Zimbra تعاون سوٽ اوپن سورس ايڊيشن وٽ ڪيترائي طاقتور اوزار آھن معلومات جي حفاظت کي يقيني بڻائڻ لاءِ. انهن مان - هڪ ميل سرور کي botnets جي حملن کان بچائڻ لاءِ هڪ حل، ClamAV - هڪ اينٽي وائرس جيڪو ايندڙ فائلن ۽ خطن کي اسڪين ڪري سگهي ٿو بدسلوڪي پروگرامن سان انفيڪشن لاءِ. - اڄ جي بهترين اسپام فلٽرن مان هڪ. بهرحال، اهي اوزار زمبرا OSE کي وحشي قوت جي حملن کان بچائڻ ۾ ناڪام آهن. سڀ کان وڌيڪ خوبصورت نه، پر اڃا تائين ڪافي اثرائتو، خاص ڊڪشنري استعمال ڪندي برٽ زبردستي پاسورڊ نه رڳو ڪامياب هيڪنگ جي امڪانن سان ڀريل آهي سڀني ايندڙ نتيجن سان، پر سرور تي هڪ اهم لوڊ پيدا ڪرڻ سان، جيڪو سڀني کي پروسيس ڪري ٿو. Zimbra OSE سان سرور کي هيڪ ڪرڻ جي ناڪام ڪوشش.
اصول ۾، توهان معياري Zimbra OSE اوزار استعمال ڪندي وحشي قوت کان پاڻ کي بچائي سگهو ٿا. پاسورڊ سيڪيورٽي پاليسي سيٽنگون توهان کي ناڪام پاسورڊ داخل ٿيڻ جي ڪوششن جو تعداد مقرر ڪرڻ جي اجازت ڏين ٿيون، جنهن کان پوء ممڪن طور تي حملو ٿيل اڪائونٽ بلاڪ ڪيو ويو آهي. هن طريقي سان بنيادي مسئلو اهو آهي ته اهڙيون حالتون پيدا ٿين ٿيون جنهن ۾ هڪ يا وڌيڪ ملازمن جي اڪائونٽن کي هڪ وحشي حملي جي ڪري بلاڪ ڪيو وڃي، جنهن سان انهن جو ڪو به تعلق نه آهي، ۽ نتيجي ۾ ملازمن جي ڪم ۾ گهٽتائي جو وڏو نقصان ٿي سگهي ٿو. ڪمپني. انهي ڪري اهو بهترين ناهي ته هن اختيار کي استعمال ڪرڻ جي حفاظت جي وحشي قوت جي خلاف.
برٽ فورس کان بچاءُ لاءِ، DoSFilter نالي هڪ خاص اوزار تمام گهڻو مناسب آهي، جيڪو Zimbra OSE ۾ ٺهيل آهي ۽ خودڪار طريقي سان Zimbra OSE سان HTTP ذريعي ڪنيڪشن ختم ڪري سگهي ٿو. ٻين لفظن ۾، DoSFilter جو آپريٽنگ اصول پوسٽ اسڪرين جي آپريٽنگ اصول سان ملندڙ جلندڙ آهي، صرف اهو هڪ مختلف پروٽوڪول لاء استعمال ڪيو ويندو آهي. اصل ۾ ٺهيل ڪمن جي تعداد کي محدود ڪرڻ لاءِ هڪ واحد صارف انجام ڏئي سگهي ٿو، DoSFilter پڻ مهيا ڪري سگهي ٿو وحشي قوت تحفظ. Zimbra ۾ ٺاهيل ٽول کان ان جو اهم فرق اهو آهي ته ڪجهه ناڪام ڪوششن کان پوءِ، اهو پاڻ کي صارف کي بلاڪ نٿو ڪري، پر IP پتو جنهن مان هڪ خاص اڪائونٽ ۾ لاگ ان ٿيڻ لاءِ ڪيترائي ڪوششون ڪيون وڃن ٿيون. انهي جي مهرباني، هڪ سسٽم ايڊمنسٽريٽر نه رڳو برٽ فورس جي خلاف حفاظت ڪري سگهي ٿو، پر ڪمپني جي ملازمن کي بلاڪ ڪرڻ کان به پاسو ڪري سگهي ٿو صرف پنهنجي ڪمپني جي اندروني نيٽ ورڪ کي قابل اعتماد IP پتي ۽ سبنيٽس جي لسٽ ۾ شامل ڪندي.
DoSFilter جو وڏو فائدو اهو آهي ته هڪ خاص اڪائونٽ ۾ لاگ ان ٿيڻ جي ڪيترن ئي ڪوششن کان علاوه، هن اوزار کي استعمال ڪندي توهان خودڪار طريقي سان انهن حملي ڪندڙن کي بلاڪ ڪري سگهو ٿا جن هڪ ملازم جي تصديق واري ڊيٽا تي قبضو ڪيو، ۽ پوء ڪاميابيء سان سندس اڪائونٽ ۾ لاگ ان ٿيو ۽ سوين درخواستون موڪلڻ شروع ڪيو. سرور ڏانهن.
توھان ھيٺ ڏنل ڪنسول ڪمانڊ استعمال ڪندي DoSFilter ترتيب ڏئي سگھو ٿا:
- zimbraHttpDosFilterMaxRequestsPerSec - ھن حڪم کي استعمال ڪندي، توھان مقرر ڪري سگھو ٿا وڌ ۾ وڌ تعداد ھڪڙي صارف لاءِ اجازت ڏنل ڪنيڪشن. ڊفالٽ طور هي قدر 30 ڪنيڪشن آهي.
- zimbraHttpDosFilterDelayMillis - هن حڪم کي استعمال ڪندي، توهان ڪنيڪشن لاءِ مليس سيڪنڊن ۾ دير مقرر ڪري سگهو ٿا جيڪي اڳئين حڪم جي بيان ڪيل حد کان وڌي ويندا. انٽيجر ويلز جي اضافي ۾، ايڊمنسٽريٽر 0 بيان ڪري سگھي ٿو، ته جيئن اتي ڪا به دير نه ٿئي، ۽ -1، ته جيئن سڀ ڪنيڪشن جيڪي مخصوص حد کان وڌي وڃن، سا وقفي وقفي سان. ڊفالٽ قدر آهي -1.
- zimbraHttpThrottleSafeIPs - ھن حڪم کي استعمال ڪندي، منتظم قابل اعتماد IP پتي ۽ ذيلي نيٽ بيان ڪري سگھن ٿا جيڪي مٿي ڏنل فهرستن جي پابندين جي تابع نه ٿيندا. نوٽ ڪريو ته ھن حڪم جو نحو مختلف ٿي سگھي ٿو مطلوب نتيجو جي لحاظ کان. تنهن ڪري، مثال طور، حڪم داخل ڪندي zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1، توهان مڪمل طور تي پوري لسٽ کي مٿي لکندا ۽ ان ۾ صرف هڪ IP پتو ڇڏيندؤ. جيڪڏهن توهان حڪم داخل ڪريو zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1، جيڪو IP پتو توهان داخل ڪيو آهي اهو سفيد لسٽ ۾ شامل ڪيو ويندو. اهڙي طرح، ذيلي نشاني استعمال ڪندي، توهان اجازت ڏنل فهرست مان ڪنهن به IP کي هٽائي سگهو ٿا.
مهرباني ڪري نوٽ ڪريو ته DoSFilter شايد ڪيتريون ئي مسئلا پيدا ڪري سگھن ٿيون جڏهن استعمال ڪندي Zextras Suite Pro extensions. انهن کان بچڻ لاءِ، اسان سفارش ڪريون ٿا ته ڪمانڊ استعمال ڪندي هڪ ئي وقت ڪنيڪشن جو تعداد 30 کان 100 تائين وڌايو zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. ان کان علاوه، اسان اجازت ڏني وارن جي لسٽ ۾ انٽرنيشنل اندروني نيٽ ورڪ شامل ڪرڻ جي صلاح ڏين ٿا. اهو حڪم استعمال ڪندي ڪري سگهجي ٿو zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. DoSFilter ۾ ڪي به تبديليون ڪرڻ کان پوء، ڪمانڊ استعمال ڪندي پنھنجي ميل سرور کي ٻيهر شروع ڪرڻ جي پڪ ڪريو zmmailboxdctl ٻيهر شروع ڪريو.
DoSFilter جو بنيادي نقصان اهو آهي ته اهو ايپليڪيشن جي سطح تي ڪم ڪري ٿو ۽ تنهن ڪري صرف اتر سان ڳنڍڻ جي صلاحيت کي محدود ڪرڻ کان سواء، سرور تي مختلف ڪارناما انجام ڏيڻ جي حملي ڪندڙن جي صلاحيت کي محدود ڪري سگهي ٿو. انهي جي ڪري، سرور ڏانهن تصديق يا خط موڪلڻ لاء موڪليل درخواستون، جيتوڻيڪ اهي واضح طور تي ناڪام ٿيندا، اڃا به هڪ سٺي پراڻي DoS حملي جي نمائندگي ڪندا، جنهن کي اهڙي اعلي سطح تي روڪي نه ٿو سگهجي.
Zimbra OSE سان توهان جي ڪارپوريٽ سرور کي مڪمل طور تي محفوظ ڪرڻ لاءِ، توهان هڪ حل استعمال ڪري سگهو ٿا جهڙوڪ Fail2ban، جيڪو هڪ فريم ورڪ آهي جيڪو مسلسل انفارميشن سسٽم لاگز کي بار بار ڪمن لاءِ مانيٽر ڪري سگهي ٿو ۽ فائر وال سيٽنگون تبديل ڪندي مداخلت ڪندڙ کي بلاڪ ڪري ٿو. اهڙي گهٽ سطح تي بلاڪ ڪرڻ توهان کي اجازت ڏئي ٿي حملي ڪندڙن کي غير فعال ڪرڻ جي اسٽيج تي صحيح IP ڪنيڪشن سرور سان. اهڙيء طرح، Fail2Ban مڪمل طور تي DoSFilter استعمال ڪندي ٺاهيل تحفظ کي پورو ڪري سگھي ٿو. اچو ته معلوم ڪريون ته توهان Fail2Ban کي Zimbra OSE سان ڪيئن ڳنڍي سگهو ٿا ۽ اهڙي طرح توهان جي ڪمپني جي آئي ٽي انفراسٽرڪچر جي سيڪيورٽي کي وڌائي سگهو ٿا.
ڪنهن ٻئي انٽرپرائز-ڪلاس ايپليڪيشن وانگر، Zimbra تعاون سوٽ اوپن سورس ايڊيشن پنهنجي ڪم جا تفصيلي لاگ رکي ٿو. انهن مان گهڻا فولڊر ۾ محفوظ ٿيل آهن /opt/zimbra/log/ فائلن جي صورت ۾. هتي انهن مان صرف چند آهن:
- mailbox.log — Jetty ميل سروس لاگز
- audit.log - تصديق جا لاگ
- clamd.log - اينٽي وائرس آپريشن لاگز
- freshclam.log - اينٽي وائرس اپڊيٽ لاگ
- convertd.log - منسلڪ ڪنورٽر لاگ
- zimbrastats.csv - سرور ڪارڪردگي لاگ
Zimbra لاگ پڻ فائل ۾ ڳولي سگهجن ٿا /var/log/zimbra.log، جتي پوسٽ فڪس ۽ زمبرا جا لاگ پاڻ رکيا ويندا آهن.
اسان جي سسٽم کي وحشي قوت کان بچائڻ لاء، اسان مانيٽر ڪنداسين mailbox.log, audit.log и zimbra.log.
هر شي کي ڪم ڪرڻ لاء، اهو ضروري آهي ته Fail2Ban ۽ iptables توهان جي سرور تي Zimbra OSE سان نصب ٿيل آهن. جيڪڏھن توھان استعمال ڪري رھيا آھيو Ubuntu، توھان ھي ڪم ڪري سگھوٿا حڪمن کي استعمال ڪندي dpkg -s fail2ban، جيڪڏھن توھان استعمال ڪريو CentOS، توھان ڪري سگھوٿا ھي حڪم استعمال ڪندي چيڪ ڪريو yum لسٽ انسٽال ٿيل fail2ban. جيڪڏهن توهان وٽ Fail2Ban انسٽال نه آهي، ته پوءِ ان کي انسٽال ڪرڻ ڪو مسئلو نه ٿيندو، ڇو ته هي پيڪيج لڳ ڀڳ سڀني معياري ذخيرو ۾ موجود آهي.
هڪ دفعو سڀ ضروري سافٽ ويئر انسٽال ٿيل آهي، توهان شروع ڪري سگهو ٿا Fail2Ban ترتيب ڏيڻ. هن کي ڪرڻ لاء، توهان کي هڪ ٺاھ جوڙ فائيل ٺاهڻ جي ضرورت آهي /etc/fail2ban/filter.d/zimbra.conf، جنهن ۾ اسان Zimbra OSE لاگز لاءِ باقاعده اظهار لکنداسين جيڪي غلط لاگ ان ڪوششن سان ملندا ۽ Fail2Ban ميڪانيزم کي ٽرگر ڪندا. هتي zimbra.conf جي مواد جو هڪ مثال آهي باقاعده اظهار جي هڪ سيٽ سان مختلف غلطيون جيڪي Zimbra OSE اڇلائي ٿو جڏهن هڪ تصديق جي ڪوشش ناڪام ٿئي ٿي:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =هڪ دفعو زمبرا او ايس اي لاءِ باقاعده اظهار مرتب ڪيا ويا آهن، اهو وقت آهي تبديل ڪرڻ شروع ڪرڻ جو پاڻ Fail2ban جي ترتيب کي ترتيب ڏيو. هن افاديت جي سيٽنگون فائل ۾ واقع آهن /etc/fail2ban/jail.conf. بس صورت ۾، اچو ته حڪم استعمال ڪندي ان جي بيڪ اپ ڪاپي ٺاهيو cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. ان کان پوء، اسان هن فائل کي تقريبا هيٺ ڏنل شڪل ۾ گھٽ ڪنداسين:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5جيتوڻيڪ هي مثال ڪافي عام آهي، اهو اڃا تائين ڪجهه پيرا ميٽرن جي وضاحت ڪرڻ جي قابل آهي جيڪي توهان تبديل ڪرڻ چاهيو ٿا جڏهن Fail2Ban پاڻ کي ترتيب ڏيو:
- نظرانداز ڪرڻ - هن پيٽرولر کي استعمال ڪندي توهان هڪ مخصوص ip يا سب نيٽ بيان ڪري سگهو ٿا جنهن مان Fail2Ban پتي کي چيڪ نه ڪرڻ گهرجي. ضابطي جي طور تي، انٽرنيٽ جي اندروني نيٽ ورڪ ۽ ٻين قابل اعتماد پتي کي نظر انداز ڪيل فهرستن ۾ شامل ڪيو ويو آهي.
- واعدو - اهو وقت جنهن لاءِ مجرم تي پابندي لڳائي ويندي. سيڪنڊن ۾ ماپيل. -1 جي قيمت جو مطلب آهي مستقل پابندي.
- ميڪريٽري - وڌ ۾ وڌ تعداد جو هڪ IP پتو سرور تائين رسائي جي ڪوشش ڪري سگھي ٿو.
- ٽپال - هڪ سيٽنگ جيڪا توهان کي خودڪار طريقي سان اي ميل اطلاع موڪلڻ جي اجازت ڏئي ٿي جڏهن Fail2Ban شروع ٿئي ٿي.
- وقت ڳوليو - هڪ سيٽنگ جيڪا توهان کي وقت جي وقفي کي مقرر ڪرڻ جي اجازت ڏئي ٿي جنهن کان پوء IP پتو سرور تائين رسائي جي ڪوشش ڪري سگهي ٿو ٻيهر ناڪام ڪوششن جي وڌ ۾ وڌ تعداد ختم ٿيڻ کان پوء (maxretry parameter)
Fail2Ban سيٽنگن سان فائل کي محفوظ ڪرڻ کان پوء، باقي رهي ٿو هن يوٽيلٽي کي ٻيهر شروع ڪرڻ لاء ڪمانڊ استعمال ڪندي سروس fail2ban ٻيهر شروع ڪريو. ٻيهر شروع ٿيڻ کان پوء، مکيه زمبرا لاگز کي باقاعده اظهار جي تعميل لاء مسلسل نگراني ڪرڻ شروع ڪيو ويندو. انهي جي مهرباني، منتظم عملي طور تي ڪنهن به حملي آور جي داخل ٿيڻ جي امڪان کي ختم ڪرڻ جي قابل هوندو نه صرف Zimbra Colaboration Suite Open-Source Edition ميل باڪس ۾، پر Zimbra OSE جي اندر هلندڙ سڀني خدمتن جي حفاظت پڻ ڪندو، ۽ غير مجاز رسائي حاصل ڪرڻ جي ڪنهن به ڪوشش کان به باخبر رهندو. .
Zextras Suite سان لاڳاپيل سڀني سوالن لاء، توهان اي ميل ذريعي Zextras جي نمائندي Ekaterina Triandafilidi سان رابطو ڪري سگهو ٿا [ايميل محفوظ ٿيل]
جو ذريعو: www.habr.com