Tha grunn innealan cumhachdach aig Zimbra Co-obrachadh Suite Open-Source Edition gus dèanamh cinnteach à tèarainteachd fiosrachaidh. Nam measg - fuasgladh airson frithealaiche puist a dhìon bho ionnsaighean bho botnets, ClamAV - anti-bhìoras as urrainn sgrùdadh a dhèanamh air faidhlichean agus litrichean a tha a’ tighinn a-steach airson galairean le prògraman droch-rùnach, a bharrachd air - aon de na sìoltachain spama as fheàrr an-diugh. Ach, chan urrainn dha na h-innealan sin Zimbra OSE a dhìon bho ionnsaighean feachd brùideil. Chan e na faclan-faire brùideil as eireachdail, ach a tha fhathast gu math èifeachdach, le bhith a’ cleachdadh faclair sònraichte, làn chan ann a-mhàin leis a’ choltas gum bi hacaireachd soirbheachail leis a h-uile buaidh a thig às, ach cuideachd le bhith a’ cruthachadh eallach mòr air an fhrithealaiche, a bhios a’ giullachd a h-uile càil. oidhirpean neo-shoirbheachail air frithealaiche le Zimbra OSE.
Ann am prionnsabal, faodaidh tu thu fhèin a dhìon bho fhorsa brùideil a 'cleachdadh innealan àbhaisteach Zimbra OSE. Leigidh roghainnean poileasaidh tèarainteachd facal-faire dhut an àireamh de dh’ oidhirpean inntrigidh facal-faire neo-shoirbheachail a shuidheachadh, às deidh sin tha an cunntas a dh’ fhaodadh a bhith fo ionnsaigh air a bhacadh. Is e am prìomh dhuilgheadas leis an dòigh-obrach seo gu bheil suidheachaidhean ag èirigh far am faodadh cunntasan aon neach-obrach no barrachd a bhith air am bacadh mar thoradh air ionnsaigh brùideil nach eil dad aca ri dhèanamh, agus faodaidh an ùine downt ann an obair luchd-obrach call mòr a thoirt gu buil. a 'chompanaidh. Sin as coireach gu bheil e nas fheàrr gun a bhith a 'cleachdadh an roghainn seo de dhìon an aghaidh feachd brùideil.
Gus dìon an aghaidh feachd brùideil, tha inneal sònraichte ris an canar DoSFilter gu math nas freagarraiche, a tha air a thogail a-steach do Zimbra OSE agus is urrainn crìoch a chuir gu fèin-ghluasadach air a’ cheangal ri Zimbra OSE tro HTTP. Ann am faclan eile, tha prionnsapal obrachaidh DoSFilter coltach ri prionnsapal obrachaidh PostScreen, dìreach tha e air a chleachdadh airson protocol eadar-dhealaichte. Air a dhealbhadh an toiseach gus an àireamh de ghnìomhan as urrainn do aon neach-cleachdaidh a choileanadh a chuingealachadh, faodaidh DoSFilter cuideachd dìon feachd brùideil a thoirt seachad. Is e a phrìomh eadar-dhealachadh bhon inneal a chaidh a thogail a-steach do Zimbra, às deidh grunn oidhirpean neo-shoirbheachail, nach cuir e bacadh air an neach-cleachdaidh fhèin, ach an seòladh IP às an tèid grunn oidhirpean a dhèanamh gus logadh a-steach gu cunntas sònraichte. Taing dha seo, chan urrainn do rianaire siostam dìon chan ann a-mhàin an aghaidh feachd brùideil, ach cuideachd casg a chuir air luchd-obrach companaidh le bhith dìreach a ’cur lìonra a-staigh a’ chompanaidh aige ris an liosta de sheòlaidhean IP earbsach agus subnets.
Is e a ’bhuannachd mhòr a tha aig DoSFilter, a bharrachd air grunn oidhirpean gus logadh a-steach gu cunntas sònraichte, a’ cleachdadh an inneal seo gun urrainn dhut casg a chuir gu fèin-ghluasadach air an luchd-ionnsaigh sin a ghabh seilbh air dàta dearbhaidh neach-obrach, agus an uairsin logadh a-steach don chunntas aige gu soirbheachail agus thòisich e a ’cur ceudan de dh’ iarrtasan. chun an fhrithealaiche.
Faodaidh tu DoSFilter a rèiteachadh leis na h-òrdughan tòcan a leanas:
- zimbraHttpDosFilterMaxRequestsPerSec - A’ cleachdadh an àithne seo, is urrainn dhut an àireamh as motha de cheanglaichean a tha ceadaichte airson aon neach-cleachdaidh a shuidheachadh. Gu gnàthach tha an luach seo 30 ceanglaichean.
- zimbraHttpDosFilterDelayMillis - A’ cleachdadh na h-àithne seo, faodaidh tu dàil a chuir ann am milliseconds airson ceanglaichean a thèid thairis air a’ chrìoch a chaidh a shònrachadh leis an àithne roimhe. A bharrachd air luachan iomlan, faodaidh an rianadair 0 a shònrachadh, gus nach bi dàil sam bith ann, agus -1, gus am bi a h-uile ceangal a tha nas àirde na a’ chrìoch ainmichte dìreach air a bhriseadh. Is e an luach bunaiteach -1.
- zimbraHttpThrottleSafeIPs - A’ cleachdadh na h-àithne seo, faodaidh an rianaire seòlaidhean IP earbsach agus subnets a shònrachadh nach bi fo smachd nan cuingeadan a tha air an liostadh gu h-àrd. Thoir an aire gum faod co-chòrdadh na h-àithne seo atharrachadh a rèir an toraidh a tha thu ag iarraidh. Mar sin, mar eisimpleir, le bhith a 'dol a-steach don àithne zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, bidh thu gu tur a’ sgrìobhadh thairis air an liosta gu lèir agus a’ fàgail dìreach aon sheòladh IP ann. Ma chuireas tu a-steach an àithne zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, thèid an seòladh IP a chuir thu a-steach a chur ris an liosta gheal. San aon dòigh, a’ cleachdadh an t-soidhne toirt air falbh, faodaidh tu IP sam bith a thoirt air falbh bhon liosta ceadaichte.
Thoir an aire gum faodadh DoSFilter grunn dhuilgheadasan a chruthachadh nuair a bhios tu a’ cleachdadh leudachaidhean Zextras Suite Pro. Gus an seachnadh, tha sinn a 'moladh an àireamh de cheanglaichean aig an aon àm àrdachadh bho 30 gu 100 a' cleachdadh an àithne zmprov mcf zimbraHttpDosFilterMaxIarrtasPerSec 100. A bharrachd air an sin, tha sinn a’ moladh lìonra a-staigh na h-iomairt a chur ris an liosta den fheadhainn ceadaichte. Faodar seo a dhèanamh a’ cleachdadh an àithne zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Às deidh dhut atharrachaidhean sam bith a dhèanamh air DoSFilter, dèan cinnteach gun ath-thòisich am frithealaiche puist agad leis an àithne zmmailboxdctl ath-thòiseachadh.
Is e prìomh ana-cothrom DoSFilter gu bheil e ag obair aig ìre an tagraidh agus mar sin chan urrainn dha ach comas luchd-ionnsaigh diofar ghnìomhan a dhèanamh air an fhrithealaiche a chuingealachadh, gun a bhith a’ cuingealachadh comas ceangal gu tuath. Air sgàth seo, bidh iarrtasan a thèid a chuir chun t-seirbheisiche airson dearbhadh no cur litrichean, ged a dh’ fhàilnicheas iad gu follaiseach, fhathast a’ riochdachadh seann ionnsaigh DoS math, nach gabh stad aig ìre cho àrd.
Gus am frithealaiche corporra agad a dhèanamh tèarainte le Zimbra OSE, faodaidh tu fuasgladh leithid Fail2ban a chleachdadh, a tha na fhrèam a dh’ fhaodas sùil a chumail gu cunbhalach air logaichean siostam fiosrachaidh airson gnìomhan a-rithist agus casg a chuir air an neach-ionnsaigh le bhith ag atharrachadh roghainnean balla-teine. Leigidh bacadh aig ìre cho ìosal leat luchd-ionnsaigh a dhì-cheadachadh dìreach aig ìre ceangal IP ris an fhrithealaiche. Mar sin, faodaidh Fail2Ban cur gu foirfe ris an dìon a chaidh a thogail a’ cleachdadh DoSFilter. Feuch an lorg sinn a-mach mar as urrainn dhut Fail2Ban a cheangal ri Zimbra OSE agus mar sin àrdachadh tèarainteachd bun-structair IT na h-iomairt agad.
Coltach ri tagradh clas iomairt sam bith eile, bidh Zimbra Co-obrachadh Suite Open-Source Edition a’ cumail logaichean mionaideach den obair aige. Tha a’ mhòr-chuid dhiubh air an stòradh sa phasgan /tagh/zimbra/log/ ann an cruth fhaidhlichean. Seo dìreach beagan dhiubh:
- mailbox.log - Logaichean seirbheis puist Jetty
- audit.log - logaichean dearbhaidh
- clamd.log - logaichean gnìomhachd antivirus
- freshclam.log - logaichean ùrachadh antivirus
- convertd.log - logaichean tionndaidh ceangail
- zimbrastats.csv - logaichean dèanadais an fhrithealaiche
Gheibhear logaichean Zimbra anns an fhaidhle cuideachd /var/log/zimbra.log, far a bheil logaichean de Postfix agus Zimbra fhèin air an cumail.
Gus an siostam againn a dhìon bho fheachd brùideil, nì sinn sgrùdadh bogsa-puist.log, sgrùdadh.log и zimbra.log.
Gus am bi a h-uile càil ag obair, tha e riatanach gum bi Fail2Ban agus iptables air an stàladh air an fhrithealaiche agad le Zimbra OSE. Ma tha thu a’ cleachdadh Ubuntu, faodaidh tu seo a dhèanamh a’ cleachdadh nan òrduighean dpkg -s fail2ban, ma chleachdas tu CentOS, faodaidh tu seo a sgrùdadh le bhith a’ cleachdadh nan òrdughan liosta yum air a chuir a-steach fail2ban. Mura h-eil Fail2Ban agad air a chuir a-steach, cha bhith e na dhuilgheadas le bhith ga stàladh, leis gu bheil am pasgan seo ri fhaighinn anns cha mhòr a h-uile stòr àbhaisteach.
Aon uair ‘s gu bheil am bathar-bog riatanach uile air a chuir a-steach, faodaidh tu tòiseachadh air Fail2Ban a stèidheachadh. Gus seo a dhèanamh feumaidh tu faidhle rèiteachaidh a chruthachadh /etc/fail2ban/filter.d/zimbra.conf, anns an sgrìobh sinn abairtean cunbhalach airson logaichean Zimbra OSE a fhreagras oidhirpean logadh a-steach ceàrr agus a bhrosnaicheas innleachdan Fail2Ban. Seo eisimpleir de shusbaint zimbra.conf le seata de abairtean cunbhalach a fhreagras air na diofar mhearachdan a bhios Zimbra OSE a’ tilgeil nuair a dh’ fhailicheas oidhirp dearbhaidh:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Aon uair ‘s gu bheil na h-abairtean cunbhalach airson Zimbra OSE air an cur ri chèile, tha an t-àm ann tòiseachadh air rèiteachadh Fail2ban fhèin a dheasachadh. Tha roghainnean a’ ghoireas seo suidhichte san fhaidhle /etc/fail2ban/jail.conf. Dìreach air eagal, dèanamaid leth-bhreac cùl-taic dheth a ’cleachdadh an àithne cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Às deidh sin, lughdaichidh sinn am faidhle seo gu timcheall air an fhoirm a leanas:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Ged a tha an eisimpleir seo gu math coitcheann, is fhiach fhathast cuid de na paramadairean a mhìneachadh a dh’ fhaodadh tu atharrachadh nuair a bhios tu a’ stèidheachadh Fail2Ban thu fhèin:
- Leig seachad — a’ cleachdadh a’ pharamadair seo faodaidh tu ip no subnet sònraichte a shònrachadh às nach bu chòir do Fail2Ban sùil a thoirt air seòlaidhean. Mar riaghailt, tha lìonra a-staigh na h-iomairt agus seòlaidhean earbsach eile air an cur ris an liosta den fheadhainn nach deach a leigeil seachad.
- Bantime - An ùine airson an tèid an ciontach a thoirmeasg. Air a thomhas ann an diogan. Tha luach -1 a’ ciallachadh casg maireannach.
- Maxretry - An àireamh as motha de thursan as urrainn dha aon sheòladh IP feuchainn ri faighinn chun t-seirbheisiche.
- Cuir post-d - Suidheachadh a leigeas leat fiosan post-d a chuir gu fèin-ghluasadach nuair a thèid Fail2Ban a phiobrachadh.
- Lorg ùine - Suidheachadh a leigeas leat an ùine eadar-ama a shuidheachadh às deidh sin faodaidh an seòladh IP feuchainn ri faighinn chun t-seirbheisiche a-rithist às deidh an àireamh as motha de dh’ oidhirpean neo-shoirbheachail a chuir a-mach (parameter maxretry)
Às deidh dhut am faidhle a shàbhaladh leis na roghainnean Fail2Ban, chan eil air fhàgail ach an goireas seo ath-thòiseachadh leis an àithne seirbheis fail2ban ath-thòiseachadh. Às deidh an ath-thòiseachadh, tòisichidh na prìomh logaichean Zimbra air an sgrùdadh gu cunbhalach airson gèilleadh ri abairtean cunbhalach. Mar thoradh air an seo, bidh e comasach don rianaire cha mhòr cuir às do chomas sam bith gum bi neach-ionnsaigh a ’dol a-steach chan ann a-mhàin ann am bogsaichean puist Zimbra Co-obrachadh Suite Open-Source Edition, ach cuideachd dìon a h-uile seirbheis a tha a’ ruith taobh a-staigh Zimbra OSE, agus cuideachd a bhith mothachail air oidhirpean sam bith gus faighinn a-steach gun chead. .
Airson a h-uile ceist co-cheangailte ri Zextras Suite, faodaidh tu fios a chuir gu Riochdaire Zextras Ekaterina Triandafilidi air post-d [post-d fo dhìon]
Source: www.habr.com