Шифрлэлтийн хүч нь мэдээллийн системийг бизнест ашиглахад хамгийн чухал үзүүлэлтүүдийн нэг юм, учир нь тэд өдөр бүр асар их хэмжээний нууц мэдээллийг дамжуулахад оролцдог. SSL холболтын чанарыг үнэлэх нийтээр хүлээн зөвшөөрөгдсөн арга бол Qualys SSL Labs-ийн бие даасан тест юм. Энэ тестийг хэн ч ажиллуулж болох тул SaaS үйлчилгээ үзүүлэгчид энэ шалгалтанд хамгийн өндөр оноо авах нь чухал юм. Зөвхөн SaaS үйлчилгээ үзүүлэгчид төдийгүй энгийн аж ахуйн нэгжүүд SSL холболтын чанарт санаа тавьдаг. Тэдний хувьд энэхүү тест нь болзошгүй сул талуудыг илрүүлж, кибер гэмт хэрэгтнүүдийн бүх цоорхойг урьдчилан хаах сайхан боломж юм.
Zimbra OSE нь хоёр төрлийн SSL сертификатыг зөвшөөрдөг. Эхнийх нь өөрөө гарын үсэг зурсан гэрчилгээ бөгөөд суулгах явцад автоматаар нэмэгддэг. Энэхүү гэрчилгээ нь үнэ төлбөргүй бөгөөд цаг хугацааны хязгаарлалтгүй тул Zimbra OSE-г турших эсвэл зөвхөн дотоод сүлжээнд ашиглахад тохиромжтой. Гэсэн хэдий ч, вэб клиент рүү нэвтрэх үед хэрэглэгчид хөтөчөөс энэ гэрчилгээ нь найдвартай биш гэсэн анхааруулгыг харах бөгөөд таны сервер Qualys SSL Labs-ийн шалгалтанд тэнцэхгүй байх болно.
Хоёр дахь нь баталгаажуулалтын байгууллагаас гарын үсэг зурсан арилжааны SSL сертификат юм. Ийм гэрчилгээг хөтчүүд амархан хүлээн зөвшөөрдөг бөгөөд ихэвчлэн Zimbra OSE-ийн арилжааны зориулалтаар ашиглагддаг. Арилжааны гэрчилгээг зөв суулгасны дараа Zimbra OSE 8.8.15 нь Qualys SSL Labs-ийн шалгалтын А оноог харуулж байна. Энэ бол маш сайн үр дүн боловч бидний зорилго бол A+ үр дүнд хүрэх явдал юм.
Zimbra Collaboration Suite Open-Source Edition-ийг ашиглах үед Qualys SSL Labs-ийн тестийн хамгийн дээд оноог авахын тулд та хэд хэдэн алхамыг хийх ёстой.
1. Diffie-Hellman протоколын параметрүүдийг нэмэгдүүлэх
Анхдагч байдлаар, OpenSSL ашигладаг Zimbra OSE 8.8.15 бүх бүрэлдэхүүн хэсгүүд нь Diffie-Hellman протоколын тохиргоог 2048 битээр тохируулсан байна. Зарчмын хувьд энэ нь Qualys SSL Labs-аас A+ оноо авахад хангалттай юм. Гэсэн хэдий ч, хэрэв та хуучин хувилбараасаа шинэчлэгдэж байгаа бол тохиргоо бага байж магадгүй юм. Тиймээс шинэчлэлт дууссаны дараа zmdhparam set -new 2048 командыг ажиллуулахыг зөвлөж байна, энэ нь Diffie-Hellman протоколын параметрүүдийг зөвшөөрөгдөх 2048 бит хүртэл нэмэгдүүлэх бөгөөд хэрэв хүсвэл ижил тушаалыг ашиглан нэмэгдүүлэх боломжтой. параметрийн утгыг 3072 эсвэл 4096 бит болгох нь нэг талаараа үүсгэх хугацааг нэмэгдүүлэх боловч нөгөө талаас шуудангийн серверийн аюулгүй байдлын түвшинд эерэгээр нөлөөлнө.
2. Ашигласан шифрүүдийн санал болгосон жагсаалтыг оруулав
Анхдагч байдлаар, Zimbra Collaborataion Suite Open-Source Edition нь найдвартай холболтоор дамжих өгөгдлийг шифрлэдэг олон төрлийн хүчтэй, сул шифрүүдийг дэмждэг. Гэсэн хэдий ч сул шифр ашиглах нь SSL холболтын аюулгүй байдлыг шалгахад ноцтой сул тал юм. Үүнээс зайлсхийхийн тулд та ашигласан шифрүүдийн жагсаалтыг тохируулах хэрэгтэй.
Үүнийг хийхийн тулд командыг ашиглана уу zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Энэ тушаал нь санал болгож буй шифрүүдийн багцыг нэн даруй багтаасан бөгөөд үүний ачаар тушаал нь жагсаалтад найдвартай шифрүүдийг шууд оруулж, найдваргүйг нь хасч болно. Одоо zmproxyctl restart командыг ашиглан урвуу прокси зангилааг дахин эхлүүлэх л үлдлээ. Дахин ачаалсны дараа хийсэн өөрчлөлтүүд хүчин төгөлдөр болно.
Хэрэв энэ жагсаалт нэг шалтгааны улмаас танд тохирохгүй бол та тушаалыг ашиглан хэд хэдэн сул шифрийг устгаж болно. zmprov mcf +zimbraSSLExcludeCipherSuites. Жишээлбэл, тушаал zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, энэ нь RC4 шифрийн хэрэглээг бүрэн арилгах болно. AES болон 3DES шифртэй ижил зүйлийг хийж болно.
3. HSTS-г идэвхжүүлнэ
Qualys SSL Labs тестэнд төгс оноо авахын тулд холболтын шифрлэлт болон TLS сессийг сэргээх идэвхжүүлсэн механизмууд шаардлагатай. Тэдгээрийг идэвхжүүлэхийн тулд та тушаалыг оруулах ёстой zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Энэ тушаал нь тохиргоонд шаардлагатай толгой хэсгийг нэмэх бөгөөд шинэ тохиргоо хүчин төгөлдөр болохын тулд та тушаалыг ашиглан Zimbra OSE-г дахин эхлүүлэх шаардлагатай болно. zmcontrol дахин эхлүүлэх.
Энэ үе шатанд Qualys SSL Labs-ийн тест нь A+ үнэлгээг харуулах боловч хэрэв та серверийнхээ аюулгүй байдлыг сайжруулахыг хүсч байвал өөр хэд хэдэн арга хэмжээ авах боломжтой.
Жишээлбэл, та процесс хоорондын холболтын албадан шифрлэлтийг идэвхжүүлж болно, мөн Zimbra OSE үйлчилгээнд холбогдох үед албадан шифрлэлтийг идэвхжүүлж болно. Процесс хоорондын холболтыг шалгахын тулд дараах тушаалуудыг оруулна уу.
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueАлбадан шифрлэлтийг идэвхжүүлэхийн тулд та дараахийг оруулах хэрэгтэй:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEЭдгээр командын ачаар прокси серверүүд болон шуудангийн серверүүдтэй холбогдох бүх холболтууд шифрлэгдэж, эдгээр бүх холболтууд прокси болно.
Тиймээс бидний зөвлөмжийг дагаж та SSL холболтын аюулгүй байдлын тестийн хамгийн өндөр оноог аваад зогсохгүй Zimbra OSE дэд бүтцийн аюулгүй байдлыг эрс нэмэгдүүлэх боломжтой.
Zextras Suite-тай холбоотой бүх асуултын талаар та Zextras-ын төлөөлөгч Екатерина Триандафилидитэй имэйлээр холбогдож болно. [имэйлээр хамгаалагдсан]
Эх сурвалж: www.habr.com