Spolu s šifrováním e-mailů a používáním digitálních podpisů je jedním z nejúčinnějších a nákladově nejefektivnějších způsobů ochrany e-mailů před hackery dobrá politika zabezpečení hesel. Hesla zapsaná na papíře, uložená ve veřejných souborech nebo jednoduše nedostatečně silná jsou vždy velkým narušením bezpečnosti v podniku a mohou vést k vážným incidentům s hmatatelnými obchodními důsledky. To je důvod, proč by každý podnik měl mít přísnou politiku zabezpečení hesel.
Každý bezpečnostní technik však ví, že politika hesel přinese výsledky pouze tehdy, pokud nejen existuje, ale bude přísně dodržována všemi, nebo alespoň klíčovými zaměstnanci organizace. Dosáhnout toho je těžší, než to vypadá. Již tak vytížení zaměstnanci neustále zapomínají na nutnost měnit heslo, nebo jít cestou nejmenšího odporu, pokaždé heslo usnadňují a zjednodušují, čímž celý efekt anulují. Proto se otázka dodržování zásad hesel v podnicích obvykle řeší různými technickými prostředky.
Zimbra nevyžaduje žádné aplikace třetích stran k vynucení zásad hesel. Toho lze dosáhnout pomocí vestavěných nástrojů.
Za prvé, stojí za to pochopit, jak funguje správa hesel v Zimbře. Po vytvoření nového účtu mu správce přiřadí dočasné heslo. Poté se uživatel bude moci samostatně přihlásit k účtu a změnit heslo. Všechna hesla jsou uložena v zašifrované podobě na serveru se Zimbrou a díky tomu jsou nepřístupná ani správci serveru. Pokud tedy uživatel zapomene heslo, bude si muset vytvořit nové. Připomeňme, že až donedávna vyžadovalo vytvoření nového hesla účast správce, ale nejnovější verze Zimbra Creative Suite 8.8.9 přidala možnost, aby si uživatelé sami nastavili nové heslo.
Nastavení zásad hesel naleznete v nastavení pro jednotlivé uživatele a skupiny uživatelů. Můžete nastavit:
- Délka hesla – umožňuje nastavit minimální a maximální délku hesla. Ve výchozím nastavení je minimální délka hesla 6 znaků a maximální 64.
- Stárnutí hesla - umožňuje nastavit dobu, po které se heslo stane neplatným. Uživatelé nemusí čekat na vypršení platnosti hesla, lze je změnit před vypršením platnosti hesla
- Minimální počet velkých písmen – umožňuje nastavit minimální počet velkých písmen použitých v heslu
- Minimální počet malých písmen – umožňuje nastavit minimální počet malých písmen použitých v heslu
- Minimální počet číslic - umožňuje nastavit minimální počet číslic od 0 do 9 použitých v hesle
- Minimální počet interpunkčních znamének - umožňuje nastavit minimální počet interpunkčních znamének a speciálních znaků použitých v heslu
- Vynutit historii hesel – umožňuje nastavit počet hesel k zapamatování, aby uživatel opakovaně nepoužíval hesla
- Zamčeno heslem – tato možnost umožňuje uživateli zabránit ve změně hesla
- Povolit uzamčení neúspěšného přihlášení – tato možnost umožňuje nakonfigurovat reakci systému na zadání nesprávného hesla
Jak můžete vidět, nastavení hesel v Zimbře je poměrně flexibilní a dokáže se přizpůsobit zásadám hesel v téměř každém podniku. Pomocí jednoduchého skriptu navíc můžete uživatelům posílat připomenutí, že jejich heslo brzy vyprší. Díky takovému připomenutí si zaměstnanec bude moci změnit heslo v uvolněné atmosféře, přičemž pošta, která se ráno neotevře u zaměstnance, který promeškal okamžik změny hesla, může negativně ovlivnit jeho efektivitu.
Aby tento skript fungoval, musíte jej zkopírovat do souboru a učinit tento soubor spustitelným. Doporučuje se automatizovat provádění tohoto skriptu pomocí Cronu, aby upozornil uživatele, kteří si denně neaktualizovali heslo, že brzy přestane fungovat. Kromě toho musíte ve skriptu místo zimbra.server.com nahradit název vlastní domény.
#!/bin/bash
# Задаем ряд переменных:
# Сперва количество дней для первого напоминания, затем для последнего:
FIRST="3"
LAST="1"
# Задаем адрес отправителя:
FROM="[email protected]"
# Задаем адрес получателя, который будет получать письмо со списком аккаунтов с истекшими паролями
ADMIN_RECIPIENT="[email protected]"
# Указываем путь к исполняемому файлу Sendmail
SENDMAIL=$(ionice -c3 find /opt/zimbra/common/sbin/sendmail* -type f -iname sendmail)
# Получаем список всех пользователей.
USERS=$(ionice -c3 /opt/zimbra/bin/zmprov -l gaa $DOMAIN)
# Указываем дату с точностью до секунды:
DATE=$(date +%s)
# Проверяем каждого из них:
for USER in $USERS
do
# Узнаем, когда был установлен пароль
USERINFO=$(ionice -c3 /opt/zimbra/bin/zmprov ga "$USER")
PASS_SET_DATE=$(echo "$USERINFO" | grep zimbraPasswordModifiedTime: | cut -d " " -f 2 | cut -c 1-8)
PASS_MAX_AGE=$(echo "$USERINFO" | grep "zimbraPasswordMaxAge:" | cut -d " " -f 2)
NAME=$(echo "$USERINFO" | grep givenName | cut -d " " -f 2)
# Проверяем, нет ли среди пользователей тех, у кого срок действия пароля уже истек.
if [[ "$PASS_MAX_AGE" -eq "0" ]]
then
continue
fi
# Высчитываем дату окончания действия паролей
EXPIRES=$(date -d "$PASS_SET_DATE $PASS_MAX_AGE days" +%s)
# Считаем, сколько дней осталось до окончания срока действия пароля
DEADLINE=$(( (($DATE - $EXPIRES)) / -86400 ))
# Отправляем письмо пользователям
SUBJECT="$NAME - Ваш пароль станет недействительным через $DEADLINE дней"
BODY="
Здравствуйте, $NAME,
Пароль вашего аккаунта станет недействительным через $DEADLINE дней, Пожалуйста, создайте новый как можно скорее.
Вы можете также создать напоминание о смене пароля в календаре Zimbra.
Заранее спасибо.
С уважением, IT-отдел
"
# Первое предупреждение
if [[ "$DEADLINE" -eq "$FIRST" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Reminder email sent to: $USER - $DEADLINE days left"
# Последнее предупреждение
elif [[ "$DEADLINE" -eq "$LAST" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Reminder email sent to: $USER - $DEADLINE days left"
# Final
elif [[ "$DEADLINE" -eq "1" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Last chance for: $USER - $DEADLINE days left"
fi
doneMůžeme tedy říci, že Zimbra Collaboration Suite je docela vhodný i pro ty podniky, které zavedly přísnou politiku hesel, a díky vestavěným funkcím bude docela snadné dosáhnout její přísné implementace ze strany zaměstnanců.
Se všemi dotazy týkajícími se Zextras Suite se můžete obrátit na zástupkyni společnosti Zextras Katerinu Triandafilidi e-mailem [chráněno e-mailem]
Zdroj: www.habr.com