🥇ការពារ Zimbra OSE ពី brute force និង DoS attacks

Zimbra Collaboration Suite Open-Source Edition មានឧបករណ៍ដ៏មានឥទ្ធិពលជាច្រើនដើម្បីធានាសុវត្ថិភាពព័ត៌មាន។ ក្នុងចំណោមពួកគេ អេក្រង់ក្រោយ - ដំណោះស្រាយសម្រាប់ការពារម៉ាស៊ីនមេ mail ពីការវាយប្រហារពី botnets ClamAV - កំចាត់មេរោគដែលអាចស្កេនឯកសារចូល និងសំបុត្រសម្រាប់ឆ្លងមេរោគជាមួយកម្មវិធីព្យាបាទ ក៏ដូចជា SpamAssassin - តម្រងសារឥតបានការដ៏ល្អបំផុតមួយនៅថ្ងៃនេះ។ ទោះយ៉ាងណាក៏ដោយ ឧបករណ៍ទាំងនេះមិនអាចការពារ Zimbra OSE ពីការវាយប្រហារដោយកម្លាំងសាហាវបានទេ។ មិនមែនជាពាក្យសំងាត់ដ៏ប្រណិតបំផុតនោះទេ ប៉ុន្តែនៅតែមានប្រសិទ្ធភាពខ្ពស់ ការបង្ខំឱ្យពាក្យសម្ងាត់ដោយប្រើវចនានុក្រមពិសេសគឺមានភាពច្របូកច្របល់មិនត្រឹមតែជាមួយនឹងលទ្ធភាពនៃការលួចចូលដោយជោគជ័យជាមួយនឹងផលវិបាកដែលកើតឡើងនោះទេ ប៉ុន្តែក៏មានការបង្កើតការផ្ទុកដ៏សំខាន់នៅលើម៉ាស៊ីនមេ ដែលដំណើរការទាំងអស់ ការប៉ុនប៉ងមិនជោគជ័យក្នុងការ hack ម៉ាស៊ីនមេជាមួយ Zimbra OSE ។

ការពារ Zimbra OSE ពី brute force និង DoS attacks

ជាគោលការណ៍ អ្នកអាចការពារខ្លួនអ្នកពីកម្លាំងសាហាវដោយប្រើឧបករណ៍ Zimbra OSE ស្តង់ដារ។ ការកំណត់គោលការណ៍សុវត្ថិភាពពាក្យសម្ងាត់អនុញ្ញាតឱ្យអ្នកកំណត់ចំនួននៃការប៉ុនប៉ងបញ្ចូលពាក្យសម្ងាត់ដែលមិនជោគជ័យ បន្ទាប់ពីនោះគណនីដែលអាចវាយប្រហារត្រូវបានរារាំង។ បញ្ហាចម្បងនៃវិធីសាស្រ្តនេះគឺថា ស្ថានភាពកើតឡើងដែលគណនីរបស់និយោជិតម្នាក់ ឬច្រើននាក់អាចនឹងត្រូវបានរារាំងដោយសារតែការវាយប្រហារដោយកម្លាំងដ៏សាហាវដែលពួកគេមិនមានអ្វីដែលត្រូវធ្វើ ហើយការផ្អាកជាលទ្ធផលនៅក្នុងការងាររបស់និយោជិតអាចនាំមកនូវការខាតបង់យ៉ាងច្រើនដល់ ក្រុមហ៊ុន។ នោះហើយជាមូលហេតុដែលវាជាការល្អបំផុតដែលមិនប្រើជម្រើសនៃការការពារប្រឆាំងនឹងកម្លាំង brute នេះ។

ការពារ Zimbra OSE ពី brute force និង DoS attacks

ដើម្បីការពារប្រឆាំងនឹងកម្លាំង brute ឧបករណ៍ពិសេសមួយហៅថា DoSFilter គឺស័ក្តិសមជាង ដែលត្រូវបានបង្កើតឡើងនៅក្នុង Zimbra OSE ហើយអាចបញ្ចប់ការភ្ជាប់ដោយស្វ័យប្រវត្តិទៅ Zimbra OSE តាមរយៈ HTTP ។ ម្យ៉ាងវិញទៀត គោលការណ៍ប្រតិបត្តិការរបស់ DoSfilter គឺស្រដៀងគ្នាទៅនឹងគោលការណ៍ប្រតិបត្តិការរបស់ PostScreen ដែរ មានតែវាប៉ុណ្ណោះដែលត្រូវបានប្រើសម្រាប់ពិធីការផ្សេង។ រចនាឡើងដើមដំបូងដើម្បីកំណត់ចំនួនសកម្មភាពដែលអ្នកប្រើប្រាស់តែម្នាក់អាចអនុវត្តបាន DoSfilter ក៏អាចផ្តល់ការការពារកម្លាំងអាក្រក់ផងដែរ។ ភាពខុសគ្នាសំខាន់របស់វាពីឧបករណ៍ដែលបានបង្កើតឡើងនៅក្នុង Zimbra គឺថាបន្ទាប់ពីការព្យាយាមមិនជោគជ័យមួយចំនួន វាមិនរារាំងអ្នកប្រើប្រាស់ខ្លួនឯងនោះទេ ប៉ុន្តែអាសយដ្ឋាន IP ដែលការប៉ុនប៉ងជាច្រើនត្រូវបានធ្វើឡើងដើម្បីចូលទៅក្នុងគណនីជាក់លាក់មួយ។ សូមអរគុណចំពោះបញ្ហានេះ អ្នកគ្រប់គ្រងប្រព័ន្ធមិនត្រឹមតែអាចការពារប្រឆាំងនឹងកម្លាំងអាក្រក់ប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងជៀសវាងការរារាំងបុគ្គលិកក្រុមហ៊ុនដោយគ្រាន់តែបន្ថែមបណ្តាញផ្ទៃក្នុងរបស់ក្រុមហ៊ុនរបស់គាត់ទៅក្នុងបញ្ជីអាសយដ្ឋាន IP និងបណ្តាញរងដែលអាចទុកចិត្តបាន។

អត្ថប្រយោជន៍ដ៏ធំរបស់ DoSfilter គឺថា បន្ថែមពីលើការប៉ុនប៉ងជាច្រើនដើម្បីចូលទៅក្នុងគណនីជាក់លាក់មួយ ដោយប្រើឧបករណ៍នេះ អ្នកអាចរារាំងអ្នកវាយប្រហារទាំងនោះដោយស្វ័យប្រវត្តិដែលបានកាន់កាប់ទិន្នន័យផ្ទៀងផ្ទាត់របស់បុគ្គលិក ហើយបន្ទាប់មកបានចូលទៅក្នុងគណនីរបស់គាត់ដោយជោគជ័យ ហើយចាប់ផ្តើមផ្ញើសំណើរាប់រយ។ ទៅម៉ាស៊ីនមេ។

អ្នកអាចកំណត់រចនាសម្ព័ន្ធ DoSfilter ដោយប្រើពាក្យបញ្ជាកុងសូលខាងក្រោម៖

zimbraHttpDosFilterMaxRequestsPerSec - ដោយប្រើពាក្យបញ្ជានេះ អ្នកអាចកំណត់ចំនួនអតិបរមានៃការតភ្ជាប់ដែលអនុញ្ញាតសម្រាប់អ្នកប្រើប្រាស់ម្នាក់។ តាមលំនាំដើមតម្លៃនេះគឺ 30 ការតភ្ជាប់។
zimbraHttpDosFilterDelayMillis - ដោយប្រើពាក្យបញ្ជានេះ អ្នកអាចកំណត់ការពន្យារពេលជាមិល្លីវិនាទីសម្រាប់ការតភ្ជាប់ដែលនឹងលើសពីដែនកំណត់ដែលបានបញ្ជាក់ដោយពាក្យបញ្ជាមុន។ បន្ថែមពីលើតម្លៃចំនួនគត់ អ្នកគ្រប់គ្រងអាចបញ្ជាក់ 0 ដូច្នេះគ្មានការពន្យារពេលអ្វីទាំងអស់ និង -1 ដូច្នេះការតភ្ជាប់ទាំងអស់ដែលលើសពីដែនកំណត់ដែលបានបញ្ជាក់ត្រូវបានរំខានយ៉ាងសាមញ្ញ។ តម្លៃលំនាំដើមគឺ -1 ។
zimbraHttpThrottleSafeIPs — ដោយប្រើពាក្យបញ្ជានេះ អ្នកគ្រប់គ្រងអាចបញ្ជាក់អាសយដ្ឋាន IP និងបណ្តាញរងដែលអាចទុកចិត្តបាន ដែលនឹងមិនស្ថិតនៅក្រោមការរឹតបន្តឹងដែលបានរាយខាងលើ។ ចំណាំថាវាក្យសម្ព័ន្ធនៃពាក្យបញ្ជានេះអាចប្រែប្រួលអាស្រ័យលើលទ្ធផលដែលចង់បាន។ ដូច្នេះឧទាហរណ៍ដោយបញ្ចូលពាក្យបញ្ជា zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1អ្នកនឹងសរសេរជាន់លើបញ្ជីទាំងមូល ហើយទុកតែអាសយដ្ឋាន IP មួយនៅក្នុងវា។ ប្រសិនបើអ្នកបញ្ចូលពាក្យបញ្ជា zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1អាសយដ្ឋាន IP ដែលអ្នកបានបញ្ចូលនឹងត្រូវបានបញ្ចូលទៅក្នុងបញ្ជីស។ ដូចគ្នានេះដែរ ដោយប្រើសញ្ញាដក អ្នកអាចដក IP ណាមួយចេញពីបញ្ជីដែលបានអនុញ្ញាត។

សូមចំណាំថា DoSfilter អាចបង្កើតបញ្ហាមួយចំនួននៅពេលប្រើកម្មវិធីបន្ថែម Zextras Suite Pro។ ដើម្បីជៀសវាងពួកវា យើងសូមណែនាំឱ្យបង្កើនចំនួននៃការតភ្ជាប់ក្នុងពេលដំណាលគ្នាពី 30 ទៅ 100 ដោយប្រើពាក្យបញ្ជា zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. លើសពីនេះទៀត យើងសូមណែនាំឱ្យបន្ថែមបណ្តាញផ្ទៃក្នុងរបស់សហគ្រាសទៅក្នុងបញ្ជីដែលបានអនុញ្ញាត។ នេះអាចត្រូវបានធ្វើដោយប្រើពាក្យបញ្ជា zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. បន្ទាប់ពីធ្វើការផ្លាស់ប្តូរណាមួយចំពោះ DoSfilter ត្រូវប្រាកដថាចាប់ផ្តើមម៉ាស៊ីនមេសំបុត្ររបស់អ្នកឡើងវិញដោយប្រើពាក្យបញ្ជា zmmailboxdctl ចាប់ផ្តើមឡើងវិញ.

គុណវិបត្តិចម្បងរបស់ DoSfilter គឺថាវាដំណើរការនៅកម្រិតកម្មវិធី ដូច្នេះហើយអាចកំណត់តែសមត្ថភាពរបស់អ្នកវាយប្រហារដើម្បីអនុវត្តសកម្មភាពផ្សេងៗនៅលើម៉ាស៊ីនមេ ដោយមិនកំណត់លទ្ធភាពតភ្ជាប់ទៅភាគខាងជើង។ ដោយសារតែបញ្ហានេះ សំណើដែលបានផ្ញើទៅកាន់ម៉ាស៊ីនមេសម្រាប់ការផ្ទៀងផ្ទាត់ ឬផ្ញើសំបុត្រ បើទោះបីជាវាច្បាស់ជាបរាជ័យក៏ដោយ ក៏នឹងនៅតែតំណាងឱ្យការវាយប្រហារ DoS ចាស់ដ៏ល្អ ដែលមិនអាចបញ្ឈប់បានក្នុងកម្រិតខ្ពស់បែបនេះ។

ដើម្បីធានាបានទាំងស្រុងនូវម៉ាស៊ីនមេសាជីវកម្មរបស់អ្នកជាមួយនឹង Zimbra OSE អ្នកអាចប្រើដំណោះស្រាយដូចជា Fail2ban ដែលជាក្របខ័ណ្ឌដែលអាចតាមដានកំណត់ហេតុប្រព័ន្ធព័ត៌មានជានិច្ចសម្រាប់សកម្មភាពម្តងហើយម្តងទៀត និងរារាំងអ្នកឈ្លានពានដោយការផ្លាស់ប្តូរការកំណត់ជញ្ជាំងភ្លើង។ ការទប់ស្កាត់នៅកម្រិតទាបបែបនេះអនុញ្ញាតឱ្យអ្នកបិទអ្នកវាយប្រហារភ្លាមៗនៅដំណាក់កាលនៃការតភ្ជាប់ IP ទៅកាន់ម៉ាស៊ីនមេ។ ដូច្នេះ Fail2Ban អាចបំពេញបន្ថែមយ៉ាងល្អឥតខ្ចោះនូវការការពារដែលបានសាងសង់ដោយប្រើ DoSfilter ។ ចូរយើងស្វែងយល់ពីរបៀបដែលអ្នកអាចភ្ជាប់ Fail2Ban ជាមួយ Zimbra OSE ហើយដោយហេតុនេះបង្កើនសុវត្ថិភាពនៃហេដ្ឋារចនាសម្ព័ន្ធ IT របស់សហគ្រាសអ្នក។

ដូចជាកម្មវិធីថ្នាក់សហគ្រាសផ្សេងទៀត Zimbra Collaboration Suite Open-Source Edition រក្សាកំណត់ហេតុលម្អិតនៃការងាររបស់ខ្លួន។ ពួកគេភាគច្រើនត្រូវបានរក្សាទុកក្នុងថតឯកសារ /opt/zimbra/log/ ក្នុងទម្រង់ឯកសារ។ នេះគ្រាន់តែជាពួកគេមួយចំនួនប៉ុណ្ណោះ៖

mailbox.log — កំណត់ហេតុសេវាកម្មសំបុត្រ Jetty
audit.log - កំណត់ហេតុការផ្ទៀងផ្ទាត់
clamd.log - កំណត់ហេតុប្រតិបត្តិការកំចាត់មេរោគ
freshclam.log - កំណត់ហេតុធ្វើបច្ចុប្បន្នភាពកំចាត់មេរោគ
convertd.log — កំណត់ហេតុកម្មវិធីបម្លែងឯកសារភ្ជាប់
zimbrastats.csv - កំណត់ហេតុដំណើរការម៉ាស៊ីនមេ

កំណត់ហេតុ Zimbra ក៏អាចត្រូវបានរកឃើញនៅក្នុងឯកសារផងដែរ។ /var/log/zimbra.logដែលជាកន្លែងដែលកំណត់ហេតុរបស់ Postfix និង Zimbra ខ្លួនឯងត្រូវបានរក្សាទុក។

ដើម្បីការពារប្រព័ន្ធរបស់យើងពីកម្លាំងអាក្រក់ យើងនឹងត្រួតពិនិត្យ mailbox.log, audit.log и zimbra.log.

ដើម្បីឱ្យអ្វីៗដំណើរការបាន វាចាំបាច់ដែល Fail2Ban និង iptables ត្រូវបានដំឡើងនៅលើម៉ាស៊ីនមេរបស់អ្នកជាមួយ Zimbra OSE ។ ប្រសិនបើអ្នកកំពុងប្រើ Ubuntu អ្នកអាចធ្វើវាដោយប្រើពាក្យបញ្ជា dpkg -s fail2banប្រសិនបើអ្នកប្រើ CentOS អ្នកអាចពិនិត្យមើលវាដោយប្រើពាក្យបញ្ជា បញ្ជី yum បានដំឡើង fail2ban. ប្រសិនបើអ្នកមិនបានដំឡើង Fail2Ban ទេ ការដំឡើងវានឹងមិនមានបញ្ហាទេ ព្រោះកញ្ចប់នេះមាននៅក្នុងឃ្លាំងស្ដង់ដារស្ទើរតែទាំងអស់។

នៅពេលដែលកម្មវិធីចាំបាច់ទាំងអស់ត្រូវបានដំឡើង អ្នកអាចចាប់ផ្តើមដំឡើង Fail2Ban ។ ដើម្បីធ្វើដូច្នេះអ្នកត្រូវបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធ /etc/fail2ban/filter.d/zimbra.confដែលក្នុងនោះយើងនឹងសរសេរកន្សោមធម្មតាសម្រាប់កំណត់ហេតុ Zimbra OSE ដែលនឹងផ្គូផ្គងការប៉ុនប៉ងចូលមិនត្រឹមត្រូវ និងកេះយន្តការ Fail2Ban ។ នេះគឺជាឧទាហរណ៍នៃមាតិការបស់ zimbra.conf ជាមួយនឹងសំណុំនៃកន្សោមធម្មតាដែលត្រូវគ្នានឹងកំហុសផ្សេងៗដែល Zimbra OSE បោះចោល នៅពេលដែលការព្យាយាមផ្ទៀងផ្ទាត់បរាជ័យ៖

# Fail2Ban configuration file
 
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
                        [ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
                        [oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
                        WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$

ignoreregex =

នៅពេលដែលកន្សោមធម្មតាសម្រាប់ Zimbra OSE ត្រូវបានចងក្រង វាជាពេលវេលាដើម្បីចាប់ផ្តើមកែសម្រួលការកំណត់ Fail2ban ខ្លួនវាហើយ។ ការកំណត់នៃឧបករណ៍ប្រើប្រាស់នេះមានទីតាំងនៅក្នុងឯកសារ /etc/fail2ban/jail.conf. គ្រាន់តែជាករណី សូមធ្វើច្បាប់ចម្លងបម្រុងទុកដោយប្រើពាក្យបញ្ជា cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. បន្ទាប់ពីនោះ យើងនឹងកាត់បន្ថយឯកសារនេះទៅជាទម្រង់ដូចខាងក្រោម៖

# Fail2Ban configuration file
 
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
 
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=admin@company.ru, sender=fail2ban@company.ru]
logpath = /var/log/messages
maxretry = 5
 
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, dest=support@company.ru]
logpath = /var/log/zimbra.log
 
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
 
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, dest=support@company.ru ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
 
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, dest=support@company.ru]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
 
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, dest=support@company.ru]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
 
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, dest=support@company.ru]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5

ទោះបីជាឧទាហរណ៍នេះមានលក្ខណៈទូទៅក៏ដោយ ក៏វានៅតែមានតម្លៃក្នុងការពន្យល់អំពីប៉ារ៉ាម៉ែត្រមួយចំនួនដែលអ្នកប្រហែលជាចង់ផ្លាស់ប្តូរនៅពេលដំឡើង Fail2Ban ដោយខ្លួនឯង៖

មិនអើពើ — ដោយប្រើប៉ារ៉ាម៉ែត្រនេះ អ្នកអាចបញ្ជាក់ ip ឬ subnet ជាក់លាក់ដែល Fail2Ban មិនគួរពិនិត្យអាសយដ្ឋាន។ តាមក្បួនមួយ បណ្តាញខាងក្នុងរបស់សហគ្រាស និងអាសយដ្ឋានដែលអាចទុកចិត្តបានផ្សេងទៀតត្រូវបានបញ្ចូលទៅក្នុងបញ្ជីដែលមិនអើពើ។
Bantime - ពេលវេលាដែលជនល្មើសនឹងត្រូវបានហាមឃាត់។ វាស់វែងជាវិនាទី។ តម្លៃនៃ -1 មានន័យថាការហាមឃាត់ជាអចិន្ត្រៃយ៍។
Maxretry - ចំនួនអតិបរមានៃដងដែលអាសយដ្ឋាន IP អាចព្យាយាមចូលប្រើម៉ាស៊ីនមេ។
ផ្ញើអ៊ីមែល - ការកំណត់ដែលអនុញ្ញាតឱ្យអ្នកផ្ញើការជូនដំណឹងតាមអ៊ីមែលដោយស្វ័យប្រវត្តិនៅពេលដែល Fail2Ban ត្រូវបានកេះ។
ពេលវេលាស្វែងរក - ការកំណត់ដែលអនុញ្ញាតឱ្យអ្នកកំណត់ចន្លោះពេលបន្ទាប់ពីនោះអាសយដ្ឋាន IP អាចព្យាយាមចូលប្រើម៉ាស៊ីនមេម្តងទៀត បន្ទាប់ពីចំនួនអតិបរមានៃការព្យាយាមមិនជោគជ័យត្រូវបានអស់ (ប៉ារ៉ាម៉ែត្រ maxretry)

បន្ទាប់ពីរក្សាទុកឯកសារដោយប្រើការកំណត់ Fail2Ban អ្វីដែលនៅសល់គឺត្រូវចាប់ផ្តើមឧបករណ៍ប្រើប្រាស់នេះឡើងវិញដោយប្រើពាក្យបញ្ជា សេវាកម្ម fail2ban ចាប់ផ្តើមឡើងវិញ. បន្ទាប់ពីការចាប់ផ្តើមឡើងវិញ កំណត់ហេតុ Zimbra សំខាន់ៗនឹងចាប់ផ្តើមត្រូវបានត្រួតពិនិត្យជានិច្ចសម្រាប់ការអនុលោមតាមកន្សោមធម្មតា។ សូមអរគុណចំពោះបញ្ហានេះ អ្នកគ្រប់គ្រងនឹងអាចលុបបំបាត់ស្ទើរតែគ្រប់លទ្ធភាពនៃអ្នកវាយប្រហារដែលជ្រៀតចូលមិនត្រឹមតែប្រអប់សំបុត្រ Zimbra Collaboration Suite Open-Source Edition ប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងការពារសេវាកម្មទាំងអស់ដែលដំណើរការនៅក្នុង Zimbra OSE ហើយនឹងដឹងផងដែរអំពីការប៉ុនប៉ងណាមួយដើម្បីទទួលបានការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាត។ .

សម្រាប់សំណួរទាំងអស់ដែលទាក់ទងនឹង Zextras Suite អ្នកអាចទាក់ទងតំណាង Zextras Ekaterina Triandafilidi តាមរយៈអ៊ីមែល katerina@zextras.com

ប្រភព: www.habr.com

ការពារ Zimbra OSE ពី brute force និង DoS attacks

បន្ថែមមតិយោបល់ ответОтменить