Zimbra Collaboration Suite Open-Source Edition ရှိ SSL ချိတ်ဆက်မှု လုံခြုံရေး ဆက်တင်များကို ပိုမိုကောင်းမွန်အောင် ပြုလုပ်ခြင်း။

ကုဒ်ဝှက်ခြင်း၏ အားကောင်းမှုသည် လုပ်ငန်းအတွက် သတင်းအချက်အလက်စနစ်များကို အသုံးပြုရာတွင် အရေးကြီးဆုံး ညွှန်ကိန်းများထဲမှ တစ်ခုဖြစ်သည်။ SSL ချိတ်ဆက်မှု၏ အရည်အသွေးကို အကဲဖြတ်ခြင်း၏ ယေဘူယျလက်ခံသည့်နည်းလမ်းမှာ Qualys SSL Labs မှ သီးခြားစမ်းသပ်မှုတစ်ခုဖြစ်သည်။ ဤစစ်ဆေးမှုကို မည်သူမဆို လုပ်ဆောင်နိုင်သောကြောင့် SaaS ဝန်ဆောင်မှုပေးသူများအတွက် ဤစမ်းသပ်မှုတွင် ဖြစ်နိုင်ချေအမြင့်ဆုံးရမှတ်ကို ရရှိရန် အထူးအရေးကြီးပါသည်။ SaaS ဝန်ဆောင်မှုပေးသူများသာမက သာမန်စီးပွားရေးလုပ်ငန်းများသည်လည်း SSL ချိတ်ဆက်မှု၏ အရည်အသွေးကို အလေးထားပါသည်။ ၎င်းတို့အတွက်၊ ဤစမ်းသပ်မှုသည် ဖြစ်နိုင်ချေရှိသော အားနည်းချက်များကို ရှာဖွေဖော်ထုတ်ရန်နှင့် ဆိုက်ဘာရာဇ၀တ်ကောင်များအတွက် ကွက်လပ်အားလုံးကို ကြိုတင်ပိတ်ရန် အကောင်းဆုံးအခွင့်အရေးတစ်ခုဖြစ်သည်။

Zimbra OSE သည် SSL အသိအမှတ်ပြုလက်မှတ် နှစ်မျိုးကို ခွင့်ပြုသည်။ ပထမအချက်မှာ ထည့်သွင်းစဉ်အတွင်း အလိုအလျောက်ထည့်သွင်းထားသည့် ကိုယ်တိုင်ရေးထိုးထားသော လက်မှတ်ဖြစ်သည်။ ဤအသိအမှတ်ပြုလက်မှတ်သည် အခမဲ့ဖြစ်ပြီး အချိန်အကန့်အသတ်မရှိသောကြောင့် Zimbra OSE ကို စမ်းသပ်ရန် သို့မဟုတ် ၎င်းကို စက်တွင်းကွန်ရက်အတွင်း သီးသန့်အသုံးပြုရန်အတွက် စံပြဖြစ်စေပါသည်။ သို့သော်၊ ဝဘ်ကလိုင်းယင့်သို့ လော့ဂ်အင်ဝင်သောအခါ၊ အသုံးပြုသူများသည် ဤလက်မှတ်ကို စိတ်မချရကြောင်း ဘရောက်ဆာမှ သတိပေးချက်ကို တွေ့ရမည်ဖြစ်ပြီး၊ သင်၏ဆာဗာသည် Qualys SSL Labs မှ စမ်းသပ်မှုကို ကျိန်းသေပေါက် ကျရှုံးမည်ဖြစ်သည်။

ဒုတိယအချက်မှာ အသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်မှ လက်မှတ်ရေးထိုးထားသော စီးပွားရေးလုပ်ငန်း SSL လက်မှတ်ဖြစ်သည်။ ထိုသို့သော လက်မှတ်များကို ဘရောက်ဆာများက အလွယ်တကူ လက်ခံပြီး Zimbra OSE ကို စီးပွားရေးအရ အသုံးပြုရန်အတွက် များသောအားဖြင့် အသုံးပြုကြသည်။ စီးပွားဖြစ်အသိအမှတ်ပြုလက်မှတ်ကို မှန်ကန်စွာထည့်သွင်းပြီးနောက် ချက်ချင်းဆိုသလို၊ Zimbra OSE 8.8.15 သည် Qualys SSL Labs မှ စမ်းသပ်မှုတွင် A ရမှတ်ကို ပြသသည်။ ဒါဟာ ကောင်းမွန်တဲ့ရလဒ်တစ်ခုပါ၊ ဒါပေမယ့် ကျွန်ုပ်တို့ရဲ့ပန်းတိုင်က A+ ရလဒ်ကို ရရှိဖို့ပါ။

Zimbra Collaboration Suite Open-Source Edition ကိုအသုံးပြုသောအခါ Qualys SSL Labs မှ စစ်ဆေးမှုတွင် အမြင့်ဆုံးရမှတ်ကို ရရှိစေရန်အတွက်၊ အဆင့်များစွာကို ပြီးမြောက်ရပါမည်။

1. Diffie-Hellman ပရိုတိုကော၏ ကန့်သတ်ချက်များကို တိုးမြှင့်ခြင်း။

မူရင်းအားဖြင့်၊ OpenSSL ကိုသုံးသည့် Zimbra OSE 8.8.15 အစိတ်အပိုင်းအားလုံးတွင် Diffie-Hellman ပရိုတိုကောဆက်တင်များကို 2048 ဘစ်အဖြစ် သတ်မှတ်ထားသည်။ မူအရ၊ ၎င်းသည် Qualys SSL Labs မှ စမ်းသပ်မှုတွင် A+ ရမှတ်ရရန် လုံလောက်သည်။ သို့ရာတွင်၊ သင်သည် ဗားရှင်းအဟောင်းများမှ အဆင့်မြှင့်တင်နေပါက၊ ဆက်တင်များသည် နိမ့်သွားနိုင်သည်။ ထို့ကြောင့်၊ အပ်ဒိတ်ပြီးစီးပြီးနောက်၊ လက်ခံနိုင်သော 2048 bits သို့ လက်ခံနိုင်သော 2048 bits သို့ Diffie-Hellman protocol ၏ parameters များကို တိုးမြှင့်ပေးမည့် command zmdhparam set -new 3072 ကို run ရန် အကြံပြုလိုပြီး ဆန္ဒရှိပါက တူညီသော command ကိုအသုံးပြု၍ တိုးမြှင့်နိုင်ပါသည်။ 4096 သို့မဟုတ် XNUMX bits အထိ ကန့်သတ်ချက်များ၏တန်ဖိုးသည် တစ်ဖက်တွင် မျိုးဆက်အချိန်ကို တိုးလာစေမည်ဖြစ်သော်လည်း အခြားတစ်ဖက်တွင်မူ မေးလ်ဆာဗာ၏ လုံခြုံရေးအဆင့်အပေါ် အပြုသဘောဆောင်သော အကျိုးသက်ရောက်မှုများ ရှိလာမည်ဖြစ်သည်။

2. အသုံးပြုထားသော လျှို့ဝှက်စာဝှက်များ စာရင်းတစ်ခု အပါအဝင်

မူရင်းအားဖြင့် Zimbra Collaborataion Suite Open-Source Edition သည် လုံခြုံသောချိတ်ဆက်မှုမှတဆင့် ဒေတာကိုစာဝှက်ပေးသည့် အားကောင်းပြီး အားနည်းသော လျှို့ဝှက်စာဝှက်များစွာကို ပံ့ပိုးပေးပါသည်။ သို့သော်၊ အားနည်းသောစာဝှက်များကိုအသုံးပြုခြင်းသည် SSL ချိတ်ဆက်မှု၏လုံခြုံရေးကိုစစ်ဆေးသောအခါတွင်ဆိုးရွားသောအားနည်းချက်တစ်ခုဖြစ်သည်။ ၎င်းကိုရှောင်ရှားရန်အတွက်၊ သင်အသုံးပြုထားသော ciphers များစာရင်းကို configure လုပ်ရန်လိုအပ်သည်။

ဒီလိုလုပ်ဖို့၊ command ကိုသုံးပါ။ zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

ဤအမိန့်တော်တွင် အကြံပြုထားသော စာဝှက်နံပါတ်များ ချက်ခြင်းပါဝင်ပြီး ၎င်းအတွက် ကျေးဇူးတင်ရှိပါသည်၊ အမိန့်သည် စာရင်းတွင် ယုံကြည်စိတ်ချရသော စာဝှက်များကို ချက်ချင်းထည့်သွင်းနိုင်ပြီး ယုံကြည်စိတ်ချရသောစာဝှက်များကို ဖယ်ထုတ်နိုင်သည်။ ယခု ကျန်ရှိနေသေးသည်မှာ zmproxyctl restart command ကို အသုံးပြု၍ ပြောင်းပြန် proxy node များကို ပြန်လည်စတင်ရန်ဖြစ်သည်။ ပြန်လည်စတင်ပြီးနောက်၊ ပြုလုပ်ထားသောပြောင်းလဲမှုများသည် အသက်ဝင်မည်ဖြစ်သည်။

ဤစာရင်းသည် အကြောင်းပြချက်တစ်ခု သို့မဟုတ် အခြားတစ်ခုကြောင့် သင့်နှင့်မကိုက်ညီပါက၊ အားနည်းသော ciphers အများအပြားကို command ဖြင့်ဖယ်ရှားနိုင်သည်။ zmprov mcf +zimbraSSLExcludeCipherSuites. ဥပမာ၊ command ပေါ့။ zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHARC4 ciphers များအသုံးပြုခြင်းကို လုံးဝဖယ်ရှားပစ်မည်ဖြစ်သည်။ အလားတူ AES နှင့် 3DES ciphers များဖြင့် လုပ်ဆောင်နိုင်သည်။

3. HSTS ကိုဖွင့်ပါ။

Qualys SSL Labs စမ်းသပ်မှုတွင် ပြီးပြည့်စုံသော ရမှတ်များရရှိရန် ချိတ်ဆက်မှု ကုဒ်ဝှက်ခြင်းကို အတင်းအကြပ်တွန်းအားပေးရန် ဖွင့်ထားသော ယန္တရားများနှင့် TLS စက်ရှင် ပြန်လည်ရယူခြင်းကိုလည်း လိုအပ်ပါသည်။ ၎င်းတို့ကိုဖွင့်ရန်သင် command ကိုရိုက်ထည့်ရပါမည်။ zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". ဤ command သည် configuration တွင် လိုအပ်သော header ကို ပေါင်းထည့်မည်ဖြစ်ပြီး၊ ဆက်တင်အသစ်တွင် အကျိုးသက်ရောက်စေရန်အတွက် သင်သည် Zimbra OSE ဟူသော command ကို အသုံးပြု၍ ပြန်လည်စတင်ရမည်ဖြစ်ပါသည်။ zmcontrol ပြန်လည်စတင်ပါ။.

ဤအဆင့်တွင်ရှိပြီး၊ Qualys SSL Labs မှစမ်းသပ်မှုသည် A+ အဆင့်သတ်မှတ်ချက်ကိုပြသလိမ့်မည်ဖြစ်သော်လည်း၊ သင်သည်သင်၏ဆာဗာ၏လုံခြုံရေးကိုပိုမိုမြှင့်တင်လိုပါက၊ သင်လုပ်ဆောင်နိုင်သောအခြားအတိုင်းအတာများစွာရှိပါသည်။

ဥပမာအားဖြင့်၊ သင်သည် လုပ်ငန်းစဉ်အချင်းချင်း ချိတ်ဆက်မှုများကို အတင်းအကြပ် ကုဒ်ဝှက်ခြင်းကို ဖွင့်နိုင်ပြီး Zimbra OSE ဝန်ဆောင်မှုများနှင့် ချိတ်ဆက်သည့်အခါတွင်လည်း အတင်းအကျပ် ကုဒ်ဝှက်ခြင်းကို ဖွင့်နိုင်သည်။ အပြန်အလှန်လုပ်ဆောင်မှုချိတ်ဆက်မှုများကို စစ်ဆေးရန်၊ အောက်ပါ command များကို ရိုက်ထည့်ပါ-

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

အတင်းအကြပ် ကုဒ်ဝှက်ခြင်းကို ဖွင့်ရန် သင်သည် ထည့်သွင်းရန် လိုအပ်သည်-

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

ဤအမိန့်ပေးမှုများကြောင့်၊ ပရောက်စီဆာဗာများနှင့် မေးလ်ဆာဗာများသို့ ချိတ်ဆက်မှုများအားလုံးကို ကုဒ်ဝှက်ထားမည်ဖြစ်ပြီး အဆိုပါချိတ်ဆက်မှုများအားလုံးကို ပရောက်စီပေးမည်ဖြစ်သည်။

ထို့ကြောင့် ကျွန်ုပ်တို့၏အကြံပြုချက်များအတိုင်း၊ သင်သည် SSL ချိတ်ဆက်မှုလုံခြုံရေးစမ်းသပ်မှုတွင် အမြင့်ဆုံးရမှတ်ကို အောင်မြင်ရုံသာမက Zimbra OSE အခြေခံအဆောက်အအုံတစ်ခုလုံး၏ လုံခြုံရေးကိုလည်း သိသိသာသာတိုးမြင့်စေပါသည်။

Zextras Suite နှင့်သက်ဆိုင်သည့်မေးခွန်းများအားလုံးအတွက်၊ သင်သည် Zextras Ekaterina Triandafilidi ၏ကိုယ်စားလှယ်ထံ အီးမေးလ်ဖြင့် ဆက်သွယ်နိုင်ပါသည်။ [အီးမေးလ်ကိုကာကွယ်ထားသည်]

source: www.habr.com