Tá roinnt uirlisí cumhachtacha ag Zimbra Collaboration Suite Open-Foinse Edition chun slándáil faisnéise a chinntiú. Ina measc - réiteach chun freastalaí ríomhphoist a chosaint ar ionsaithe ó botnets, ClamAV - antivirus is féidir comhaid agus litreacha ag teacht isteach a scanadh le haghaidh ionfhabhtaithe le cláir mhailíseacha, chomh maith le - ceann de na scagairí turscair is fearr inniu. Mar sin féin, níl na huirlisí seo in ann Zimbra OSE a chosaint ó ionsaithe fórsa brute. Nach bhfuil na pasfhocail brúidiúla is galánta, ach fós éifeachtach go leor, ag baint úsáide as foclóir speisialta fraught, ní hamháin leis an dóchúlacht go hack rathúil leis na hiarmhairtí go léir ina dhiaidh sin, ach freisin le cruthú ualach suntasach ar an bhfreastalaí, a phróiseálann go léir. iarrachtaí nár éirigh leo freastalaí a hack le Zimbra OSE.
I bprionsabal, is féidir leat tú féin a chosaint ó fhórsa brute ag baint úsáide as uirlisí caighdeánacha Zimbra OSE. Ligeann socruithe an bheartais slándála pasfhocail duit líon na n-iarrachtaí iontrála pasfhocail nár éirigh leo a shocrú, agus ina dhiaidh sin cuirtear bac ar an gcuntas a d’fhéadfadh ionsaí a dhéanamh. Is í an phríomhfhadhb leis an gcur chuige seo ná go n-eascraíonn cásanna ina bhféadfaí cuntais fostaí amháin nó níos mó a bhacadh mar gheall ar ionsaí brúidiúil nach bhfuil aon rud le déanamh acu, agus is féidir caillteanais mhóra a bheith mar thoradh ar an aga neamhfhónaimh in obair na bhfostaithe dá bharr. an comhlacht. Sin é an fáth gur fearr gan an rogha seo a úsáid maidir le cosaint i gcoinne fórsa brute.
Chun cosaint a dhéanamh i gcoinne fórsa brute, tá uirlis speisialta ar a dtugtar DoSFilter oiriúnach i bhfad níos fearr, atá ionsuite i Zimbra OSE agus is féidir leis an nasc le Zimbra OSE a fhoirceannadh go huathoibríoch trí HTTP. I bhfocail eile, tá prionsabal oibriúcháin DoSFilter cosúil le prionsabal oibriúcháin PostScreen, ní úsáidtear é ach le haghaidh prótacal difriúil. Dearadh é ar dtús chun líon na ngníomhartha is féidir le húsáideoir aonair a dhéanamh a theorannú, is féidir le DoSFilter cosaint fórsa brúidiúil a sholáthar freisin. Is é a phríomhdhifríocht ón uirlis a tógadh isteach i Zimbra ná tar éis líon áirithe iarrachtaí nár éirigh leo, nach gcuireann sé bac ar an úsáideoir é féin, ach an seoladh IP as a ndéantar iarrachtaí iolracha logáil isteach i gcuntas ar leith. A bhuí leis seo, ní féidir le riarthóir córais ní hamháin cosaint a dhéanamh ar fhórsa brúidiúil, ach freisin seachnaíonn sé bac a chur ar fhostaithe cuideachta trí líonra inmheánach a chuideachta a chur leis an liosta seoltaí IP iontaofa agus folíonta.
Is é an buntáiste mór a bhaineann le DoSFilter ná, chomh maith le hiarrachtaí iomadúla logáil isteach i gcuntas ar leith, agus an uirlis seo á úsáid agat is féidir leat na hionsaitheoirí sin a ghlac seilbh ar shonraí fíordheimhnithe an fhostaí a bhlocáil go huathoibríoch, agus ansin logáil isteach go rathúil ina chuntas agus thosaigh sé ag seoladh na céadta iarratas. chuig an bhfreastalaí.
Is féidir leat DoSFilter a chumrú leis na horduithe consól seo a leanas:
- zimbraHttpDosFilterMaxRequestsPerSec - Agus an t-ordú seo á úsáid agat, is féidir leat an t-uaslíon nasc a cheadaítear d'úsáideoir amháin a shocrú. De réir réamhshocraithe is é an luach seo ná 30 nasc.
- zimbraHttpDosFilterDelayMillis - Agus an t-ordú seo á úsáid agat, is féidir leat moill milleasoicindí a shocrú le haghaidh naisc a sháróidh an teorainn a shonraítear leis an ordú roimhe seo. Chomh maith le luachanna slánuimhir, is féidir leis an riarthóir a shonrú 0, ionas nach mbeidh aon mhoill ar chor ar bith, agus -1, ionas go gcuirfear isteach go simplí ar gach nasc a sháraíonn an teorainn shonraithe. Is é -1 an luach réamhshocraithe.
- zimbraHttpThrottleSafeIPs - Ag baint úsáide as an ordú seo, is féidir leis an riarthóir seoltaí IP iontaofa agus folíonta a shonrú nach mbeidh faoi réir na srianta atá liostaithe thuas. Tabhair faoi deara go bhféadfadh comhréir an ordaithe seo a bheith éagsúil ag brath ar an toradh inmhianaithe. Mar sin, mar shampla, ag dul isteach an t-ordú zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, déanfaidh tú an liosta iomlán a fhorscríobh go hiomlán agus gan ach seoladh IP amháin a fhágáil ann. Má chuireann tú an t-ordú isteach zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, cuirfear an seoladh IP a d'iontráil tú leis an liosta bán. Ar an gcaoi chéanna, ag baint úsáide as an comhartha dealaithe, is féidir leat aon IP a bhaint as an liosta ceadaithe.
Tabhair faoi deara go bhféadfadh roinnt fadhbanna a bheith ag DoSFilter agus síntí Zextras Suite Pro á n-úsáid agat. Chun iad a sheachaint, molaimid líon na nasc comhuaineach a mhéadú ó 30 go 100 ag baint úsáide as an ordú zmprov mcf zimbraHttpDosFilterMaxIarrataisPerSec 100. Ina theannta sin, molaimid líonra inmheánach an fhiontair a chur leis an liosta de na cinn ceadaithe. Is féidir é seo a dhéanamh ag baint úsáide as an ordú zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Tar éis duit aon athruithe a dhéanamh ar DoSFilter, déan cinnte do fhreastalaí ríomhphoist a atosú ag baint úsáide as an ordú atosú zmmailboxdctl.
Is é an príomh-mhíbhuntáiste a bhaineann le DoSFilter ná go n-oibríonn sé ag leibhéal an iarratais agus dá bhrí sin ní féidir leis ach cumas ionsaitheoirí gníomhartha éagsúla a dhéanamh ar an bhfreastalaí a theorannú, gan teorainn a chur leis an gcumas nascadh ó thuaidh. Mar gheall air seo, beidh iarratais a sheoltar chuig an bhfreastalaí ar fhíordheimhniú nó ar sheoladh litreacha, cé gur léir go dteipfidh orthu, fós ina sheanionsaí DoS maith, nach féidir a stopadh ag leibhéal chomh hard sin.
D'fhonn do fhreastalaí corparáideach a shlánú go hiomlán le Zimbra OSE, is féidir leat réiteach a úsáid mar Fail2ban, ar creat é a fhéadfaidh monatóireacht leanúnach a dhéanamh ar logaí córais faisnéise le haghaidh gníomhartha arís agus arís eile agus bac a chur ar an ionróir trí na socruithe balla dóiteáin a athrú. Ligeann blocáil ar leibhéal chomh híseal sin duit ionsaitheoirí a dhíchumasú díreach ag céim nasc IP leis an bhfreastalaí. Mar sin, is féidir le Fail2Ban an chosaint a tógadh le DoSFilter a chomhlánú go foirfe. Faighimis amach conas is féidir leat Fail2Ban a nascadh le Zimbra OSE agus ar an gcaoi sin slándáil bhonneagar TF do ghnó a mhéadú.
Cosúil le haon fheidhmchlár eile d’aicme fiontair, coinníonn Zimbra Collaboration Suite Open-Source Edition logaí mionsonraithe dá cuid oibre. Stóráiltear an chuid is mó díobh san fhillteán /opt/zimbra/log/ i bhfoirm comhaid. Seo cúpla ceann acu:
- mailbox.log - Logchomhaid seirbhíse poist scaird
- audit.log - logs fíordheimhnithe
- clamd.log - logaí oibríochta antivirus
- freshclam.log - logaí nuashonraithe antivirus
- convertd.log - logaí tiontaire ceangaltán
- zimbrastats.csv - logaí feidhmíochta freastalaí
Is féidir logs Zimbra a fháil sa chomhad freisin /var/log/zimbra.log, áit a gcoimeádtar logaí Postfix agus Zimbra féin.
D'fhonn ár gcóras a chosaint ó fhórsa brute, déanfaimid monatóireacht bosca poist.log, iniúchadh.log и zimbra.log.
Chun go n-oibreoidh gach rud, tá sé riachtanach Fail2Ban agus iptables a shuiteáil ar do fhreastalaí le Zimbra OSE. Má tá Ubuntu á úsáid agat, is féidir leat é seo a dhéanamh ag baint úsáide as na horduithe dpkg -s fail2ban, má úsáideann tú CentOS, is féidir leat é seo a sheiceáil ag baint úsáide as na horduithe yum liosta suiteáilte fail2ban. Mura bhfuil Fail2Ban suiteáilte agat, ansin ní bheidh sé ina fhadhb a shuiteáil, ós rud é go bhfuil an pacáiste seo ar fáil i mbeagnach gach stór caighdeánach.
Nuair a bheidh na bogearraí riachtanacha go léir suiteáilte, is féidir leat tosú ag bunú Fail2Ban. Chun seo a dhéanamh ní mór duit comhad cumraíochta a chruthú /etc/fail2ban/filter.d/zimbra.conf, ina scríobhfaimid nathanna rialta le haghaidh logaí Zimbra OSE a mheaitseálfaidh iarrachtaí logáil isteach mícheart agus a spreagfaidh meicníochtaí Fail2Ban. Seo sampla d’ábhar zimbra.conf le sraith nathanna rialta a fhreagraíonn do na hearráidí éagsúla a chaitheann Zimbra OSE nuair a theipeann ar iarracht fíordheimhnithe:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Nuair a bheidh na habairtí rialta do Zimbra OSE curtha le chéile, tá sé in am tosú ag eagarthóireacht ar chumraíocht Fail2ban féin. Tá socruithe an áirgiúlachta seo suite sa chomhad /etc/fail2ban/jail.conf. Ar eagla na heagla, déanaimis cóip chúltaca de ag baint úsáide as an ordú cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Ina dhiaidh sin, laghdóimid an comhad seo go dtí thart ar an bhfoirm seo a leanas:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=admin@company.ru, sender=fail2ban@company.ru]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, dest=support@company.ru]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, dest=support@company.ru ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, dest=support@company.ru]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, dest=support@company.ru]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, dest=support@company.ru]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Cé go bhfuil an sampla seo cineálach go leor, is fiú fós cuid de na paraiméadair a d’fhéadfadh gur mhaith leat a athrú agus Fail2Ban á socrú agat féin a mhíniú:
- Déan neamhaird — ag baint úsáide as an bparaiméadar seo is féidir leat seoladh IP nó fo-líon ar leith a shonrú nach ceart do Fail2Ban seoltaí a sheiceáil. De ghnáth, cuirtear líonra inmheánach an fhiontair agus seoltaí iontaofa eile leis an liosta de na cinn neamhaird.
- Bantime — An t-am a gcuirfear toirmeasc ar an gciontóir. Tomhaistear i soicindí. Ciallaíonn luach -1 toirmeasc buan.
- Maxretry — An t-uaslíon uaireanta is féidir le seoladh IP amháin iarracht a dhéanamh teacht ar an bhfreastalaí.
- Seolphost — Socrú a ligeann duit fógraí ríomhphoist a sheoladh go huathoibríoch nuair a spreagtar Fail2Ban.
- Faigh am — Socrú a ligeann duit an t-eatramh ama a shocrú ina mbeidh an seoladh IP in ann iarracht a dhéanamh teacht ar an bhfreastalaí arís tar éis uaslíon na n-iarrachtaí nár éirigh leo a bheith ídithe (paraiméadar maxretry)
Tar éis an comhad a shábháil leis na socruithe Fail2Ban, níl fágtha ach an áirgiúlacht seo a atosú ag baint úsáide as an ordú atosú seirbhíse fail2ban. Tar éis an atosú, cuirfear tús le monatóireacht leanúnach ar phríomh-logs Zimbra maidir le comhlíonadh nathanna rialta. Mar gheall air seo, beidh an riarthóir in ann beagnach deireadh a chur le haon fhéidearthacht go n-ionsódh ionsaitheoir ní hamháin boscaí poist Eagrán Foinse Oscailte Zimbra Collaboration Suite, ach freisin cosaint a thabhairt do na seirbhísí go léir a ritheann laistigh de Zimbra OSE, agus a bheith feasach ar aon iarrachtaí chun rochtain neamhúdaraithe a fháil. .
Le haghaidh gach ceist a bhaineann le Zextras Suite, is féidir leat teagmháil a dhéanamh le hIonadaí Zextras Ekaterina Triandafilidi trí ríomhphost katerina@zextras.com
Foinse: will.com
