Dio la casualidad de que los administradores del sistema siempre sospechan de todo lo nuevo. Literalmente, todo, desde las nuevas plataformas de servidores hasta las actualizaciones de software, se percibe con cautela, siempre que no haya una primera experiencia práctica de uso y comentarios positivos de colegas de otras empresas. Es comprensible, porque cuando eres literalmente responsable de la operación de la empresa y la seguridad de la información importante con tu cabeza, con el tiempo dejas de confiar incluso en ti mismo, sin mencionar a las contrapartes, subordinados o usuarios comunes.
La desconfianza en las actualizaciones de software se debe a muchos casos desagradables en los que la instalación de parches nuevos provocó una caída en el rendimiento, cambios en la interfaz de usuario, fallas en el sistema de información o, lo que es más desagradable, pérdida de datos. Sin embargo, no puede rechazar por completo las actualizaciones, en cuyo caso la infraestructura de su empresa puede ser atacada por ciberdelincuentes. Baste recordar el sensacional caso del virus WannaCry, cuando los datos almacenados en millones de ordenadores no actualizados a la última versión de Windows resultaron estar encriptados. Este incidente no solo le costó el trabajo a cientos de administradores de sistemas, sino que también mostró claramente la necesidad de una nueva política de actualización de productos de software en la empresa, que permitiera combinar seguridad y rapidez en su instalación. Anticipándonos al lanzamiento de Zimbra 8.8.15 LTS, echemos un vistazo a cómo puede actualizar Zimbra Collabration Suite Open-Source Edition para garantizar la seguridad de todos los datos críticos.
Una de las principales características de Zimbra Collaboration Suite es que casi todos sus enlaces se pueden duplicar. En particular, además del servidor LDAP-Master principal, puede agregar réplicas LDAP duplicadas a las que, si es necesario, puede transferir las funciones del servidor LDAP principal. También puede duplicar servidores Proxy y servidores con MTA. Tal duplicación permite, si es necesario, eliminar enlaces de infraestructura individuales de la infraestructura durante la actualización y, gracias a esto, protegerse de manera confiable no solo de un tiempo de inactividad prolongado, sino también de la pérdida de datos en caso de una actualización fallida.
A diferencia del resto de la infraestructura, no se admite la duplicación de almacenamientos de correo en Zimbra Collaboration Suite. Incluso si tiene varios almacenes de correo en su infraestructura, los datos de cada buzón pueden residir en un único servidor de correo. Es por eso que una de las reglas principales para la seguridad de los datos durante las actualizaciones es la copia de seguridad oportuna de la información en los almacenamientos de correo. Cuanto más reciente sea su copia de seguridad, más datos se guardarán en caso de emergencia. Sin embargo, hay un matiz aquí, y es que la edición gratuita de Zimbra Collaboration Suite no tiene un mecanismo de copia de seguridad incorporado y tendrá que usar las herramientas integradas de GNU/Linux para crear copias de seguridad. Sin embargo, si su infraestructura Zimbra tiene varios almacenamientos de correo y el tamaño del archivo de correo es lo suficientemente grande, entonces cada una de esas copias de seguridad puede llevar mucho tiempo y también crear una carga importante en la red local y en los propios servidores. Además, durante la copia a largo plazo, los riesgos de fuerza mayor aumentan considerablemente. Además, si realiza una copia de seguridad de este tipo sin detener el servicio, existe el riesgo de que una cantidad de archivos no se copien correctamente, lo que provocará la pérdida de algunos datos.
Por eso, si necesita hacer una copia de seguridad de grandes cantidades de información de los almacenamientos de correo, es mejor usar una copia de seguridad incremental, que le permite evitar una copia completa de toda la información, y hacer una copia de seguridad solo de aquellos archivos que aparecieron o cambiaron después de la copia. copia de seguridad completa anterior. Esto acelera enormemente el proceso de eliminación de copias de seguridad y también le permite comenzar a instalar actualizaciones rápidamente. Puede lograr copias de seguridad incrementales en Zimbra Open-Source Edition usando la extensión modular Zextras Backup, que es parte de Zextras Suite.
Otra poderosa herramienta, Zextras PowerStore, permite al administrador del sistema deduplicar datos en el almacén de correo. Esto significa que todos los archivos adjuntos idénticos y los correos electrónicos duplicados en el servidor de correo serán reemplazados por el mismo archivo original, y todos los duplicados se convertirán en enlaces simbólicos transparentes. Esto no solo ahorra mucho espacio en el disco duro, sino que también reduce considerablemente el tamaño de la copia de seguridad, lo que permite lograr una reducción en el tiempo de una copia de seguridad completa y, en consecuencia, realizarla con mucha más frecuencia.
Pero la característica principal que Zextras PowerStore es capaz de proporcionar para una actualización segura es la transferencia de buzones entre servidores de correo en infraestructuras multiservidor de Zimbra. Gracias a esta característica, el administrador del sistema tiene la oportunidad de hacer exactamente lo mismo con los almacenamientos de correo que hicimos con los servidores MTA y LDAP para actualizarlos de forma segura. Por ejemplo, si hay cuatro almacenes de correo en la infraestructura de Zimbra, puede intentar distribuir los buzones de correo de uno de ellos a los otros tres, y cuando el primer almacén de correo esté vacío, puede actualizarlo sin temor a la seguridad de los datos. . Si el administrador del sistema tiene un almacén de correo de repuesto en la infraestructura, puede usarlo como almacenamiento temporal para los buzones de correo migrados desde los almacenes de correo que se están actualizando.
El comando de la consola le permite realizar dicha transferencia. DoMoveMailbox. Para usarlo para transferir todas las cuentas desde el almacenamiento de correo, primero debe obtener su lista completa. Para lograr esto, en el servidor de correo ejecutaremos el comando zmprov en zimbraMailHost=buzón.ejemplo.com > cuentas.txt. Luego de ejecutarlo obtendremos el archivo cuentas.txt con una lista de todos los buzones en nuestro almacenamiento de correo. Después de eso, puede usarlo inmediatamente para transferir cuentas a otro almacenamiento de correo. Se verá así, por ejemplo:
zxsuite powerstore doMailboxMove reserve_mailbox.example.com input_file accounts.txt etapas datos
zxsuite powerstore doMailboxMove reserve_mailbox.example.com input_file accounts.txt etapas datos, notificaciones de cuenta [email protected]
El comando se ejecuta dos veces para copiar todos los datos la primera vez sin transferir la cuenta en sí, y la segunda vez, dado que los datos se transfieren de forma incremental, copie todos los datos que aparecieron después de la primera transferencia y luego transfiera las cuentas. . Tenga en cuenta que las transferencias de cuenta van acompañadas de un breve período de inaccesibilidad del buzón, y sería prudente advertir a los usuarios sobre esto. Además, luego de completar la ejecución del segundo comando, se envía la notificación correspondiente al correo del administrador. Gracias a él, el administrador puede comenzar a actualizar el almacenamiento de correo lo más rápido posible.
Si la actualización del software en el almacenamiento de correo la realiza un proveedor de SaaS, sería mucho más razonable transferir datos no por cuentas, sino por dominios ubicados en ella. Para estos efectos, basta con modificar ligeramente el comando de entrada:
zxsuite powerstore doMailboxMove reserve_mailbox.saas.com dominios client1.ru, client2.ru, client3.ru etapas datos
zxsuite powerstore doMailboxMove secureserver.saas.com dominios client1.ru, client2.ru, client3.ru etapas datos, notificaciones de cuenta [email protected]
Una vez que se completa la transferencia de cuentas y sus datos desde el almacenamiento de correo, los datos en el servidor de origen dejan de representar al menos cierta importancia y puede comenzar a actualizar el servidor de correo sin temor por su seguridad.
Para aquellos que buscan minimizar el tiempo de inactividad al migrar buzones, un escenario fundamentalmente diferente para usar el comando es ideal. zxsuite powerstore doMailboxMove, cuya esencia es que los buzones se transfieren inmediatamente a los servidores actualizados, sin necesidad de utilizar servidores intermedios. En otras palabras, agregamos un nuevo almacenamiento de correo a la infraestructura de Zimbra, que ya se ha actualizado a la última versión, y luego simplemente transferimos las cuentas de un servidor no actualizado a él de acuerdo con el escenario ya familiar y repetimos el procedimiento hasta que todos los servidores en las infraestructuras están actualizadas.
Este método le permite transferir cuentas una vez y, por lo tanto, reducir el tiempo durante el cual los buzones permanecerán inaccesibles. Además, solo se requiere un servidor de correo adicional para su implementación. Sin embargo, su uso debe ser tratado con precaución por aquellos administradores que implementan almacenamientos de correo en servidores de diferentes configuraciones. El hecho es que la transferencia de una gran cantidad de cuentas a un servidor más débil puede afectar negativamente la disponibilidad y la capacidad de respuesta del servicio, lo que puede ser bastante crítico para las grandes empresas y los proveedores de SaaS.
Así, gracias a Zextras Backup y Zextras PowerStore, el administrador del sistema Zimbra puede actualizar todos los nodos de la infraestructura Zimbra sin ningún riesgo para la información almacenada en ellos.
Fuente: habr.com