ProHoster > Blog > Administración > Configurar unha política de seguranza de contrasinal en Zimbra

Configurar unha política de seguranza de contrasinal en Zimbra

Xunto co cifrado de correo electrónico e o uso de sinaturas dixitais, unha das formas máis eficaces e rendibles de protexer o correo electrónico contra a piratería é unha boa política de seguridade de contrasinais. Os contrasinais escritos en papel, almacenados en ficheiros públicos ou simplemente non o suficientemente seguros son sempre unha gran brecha de seguridade nunha empresa e poden provocar incidentes graves con consecuencias empresariais tanxibles. É por iso que calquera empresa debería ter unha política de seguridade de contrasinais estrita.

Configurar unha política de seguranza de contrasinal en Zimbra

Non obstante, calquera oficial de seguridade sabe que unha política de contrasinais só traerá resultados se non só existe, senón que se observa estritamente por todos, ou polo menos polos empregados clave da organización. Conseguilo é máis difícil do que parece. Os empregados que xa están moi cargados esquecen constantemente a necesidade de cambiar o contrasinal ou seguen o camiño de menor resistencia, facendo cada vez máis fácil e sinxelo o contrasinal, anulando así todo o efecto. É por iso que o problema do cumprimento da política de contrasinais nas empresas adoita resolverse por varios medios técnicos.

Zimbra non require ningunha aplicación de terceiros para facer cumprir a política de contrasinais. Isto pódese conseguir usando ferramentas integradas.

En primeiro lugar, paga a pena entender como funciona a xestión de contrasinais en Zimbra. Cando se crea unha nova conta, o administrador asígnalle un contrasinal temporal. Despois diso, o usuario poderá iniciar sesión independentemente na conta e cambiar o contrasinal. Todos os contrasinais almacénanse en forma cifrada no servidor con Zimbra e, por iso, son inaccesibles mesmo para o administrador do servidor. É por iso que se o usuario esquece o contrasinal, terá que crear un novo. Lembre que ata hai pouco, a creación dun novo contrasinal requiría a participación dun administrador, pero a última versión de Zimbra Creative Suite 8.8.9 engadiu a posibilidade de que os usuarios establezan un novo contrasinal.

Configurar unha política de seguranza de contrasinal en Zimbra
A configuración da política de contrasinais pódese atopar na configuración para usuarios individuais e grupos de usuarios. Podes configurar:

  • Lonxitude do contrasinal: permítelle establecer a lonxitude mínima e máxima do contrasinal. Por defecto, a lonxitude mínima do contrasinal é de 6 caracteres e o máximo é de 64.
  • Antigüidade do contrasinal: permítelle establecer o tempo despois do cal o contrasinal non será válido. Os usuarios non teñen que esperar a que caduque o contrasinal, pódense cambiar antes de que caduque o contrasinal
  • Caracteres en maiúsculas mínimos: permítelle establecer o número mínimo de caracteres en maiúsculas utilizados no contrasinal
  • Caracteres en minúsculas mínimos: permítelle establecer o número mínimo de caracteres en minúsculas utilizados no contrasinal
  • Caracteres numéricos mínimos: permítelle establecer o número mínimo de díxitos de 0 a 9 utilizados no contrasinal
  • Símbolos de puntuación mínimos: permítelle establecer o número mínimo de signos de puntuación e caracteres especiais utilizados no contrasinal
  • Aplicar o historial de contrasinais: permíteche establecer o número de contrasinais que hai que lembrar para que o usuario non use periódicamente contrasinais repetidos
  • Contrasinal bloqueado: esta opción permítelle evitar que o usuario cambie o contrasinal
  • Activar o bloqueo do inicio de sesión con erro: esta opción permítelle configurar a reacción do sistema ante a introdución dun contrasinal incorrecto

Como podes ver, a configuración do contrasinal en Zimbra é bastante flexible e pode adaptarse á política de contrasinais en case calquera empresa. Ademais, mediante un simple script, pode enviar recordatorios aos usuarios de que o seu contrasinal está a piques de caducar. Grazas a tal recordatorio, o empregado poderá cambiar o contrasinal nun ambiente relaxado, mentres que o correo que non se abre pola mañá no empregado que perdeu o momento de cambiar o contrasinal pode afectar negativamente á súa eficiencia.

Para que este script funcione, cómpre copialo nun ficheiro e facelo executable. Recoméndase automatizar a execución deste script mediante Cron para que avise aos usuarios que non actualizasen diariamente o seu contrasinal de que pronto deixará de funcionar. Ademais, no script, en lugar de zimbra.server.com, debes substituír o nome do teu propio dominio.

#!/bin/bash
# Задаем ряд переменных:
# Сперва количество дней для первого напоминания, затем для последнего:
FIRST="3"
LAST="1"
# Задаем адрес отправителя:
FROM="[email protected]"
# Задаем адрес получателя, который будет получать письмо со списком аккаунтов с истекшими паролями
ADMIN_RECIPIENT="[email protected]"
# Указываем путь к исполняемому файлу Sendmail
SENDMAIL=$(ionice -c3 find /opt/zimbra/common/sbin/sendmail* -type f -iname sendmail)
# Получаем список всех пользователей.
USERS=$(ionice -c3 /opt/zimbra/bin/zmprov -l gaa $DOMAIN)
# Указываем дату с точностью до секунды:
DATE=$(date +%s)
# Проверяем каждого из них:
for USER in $USERS
 do
# Узнаем, когда был установлен пароль
USERINFO=$(ionice -c3 /opt/zimbra/bin/zmprov ga "$USER")
PASS_SET_DATE=$(echo "$USERINFO" | grep zimbraPasswordModifiedTime: | cut -d " " -f 2 | cut -c 1-8)
PASS_MAX_AGE=$(echo "$USERINFO" | grep "zimbraPasswordMaxAge:" | cut -d " " -f 2)
NAME=$(echo "$USERINFO" | grep givenName | cut -d " " -f 2)
# Проверяем, нет ли среди пользователей тех, у кого срок действия пароля уже истек.
if [[ "$PASS_MAX_AGE" -eq "0" ]]
then
  continue
fi
# Высчитываем дату окончания действия паролей
EXPIRES=$(date -d  "$PASS_SET_DATE $PASS_MAX_AGE days" +%s)
# Считаем, сколько дней осталось до окончания срока действия пароля
DEADLINE=$(( (($DATE - $EXPIRES)) / -86400 ))
# Отправляем письмо пользователям
SUBJECT="$NAME - Ваш пароль станет недействительным через $DEADLINE дней"
BODY="
Здравствуйте, $NAME,
Пароль вашего аккаунта станет недействительным через $DEADLINE дней, Пожалуйста, создайте новый как можно скорее.
Вы можете также создать напоминание о смене пароля в календаре Zimbra.
Заранее спасибо.
С уважением, IT-отдел
"
# Первое предупреждение
if [[ "$DEADLINE" -eq "$FIRST" ]]
then
	echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
	echo "Reminder email sent to: $USER - $DEADLINE days left"
# Последнее предупреждение
elif [[ "$DEADLINE" -eq "$LAST" ]]
then
	echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
	echo "Reminder email sent to: $USER - $DEADLINE days left"
# Final
elif [[ "$DEADLINE" -eq "1" ]]
then
    echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
	echo "Last chance for: $USER - $DEADLINE days left"
fi
done

Así, podemos dicir que Zimbra Collaboration Suite é bastante axeitado incluso para aquelas empresas que implementaron unha política de contrasinais estrita e, grazas ás funcións integradas, será bastante sinxelo lograr a súa estrita implementación por parte dos empregados.

Para todas as dúbidas relacionadas con Zextras Suite, pode poñerse en contacto coa representante da empresa Zextras Katerina Triandafilidi por correo electrónico [protexido por correo electrónico]

Fonte: www.habr.com

Engadir un comentario