Oprócz szyfrowania wiadomości e-mail i korzystania z podpisu cyfrowego, jednym z najskuteczniejszych i najtańszych sposobów ochrony poczty e-mail przed włamaniem jest kompetentna polityka bezpieczeństwa haseł. Hasła spisane na kartkach papieru, przechowywane w plikach publicznych lub po prostu niewystarczająco skomplikowane zawsze stanowią dużą lukę w bezpieczeństwie informacji przedsiębiorstwa i mogą prowadzić do poważnych incydentów mających wymierne konsekwencje dla biznesu. Dlatego każde przedsiębiorstwo musi mieć rygorystyczną politykę bezpieczeństwa haseł.
Jednak każdy specjalista ds. bezpieczeństwa wie, że polityka haseł przyniesie rezultaty tylko wtedy, gdy nie tylko będzie istniała, ale będzie ściśle przestrzegana przez wszystkich, a przynajmniej przez kluczowych pracowników organizacji. Osiągnięcie tego jest trudniejsze niż się wydaje. Pracownicy, którzy są już mocno obciążeni pracą, ciągle zapominają o konieczności zmiany hasła lub idą po najmniejszej linii oporu, za każdym razem upraszczając hasło, niwecząc w ten sposób cały efekt. Dlatego problem zgodności z polityką haseł w przedsiębiorstwach rozwiązuje się zwykle za pomocą różnych środków technicznych.
Nie potrzebujesz żadnych aplikacji innych firm, aby egzekwować politykę haseł Zimbra. Można to osiągnąć za pomocą wbudowanych narzędzi.
Na początek warto zrozumieć jak działa zarządzanie hasłami w Zimbrze. Po utworzeniu nowego konta administrator przypisuje mu hasło tymczasowe. Po tym czasie użytkownik będzie mógł samodzielnie zalogować się do konta i zmienić hasło. Wszystkie hasła przechowywane są w formie zaszyfrowanej na serwerze Zimbry i dzięki temu są niedostępne nawet dla administratora serwera. Dlatego jeśli użytkownik zapomni hasła, będzie musiał utworzyć nowe. Przypomnijmy, że do niedawna utworzenie nowego hasła wymagało udziału administratora, jednak najnowsza wersja Zimbra Creative Suite 8.8.9 dodała możliwość samodzielnego ustawienia nowego hasła przez użytkowników.
Ustawienia polityki haseł znajdziesz w ustawieniach poszczególnych użytkowników i grup użytkowników. Możesz skonfigurować:
- Długość hasła - pozwala ustawić minimalną i maksymalną długość hasła. Domyślnie minimalna długość hasła to 6 znaków, a maksymalna to 64.
- Starzenie się hasła - pozwala ustawić czas, po którym hasło traci ważność. Użytkownicy nie muszą czekać na wygaśnięcie hasła, mogą je zmienić przed jego wygaśnięciem
- Minimalna ilość wielkich liter - pozwala ustawić minimalną ilość wielkich liter używanych w haśle
- Minimalna liczba małych liter - pozwala ustawić minimalną liczbę małych liter używanych w haśle
- Minimalna liczba znaków numerycznych - pozwala ustawić minimalną liczbę cyfr od 0 do 9 używanych w haśle
- Minimalna liczba znaków interpunkcyjnych - umożliwia ustawienie minimalnej liczby znaków interpunkcyjnych i specjalnych używanych w haśle
- Wymuszaj historię haseł - umożliwia ustawienie liczby haseł do zapamiętania, aby użytkownik nie korzystał okresowo z duplikatów haseł
- Hasło zablokowane - opcja ta pozwala uniemożliwić użytkownikowi zmianę hasła
- Włącz blokadę nieudanego logowania - opcja ta umożliwia skonfigurowanie reakcji systemu na wprowadzenie błędnego hasła
Jak widać, ustawienia haseł w Zimbrze są dość elastyczne i można je dostosować do polityki haseł niemal każdego przedsiębiorstwa. Ponadto za pomocą prostego skryptu możesz ustawić przypomnienia, które będą wysyłane do użytkowników, że ich hasło wkrótce wygaśnie. Dzięki takiemu przypomnieniu pracownik będzie mógł w spokojnej atmosferze zmienić hasło, zaś poczta pracownika, która przeoczyła moment zmiany hasła, nie otwierając się rano, może negatywnie wpłynąć na jego efektywność.
Aby ten skrypt zadziałał, musisz skopiować go do pliku i uczynić go wykonywalnym. Zaleca się zautomatyzowanie wykonywania tego skryptu za pomocą Crona, aby codziennie powiadamiał użytkowników, którzy od dłuższego czasu nie aktualizowali swojego hasła, że wkrótce przestanie on działać. Dodatkowo w skrypcie zamiast zimbra.server.com należy zastąpić nazwę własnej domeny.
#!/bin/bash
# Задаем ряд переменных:
# Сперва количество дней для первого напоминания, затем для последнего:
FIRST="3"
LAST="1"
# Задаем адрес отправителя:
FROM="[email protected]"
# Задаем адрес получателя, который будет получать письмо со списком аккаунтов с истекшими паролями
ADMIN_RECIPIENT="[email protected]"
# Указываем путь к исполняемому файлу Sendmail
SENDMAIL=$(ionice -c3 find /opt/zimbra/common/sbin/sendmail* -type f -iname sendmail)
# Получаем список всех пользователей.
USERS=$(ionice -c3 /opt/zimbra/bin/zmprov -l gaa $DOMAIN)
# Указываем дату с точностью до секунды:
DATE=$(date +%s)
# Проверяем каждого из них:
for USER in $USERS
do
# Узнаем, когда был установлен пароль
USERINFO=$(ionice -c3 /opt/zimbra/bin/zmprov ga "$USER")
PASS_SET_DATE=$(echo "$USERINFO" | grep zimbraPasswordModifiedTime: | cut -d " " -f 2 | cut -c 1-8)
PASS_MAX_AGE=$(echo "$USERINFO" | grep "zimbraPasswordMaxAge:" | cut -d " " -f 2)
NAME=$(echo "$USERINFO" | grep givenName | cut -d " " -f 2)
# Проверяем, нет ли среди пользователей тех, у кого срок действия пароля уже истек.
if [[ "$PASS_MAX_AGE" -eq "0" ]]
then
continue
fi
# Высчитываем дату окончания действия паролей
EXPIRES=$(date -d "$PASS_SET_DATE $PASS_MAX_AGE days" +%s)
# Считаем, сколько дней осталось до окончания срока действия пароля
DEADLINE=$(( (($DATE - $EXPIRES)) / -86400 ))
# Отправляем письмо пользователям
SUBJECT="$NAME - Ваш пароль станет недействительным через $DEADLINE дней"
BODY="
Здравствуйте, $NAME,
Пароль вашего аккаунта станет недействительным через $DEADLINE дней, Пожалуйста, создайте новый как можно скорее.
Вы можете также создать напоминание о смене пароля в календаре Zimbra.
Заранее спасибо.
С уважением, IT-отдел
"
# Первое предупреждение
if [[ "$DEADLINE" -eq "$FIRST" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Reminder email sent to: $USER - $DEADLINE days left"
# Последнее предупреждение
elif [[ "$DEADLINE" -eq "$LAST" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Reminder email sent to: $USER - $DEADLINE days left"
# Final
elif [[ "$DEADLINE" -eq "1" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Last chance for: $USER - $DEADLINE days left"
fi
doneMożna zatem powiedzieć, że Zimbra Collaboration Suite jest całkiem odpowiedni nawet dla tych przedsiębiorstw, które wdrożyły ścisłą politykę haseł, a dzięki wbudowanym funkcjom dość łatwo będzie nakłonić pracowników do ścisłego jej przestrzegania.
W przypadku wszystkich pytań związanych z Zextras Suite, możesz skontaktować się z Przedstawicielem firmy Zextras Katerina Triandafilidi przez e-mail [email chroniony]
Źródło: www.habr.com