ការកែលម្អការកំណត់សុវត្ថិភាពការតភ្ជាប់ SSL នៅក្នុង Zimbra Collaboration Suite Open-Source Edition

ភាពខ្លាំងនៃការអ៊ិនគ្រីបគឺជាសូចនាករដ៏សំខាន់បំផុតមួយនៅពេលប្រើប្រាស់ប្រព័ន្ធព័ត៌មានសម្រាប់អាជីវកម្ម ពីព្រោះជារៀងរាល់ថ្ងៃពួកគេពាក់ព័ន្ធនឹងការផ្ទេរព័ត៌មានសម្ងាត់ដ៏ច្រើនសន្ធឹកសន្ធាប់។ មធ្យោបាយដែលទទួលយកជាទូទៅក្នុងការវាយតម្លៃគុណភាពនៃការតភ្ជាប់ SSL គឺជាការធ្វើតេស្តឯករាជ្យពី Qualys SSL Labs ។ ដោយសារការធ្វើតេស្តនេះអាចដំណើរការដោយនរណាម្នាក់ វាមានសារៈសំខាន់ជាពិសេសសម្រាប់អ្នកផ្តល់សេវា SaaS ដើម្បីទទួលបានពិន្ទុខ្ពស់បំផុតដែលអាចធ្វើទៅបាននៅលើការធ្វើតេស្តនេះ។ មិនត្រឹមតែអ្នកផ្តល់សេវា SaaS ប៉ុណ្ណោះទេ សហគ្រាសធម្មតាក៏ខ្វល់អំពីគុណភាពនៃការតភ្ជាប់ SSL ផងដែរ។ សម្រាប់ពួកគេ ការធ្វើតេស្តនេះគឺជាឱកាសដ៏ល្អមួយក្នុងការកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះដែលអាចកើតមាន និងបិទចន្លោះប្រហោងទាំងអស់សម្រាប់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតជាមុន។

Zimbra OSE អនុញ្ញាតឱ្យវិញ្ញាបនបត្រ SSL ពីរប្រភេទ។ ទីមួយគឺជាវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងដែលត្រូវបានបន្ថែមដោយស្វ័យប្រវត្តិកំឡុងពេលដំឡើង។ វិញ្ញាបនបត្រនេះគឺឥតគិតថ្លៃ និងមិនមានកំណត់ពេលវេលាទេ ដែលធ្វើឱ្យវាល្អសម្រាប់សាកល្បង Zimbra OSE ឬប្រើវាទាំងស្រុងនៅក្នុងបណ្តាញខាងក្នុង។ ទោះជាយ៉ាងណាក៏ដោយ នៅពេលចូលទៅក្នុងម៉ាស៊ីនភ្ញៀវគេហទំព័រ អ្នកប្រើប្រាស់នឹងឃើញការព្រមានពីកម្មវិធីរុករកដែលថាវិញ្ញាបនបត្រនេះមិនគួរឱ្យទុកចិត្ត ហើយម៉ាស៊ីនមេរបស់អ្នកនឹងបរាជ័យក្នុងការសាកល្បងពី Qualys SSL Labs ។

ទីពីរគឺជាវិញ្ញាបនបត្រ SSL ពាណិជ្ជកម្មដែលចុះហត្ថលេខាដោយអាជ្ញាធរបញ្ជាក់។ វិញ្ញាបនបត្របែបនេះត្រូវបានទទួលយកយ៉ាងងាយស្រួលដោយកម្មវិធីរុករក ហើយជាធម្មតាត្រូវបានប្រើសម្រាប់ការប្រើប្រាស់ពាណិជ្ជកម្មនៃ Zimbra OSE ។ ភ្លាមៗបន្ទាប់ពីការដំឡើងត្រឹមត្រូវនៃវិញ្ញាបនបត្រពាណិជ្ជកម្ម Zimbra OSE 8.8.15 បង្ហាញពិន្ទុ A ក្នុងការធ្វើតេស្តពី Qualys SSL Labs ។ នេះគឺជាលទ្ធផលដ៏ល្អ ប៉ុន្តែគោលដៅរបស់យើងគឺសម្រេចបានលទ្ធផល A+។

ដើម្បីសម្រេចបានពិន្ទុអតិបរមាក្នុងការធ្វើតេស្តពី Qualys SSL Labs នៅពេលប្រើ Zimbra Collaboration Suite Open-Source Edition អ្នកត្រូវតែបំពេញជំហានមួយចំនួន៖

1. ការបង្កើនប៉ារ៉ាម៉ែត្រនៃពិធីការ Diffie-Hellman

តាមលំនាំដើម សមាសធាតុ Zimbra OSE 8.8.15 ទាំងអស់ដែលប្រើ OpenSSL មានការកំណត់ពិធីការ Diffie-Hellman កំណត់ទៅជា 2048 ប៊ីត។ ជាគោលការណ៍ នេះគឺច្រើនជាងគ្រប់គ្រាន់ដើម្បីទទួលបានពិន្ទុ A+ ក្នុងការធ្វើតេស្តពី Qualys SSL Labs ។ ទោះយ៉ាងណាក៏ដោយ ប្រសិនបើអ្នកកំពុងដំឡើងកំណែពីកំណែចាស់ ការកំណត់អាចនឹងទាបជាង។ ដូច្នេះវាត្រូវបានណែនាំថាបន្ទាប់ពីការអាប់ដេតត្រូវបានបញ្ចប់ សូមដំណើរការពាក្យបញ្ជា zmdhparam set -new 2048 ដែលនឹងបង្កើនប៉ារ៉ាម៉ែត្រនៃពិធីការ Diffie-Hellman ទៅ 2048 ប៊ីតដែលអាចទទួលយកបាន ហើយប្រសិនបើចង់បាន ដោយប្រើពាក្យបញ្ជាដូចគ្នា អ្នកអាចបង្កើន តម្លៃនៃប៉ារ៉ាម៉ែត្រទៅ 3072 ឬ 4096 ប៊ីត ដែលនៅលើដៃម្ខាងនឹងនាំឱ្យមានការកើនឡើងនៃពេលវេលាបង្កើត ប៉ុន្តែម្យ៉ាងវិញទៀតនឹងមានឥទ្ធិពលវិជ្ជមានទៅលើកម្រិតសុវត្ថិភាពនៃម៉ាស៊ីនមេសំបុត្រ។

2. រួម​បញ្ចូល​ទាំង​បញ្ជី​ដែល​បាន​ផ្ដល់​អនុសាសន៍​នៃ ciphers បាន​ប្រើ​

តាមលំនាំដើម Zimbra Collaborataion Suite Open-Source Edition គាំទ្រជួរដ៏ធំទូលាយនៃកូដសម្ងាត់ខ្លាំង និងខ្សោយ ដែលអ៊ិនគ្រីបទិន្នន័យឆ្លងកាត់ការតភ្ជាប់ដែលមានសុវត្ថិភាព។ ទោះជាយ៉ាងណាក៏ដោយ ការប្រើប្រាស់លេខកូដខ្សោយគឺជាគុណវិបត្តិដ៏ធ្ងន់ធ្ងរនៅពេលពិនិត្យមើលសុវត្ថិភាពនៃការតភ្ជាប់ SSL ។ ដើម្បីជៀសវាងបញ្ហានេះ អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធបញ្ជីលេខសម្ងាត់ដែលបានប្រើ។

ដើម្បីធ្វើដូចនេះសូមប្រើពាក្យបញ្ជា zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

ពាក្យបញ្ជានេះរួមបញ្ចូលនូវសំណុំនៃលេខសម្ងាត់ដែលបានណែនាំភ្លាមៗ ហើយអរគុណចំពោះវា ពាក្យបញ្ជាអាចរួមបញ្ចូលអក្សរសម្ងាត់ដែលអាចទុកចិត្តបានភ្លាមៗនៅក្នុងបញ្ជី ហើយមិនរាប់បញ្ចូលលេខសម្ងាត់ដែលមិនគួរឱ្យទុកចិត្ត។ ឥឡូវនេះអ្វីដែលនៅសល់គឺត្រូវចាប់ផ្តើមថ្នាំងប្រូកស៊ីបញ្ច្រាសឡើងវិញដោយប្រើពាក្យបញ្ជា zmproxyctl restart ។ បន្ទាប់ពីការចាប់ផ្តើមឡើងវិញ ការផ្លាស់ប្តូរដែលបានធ្វើឡើងនឹងមានប្រសិទ្ធភាព។

ប្រសិនបើបញ្ជីនេះមិនសមនឹងអ្នកដោយហេតុផលមួយ ឬហេតុផលផ្សេងទៀត អ្នកអាចដកលេខសម្ងាត់ខ្សោយមួយចំនួនចេញពីវាដោយប្រើពាក្យបញ្ជា zmprov mcf +zimbraSSLExcludeCipherSuites. ដូច្នេះឧទាហរណ៍ពាក្យបញ្ជា zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHAដែលនឹងលុបបំបាត់ទាំងស្រុងនូវការប្រើប្រាស់ RC4 ciphers ។ ដូចគ្នានេះដែរអាចត្រូវបានធ្វើជាមួយ AES និង 3DES ciphers ។

3. បើក HSTS

យន្តការដែលបានបើកដើម្បីបង្ខំការអ៊ិនគ្រីបការតភ្ជាប់ និងការស្ដារសម័យ TLS ក៏ត្រូវបានទាមទារផងដែរ ដើម្បីសម្រេចបានពិន្ទុដ៏ល្អឥតខ្ចោះនៅក្នុងការធ្វើតេស្ត Qualys SSL Labs ។ ដើម្បីបើកពួកវាអ្នកត្រូវតែបញ្ចូលពាក្យបញ្ជា zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". ពាក្យបញ្ជានេះនឹងបន្ថែមបឋមកថាចាំបាច់ទៅនឹងការកំណត់រចនាសម្ព័ន្ធ ហើយដើម្បីឱ្យការកំណត់ថ្មីមានប្រសិទ្ធភាព អ្នកនឹងត្រូវចាប់ផ្តើម Zimbra OSE ឡើងវិញដោយប្រើពាក្យបញ្ជា zmcontrol ចាប់ផ្តើមឡើងវិញ.

រួចហើយនៅដំណាក់កាលនេះ ការធ្វើតេស្តពី Qualys SSL Labs នឹងបង្ហាញការវាយតម្លៃ A+ ប៉ុន្តែប្រសិនបើអ្នកចង់ធ្វើឱ្យប្រសើរឡើងបន្ថែមទៀតនូវសុវត្ថិភាពនៃម៉ាស៊ីនមេរបស់អ្នក មានវិធានការមួយចំនួនផ្សេងទៀតដែលអ្នកអាចអនុវត្តបាន។

ឧទាហរណ៍ អ្នកអាចបើកការអ៊ិនគ្រីបដោយបង្ខំនៃការតភ្ជាប់អន្តរដំណើរការ ហើយអ្នកក៏អាចបើកការអ៊ិនគ្រីបដោយបង្ខំនៅពេលភ្ជាប់ទៅសេវាកម្ម Zimbra OSE ។ ដើម្បីពិនិត្យមើលការតភ្ជាប់អន្តរដំណើរការ សូមបញ្ចូលពាក្យបញ្ជាខាងក្រោម៖

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

ដើម្បីបើកការអ៊ិនគ្រីបដោយបង្ខំ សូមបញ្ចូល៖

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

សូមអរគុណចំពោះពាក្យបញ្ជាទាំងនេះ ការតភ្ជាប់ទាំងអស់ទៅកាន់ម៉ាស៊ីនមេប្រូកស៊ី និងម៉ាស៊ីនមេសំបុត្រនឹងត្រូវបានអ៊ិនគ្រីប ហើយការតភ្ជាប់ទាំងអស់នេះនឹងត្រូវបានប្រូកស៊ី។

ដូច្នេះ ការធ្វើតាមការណែនាំរបស់យើង អ្នកមិនត្រឹមតែអាចសម្រេចបានពិន្ទុខ្ពស់បំផុតក្នុងការធ្វើតេស្តសុវត្ថិភាពការតភ្ជាប់ SSL ប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបង្កើនសុវត្ថិភាពយ៉ាងខ្លាំងនៃហេដ្ឋារចនាសម្ព័ន្ធ Zimbra OSE ទាំងមូលផងដែរ។

សម្រាប់សំណួរទាំងអស់ដែលទាក់ទងនឹង Zextras Suite អ្នកអាចទាក់ទងអ្នកតំណាង Zextras Ekaterina Triandafilidi តាមរយៈអ៊ីមែល [អ៊ីមែលការពារ]

ប្រភព: www.habr.com