Zimbra Collaboration Suite Open-Source Edition dia manana fitaovana matanjaka maromaro hiantohana ny fiarovana ny vaovao. Anisan-dry zareo - vahaolana amin'ny fiarovana ny mpizara mailaka amin'ny fanafihana avy amin'ny botnets, ClamAV - antivirus afaka mijery ny rakitra sy ny taratasy miditra amin'ny otrikaretina amin'ny programa ratsy, ary koa - iray amin'ireo sivana spam tsara indrindra ankehitriny. Na izany aza, ireo fitaovana ireo dia tsy afaka miaro an'i Zimbra OSE amin'ny fanafihana mahery vaika. Tsy ny tenimiafina faran'izay kanto, fa mbola tena mandaitra, manery mafy amin'ny fampiasana rakibolana manokana dia tsy vitan'ny hoe mety hahomby amin'ny hacking miaraka amin'ny voka-dratsiny rehetra, fa koa amin'ny famoronana enta-mavesatra lehibe amin'ny mpizara, izay manodina ny rehetra. tsy nahomby ny fijinjana mpizara amin'ny Zimbra OSE.
Amin'ny ankapobeny, azonao atao ny miaro tena amin'ny herisetra amin'ny fampiasana fitaovana Zimbra OSE mahazatra. Ny firafitry ny politikan'ny fiarovana ny tenimiafina dia ahafahanao mametraka ny isan'ireo andrana fampidirana tenimiafina tsy nahomby, ary avy eo dia voasakana ilay kaonty mety ho voatafika. Ny olana lehibe amin'ity fomba fiasa ity dia ny fisian'ny toe-javatra izay mety ho voasakana ny kaontin'ny mpiasa iray na maromaro noho ny fanafihana mahery vaika izay tsy misy idirany, ary mety hiteraka fatiantoka lehibe ho an'ny mpiasa ny fiatoana aterak'izany. ny orinasa. Izany no tsara indrindra raha tsy mampiasa ity safidy fiarovana amin'ny herisetra ity.
Mba hiarovana amin'ny herisetra, fitaovana manokana antsoina hoe DoSFilter no mety kokoa, izay natsangana tao amin'ny Zimbra OSE ary afaka manapaka ho azy ny fifandraisana amin'ny Zimbra OSE amin'ny alΓ lan'ny HTTP. Raha lazaina amin'ny teny hafa, ny fitsipiky ny fiasan'ny DoSFilter dia mitovy amin'ny fitsipiky ny fiasan'ny PostScreen, fa ampiasaina amin'ny protocol hafa ihany. Natao voalohany hamerana ny isan'ny hetsika azon'ny mpampiasa iray atao, ny DoSFilter dia afaka manome fiarovana mahery vaika ihany koa. Ny tena mahasamihafa azy amin'ilay fitaovana natsangana tao amin'ny Zimbra dia ny hoe aorian'ny andrana tsy nahomby maromaro, dia tsy manakana ny mpampiasa ny tenany, fa ny adiresy IP izay anandramana maromaro hidirana amina kaonty manokana. Noho izany, ny mpitantana ny rafitra dia tsy afaka miaro amin'ny herisetra mahery vaika, fa koa misoroka ny fanakanana ny mpiasan'ny orinasa amin'ny fampidirana fotsiny ny tambajotra anatiny ao amin'ny orinasany amin'ny lisitry ny adiresy IP azo itokisana sy ny subnets.
Ny tombony lehibe amin'ny DoSFilter dia ny fanampin'ny andrana maro hiditra ao amin'ny kaonty manokana, amin'ny fampiasana ity fitaovana ity dia azonao atao ny manakana ho azy ireo mpanafika izay naka ny angon-drakitra fanamarinana ny mpiasa iray, ary avy eo dia niditra soa aman-tsara tao amin'ny kaontiny ary nanomboka nandefa fangatahana an-jatony. mankany amin'ny mpizara.
Azonao atao ny manamboatra DoSFilter amin'ny fampiasana ireto baiko console manaraka ireto:
- zimbraHttpDosFilterMaxRequestsPerSec - Amin'ny fampiasana an'io baiko io dia azonao atao ny mametraka ny isan'ny fifandraisana ambony indrindra azon'ny mpampiasa iray. Amin'ny alΓ lan'ny default, ity sanda ity dia fifandraisana 30.
- zimbraHttpDosFilterDelayMillis - Amin'ny fampiasana an'io baiko io dia azonao atao ny mametraka fahatarana amin'ny milisegondra ho an'ny fifandraisana izay mihoatra ny fetra voafaritry ny baiko teo aloha. Ho fanampin'ny soatoavina integer, ny mpitantana dia afaka mamaritra 0, mba tsy hisian'ny fahatarana mihitsy, ary -1, ka tapaka tsotra izao ny fifandraisana rehetra mihoatra ny fetra voatondro. Ny sandan'ny default dia -1.
- zimbraHttpThrottleSafeIPs - Amin'ny fampiasana an'io baiko io, ny mpitantana dia afaka mamaritra ny adiresy IP azo itokisana sy ny subnets izay tsy hiharan'ny fameperana voalaza etsy ambony. Mariho fa ny syntax an'ity baiko ity dia mety miovaova arakaraka ny vokatra tadiavina. Noho izany, ohatra, amin'ny fampidirana ny baiko zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, hosoloinao tanteraka ny lisitra iray manontolo ary adiresy IP iray ihany no avelanao ao. Raha miditra ny baiko ianao zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, ny adiresy IP nampidirinao dia hanampy amin'ny lisitra fotsy. Toy izany koa, amin'ny fampiasana ny mari-pamantarana fanalana, azonao atao ny manala ny IP rehetra amin'ny lisitra navela.
Mariho fa mety hiteraka olana maromaro ny DoSFilter rehefa mampiasa ny fanitarana Zextras Suite Pro. Mba hisorohana azy ireo dia manoro hevitra izahay hampitombo ny isan'ny fifandraisana miaraka amin'ny 30 ka hatramin'ny 100 amin'ny fampiasana ny baiko. zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Ho fanampin'izay, manoro hevitra izahay ny hampidirana ny tambajotra anatiny amin'ny orinasa amin'ny lisitry ny azo avela. Azo atao amin'ny alalan'ny baiko izany zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Rehefa vita ny fanovana rehetra ao amin'ny DoSFilter, ataovy azo antoka fa hamerina ny mpizara mailaka anao amin'ny alΓ lan'ny baiko zmmailboxdctl restart.
Ny tsy fahampiana lehibe indrindra amin'ny DoSFilter dia ny asany amin'ny haavon'ny fampiharana ary noho izany dia afaka mametra ny fahafahan'ny mpanafika hanao hetsika isan-karazany amin'ny mpizara, tsy mametra ny fahafahana mifandray amin'ny avaratra. Noho izany, ny fangatahana nalefa tany amin'ny mpizara ho fanamarinana na fandefasana taratasy, na dia mazava ho azy fa tsy hahomby aza, dia mbola hisolo tena ny fanafihana DoS taloha tsara, izay tsy azo ajanona amin'ny ambaratonga avo toy izany.
Mba hiarovana tanteraka ny serivera orinasanao amin'ny Zimbra OSE, azonao atao ny mampiasa vahaolana toy ny Fail2ban, izay rafitra afaka manara-maso tsy tapaka ny rafitra fampahalalam-baovao ho an'ny hetsika miverimberina ary manakana ny mpanafika amin'ny alΓ lan'ny fanovana ny fikandrana afo. Ny fanakanana amin'ny ambaratonga ambany toy izany dia ahafahanao manakana ny mpanafika eo amin'ny sehatry ny fifandraisana IP amin'ny mpizara. Noho izany, ny Fail2Ban dia afaka mameno tsara ny fiarovana naorina amin'ny fampiasana DoSFilter. Andeha hojerentsika ny fomba ahafahanao mampifandray an'i Fail2Ban amin'ny Zimbra OSE ary amin'izany dia hampitombo ny fiarovana ny fotodrafitrasa IT an'ny orinasanao.
Sahala amin'ny rindranasa hafa rehetra, Zimbra Collaboration Suite Open-Source Edition dia mitazona ny mombamomba ny asany. Ny ankamaroan'izy ireo dia voatahiry ao anaty lahatahiry /opt/zimbra/log/ amin'ny endrika rakitra. Ireto misy vitsivitsy amin'izy ireo:
- mailbox.log - Diarin'ny serivisy mailaka
- audit.log - logs authentication
- clamd.log β lozisialy fiasan'ny antivirus
- freshclam.log - logs fanavaozana antivirus
- convertd.log β attachment converter logs
- zimbrastats.csv - diarin'ny fahombiazan'ny mpizara
Hita ao amin'ny rakitra ihany koa ny logs Zimbra /var/log/zimbra.log, izay misy ny diarin'ny Postfix sy Zimbra mihitsy.
Mba hiarovana ny rafitray amin'ny herisetra dia hanara-maso izahay mailbox.log, audit.log ΠΈ zimbra.log.
Mba hampandehanana ny zava-drehetra dia ilaina ny fametrahana Fail2Ban sy iptables ao amin'ny servero miaraka amin'ny Zimbra OSE. Raha mampiasa Ubuntu ianao dia azonao atao izany amin'ny alΓ lan'ny baiko dpkg -s fail2ban, raha mampiasa CentOS ianao dia azonao atao ny manamarina izany amin'ny alΓ lan'ny baiko Yum list nametraka fail2ban. Raha tsy nametraka Fail2Ban ianao, dia tsy olana ny fametrahana azy, satria ity fonosana ity dia misy amin'ny ankamaroan'ny tahiry mahazatra.
Rehefa tafapetraka ny rindrambaiko ilaina rehetra dia afaka manomboka manamboatra Fail2Ban ianao. Mba hanaovana izany dia mila mamorona rakitra fanamafisana ianao /etc/fail2ban/filter.d/zimbra.conf, izay hanoratanay fitenenana mahazatra ho an'ny diarin'ny Zimbra OSE izay hifanaraka amin'ny andrana fidirana diso ary hiteraka mekanika Fail2Ban. Ity misy ohatra iray amin'ny votoatin'ny zimbra.conf miaraka amin'ny andian-teny mahazatra mifanaraka amin'ny lesoka isan-karazany aterin'ny Zimbra OSE rehefa tsy nahomby ny andrana fanamarinana:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Rehefa voaangona ny fomba fiteny mahazatra ho an'ny Zimbra OSE, fotoana izao hanombohana ny fanitsiana ny fandrindrana ny Fail2ban mihitsy. Ny firafitry ity fitaovana ity dia hita ao amin'ny rakitra /etc/fail2ban/jail.conf. Raha sanatria, andao hanao kopia backup amin'ny fampiasana ny baiko cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Aorian'izay dia hahenay ho toy izao manaraka izao ity rakitra ity:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Na dia somary ankapobeny aza ity ohatra ity, dia mbola mendrika ny hanazavana ny sasany amin'ireo masontsivana mety ho tianao ovaina rehefa manangana ny tenanao Fail2Ban:
- Ignoreip - amin'ny fampiasana an'io paramètre io dia azonao atao ny mamaritra ny ip na ny subnet manokana izay tsy tokony hanamarinan'ny Fail2Ban ny adiresy. Amin'ny maha-fitsipika, ny tambajotra anatiny ao amin'ny orinasa sy ny adiresy itokisana hafa dia ampidirina amin'ny lisitry ny tsy noraharahiana.
- Bantime β Ny fotoana handrarana ny mpanao ratsy. Refesina ao anatin'ny segondra. Ny sandan'ny -1 dia midika fandrarana maharitra.
- Maxretry - Ny isan'ny im-betsaka ny adiresy IP iray afaka manandrana miditra amin'ny mpizara.
- sendmail - Toerana ahafahanao mandefa fampandrenesana mailaka mandeha ho azy rehefa mipoitra ny Fail2Ban.
- Findtime - Fametrahana ahafahanao mametraka ny elanelan'ny fotoana ahafahan'ny adiresy IP manandrana miditra amin'ny mpizara indray rehefa tapitra ny isan'ny andrana tsy nahomby (marika maxretry)
Aorian'ny fitehirizana ny rakitra miaraka amin'ny fandrindrana Fail2Ban, ny hany sisa tavela dia ny mamerina ity fitaovana ity amin'ny alΓ lan'ny baiko service fail2ban restart. Aorian'ny fanombohana indray dia hanomboka hanara-maso tsy tapaka ny log Zimbra lehibe amin'ny fanarahana ireo fomba fiteny mahazatra. Noho izany, ny mpitantana dia ho afaka hanafoana saika ny mety hisian'ny mpanafika miditra tsy ao amin'ny Zimbra Collaboration Suite Open-Source Edition mailboxes, fa koa miaro ny serivisy rehetra mandeha ao amin'ny Zimbra OSE, ary koa mahafantatra ny fikasana hahazoana fidirana tsy nahazoana alalana. .
Ho an'ny fanontaniana rehetra mifandraika amin'ny Zextras Suite, azonao atao ny mifandray amin'ny solontenan'ny Zextras Ekaterina Triandafilidi amin'ny alΓ lan'ny mailaka. [email voaaro]
Source: www.habr.com