🥇 जिम्ब्रा कोलाबोरेसन सुइट ओपन सोर्स संस्करणमा SSL जडान सुरक्षा सेटिङहरू सुधार गर्दै

व्यापारको लागि सूचना प्रणालीहरू प्रयोग गर्दा एन्क्रिप्शनको बल सबैभन्दा महत्त्वपूर्ण सूचकहरू मध्ये एक हो, किनभने तिनीहरू हरेक दिन गोप्य जानकारीको ठूलो मात्राको स्थानान्तरणमा संलग्न हुन्छन्। SSL जडानको गुणस्तर मूल्याङ्कन गर्ने सामान्यतया स्वीकृत माध्यम Qualys SSL Labs बाट स्वतन्त्र परीक्षण हो। यो परीक्षण जो कोहीद्वारा चलाउन सकिने भएकोले, यो विशेष गरी SaaS प्रदायकहरूको लागि यो परीक्षणमा उच्चतम सम्भावित अंक प्राप्त गर्न महत्त्वपूर्ण छ। SaaS प्रदायकहरू मात्र होइन, तर साधारण उद्यमहरूले पनि SSL जडानको गुणस्तरको ख्याल राख्छन्। तिनीहरूका लागि, यो परीक्षण सम्भावित कमजोरीहरू पहिचान गर्न र साइबर अपराधीहरूका लागि सबै कमीकमजोरीहरू पहिले नै बन्द गर्ने उत्कृष्ट अवसर हो।

Zimbra OSE ले दुई प्रकारका SSL प्रमाणपत्रहरूलाई अनुमति दिन्छ। पहिलो स्व-हस्ताक्षरित प्रमाणपत्र हो जुन स्थापनाको समयमा स्वचालित रूपमा थपिन्छ। यो प्रमाणपत्र नि:शुल्क छ र यसको कुनै समय सीमा छैन, यसलाई Zimbra OSE परीक्षण गर्न वा आन्तरिक नेटवर्क भित्र विशेष रूपमा प्रयोग गर्नको लागि आदर्श बनाउँछ। यद्यपि, वेब क्लाइन्टमा लग इन गर्दा, प्रयोगकर्ताहरूले ब्राउजरबाट चेतावनी देख्नेछन् कि यो प्रमाणपत्र अविश्वसनीय छ, र तपाइँको सर्भर निश्चित रूपमा Qualys SSL Labs बाट परीक्षण असफल हुनेछ।

दोस्रो एक व्यावसायिक SSL प्रमाणपत्र प्रमाणीकरण प्राधिकरण द्वारा हस्ताक्षरित छ। त्यस्ता प्रमाणपत्रहरू ब्राउजरहरूद्वारा सजिलै स्वीकार गरिन्छन् र सामान्यतया Zimbra OSE को व्यावसायिक प्रयोगको लागि प्रयोग गरिन्छ। व्यावसायिक प्रमाणपत्रको सही स्थापना पछि, Zimbra OSE 8.8.15 ले Qualys SSL Labs बाट परीक्षणमा A अंक देखाउँछ। यो उत्कृष्ट नतिजा हो, तर हाम्रो लक्ष्य A+ परिणाम प्राप्त गर्नु हो।

जिम्ब्रा कोलाबोरेसन सुइट ओपन-स्रोत संस्करण प्रयोग गर्दा Qualys SSL ल्याबहरूबाट परीक्षणमा अधिकतम अंक प्राप्त गर्न, तपाईंले धेरै चरणहरू पूरा गर्नुपर्छ:

1. Diffie-Hellman प्रोटोकलको प्यारामिटरहरू बढाउँदै

पूर्वनिर्धारित रूपमा, OpenSSL प्रयोग गर्ने सबै Zimbra OSE 8.8.15 कम्पोनेन्टहरूमा 2048 बिटहरूमा Diffie-Hellman प्रोटोकल सेटिङहरू छन्। सिद्धान्तमा, Qualys SSL Labs बाट परीक्षणमा A+ स्कोर प्राप्त गर्न यो पर्याप्त छ। यद्यपि, यदि तपाइँ पुरानो संस्करणहरूबाट अपग्रेड गर्दै हुनुहुन्छ भने, सेटिङहरू कम हुन सक्छ। त्यसकारण, यो सिफारिस गरिन्छ कि अद्यावधिक पूरा भएपछि, zmdhparam set -new 2048 कमाण्ड चलाउनुहोस्, जसले Diffie-Hellman प्रोटोकलको प्यारामिटरहरूलाई स्वीकार्य 2048 बिट्समा बढाउनेछ, र यदि चाहियो भने, उही आदेश प्रयोग गरेर, तपाइँ बढाउन सक्नुहुन्छ। प्यारामिटरहरूको मान 3072 वा 4096 बिटहरूमा, जसले एकातिर उत्पादन समय बढाउनेछ, तर अर्कोतर्फ मेल सर्भरको सुरक्षा स्तरमा सकारात्मक प्रभाव पार्नेछ।

२. प्रयोग गरिएका सिफरहरूको सिफारिस गरिएको सूची समावेश गर्दै

पूर्वनिर्धारित रूपमा, Zimbra Collaborataion Suite Open-Source Edition ले बलियो र कमजोर साइफरहरूको फराकिलो दायरालाई समर्थन गर्दछ, जसले डेटालाई सुरक्षित जडानमा पार गर्ने इन्क्रिप्ट गर्दछ। यद्यपि, SSL जडानको सुरक्षा जाँच गर्दा कमजोर साइफरहरूको प्रयोग गम्भीर हानि हो। यसबाट बच्नको लागि, तपाईंले प्रयोग गरिएका साइफरहरूको सूची कन्फिगर गर्न आवश्यक छ।

यो गर्न, आदेश प्रयोग गर्नुहोस् zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

यो आदेशले तुरुन्तै सिफारिस गरिएका सिफरहरूको सेट समावेश गर्दछ र यसको लागि धन्यवाद, आदेशले तुरुन्तै सूचीमा भरपर्दो साइफरहरू समावेश गर्न सक्छ र अविश्वसनीयहरूलाई बहिष्कार गर्न सक्छ। अब बाँकी रहेको zmproxyctl रिस्टार्ट कमाण्ड प्रयोग गरेर रिभर्स प्रोक्सी नोडहरू पुन: सुरु गर्नु हो। रिबुट पछि, गरिएका परिवर्तनहरू प्रभावकारी हुनेछन्।

यदि यो सूची तपाइँलाई एक कारण वा अर्को कारणले उपयुक्त छैन भने, तपाइँ आदेश प्रयोग गरेर यसबाट धेरै कमजोर साइफरहरू हटाउन सक्नुहुन्छ। zmprov mcf +zimbraSSLExcludeCipherSuites। त्यसैले, उदाहरणका लागि, आदेश zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, जसले RC4 साइफरहरूको प्रयोगलाई पूर्ण रूपमा हटाउनेछ। एईएस र थ्रीडीईएस सिफरहरूसँग पनि त्यस्तै गर्न सकिन्छ।

3. HSTS सक्षम गर्नुहोस्

Qualys SSL Labs परीक्षणमा उत्कृष्ट अंक प्राप्त गर्नको लागि जडान ईन्क्रिप्शन र TLS सत्र रिकभरी बल गर्न सक्षम संयन्त्रहरू पनि आवश्यक छ। तिनीहरूलाई सक्षम गर्न तपाईंले आदेश प्रविष्ट गर्नुपर्छ zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000"। यो आदेशले कन्फिगरेसनमा आवश्यक हेडर थप्नेछ, र नयाँ सेटिङहरू प्रभाव पार्नको लागि तपाईंले आदेश प्रयोग गरेर Zimbra OSE पुन: सुरु गर्नुपर्नेछ। zmcontrol पुन: सुरु गर्नुहोस्.

यस चरणमा पहिले नै, Qualys SSL ल्याबहरूबाट परीक्षणले A+ मूल्याङ्कन देखाउनेछ, तर यदि तपाइँ तपाइँको सर्भरको सुरक्षालाई थप सुधार गर्न चाहनुहुन्छ भने, तपाइँले लिन सक्ने अन्य उपायहरू छन्।

उदाहरणका लागि, तपाईंले अन्तर-प्रक्रिया जडानहरूको जबरजस्ती इन्क्रिप्शन सक्षम गर्न सक्नुहुन्छ, र Zimbra OSE सेवाहरूमा जडान गर्दा जबर्जस्ती इन्क्रिप्सन सक्षम गर्न सक्नुहुन्छ। इन्टरप्रोसेस जडानहरू जाँच गर्न, निम्न आदेशहरू प्रविष्ट गर्नुहोस्:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

जबरजस्ती इन्क्रिप्सन सक्षम गर्न तपाईंले प्रविष्ट गर्न आवश्यक छ:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

यी आदेशहरूलाई धन्यवाद, प्रोक्सी सर्भरहरू र मेल सर्भरहरूमा सबै जडानहरू गुप्तिकरण गरिनेछ, र यी सबै जडानहरू प्रोक्सी हुनेछन्।

यसरी, हाम्रा सिफारिसहरू पछ्याउँदै, तपाईंले SSL जडान सुरक्षा परीक्षणमा उच्चतम स्कोर मात्र प्राप्त गर्न सक्नुहुन्न, तर सम्पूर्ण Zimbra OSE पूर्वाधारको सुरक्षालाई पनि उल्लेखनीय रूपमा वृद्धि गर्न सक्नुहुन्छ।

Zextras Suite सम्बन्धी सबै प्रश्नहरूको लागि, तपाईंले Zextras Ekaterina Triandafilidi को प्रतिनिधिलाई इ-मेलद्वारा सम्पर्क गर्न सक्नुहुन्छ। [ईमेल सुरक्षित]

स्रोत: www.habr.com

Zimbra सहयोग सुइट खुला स्रोत संस्करणमा SSL जडान सुरक्षा सेटिङहरू सुधार गर्दै

एक टिप्पणी थप्न Отменить ответ