Zimbra Collaboratio Suite Open-Source Edition habet plura instrumenta valida ad securitatem notitiarum curandam. Inter eos - solutio ad custodiendam epistulam ab oppugnationibus ab botnets, ClamAV - antivirus qui tabellas et litteras ineuntes in infectio cum malitiosis programmatis, tum lustrare potest. - Unus ex optimis spamma hodie filorum. Sed haec instrumenta Zimbra OSE ab impetu violento defendi nequeunt. Non cum elegantissimis, sed etiam perquam efficax, dictionario insano cogendis utens peculiari dictionario, non solum cum verisimili caesim cum omnibus consequentibus consequentibus, sed etiam cum creatione notabilis oneris in calculonis, qui omnia processit. frustra conatum detruncare cultorem cum Zimbra OSE.
In principio, a violentis viribus te munire potes utens instrumenta Zimbra OSE vexillum. Consilium securitatis Tesserae occasus permittit ut numerum ingressuum tesserarum infelicium conatuum constituas, quibus ratio oppugnata potentia obstruitur. Praecipua huius accessionis difficultas est quod condiciones oriuntur in quibus rationes unius vel plurium conductorum obstruuntur ob vim violentam ad quam nihil habent quod ad rem faciunt, et quod inde temporis in opera conductorum magna damna adferre possunt. societatem. Quam ob rem optimum est hac optione praesidii contra vim violentam non uti.
Ad contra vim violentam tuendam, speciale instrumentum, quod DoSFilter vocatur, multo aptius est, quod in Zimbra OSE aedificatum est et statim nexum ad Zimbra OSE per HTTP terminare potest. Aliis verbis, principium operativum DoSFilter simile principii operanti PostScreen, solum pro alio protocollo ponitur. Principio destinato ut numerum actionum circumscribat unus user praestare potest, DoSFilter etiam violentam tutelam praebere potest. Differentia eius clavis a instrumento in Zimbra constructo est quod post aliquot frustra conatus, ipsum usorem non impedit, sed IP electronica e qua multiplex temptata est in ratione certa stipendii. Propter hoc, administrator systematis vim non solum tueri contra vim violentam potest, sed etiam interclusionem societatis operariorum vitare solum addito retis internis societatis suae ad indicem IP inscriptionum et subnetuum creditorum.
Magna utilitas DoSFilter est quod praeter numerosos conatus in ratione certa stipendii, hoc instrumento utens, statim eos obsidere potes, qui oppugnatores authenticas molestie occupaverunt, et postea feliciter in compoto suo initium dedit et centum petitionum mittens incepit. ad servo.
Configurare potes DoSFilter hisce utens praeceptis consolatoriis:
- zimbraHttpDosFilterMaxRequestsPerSec β Hoc praecepto utens, maximum numerum nexuum uno usuario permissum potes constituere. Hoc valore per default 30 hospites sunt.
- zimbraHttpDosFilterDelayMillis - Hoc mandato utens, moram facere potes in milliseconds pro nexus qui limitem mandato praecedenti determinatum excedunt. Praeter valores integros, administrator definire 0 potest, ut nulla omnino mora sit, et -1, ut omnes nexus, qui limitem certum excedunt, simpliciter interrumpantur. Valor default est -1.
- zimbraHttpThrottleSafeIPs - Hoc mandato administrator usus inscriptiones IP confisus specificare potest et subnetes qui restrictionibus suprascriptis non subicientur. Nota syntaxum huius praecepti variari secundum optatum effectum. Sic, verbi gratia, ingrediendo mandatum zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, totum album inscribes et unum tantum in eo electronicum relinquas. Ingressus imperium zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, inscriptio IP intrata in albo indice addetur. Similiter, signo detractionis adhibito, quemlibet IP e indice permisso tollere potes.
Quaeso nota quod DoSFilter plures difficultates creare potest cum Zextras Suite Pro extensionibus utens. Ut eos evitemus, commendamus numerum coniunctionum simultanearum ab 30 ad 100 augendam uti mandato zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Praeterea commendamus inceptum retis internae ad album permissorum addere. Hoc fieri potest utens imperio zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Postquam aliquas mutationes DoSFilter faciens, scito ut sileo epistularum tuum servo utens imperio zmmailboxdctl sileo.
Praecipuum incommodum DoSFilter est quod in gradu applicationis operatur et ideo solum facultatem oppugnantium ad varias actiones exercendas in servo circumscribere potest, sine limitata facultate coniungendi ad septentrionem. Propter hoc, petitiones missis ministro authenticas vel litteras mittendas, etsi plane deficient, tamen repraesentabunt bonam vetus DoS impetum, quod in tali gradu sistere non potest.
Ut corporatum tuum servo cum Zimbra OSE penitus securam, solutione uti potes ut Fail2ban, quod compage est, quae assidue monitor notitiarum rationum in iteratis actionibus obstruet et intrusorem mutando occasus firewall. Clausus in tam humili gradu te oppugnatores ut disable in sceno IP nexum cum servo permittat. Ita Fail2Ban perfecte complere potest praesidium DoSFilter constructum utens. Inueniamus quomodo coniungere potes Fail2Ban cum Zimbra OSE et per hoc securitatem incepti tui IT infrastructuram augere.
Sicut quaelibet alia incepti-classis applicatio, Zimbra Collaboratio Suite Open-Source Edition, acta accurata operis sui servat. Plerique ex eis reponuntur in folder /opt/zimbra/log/ in forma patuit. Hic pauca sunt ex eis;
- mailbox.log - Jetty mail omnia opera
- audit.log - acta authenticas
- clamd.log - antivirus omnia opera
- freshclam.log - antivirus update omnia
- convertd.log - affectum converter omnia
- zimbrastats.csv - server perficientur omnia
Zimbra acta etiam in tabella inveniri possunt /var/log/zimbra.logubi tigna Postfixi et Zimbra ipsa servantur.
Ut systema nostrum ab violentis viribus defendat, monitori erimus mailbox.log, audit.log ΠΈ zimbra.log.
Ut ad omnia operandum, necesse est ut Fail2Ban et iptableia in servo tuo Zimbra OSE constituantur. Si Ubuntu uteris, hoc facere potes imperio dpkg -s fail2bansi CentOS uteris, hoc uti iussionibus potes yum album installed fail2ban. Si Fail2Ban non habes, tunc inaugurari non erit quaestio, quia haec sarcina in omnibus fere repositoriis vexillis praesto est.
Cum omnia necessaria programmata installantur, incipias Fail2Ban constituere. Hoc facere debes lima configuratione creare /etc/fail2ban/filter.d/zimbra.conf, in quibus expressiones regulares pro Zimbra OSE ligna scribemus quae cum conatibus login et machinas Fail2Ban falsas aequabunt. Hoc exemplum contentorum zimbra.conf cum certa locutionum regularium correspondentium variis erroribus quos Zimbra OSE iacit cum conatus authenticas deficit:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Cum regulares expressiones pro Zimbra OSE exaratae sunt, tempus est ut configurationem ipsius Fail2ban edere. Occasus huius utilitatis in tabella locantur /etc/fail2ban/jail.conf. In casu tantum exemplum faciamus tergum eius utendo mandato cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Deinde hunc fasciculum ad sequentem formam proxime redigamus.
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Etsi hoc exemplum omnino genericum est, tamen nonnulla parametri explicanda sunt ut mutare velis cum te ipsum Fail2Ban instituens;
- Ignoreip β hoc modulo utens, specificare potes ip vel subnet e quo Fail2Ban inscriptiones non inspicias. Pro regula, retis interni incepti et aliae inscriptiones creditae ad indicem neglectarum adduntur.
- Bantime β Tempus ad quod reus interdictum erit. In secundis metiri. Valor -1 est bannum permanens.
- Maxretry - Maximus numerus temporum unus IP oratio IP servo accedere conetur.
- sendmail - Occasio quae te permittit ut notificationes electronicas statim mitteret cum Fail2Ban utitur.
- Findtime - Locus, qui te permittit ut temporis intervallum constituas, quo tempore IP oratio accedere conetur calculonis servi post maximum numerum frustra conatuum exhaustum (maxretry parametri)
Post tabulam servatam cum occasus Fail2Ban, omnia quae restant ad sileo hanc utilitatem utens mandato ministerium fail2ban sileo. Post sileo, praecipua Zimbra tigna incipiunt monita assidue ad obsequium expressionum regularium. Ob hoc administrator virtualiter excludere poterit omnem facultatem oppugnantis penetrantis non solum Zimbra Collaborationis Suite Open-Source Edition per mailboxes, sed etiam omnia officia intra Zimbra OSE currentia protegere, et etiam conscius esse ullis conatibus aditum alienum. .
Pro omnibus quaestionibus ad Zextras Suite pertinentibus, Repraesentativas Zextas Ekaterinae Triandafilidi contactum potes ab inscriptione electronica. [Inscriptio protected]
Source: www.habr.com