Stává se, že správci systému jsou vždy nedůvěřiví ke všemu novému. Doslova vše, od nových serverových platforem až po aktualizace softwaru, je vnímáno opatrně, přesně do doby, než se objeví první praktické zkušenosti s používáním a pozitivní zpětná vazba od kolegů z jiných podniků. Je to pochopitelné, protože když jste doslova zodpovědní za chod podniku a bezpečnost důležitých informací, časem přestanete věřit i sami sobě, nemluvě o protistranách, podřízených nebo běžných uživatelích.
Nedůvěra k aktualizacím softwaru je způsobena řadou nepříjemných případů, kdy instalace čerstvých záplat vedla k poklesu výkonu, změnám uživatelského rozhraní, výpadku informačního systému nebo, co je obzvláště nepříjemné, ztrátě dat. Aktualizace však nemůžete zcela odmítnout; v tomto případě může být infrastruktura vašeho podniku vystavena útoku kyberzločinců. Stačí si připomenout senzační případ viru WannaCry, kdy se ukázalo, že data uložená na milionech počítačů, která nebyla aktualizována na nejnovější verzi Windows, byla zašifrována. Tento incident nejenže stál práci více než sto systémových administrátorů, ale také jasně prokázal potřebu vyvinout novou politiku pro aktualizaci softwarových produktů v podniku, která by kombinovala bezpečnost a rychlost instalace. V očekávání vydání Zimbra 8.8.15 LTS se pojďme podívat na to, jak můžete aktualizovat Zimbra Collabration Suite Open-Source Edition, abyste zajistili bezpečnost všech důležitých dat.
Jedním z hlavních rysů Zimbra Collaboration Suite je, že téměř všechny jeho odkazy lze duplikovat. Zejména můžete kromě hlavního serveru LDAP-Master přidat duplicitní repliky LDAP, do kterých můžete v případě potřeby přenést funkce hlavního serveru LDAP. Můžete také duplikovat proxy servery a servery s MTA. Tato duplicita umožňuje v případě potřeby po dobu aktualizace z infrastruktury odstranit jednotlivé infrastruktury infrastruktury a díky tomu se spolehlivě chránit nejen před delším výpadkem, ale i před ztrátou dat v případě neúspěšné aktualizace.
Na rozdíl od jiných částí infrastruktury není v Zimbra Collaboration Suite podporována duplikace úložiště pošty. I když máte v infrastruktuře více úložišť pošty, data každé poštovní schránky mohou být umístěna na jediném poštovním serveru. Jedním z hlavních pravidel pro bezpečnost dat při aktualizaci je proto včasné zálohování informací v poštovních úložištích. Čím novější je vaše záloha, tím více dat bude uloženo v případě nouze. Je zde však nuance, která spočívá v tom, že bezplatná edice Zimbra Collaboration Suite nemá vestavěný mechanismus zálohování a k vytváření záloh budete muset použít vestavěné nástroje GNU/Linux. Pokud však vaše infrastruktura Zimbra provozuje více poštovních úložišť a velikost poštovního archivu je poměrně velká, může každá taková záloha trvat velmi dlouho a také způsobit vážné zatížení místní sítě a samotných serverů. Při dlouhodobém kopírování se navíc prudce zvyšují rizika různých událostí vyšší moci. Také pokud provedete takovou zálohu bez zastavení služby, existuje riziko, že řada souborů může být zkopírována nesprávně, což povede ke ztrátě některých dat.
Proto, pokud potřebujete zálohovat velké objemy informací z poštovních úložišť, je lepší použít přírůstkové zálohování, které vám umožní vyhnout se úplnému zkopírování všech informací a zálohovat pouze ty soubory, které se objevily nebo byly změněny po předchozím byla provedena plná záloha. To výrazně urychlí proces odstraňování záloh a také vám umožní rychle zahájit instalaci aktualizací. V Zimbra Open-Source Edition můžete dosáhnout přírůstkového zálohování pomocí modulárního rozšíření Zextras Backup, které je součástí sady Zextras Suite.
Další výkonný nástroj, Zextras PowerStore, umožňuje správci systému deduplikovat data v úložišti pošty. To znamená, že všechny identické přílohy a duplicitní e-maily na poštovním serveru budou nahrazeny jediným původním souborem a všechny duplikáty budou převedeny na transparentní symbolické odkazy. Díky tomu můžete dosáhnout nejen výrazné úspory místa na pevném disku, ale také výrazného zmenšení velikosti záložní kopie, což vám umožní zkrátit dobu plné zálohy a podle toho ji provádět mnohem častěji.
Ale hlavní funkcí, kterou může Zextras PowerStore poskytnout pro bezpečné aktualizace, je přenos poštovních schránek mezi poštovními servery v multiserverových infrastrukturách Zimbra. Díky této funkci má správce systému možnost dělat s poštovními úložišti přesně to samé, co jsme dělali se servery MTA a LDAP, abychom je bezpečně aktualizovali. Pokud jsou například v infrastruktuře Zimbra čtyři poštovní úložiště, můžete se pokusit distribuovat poštovní schránky z jednoho z nich mezi další tři, a když je první poštovní úložiště prázdné, můžete jej bez obav o bezpečnost dat aktualizovat. . Pokud má správce systému v infrastruktuře náhradní úložiště pošty, může jej použít jako dočasné úložiště pro poštovní schránky přenesené z aktualizovaných úložišť pošty.
Příkaz konzoly umožňuje takový přenos provést DoMoveMailbox. Abyste jej mohli použít k přenosu všech účtů z poštovního úložiště, musíte nejprve získat jejich úplný seznam. Abychom toho dosáhli, na poštovním serveru provedeme příkaz zmprov sa zimbraMailHost=mailbox.example.com > accounts.txt. Po jeho provedení obdržíme soubor accounts.txt se seznamem všech poštovních schránek na našem poštovním úložišti. Poté jej můžete okamžitě použít k přenosu účtů do jiného úložiště pošty. Bude to vypadat například takto:
zxsuite powerstore doMailboxPřesunout rezervní_schránku.example.com vstupní_soubor účty.txt fáze data
zxsuite powerstore doMailboxPřesunout rezervní_poštovní schránku.example.com vstupní_soubor accounts.txt uvádí data, oznámení o účtu [chráněno e-mailem]
Příkaz se provede dvakrát, aby se zkopírovala všechna data poprvé bez přenosu samotného účtu, a podruhé, protože přenos dat probíhá postupně, zkopíruje se všechna data, která se objevila po prvním přenosu, a poté se přenesou samotné účty. Upozorňujeme, že převod účtu je doprovázen krátkou dobou nedostupnosti poštovní schránky a bylo by rozumné na to uživatele upozornit. Po dokončení druhého příkazu navíc administrátor obdrží odpovídající upozornění e-mailem. Díky němu může správce co nejrychleji začít aktualizovat úložiště pošty.
Pokud aktualizaci softwaru na úložišti pošty provádí poskytovatel SaaS, bylo by mnohem rozumnější přenášet data nikoli prostřednictvím účtů, ale domén, které jsou na něm umístěny. Pro tyto účely stačí zadaný příkaz mírně upravit:
zxsuite powerstore doMailboxMove Reserve_mailbox.saas.com domény klient1.ru, klient2.ru, klient3.ru fáze dat
zxsuite powerstore doMailboxMove secureserver.saas.com domény client1.ru, client2.ru, client3.ru uvádí data, oznámení o účtu [chráněno e-mailem]
Po dokončení přenosu účtů a jejich dat z úložiště pošty přestávají mít data na zdrojovém serveru jakýkoli význam a můžete bez obav o jejich bezpečnost začít aktualizovat poštovní server.
Pro ty, kteří se snaží minimalizovat prostoje při migraci poštovních schránek, je ideální zásadně odlišný scénář použití příkazu zxsuite powerstore doMailboxMove, jehož podstatou je, že poštovní schránky jsou přenášeny přímo na aktualizované servery, bez nutnosti použití zprostředkujících serverů. Jinými slovy, přidáme nové úložiště pošty do infrastruktury Zimbra, která již byla aktualizována na nejnovější verzi, a poté na něj jednoduše přeneseme účty z neaktualizovaného serveru podle již známého scénáře a opakujeme postup, dokud všechny servery v infrastruktura je aktualizována.
Tato metoda umožňuje převést účty jednou a tím zkrátit dobu, po kterou zůstanou poštovní schránky nepřístupné. Navíc jeho implementace bude vyžadovat pouze jeden další poštovní server. S jeho používáním by však měli zacházet opatrně ti správci, kteří nasazují úložiště pošty na servery s různými konfiguracemi. Faktem je, že přenos velkého počtu účtů na slabší server může negativně ovlivnit dostupnost a odezvu služby, což může být pro velké podniky a poskytovatele SaaS docela zásadní.
Díky Zextras Backup a Zextras PowerStore je tedy správce systému Zimbra schopen aktualizovat všechny uzly infrastruktury Zimbra bez jakéhokoli rizika pro informace na nich uložené.
Zdroj: www.habr.com