د کوډ کولو ځواک یو له خورا مهم شاخصونو څخه دی کله چې د سوداګرۍ لپاره د معلوماتو سیسټمونو کارول کیږي ، ځکه چې هره ورځ دوی د لوی مقدار محرم معلوماتو لیږد کې دخیل دي. د SSL پیوستون کیفیت ارزولو لپاره عموما منل شوې وسیله د Qualys SSL لابراتوار څخه خپلواکه ازموینه ده. څرنګه چې دا ازموینه د هرچا لخوا پرمخ وړل کیدی شي، دا په ځانګړې توګه د SaaS چمتو کونکو لپاره مهم دی چې پدې ازموینه کې ترټولو ممکنه نمرې ترلاسه کړي. نه یوازې د SaaS چمتو کونکي ، بلکه عادي تصدۍ هم د SSL اتصال کیفیت ته پاملرنه کوي. د دوی لپاره، دا ازموینه یو ښه فرصت دی چې احتمالي زیانمننې وپیژني او د سایبر جنایتکارانو لپاره مخکې له مخکې ټولې نیمګړتیاوې وتړي.
Zimbra OSE دوه ډوله SSL سندونو ته اجازه ورکوي. لومړی د ځان لاسلیک شوی سند دی چې په اتوماتيک ډول د نصب کولو پرمهال اضافه کیږي. دا سند وړیا دی او د وخت محدودیت نلري، دا د Zimbra OSE ازموینې لپاره مثالی کوي یا په ځانګړي ډول په داخلي شبکه کې کاروي. په هرصورت، کله چې د ویب پیرودونکي ته ننوتل، کاروونکي به د براوزر څخه یو خبرداری وګوري چې دا سند بې اعتباره دی، او ستاسو سرور به یقینا د Qualys SSL لابراتوار څخه ازموینه ناکامه کړي.
دوهم یو سوداګریز SSL سند دی چې د تصدیق کونکي لخوا لاسلیک شوی. دا ډول سندونه د براوزرونو لخوا په اسانۍ سره منل کیږي او معمولا د Zimbra OSE سوداګریزې کارونې لپاره کارول کیږي. د سوداګریز سند د سم نصبولو سمدستي وروسته، Zimbra OSE 8.8.15 د Qualys SSL لابراتوارونو څخه په ازموینه کې A نمرې ښیې. دا یوه غوره پایله ده، مګر زموږ هدف د A+ پایله ترلاسه کول دي.
د Qualys SSL لابراتوارونو څخه په ازموینه کې د اعظمي نمرې ترلاسه کولو لپاره کله چې د زیمبرا همکارۍ سویټ خلاص سرچینې نسخه کاروئ، تاسو باید یو شمیر مرحلې بشپړ کړئ:
1. د Diffie-Hellman پروتوکول د پیرامیټونو زیاتوالی
په ډیفالټ ډول، د زیمبرا OSE 8.8.15 ټولې برخې چې OpenSSL کاروي د Diffie-Hellman پروتوکول ترتیبات لري چې 2048 بټونو ته ټاکل شوي. په اصل کې، دا د Qualys SSL لابراتوارونو څخه په ازموینه کې د A + نمرې ترلاسه کولو لپاره کافي څخه ډیر دی. که څه هم، که تاسو د زړو نسخو څخه اپ گریڈ کوئ، ترتیبات ممکن ټیټ وي. له همدې امله ، سپارښتنه کیږي چې د اوسمهال بشپړیدو وروسته ، کمانډ چل کړئ zmdhparam set -new 2048 ، کوم چې به د Diffie-Hellman پروتوکول پیرامیټونه د منلو وړ 2048 بټونو ته لوړ کړي ، او که وغواړي ، د ورته کمانډ په کارولو سره ، تاسو کولی شئ لوړ کړئ. 3072 یا 4096 بټونو ته د پیرامیټرو ارزښت ، کوم چې له یوې خوا به د تولید وخت ډیروالي لامل شي ، مګر له بلې خوا به د میل سرور امنیت کچې باندې مثبت اغیزه ولري.
2. د کارول شویو سایفرونو وړاندیز شوي لیست شاملول
د ډیفالټ په توګه، د زیمبرا کولابراتیشن سویټ خلاص سرچینه نسخه د قوي او ضعیف سایفرونو پراخه لړۍ ملاتړ کوي ، کوم چې د خوندي پیوستون څخه تیریږي ډیټا کوډ کوي. په هرصورت، د ضعیف سیفرونو کارول یو جدي زیان دی کله چې د SSL اتصال امنیت چیک کوي. د دې څخه مخنیوي لپاره ، تاسو اړتیا لرئ د کارول شوي سایفرونو لیست تنظیم کړئ.
د دې کولو لپاره، کمانډ وکاروئ zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
پدې کمانډ کې سمدلاسه د وړاندیز شوي سیفرونو سیټ شامل دی او له دې څخه مننه ، کمانډ کولی شي سمدلاسه په لیست کې د باور وړ سایفرونه شامل کړي او د باور وړ نه لرې کړي. اوس ټول هغه څه چې پاتې دي د zmproxyctl ریسټارټ کمانډ په کارولو سره د ریورس پراکسي نوډونو بیا پیل کول دي. د ریبوټ وروسته ، رامینځته شوي بدلونونه به پلي شي.
که دا لیست تاسو ته د یو دلیل یا بل لپاره مناسب نه وي، تاسو کولی شئ د کمانډ په کارولو سره له دې څخه یو شمیر ضعیف سیفرونه لرې کړئ. zmprov mcf +zimbraSSLExcludeCipherSuites. نو، د مثال په توګه، امر zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA، کوم چې به په بشپړ ډول د RC4 سیفرونو کارول له مینځه ویسي. ورته د AES او 3DES سیفرونو سره ترسره کیدی شي.
3. HSTS فعال کړئ
د پیوستون کوډ کولو او د TLS سیشن ریکوری مجبورولو لپاره فعال میکانیزمونه هم اړین دي ترڅو د Qualys SSL لابراتوار ازموینې کې بشپړ نمرې ترلاسه کړي. د دوی د فعالولو لپاره تاسو باید کمانډ دننه کړئ zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". دا کمانډ به په ترتیب کې اړین سرلیک اضافه کړي، او د نوي ترتیباتو د اغیزمن کیدو لپاره تاسو باید د کمانډ په کارولو سره Zimbra OSE بیا پیل کړئ. zmcontrol بیا پیل کړئ.
دمخه پدې مرحله کې ، د Qualys SSL لابراتوارونو ازموینه به د A + درجه بندي وښیې ، مګر که تاسو غواړئ د خپل سرور امنیت نور هم ښه کړئ ، نو یو شمیر نور اقدامات شتون لري چې تاسو یې کولی شئ.
د مثال په توګه، تاسو کولی شئ د بین الافغاني اړیکو جبري کوډ کول فعال کړئ، او تاسو کولی شئ جبري کوډ کول هم فعال کړئ کله چې د Zimbra OSE خدماتو سره وصل شئ. د بین الافغاني اړیکو چک کولو لپاره، لاندې کمانډونه دننه کړئ:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueد جبري کوډ کولو فعالولو لپاره تاسو اړتیا لرئ دننه کړئ:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEد دې امرونو څخه مننه، د پراکسي سرورونو او میل سرورونو ټولې اړیکې به کوډ شي، او دا ټولې اړیکې به پراکسي شي.
پدې توګه ، زموږ د وړاندیزونو په تعقیب ، تاسو نه یوازې د SSL اتصال امنیت ازموینې کې ترټولو لوړې نمرې ترلاسه کولی شئ ، بلکه د زمبرا OSE زیربنا ټول امنیت کې د پام وړ زیاتوالی هم کولی شئ.
د Zextras Suite په اړه د ټولو پوښتنو لپاره، تاسو کولی شئ د بریښنالیک له لارې د Zextras استازې Ekaterina Triandafilidi سره اړیکه ونیسئ [ایمیل خوندي شوی]
سرچینه: www.habr.com