Настройка парольной политики безопасности в Zimbra

Наряду с шифрованием писем и использованием электронно-цифровой подписи, одним из самых эффективных и малозатратных способов защиты электронной почты от взлома является грамотная парольная политика безопасности. Записанные на бумажках, хранящиеся в общедоступных файлах или просто недостаточно сложные пароли всегда являются большой брешью в информационной безопасности предприятия и могут привести к возникновению серьезных инцидентов с ощутимыми для бизнеса последствиями. Именно поэтому на любом предприятии должна существовать строгая парольная политика безопасности.

Впрочем, любой безопасник знает, что парольная политика будет приносить результат только тогда, когда она не просто существует, но и неукоснительно соблюдается всеми, или хотя бы ключевыми сотрудниками организации. Добиться этого сложнее, чем кажется. И без того сильно загруженные работой сотрудники постоянно забывают о необходимости смены пароля, либо идут по пути наименьшего сопротивления, каждый раз делая пароль все проще и проще, сводя таким образом на нет весь эффект. Именно поэтому вопрос соблюдения парольной политики на предприятиях обычно решается различными техническими средствами.

Для того, чтобы следить за соблюдением парольной политики в Zimbra, никаких сторонних приложений не потребуется. Добиться этого можно при помощи встроенных средств.

Сперва стоит разобраться в том, как устроено управление паролями в Zimbra. В момент создания новой учетной записи, администратором ей присваивается временный пароль. После этого пользователь сможет самостоятельно войти в учетную запись и сменить пароль. Все пароли хранятся в зашифрованном виде на сервере с Zimbra и благодаря этому недоступны даже администратору сервера. Именно поэтому в случае, если пользователь забывает пароль, ему придется создавать новый. Напомним, что до недавнего времени для создания нового пароля требовалось участие администратора, но в последней версии Zimbra Creative Suite 8.8.9 была добавлена возможность для пользователей самостоятельно устанавливать новый пароль.

Настройки парольной политики можно найти в настройках отдельных пользователей и групп пользователей. Настроить можно:

• Password length — позволяет установить минимальную и максимальную длину пароля. По умолчанию минимальная длина пароля составляет 6 символов, а максимальная — 64.
• Password aging — позволяет установить время, по истечении которого пароль становится недействительным. Пользователям не обязательно дожидаться истечения срока действия пароля, заменить его можно и до истечения срока его действия
• Minimum upper case characters — позволяет установить минимальное число заглавных букв, используемых в пароле
• Minimum lower case characters — позволяет установить минимальное число строчных букв, используемых в пароле
• Minimum numeric characters — позволяет установить минимальное число цифр от 0 до 9, используемых в пароле
• Minimum punctuation symbols — позволяет установить минимальное число знаков препинания и спецсимволов, используемых в пароле
• Enforce password history — позволяет установить число запоминаемых паролей, чтобы пользователь периодически не использовал повторяющиеся пароли
• Password locked — эта опция позволяет запретить пользователю менять пароль
• Enable failed log in lockout — эта опция позволяет настроить реакцию системы на ввод неправильного пароля

Как видите, настройки паролей в Zimbra достаточно гибки и способны подстроиться под парольную политику на практически любом предприятии. Кроме того, за счет использования простенького скрипта можно настроить отправку пользователям напоминаний о том, что время действия их пароля вскоре закончится. Благодаря такому напоминанию, сотрудник сможет в спокойной обстановке сменить пароль, в то время как не открывающаяся с утра почта у прозевавшего момент смены пароля сотрудника может негативно сказаться на его эффективности.

Для того, чтобы этот скрипт заработал, его надо скопировать в файл и сделать этот файл исполняемым. Рекомендуется автоматизировать исполнение этого скрипта при помощи Cron так, чтобы он ежедневно оповещал пользователей, которые давно не обновляли пароль о том, что он вскоре перестанет работать. Кроме того, в скрипте вместо zimbra.server.com необходимо подставить имя вашего собственного домена.

#!/bin/bash
# Задаем ряд переменных:
# Сперва количество дней для первого напоминания, затем для последнего:
FIRST="3"
LAST="1"
# Задаем адрес отправителя:
FROM="[email protected]"
# Задаем адрес получателя, который будет получать письмо со списком аккаунтов с истекшими паролями
ADMIN_RECIPIENT="[email protected]"
# Указываем путь к исполняемому файлу Sendmail
SENDMAIL=$(ionice -c3 find /opt/zimbra/common/sbin/sendmail* -type f -iname sendmail)
# Получаем список всех пользователей.
USERS=$(ionice -c3 /opt/zimbra/bin/zmprov -l gaa $DOMAIN)
# Указываем дату с точностью до секунды:
DATE=$(date +%s)
# Проверяем каждого из них:
for USER in $USERS
 do
# Узнаем, когда был установлен пароль
USERINFO=$(ionice -c3 /opt/zimbra/bin/zmprov ga "$USER")
PASS_SET_DATE=$(echo "$USERINFO" | grep zimbraPasswordModifiedTime: | cut -d " " -f 2 | cut -c 1-8)
PASS_MAX_AGE=$(echo "$USERINFO" | grep "zimbraPasswordMaxAge:" | cut -d " " -f 2)
NAME=$(echo "$USERINFO" | grep givenName | cut -d " " -f 2)
# Проверяем, нет ли среди пользователей тех, у кого срок действия пароля уже истек.
if [[ "$PASS_MAX_AGE" -eq "0" ]]
then
  continue
fi
# Высчитываем дату окончания действия паролей
EXPIRES=$(date -d  "$PASS_SET_DATE $PASS_MAX_AGE days" +%s)
# Считаем, сколько дней осталось до окончания срока действия пароля
DEADLINE=$(( (($DATE - $EXPIRES)) / -86400 ))
# Отправляем письмо пользователям
SUBJECT="$NAME - Ваш пароль станет недействительным через $DEADLINE дней"
BODY="
Здравствуйте, $NAME,
Пароль вашего аккаунта станет недействительным через $DEADLINE дней, Пожалуйста, создайте новый как можно скорее.
Вы можете также создать напоминание о смене пароля в календаре Zimbra.
Заранее спасибо.
С уважением, IT-отдел
"
# Первое предупреждение
if [[ "$DEADLINE" -eq "$FIRST" ]]
then
	echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
	echo "Reminder email sent to: $USER - $DEADLINE days left"
# Последнее предупреждение
elif [[ "$DEADLINE" -eq "$LAST" ]]
then
	echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
	echo "Reminder email sent to: $USER - $DEADLINE days left"
# Final
elif [[ "$DEADLINE" -eq "1" ]]
then
    echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
	echo "Last chance for: $USER - $DEADLINE days left"
fi
done

Таким образом, можно сказать, что Zimbra Collaboration Suite вполне подойдет даже тем предприятиям, на которых внедрена жесткая парольная политика, а благодаря встроенным функциям добиться от сотрудников ее неукоснительного исполнения будет достаточно просто.

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Катерине Триандафилиди по электронной почте [email protected]

Источник: habr.com