🥇জিমব্রা কোলাবরেশন স্যুট ওপেন-সোর্স সংস্করণে SSL সংযোগ সুরক্ষা সেটিংস উন্নত করা

ব্যবসার জন্য তথ্য সিস্টেম ব্যবহার করার সময় এনক্রিপশনের শক্তি সবচেয়ে গুরুত্বপূর্ণ সূচকগুলির মধ্যে একটি, কারণ প্রতিদিন তারা বিপুল পরিমাণ গোপনীয় তথ্য স্থানান্তরের সাথে জড়িত থাকে। একটি SSL সংযোগের গুণমান মূল্যায়নের একটি সাধারণভাবে স্বীকৃত উপায় হল Qualys SSL Labs থেকে একটি স্বাধীন পরীক্ষা। যেহেতু এই পরীক্ষাটি যে কেউ চালাতে পারে, তাই SaaS প্রদানকারীদের এই পরীক্ষায় সর্বোচ্চ সম্ভাব্য স্কোর পাওয়া বিশেষভাবে গুরুত্বপূর্ণ। শুধুমাত্র SaaS প্রদানকারীরা নয়, সাধারণ উদ্যোগগুলিও SSL সংযোগের গুণমানের বিষয়ে যত্নশীল। তাদের জন্য, এই পরীক্ষাটি সম্ভাব্য দুর্বলতাগুলি সনাক্ত করার এবং সাইবার অপরাধীদের জন্য সমস্ত ত্রুটিগুলি আগেই বন্ধ করার একটি দুর্দান্ত সুযোগ।

Zimbra OSE দুই ধরনের SSL সার্টিফিকেট অনুমোদন করে। প্রথমটি একটি স্ব-স্বাক্ষরিত শংসাপত্র যা ইনস্টলেশনের সময় স্বয়ংক্রিয়ভাবে যুক্ত হয়। এই শংসাপত্রটি বিনামূল্যে এবং এর কোন সময়সীমা নেই, এটি জিমব্রা OSE পরীক্ষা করার জন্য বা এটিকে একটি অভ্যন্তরীণ নেটওয়ার্কের মধ্যে একচেটিয়াভাবে ব্যবহার করার জন্য আদর্শ করে তোলে। যাইহোক, ওয়েব ক্লায়েন্টে লগ ইন করার সময়, ব্যবহারকারীরা ব্রাউজার থেকে একটি সতর্কতা দেখতে পাবেন যে এই শংসাপত্রটি অবিশ্বস্ত, এবং আপনার সার্ভার অবশ্যই কোয়ালিস SSL ল্যাবস থেকে পরীক্ষায় ব্যর্থ হবে।

দ্বিতীয়টি একটি শংসাপত্র কর্তৃপক্ষ দ্বারা স্বাক্ষরিত একটি বাণিজ্যিক SSL শংসাপত্র৷ এই ধরনের সার্টিফিকেট সহজেই ব্রাউজার দ্বারা গৃহীত হয় এবং সাধারণত জিমব্রা OSE এর বাণিজ্যিক ব্যবহারের জন্য ব্যবহৃত হয়। বাণিজ্যিক শংসাপত্রের সঠিক ইনস্টলেশনের পরপরই, জিমব্রা OSE 8.8.15 Qualys SSL Labs থেকে পরীক্ষায় একটি A স্কোর দেখায়। এটি একটি চমৎকার ফলাফল, কিন্তু আমাদের লক্ষ্য একটি A+ ফলাফল অর্জন করা।

জিমব্রা কোলাবরেশন স্যুট ওপেন-সোর্স সংস্করণ ব্যবহার করার সময় কোয়ালিস এসএসএল ল্যাবস থেকে পরীক্ষায় সর্বাধিক স্কোর অর্জনের জন্য, আপনাকে অবশ্যই কয়েকটি ধাপ সম্পূর্ণ করতে হবে:

1. ডিফি-হেলম্যান প্রোটোকলের প্যারামিটার বৃদ্ধি করা

ডিফল্টরূপে, সমস্ত জিমব্রা OSE 8.8.15 উপাদান যা OpenSSL ব্যবহার করে তাদের ডিফি-হেলম্যান প্রোটোকল সেটিংস 2048 বিটে সেট করা থাকে। নীতিগতভাবে, Qualys SSL Labs থেকে পরীক্ষায় A+ স্কোর পাওয়ার জন্য এটি যথেষ্ট। যাইহোক, আপনি যদি পুরানো সংস্করণ থেকে আপগ্রেড করছেন, সেটিংস কম হতে পারে। অতএব, এটি সুপারিশ করা হয় যে আপডেটটি সম্পন্ন হওয়ার পরে, zmdhparam সেট -new 2048 কমান্ডটি চালান, যা Diffie-Hellman প্রোটোকলের প্যারামিটারগুলিকে একটি গ্রহণযোগ্য 2048 বিটে বৃদ্ধি করবে এবং যদি ইচ্ছা হয়, একই কমান্ড ব্যবহার করে, আপনি বাড়াতে পারেন। পরামিতিগুলির মান 3072 বা 4096 বিটে, যা একদিকে প্রজন্মের সময় বৃদ্ধির দিকে নিয়ে যাবে, তবে অন্যদিকে মেল সার্ভারের সুরক্ষা স্তরে ইতিবাচক প্রভাব ফেলবে।

2. ব্যবহৃত সাইফারের একটি প্রস্তাবিত তালিকা সহ

ডিফল্টরূপে, Zimbra Collaborataion Suite Open-Source Edition শক্তিশালী এবং দুর্বল সাইফারের বিস্তৃত পরিসরকে সমর্থন করে, যা একটি নিরাপদ সংযোগের উপর দিয়ে যাওয়া ডেটা এনক্রিপ্ট করে। যাইহোক, একটি SSL সংযোগের নিরাপত্তা পরীক্ষা করার সময় দুর্বল সাইফারের ব্যবহার একটি গুরুতর অসুবিধা। এটি এড়ানোর জন্য, আপনাকে ব্যবহৃত সাইফারের তালিকা কনফিগার করতে হবে।

এটি করতে, কমান্ডটি ব্যবহার করুন zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

এই কমান্ডটি অবিলম্বে প্রস্তাবিত সাইফারগুলির একটি সেট অন্তর্ভুক্ত করে এবং এটির জন্য ধন্যবাদ, কমান্ড অবিলম্বে তালিকায় নির্ভরযোগ্য সাইফার অন্তর্ভুক্ত করতে পারে এবং অবিশ্বস্ত সাইফারগুলিকে বাদ দিতে পারে। এখন যা অবশিষ্ট থাকে তা হল zmproxyctl রিস্টার্ট কমান্ড ব্যবহার করে বিপরীত প্রক্সি নোডগুলি পুনরায় চালু করা। রিবুট করার পরে, করা পরিবর্তনগুলি কার্যকর হবে৷

যদি এই তালিকাটি এক বা অন্য কারণে আপনার জন্য উপযুক্ত না হয়, আপনি কমান্ড ব্যবহার করে এটি থেকে বেশ কয়েকটি দুর্বল সাইফার মুছে ফেলতে পারেন zmprov mcf +zimbraSSLExcludeCipherSuites. সুতরাং, উদাহরণস্বরূপ, কমান্ড zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, যা RC4 সাইফারের ব্যবহার সম্পূর্ণভাবে বাদ দেবে। একই AES এবং 3DES সাইফারের সাথে করা যেতে পারে।

3. HSTS সক্ষম করুন৷

Qualys SSL ল্যাবস পরীক্ষায় একটি নিখুঁত স্কোর অর্জনের জন্য জোর করে সংযোগ এনক্রিপশন এবং TLS সেশন পুনরুদ্ধারের জন্য সক্ষম প্রক্রিয়াগুলিও প্রয়োজন৷ তাদের সক্ষম করতে আপনাকে অবশ্যই কমান্ডটি প্রবেশ করতে হবে zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". এই কমান্ডটি কনফিগারেশনে প্রয়োজনীয় শিরোনাম যুক্ত করবে এবং নতুন সেটিংস কার্যকর করার জন্য আপনাকে কমান্ডটি ব্যবহার করে জিমব্রা ওএসই পুনরায় চালু করতে হবে zmcontrol পুনরায় চালু করুন.

ইতিমধ্যেই এই পর্যায়ে, Qualys SSL ল্যাবস থেকে পরীক্ষা একটি A+ রেটিং দেখাবে, কিন্তু আপনি যদি আপনার সার্ভারের নিরাপত্তা আরও উন্নত করতে চান, তাহলে আপনি নিতে পারেন এমন আরও কিছু ব্যবস্থা রয়েছে।

উদাহরণস্বরূপ, আপনি আন্তঃ-প্রক্রিয়া সংযোগগুলির জোরপূর্বক এনক্রিপশন সক্ষম করতে পারেন এবং জিমব্রা OSE পরিষেবাগুলির সাথে সংযোগ করার সময় আপনি জোরপূর্বক এনক্রিপশন সক্ষম করতে পারেন৷ আন্তঃপ্রক্রিয়া সংযোগ পরীক্ষা করতে, নিম্নলিখিত কমান্ড লিখুন:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

জোরপূর্বক এনক্রিপশন সক্ষম করতে আপনাকে প্রবেশ করতে হবে:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

এই কমান্ডগুলির জন্য ধন্যবাদ, প্রক্সি সার্ভার এবং মেল সার্ভারের সমস্ত সংযোগগুলি এনক্রিপ্ট করা হবে এবং এই সমস্ত সংযোগগুলি প্রক্সি করা হবে৷

এইভাবে, আমাদের সুপারিশগুলি অনুসরণ করে, আপনি শুধুমাত্র SSL সংযোগ নিরাপত্তা পরীক্ষায় সর্বোচ্চ স্কোর অর্জন করতে পারবেন না, তবে পুরো জিমব্রা OSE অবকাঠামোর নিরাপত্তা উল্লেখযোগ্যভাবে বৃদ্ধি করতে পারবেন।

জেক্সট্রাস সুইট সম্পর্কিত সমস্ত প্রশ্নের জন্য, আপনি ই-মেইলের মাধ্যমে জেক্সট্রাস একাতেরিনা ট্রায়ান্ডাফিলিদির প্রতিনিধির সাথে যোগাযোগ করতে পারেন [ইমেল সুরক্ষিত]

উত্স: www.habr.com

জিমব্রা কোলাবরেশন স্যুট ওপেন-সোর্স সংস্করণে SSL সংযোগ সুরক্ষা সেটিংস উন্নত করা

একটি মন্তব্য জুড়ুন উত্তর বাতিল