Az e-mailek titkosítása és a digitális aláírás használata mellett az egyik leghatékonyabb és legolcsóbb módja annak, hogy megvédjük az e-maileket a hackeléstől, a megfelelő jelszóbiztonsági politika. A papírra felírt, nyilvános fájlokban tárolt vagy egyszerűen nem elég bonyolult jelszavak mindig nagy hiányosságokat jelentenek a vállalat információbiztonságában, és súlyos incidensekhez vezethetnek, amelyek kézzelfogható következményekkel járhatnak a vállalkozás számára. Ezért minden vállalatnak szigorú jelszóbiztonsági szabályzattal kell rendelkeznie.
Azt azonban minden biztonsági szakember tudja, hogy a jelszópolitika csak akkor hoz eredményt, ha nem csak létezik, hanem mindenki, vagy legalábbis a szervezet kulcsfontosságú munkatársai szigorúan betartják. Ennek elérése nehezebb, mint amilyennek látszik. Az amúgy is nagy munkával leterhelt alkalmazottak folyamatosan megfeledkeznek a jelszavak megváltoztatásának szükségességéről, vagy a legkisebb ellenállás útját választják, minden alkalommal egyre egyszerűbbé és egyszerűbbé téve a jelszót, így a teljes hatást tagadva. Éppen ezért a jelszópolitika betartásának kérdését a vállalatoknál általában különféle technikai eszközökkel oldják meg.
Nincs szükség harmadik féltől származó alkalmazásokra a Zimbra jelszószabályzatának érvényesítéséhez. Ez beépített eszközökkel érhető el.
Először is érdemes megérteni, hogyan működik a jelszókezelés a Zimbrában. Új fiók létrehozásakor a rendszergazda ideiglenes jelszót rendel hozzá. Ezt követően a felhasználó önállóan bejelentkezhet a fiókjába, és megváltoztathatja a jelszavát. Az összes jelszót titkosított formában tárolja a Zimbra szerver, és ennek köszönhetően még a szerver rendszergazdája sem fér hozzá. Éppen ezért, ha a felhasználó elfelejti jelszavát, újat kell létrehoznia. Emlékeztetünk arra, hogy egészen a közelmúltig az új jelszó létrehozásához rendszergazda közreműködésére volt szükség, a Zimbra Creative Suite 8.8.9 legújabb verziója azonban lehetőséget adott arra, hogy a felhasználók maguk állítsanak be új jelszót.
A jelszóházirend beállításai az egyes felhasználók és felhasználói csoportok beállításai között találhatók. Beállíthatja:
- Jelszó hossza – lehetővé teszi a jelszó minimális és maximális hosszának beállítását. Alapértelmezés szerint a jelszó minimális hossza 6 karakter, a maximális pedig 64 karakter.
- Jelszó öregedés - lehetővé teszi, hogy beállítsa azt az időt, amely után a jelszó érvénytelenné válik. A felhasználóknak nem kell megvárniuk a jelszó lejártát; megváltoztathatják azt, mielőtt lejár
- Minimális nagybetűk - lehetővé teszi a jelszóban használt nagybetűk minimális számának beállítását
- Kisbetűk minimális száma – lehetővé teszi a jelszóban használt kisbetűk minimális számának beállítását
- Minimális numerikus karakterek - lehetővé teszi a jelszóban használt számjegyek minimális számának beállítását 0 és 9 között
- Minimális írásjelek - lehetővé teszi a jelszóban használt írásjelek és speciális karakterek minimális számának beállítását
- Jelszavak előzményeinek kényszerítése – lehetővé teszi a megjegyezendő jelszavak számának beállítását, hogy a felhasználó ne használjon rendszeresen ismétlődő jelszavakat
- Jelszó zárolva – ezzel az opcióval megakadályozhatja, hogy a felhasználó módosítsa a jelszót
- Sikertelen bejelentkezési zárolás engedélyezése – ezzel az opcióval beállíthatja, hogy a rendszer hogyan reagáljon hibás jelszó megadására
Amint láthatja, a Zimbra jelszóbeállításai meglehetősen rugalmasak, és szinte minden vállalat jelszópolitikájához alkalmazkodhatnak. Ezenkívül egy egyszerű szkript használatával beállíthat emlékeztetőket a felhasználóknak, hogy jelszava hamarosan lejár. Egy ilyen emlékeztetőnek köszönhetően a munkavállaló nyugodt légkörben módosíthatja a jelszavát, míg egy olyan alkalmazott levele, aki elmulasztotta a jelszó megváltoztatásának pillanatát, nem nyílik meg reggel, negatívan befolyásolhatja hatékonyságát.
Ahhoz, hogy ez a szkript működjön, át kell másolnia egy fájlba, és futtathatóvá kell tennie. Ennek a szkriptnek a végrehajtását javasolt a Cron segítségével automatizálni, hogy naponta értesítse azokat a felhasználókat, akik hosszú ideje nem frissítették jelszavukat, hogy hamarosan leáll. Ezenkívül a szkriptben a zimbra.server.com helyett a saját domain nevét kell helyettesítenie.
#!/bin/bash
# Задаем ряд переменных:
# Сперва количество дней для первого напоминания, затем для последнего:
FIRST="3"
LAST="1"
# Задаем адрес отправителя:
FROM="[email protected]"
# Задаем адрес получателя, который будет получать письмо со списком аккаунтов с истекшими паролями
ADMIN_RECIPIENT="[email protected]"
# Указываем путь к исполняемому файлу Sendmail
SENDMAIL=$(ionice -c3 find /opt/zimbra/common/sbin/sendmail* -type f -iname sendmail)
# Получаем список всех пользователей.
USERS=$(ionice -c3 /opt/zimbra/bin/zmprov -l gaa $DOMAIN)
# Указываем дату с точностью до секунды:
DATE=$(date +%s)
# Проверяем каждого из них:
for USER in $USERS
do
# Узнаем, когда был установлен пароль
USERINFO=$(ionice -c3 /opt/zimbra/bin/zmprov ga "$USER")
PASS_SET_DATE=$(echo "$USERINFO" | grep zimbraPasswordModifiedTime: | cut -d " " -f 2 | cut -c 1-8)
PASS_MAX_AGE=$(echo "$USERINFO" | grep "zimbraPasswordMaxAge:" | cut -d " " -f 2)
NAME=$(echo "$USERINFO" | grep givenName | cut -d " " -f 2)
# Проверяем, нет ли среди пользователей тех, у кого срок действия пароля уже истек.
if [[ "$PASS_MAX_AGE" -eq "0" ]]
then
continue
fi
# Высчитываем дату окончания действия паролей
EXPIRES=$(date -d "$PASS_SET_DATE $PASS_MAX_AGE days" +%s)
# Считаем, сколько дней осталось до окончания срока действия пароля
DEADLINE=$(( (($DATE - $EXPIRES)) / -86400 ))
# Отправляем письмо пользователям
SUBJECT="$NAME - Ваш пароль станет недействительным через $DEADLINE дней"
BODY="
Здравствуйте, $NAME,
Пароль вашего аккаунта станет недействительным через $DEADLINE дней, Пожалуйста, создайте новый как можно скорее.
Вы можете также создать напоминание о смене пароля в календаре Zimbra.
Заранее спасибо.
С уважением, IT-отдел
"
# Первое предупреждение
if [[ "$DEADLINE" -eq "$FIRST" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Reminder email sent to: $USER - $DEADLINE days left"
# Последнее предупреждение
elif [[ "$DEADLINE" -eq "$LAST" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Reminder email sent to: $USER - $DEADLINE days left"
# Final
elif [[ "$DEADLINE" -eq "1" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Last chance for: $USER - $DEADLINE days left"
fi
doneÍgy elmondhatjuk, hogy a Zimbra Collaboration Suite még azoknak a vállalkozásoknak is megfelelő, amelyek szigorú jelszópolitikát vezettek be, és a beépített funkcióknak köszönhetően meglehetősen könnyű lesz rávenni az alkalmazottakat ennek szigorú betartására.
A Zextras Suite-tal kapcsolatos minden kérdésével forduljon a Zextras cég képviselőjéhez, Katerina Triandafilidihez e-mailben. [e-mail védett]
Forrás: will.com