельно устанавливать новый пароль.

Настройка парольной политики безопасности в Zimbra
Настройки парольной политики можно найти в настройках отдельных пользователей и групп пользователей. Настроить можно:

  • Password length — позволяет установить минимальную и максимальную длину пароля. По умолчанию минимальная длина пароля составляет 6 символов, а максимальная — 64.
  • Password aging — позволяет установить время, по истечении которого пароль становится недействительным. Пользователям не обязательно дожидаться истечения срока действия пароля, заменить его можно и до истечения срока его действия
  • Minimum upper case characters — позволяет установить минимальное число заглавных букв, используемых в пароле
  • Minimum lower case characters — позволяет установить минимальное число строчных букв, используемых в пароле
  • Minimum numeric characters — позволяет установить минимальное число цифр от 0 до 9, используемых в пароле
  • Minimum punctuation symbols — позволяет установить минимальное число знаков препинания и спецсимволов, используемых в пароле
  • Enforce password history — позволяет установить число запоминаемых паролей, чтобы пользователь периодически не использовал повторяющиеся пароли
  • Password locked — эта опция позволяет запретить пользователю менять пароль
  • Enable failed log in lockout — эта опция позволяет настроить реакцию системы на ввод неправильного пароля

Как видите, настройки паролей в Zimbra достаточно гибки и способны подстроиться под парольную политику на практически любом предприятии. Кроме того, за счет использования простенького скрипта можно настроить отправку пользователям напоминаний о том, что время действия их пароля вскоре закончится. Благодаря такому напоминанию, сотрудник сможет в спокойной обстановке сменить пароль, в то время как не открывающаяся с утра почта у прозевавшего момент смены пароля сотрудника может негативно сказаться на его эффективности.

Для того, чтобы этот скрипт заработал, его надо скопировать в файл и сделать этот файл исполняемым. Рекомендуется автоматизировать исполнение этого скрипта при помощи Cron так, чтобы он ежедневно оповещал пользователей, которые давно не обновляли пароль о том, что он вскоре перестанет работать. Кроме того, в скрипте вместо zimbra.server.com необходимо подставить имя вашего собственного домена.

#!/bin/bash
# Задаем ряд переменных:
# Сперва количество дней для первого напоминания, затем для последнего:
FIRST="3"
LAST="1"
# Задаем адрес отправителя:
FROM="[email protected]"
# Задаем адрес получателя, который будет получать письмо со списком аккаунтов с истекшими паролями
ADMIN_RECIPIENT="[email protected]"
# Указываем путь к исполняемому файлу Sendmail
SENDMAIL=$(ionice -c3 find /opt/zimbra/common/sbin/sendmail* -type f -iname sendmail)
# Получаем список всех пользователей.
USERS=$(ionice -c3 /opt/zimbra/bin/zmprov -l gaa $DOMAIN)
# Указываем дату с точностью до секунды:
DATE=$(date +%s)
# Проверяем каждого из них:
for USER in $USERS
 do
# Узнаем, когда был установлен пароль
USERINFO=$(ionice -c3 /opt/zimbra/bin/zmprov ga "$USER")
PASS_SET_DATE=$(echo "$USERINFO" | grep zimbraPasswordModifiedTime: | cut -d " " -f 2 | cut -c 1-8)
PASS_MAX_AGE=$(echo "$USERINFO" | grep "zimbraPasswordMaxAge:" | cut -d " " -f 2)
NAME=$(echo "$USERINFO" | grep givenName | cut -d " " -f 2)
# Проверяем, нет ли среди пользователей тех, у кого срок действия пароля уже истек.
if [[ "$PASS_MAX_AGE" -eq "0" ]]
then
  continue
fi
# Высчитываем дату окончания действия паролей
EXPIRES=$(date -d  "$PASS_SET_DATE $PASS_MAX_AGE days" +%s)
# Считаем, сколько дней осталось до окончания срока действия пароля
DEADLINE=$(( (($DATE - $EXPIRES)) / -86400 ))
# Отправляем письмо пользователям
SUBJECT="$NAME - Ваш пароль станет недействительным через $DEADLINE дней"
BODY="
Здравствуйте, $NAME,
Пароль вашего аккаунта станет недействительным через $DEADLINE дней, Пожалуйста, создайте новый как можно скорее.
Вы можете также создать напоминание о смене пароля в календаре Zimbra.
Заранее спасибо.
С уважением, IT-отдел
"
# Первое предупреждение
if [[ "$DEADLINE" -eq "$FIRST" ]]
then
	echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
	echo "Reminder email sent to: $USER - $DEADLINE days left"
# Последнее предупреждение
elif [[ "$DEADLINE" -eq "$LAST" ]]
then
	echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
	echo "Reminder email sent to: $USER - $DEADLINE days left"
# Final
elif [[ "$DEADLINE" -eq "1" ]]
then
    echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
	echo "Last chance for: $USER - $DEADLINE days left"
fi
done

Таким образом, можно сказать, что Zimbra Collaboration Suite вполне подойдет даже тем предприятиям, на которых внедрена жесткая парольная политика, а благодаря встроенным функциям добиться от сотрудников ее неукоснительного исполнения будет достаточно просто.

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Катерине Триандафилиди по электронной почте [email protected]

Источник: habr.com

Добавить комментарий