E-kirjade krüptimise ja digiallkirjade kasutamise kõrval on üks tõhusamaid ja kulutõhusamaid viise meili häkkimise eest kaitsta hea parooliturvapoliitika. Paberile kirjutatud, avalikesse failidesse salvestatud või lihtsalt ebapiisavalt tugevad paroolid on ettevõttes alati suur turvarikkumine ja võivad kaasa tuua tõsiseid vahejuhtumeid, millel on käegakatsutavad ärilised tagajärjed. Seetõttu peaks igal ettevõttel olema range parooli turvapoliitika.
Iga turvaametnik teab aga, et paroolipoliitika toob tulemusi vaid siis, kui see mitte ainult ei eksisteeri, vaid seda rangelt järgivad kõik või vähemalt organisatsiooni võtmetöötajad. Selle saavutamine on raskem, kui tundub. Niigi suure koormusega töötajad unustavad pidevalt parooli vahetamise vajaduse või järgivad kergema vastupanu teed, muutes parooli iga kord lihtsamaks ja lihtsamaks, nullides seeläbi kogu efekti. Seetõttu lahendatakse ettevõtetes paroolipoliitika järgimise küsimus tavaliselt erinevate tehniliste vahenditega.
Zimbra ei nõua paroolipoliitika jõustamiseks kolmandate osapoolte rakendusi. Seda saab saavutada sisseehitatud tööriistade abil.
Esiteks tasub mõista, kuidas paroolihaldus Zimbras töötab. Uue konto loomisel määrab administraator sellele ajutise parooli. Pärast seda saab kasutaja iseseisvalt kontole sisse logida ja parooli muuta. Kõik paroolid salvestatakse Zimbraga serverisse krüpteeritud kujul ja seetõttu on need ligipääsmatud isegi serveri administraatorile. Sellepärast, kui kasutaja unustab parooli, peab ta looma uue. Tuletame meelde, et kuni viimase ajani nõudis uue parooli loomine administraatori osalust, kuid Zimbra Creative Suite 8.8.9 uusim versioon lisas kasutajatele võimaluse ise uus parool määrata.
Paroolipoliitika seaded leiate üksikute kasutajate ja kasutajarühmade seadetest. Saate seadistada:
- Parooli pikkus – võimaldab määrata minimaalse ja maksimaalse parooli pikkuse. Vaikimisi on parooli minimaalne pikkus 6 ja maksimaalne 64 tähemärki.
- Parooli vananemine – võimaldab määrata aja, mille möödudes parool kehtetuks muutub. Kasutajad ei pea ootama parooli aegumist, neid saab muuta enne parooli aegumist
- Minimaalne suurtähtede arv – võimaldab määrata paroolis kasutatavate suurtähtede minimaalse arvu
- Minimaalne väiketähtede arv – võimaldab määrata paroolis kasutatavate väiketähtede minimaalse arvu
- Minimaalne numbrite arv - võimaldab määrata paroolis kasutatavate numbrite minimaalse arvu vahemikus 0 kuni 9
- Minimaalsed kirjavahemärkide sümbolid - võimaldab määrata paroolis kasutatavate kirjavahemärkide ja erimärkide minimaalse arvu
- Jõusta paroolide ajalugu – võimaldab määrata meelde jäetavate paroolide arvu, et kasutaja ei kasutaks perioodiliselt korduvaid paroole
- Parool lukus – see valik võimaldab takistada kasutajal parooli muutmist
- Luba ebaõnnestunud sisselogimise lukustus – see valik võimaldab seadistada süsteemi reaktsiooni vale parooli sisestamisele
Nagu näete, on Zimbra parooliseaded üsna paindlikud ja kohanevad peaaegu iga ettevõtte paroolipoliitikaga. Lisaks saate lihtsa skripti abil saata kasutajatele meeldetuletusi, et nende parool hakkab aeguma. Tänu sellisele meeldetuletusele saab töötaja parooli vahetada pingevabas õhkkonnas, samal ajal kui parooli muutmise hetkest ilma jäänud töötaja juures hommikul avanemata kiri võib tema efektiivsust negatiivselt mõjutada.
Selle skripti toimimiseks peate selle faili kopeerima ja muutma selle käivitatavaks. Soovitatav on selle skripti täitmine Croniga automatiseerida, et see teavitaks kasutajaid, kes pole oma parooli iga päev värskendanud, et see peagi ei tööta. Lisaks peate skriptis zimbra.server.com asemel asendama oma domeeni nime.
#!/bin/bash
# Задаем ряд переменных:
# Сперва количество дней для первого напоминания, затем для последнего:
FIRST="3"
LAST="1"
# Задаем адрес отправителя:
FROM="[email protected]"
# Задаем адрес получателя, который будет получать письмо со списком аккаунтов с истекшими паролями
ADMIN_RECIPIENT="[email protected]"
# Указываем путь к исполняемому файлу Sendmail
SENDMAIL=$(ionice -c3 find /opt/zimbra/common/sbin/sendmail* -type f -iname sendmail)
# Получаем список всех пользователей.
USERS=$(ionice -c3 /opt/zimbra/bin/zmprov -l gaa $DOMAIN)
# Указываем дату с точностью до секунды:
DATE=$(date +%s)
# Проверяем каждого из них:
for USER in $USERS
do
# Узнаем, когда был установлен пароль
USERINFO=$(ionice -c3 /opt/zimbra/bin/zmprov ga "$USER")
PASS_SET_DATE=$(echo "$USERINFO" | grep zimbraPasswordModifiedTime: | cut -d " " -f 2 | cut -c 1-8)
PASS_MAX_AGE=$(echo "$USERINFO" | grep "zimbraPasswordMaxAge:" | cut -d " " -f 2)
NAME=$(echo "$USERINFO" | grep givenName | cut -d " " -f 2)
# Проверяем, нет ли среди пользователей тех, у кого срок действия пароля уже истек.
if [[ "$PASS_MAX_AGE" -eq "0" ]]
then
continue
fi
# Высчитываем дату окончания действия паролей
EXPIRES=$(date -d "$PASS_SET_DATE $PASS_MAX_AGE days" +%s)
# Считаем, сколько дней осталось до окончания срока действия пароля
DEADLINE=$(( (($DATE - $EXPIRES)) / -86400 ))
# Отправляем письмо пользователям
SUBJECT="$NAME - Ваш пароль станет недействительным через $DEADLINE дней"
BODY="
Здравствуйте, $NAME,
Пароль вашего аккаунта станет недействительным через $DEADLINE дней, Пожалуйста, создайте новый как можно скорее.
Вы можете также создать напоминание о смене пароля в календаре Zimbra.
Заранее спасибо.
С уважением, IT-отдел
"
# Первое предупреждение
if [[ "$DEADLINE" -eq "$FIRST" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Reminder email sent to: $USER - $DEADLINE days left"
# Последнее предупреждение
elif [[ "$DEADLINE" -eq "$LAST" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Reminder email sent to: $USER - $DEADLINE days left"
# Final
elif [[ "$DEADLINE" -eq "1" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Last chance for: $USER - $DEADLINE days left"
fi
doneSeega võime öelda, et Zimbra Collaboration Suite sobib üsna hästi isegi neile ettevõtetele, kes on rakendanud ranget paroolipoliitikat, ja tänu sisseehitatud funktsioonidele on selle range rakendamine töötajatelt üsna lihtne.
Kõigi Zextras Suite'i puudutavate küsimuste korral võite pöörduda Zextras ettevõtte esindaja Katerina Triandafilidi poole e-posti teel [meiliga kaitstud]
Allikas: www.habr.com