Zimbra Collaboration Suite Open-Source Edition හි තොරතුරු ආරක්ෂාව සහතික කිරීම සඳහා බලවත් මෙවලම් කිහිපයක් ඇත. ඒ අය අතරින් - බොට්නෙට් වලින් තැපැල් සේවාදායකයක් ප්රහාර වලින් ආරක්ෂා කිරීම සඳහා විසඳුමක්, ClamAV - අනිෂ්ට වැඩසටහන් ආසාදනය සඳහා එන ලිපිගොනු සහ ලිපි පරිලෝකනය කළ හැකි ප්රති-වයිරසයක් මෙන්ම - අද හොඳම අයාචිත තැපැල් පෙරහන් වලින් එකක්. කෙසේ වෙතත්, මෙම මෙවලම් වලට තිරිසන් බල ප්රහාර වලින් Zimbra OSE ආරක්ෂා කිරීමට නොහැකි වේ. විශේෂ ශබ්දකෝෂයක් භාවිතා කරන වඩාත් අලංකාර, නමුත් තවමත් තරමක් ඵලදායී, තිරිසන් බලහත්කාර මුරපද, ඊළඟ සියලු ප්රතිවිපාක සමඟ සාර්ථකව අනවසරයෙන් ඇතුළුවීමේ සම්භාවිතාවෙන් පමණක් නොව, සියල්ල සකසන සේවාදායකයේ සැලකිය යුතු බරක් නිර්මාණය කිරීමෙන් ද පිරී ඇත. Zimbra OSE සමඟ සේවාදායකයක් හැක් කිරීමට අසාර්ථක උත්සාහයන්.
ප්රතිපත්තිමය වශයෙන්, ඔබට සම්මත Zimbra OSE මෙවලම් භාවිතයෙන් තිරිසන් බලයෙන් ඔබව ආරක්ෂා කර ගත හැකිය. මුරපද ආරක්ෂණ ප්රතිපත්ති සැකසීම් මඟින් අසාර්ථක මුරපද ඇතුළත් කිරීමේ උත්සාහයන් ගණන සැකසීමට ඔබට ඉඩ සලසයි, ඉන් පසුව ප්රහාරයට ලක්විය හැකි ගිණුම අවහිර කරනු ලැබේ. මෙම ප්රවේශයේ ඇති ප්රධාන ගැටළුව නම්, ඔවුන්ට කිරීමට කිසිවක් නොමැති තිරිසන් ප්රහාරයක් හේතුවෙන් සේවකයින් එක් අයෙකුගේ හෝ වැඩි ගණනකගේ ගිණුම් අවහිර විය හැකි තත්වයන් පැන නැගීම සහ සේවකයින්ගේ වැඩ අඩාල වීම නිසා විශාල පාඩුවක් සිදුවිය හැකිය. සංගමය. තිරිසන් බලයෙන් ආරක්ෂා වීමේ මෙම විකල්පය භාවිතා නොකිරීම වඩාත් සුදුසු වන්නේ එබැවිනි.
තිරිසන් බලයෙන් ආරක්ෂා වීමට, DoSFilter නම් විශේෂ මෙවලමක් වඩාත් සුදුසු වේ, එය Zimbra OSE තුළට ගොඩනගා ඇති අතර HTTP හරහා Zimbra OSE වෙත සම්බන්ධතාවය ස්වයංක්රීයව අවසන් කළ හැක. වෙනත් වචන වලින් කිවහොත්, DoSFilter හි මෙහෙයුම් මූලධර්මය PostScreen හි මෙහෙයුම් මූලධර්මයට සමාන වේ, එය වෙනත් ප්රොටෝකෝලයක් සඳහා පමණක් භාවිතා වේ. තනි පරිශීලකයෙකුට කළ හැකි ක්රියා ගණන සීමා කිරීමට මුලින් නිර්මාණය කර ඇති අතර, DoSFilter හට තිරිසන් බල ආරක්ෂාවක් ද සැපයිය හැකිය. සිම්බ්රා තුළ ගොඩනගා ඇති මෙවලමෙන් එහි ප්රධාන වෙනස නම්, නිශ්චිත අසාර්ථක උත්සාහයන් ගණනකට පසුව, එය පරිශීලකයා විසින්ම අවහිර නොකරන නමුත් විශේෂිත ගිණුමකට ලොග් වීමට බහුවිධ උත්සාහයන් ගන්නා IP ලිපිනයයි. මෙයට ස්තූතිවන්ත වන්නට, පද්ධති පරිපාලකයෙකුට තිරිසන් බලයෙන් ආරක්ෂා වීමට පමණක් නොව, ඔහුගේ සමාගමේ අභ්යන්තර ජාලය විශ්වාසදායක IP ලිපින සහ උපජාල ලැයිස්තුවට එකතු කිරීමෙන් සමාගම් සේවකයින් අවහිර කිරීම වළක්වා ගත හැකිය.
DoSFilter හි ඇති විශාල වාසිය නම්, විශේෂිත ගිණුමකට ලොග් වීමට බොහෝ උත්සාහයන්ට අමතරව, මෙම මෙවලම භාවිතා කිරීමෙන් ඔබට සේවකයෙකුගේ සත්යාපන දත්ත සන්තකයේ තබාගෙන ඔහුගේ ගිණුමට සාර්ථකව ලොග් වී ඉල්ලීම් සිය ගණනක් යැවීමට පටන් ගත් ප්රහාරකයන් ස්වයංක්රීයව අවහිර කළ හැකිය. සේවාදායකය වෙත.
පහත දැක්වෙන කොන්සෝල විධාන භාවිතයෙන් ඔබට DoSFilter වින්යාසගත කළ හැක:
- zimbraHttpDosFilterMaxRequestsPerSec — මෙම විධානය භාවිතා කරමින්, ඔබට එක් පරිශීලකයෙකු සඳහා අවසර දී ඇති උපරිම සම්බන්ධතා ගණන සැකසිය හැක. පෙරනිමියෙන් මෙම අගය සම්බන්ධතා 30 කි.
- zimbraHttpDosFilterDelayMillis - මෙම විධානය භාවිතා කරමින්, ඔබට පෙර විධානය මඟින් දක්වා ඇති සීමාව ඉක්මවන සම්බන්ධතා සඳහා මිලි තත්පර වල ප්රමාදයක් සැකසිය හැක. නිඛිල අගයන්ට අමතරව, පරිපාලකයාට 0 නියම කළ හැකි අතර, කිසිඳු ප්රමාදයක් සිදු නොවන පරිදි, සහ -1, නියමිත සීමාව ඉක්මවන සියලුම සම්බන්ධතා සරලව බාධා වේ. පෙරනිමි අගය -1 වේ.
- zimbraHttpThrottleSafeIPs — මෙම විධානය භාවිතා කරමින්, පරිපාලකයාට ඉහත ලැයිස්තුගත කර ඇති සීමාවන්ට යටත් නොවන විශ්වාසදායක IP ලිපින සහ උපජාල නියම කළ හැක. මෙම විධානයේ වාක්ය ඛණ්ඩය අපේක්ෂිත ප්රතිඵලය අනුව වෙනස් විය හැකි බව සලකන්න. එබැවින්, උදාහරණයක් ලෙස, විධානය ඇතුල් කිරීමෙන් zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, ඔබ සම්පූර්ණ ලැයිස්තුව සම්පූර්ණයෙන්ම උඩින් ලියන අතර එහි එක් IP ලිපිනයක් පමණක් ඉතිරි වේ. ඔබ විධානය ඇතුල් කළහොත් zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, ඔබ ඇතුළත් කළ IP ලිපිනය සුදු ලැයිස්තුවට එකතු වේ. ඒ හා සමානව, අඩු කිරීමේ ලකුණ භාවිතා කරමින්, ඔබට අවසර ලත් ලැයිස්තුවෙන් ඕනෑම IP ඉවත් කළ හැකිය.
Zextras Suite Pro දිගු භාවිතා කිරීමේදී DoSFilter ගැටළු ගණනාවක් නිර්මාණය කළ හැකි බව කරුණාවෙන් සලකන්න. ඒවා වළක්වා ගැනීම සඳහා, විධානය භාවිතා කර එකවර සම්බන්ධතා ගණන 30 සිට 100 දක්වා වැඩි කිරීමට අපි නිර්දේශ කරමු. zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. ඊට අමතරව, අවසර ලත් අයගේ ලැයිස්තුවට ව්යවසාය අභ්යන්තර ජාලය එකතු කිරීමට අපි නිර්දේශ කරමු. විධානය භාවිතයෙන් මෙය කළ හැකිය zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. DoSFilter වෙත කිසියම් වෙනසක් සිදු කිරීමෙන් පසු, විධානය භාවිතයෙන් ඔබගේ තැපැල් සේවාදායකය නැවත ආරම්භ කිරීමට වග බලා ගන්න zmmailboxdctl නැවත ආරම්භ කරන්න.
DoSFilter හි ප්රධාන අවාසිය නම් එය යෙදුම් මට්ටමින් ක්රියා කරන අතර එබැවින් උතුරට සම්බන්ධ වීමේ හැකියාව සීමා නොකර සේවාදායකයේ විවිධ ක්රියා සිදු කිරීමට ප්රහාරකයින්ට ඇති හැකියාව සීමා කළ හැකිය. මේ නිසා, සත්යාපනය සඳහා සේවාදායකයට යවන ලද ඉල්ලීම් හෝ ලිපි යැවීම, ඒවා පැහැදිලිවම අසාර්ථක වුවද, තවමත් හොඳ පැරණි DoS ප්රහාරයක් නියෝජනය කරනු ඇත, එය එතරම් ඉහළ මට්ටමක නතර කළ නොහැක.
Zimbra OSE සමඟින් ඔබේ ආයතනික සේවාදායකය සම්පූර්ණයෙන්ම සුරක්ෂිත කිරීම සඳහා, ඔබට Fail2ban වැනි විසඳුමක් භාවිතා කළ හැකිය, එය නැවත නැවත ක්රියා කිරීම සඳහා තොරතුරු පද්ධති ලොග් නිරන්තරයෙන් නිරීක්ෂණය කළ හැකි රාමුවක් වන අතර ෆයර්වෝල් සැකසුම් වෙනස් කිරීමෙන් අනවසරයෙන් ඇතුළු වන්නා අවහිර කළ හැකිය. එවැනි අඩු මට්ටමක අවහිර කිරීම සේවාදායකයට IP සම්බන්ධතාවයේ අදියරේදීම ප්රහාරකයන් අක්රිය කිරීමට ඔබට ඉඩ සලසයි. මේ අනුව, Fail2Ban හට DoSFilter භාවිතයෙන් ගොඩනගා ඇති ආරක්ෂාව පරිපූර්ණ ලෙස සම්පූර්ණ කළ හැකිය. ඔබට Fail2Ban Zimbra OSE සමඟ සම්බන්ධ කර එමගින් ඔබේ ව්යවසායයේ තොරතුරු තාක්ෂණ යටිතල පහසුකම්වල ආරක්ෂාව වැඩි කරන්නේ කෙසේදැයි සොයා බලමු.
වෙනත් ඕනෑම ව්යවසාය පන්තියේ යෙදුමක් මෙන්, Zimbra Collaboration Suite Open-Source Edition එහි වැඩ පිළිබඳ සවිස්තරාත්මක ලොග තබා ගනී. ඒවායින් බොහොමයක් ෆෝල්ඩරයේ ගබඩා කර ඇත /opt/zimbra/log/ ගොනු ආකාරයෙන්. මෙන්න ඒවායින් කිහිපයක් පමණි:
- mailbox.log - ජැටි තැපැල් සේවා ලඝු-සටහන්
- audit.log - සත්යාපන ලොග
- clamd.log — ප්රති-වයිරස මෙහෙයුම් ලඝු-සටහන්
- freshclam.log - ප්රති-වයිරස යාවත්කාලීන ලොග
- convertd.log — ඇමුණුම් පරිවර්තක ලොග
- zimbrastats.csv - සේවාදායක කාර්ය සාධන ලොග
Zimbra logs ද ගොනුවේ සොයාගත හැකිය /var/log/zimbra.log, Postfix සහ Zimbra හි ලොග තබා ඇත.
අපගේ පද්ධතිය තිරිසන් බලයෙන් ආරක්ෂා කිරීම සඳහා, අපි නිරීක්ෂණය කරන්නෙමු mailbox.log, audit.log и zimbra.log.
සෑම දෙයක්ම ක්රියාත්මක වීමට නම්, ඔබේ සේවාදායකයේ සිම්බ්රා OSE සමඟ Fail2Ban සහ iptables ස්ථාපනය කර තිබීම අවශ්ය වේ. ඔබ Ubuntu භාවිතා කරන්නේ නම්, ඔබට විධාන භාවිතයෙන් මෙය කළ හැකිය dpkg -s fail2ban, ඔබ CentOS භාවිතා කරන්නේ නම්, ඔබට මෙය විධාන භාවිතයෙන් පරීක්ෂා කළ හැක yum ලැයිස්තුව fail2ban ස්ථාපනය කර ඇත. ඔබ Fail2Ban ස්ථාපනය කර නොමැති නම්, එය ස්ථාපනය කිරීම ගැටළුවක් නොවනු ඇත, මන්ද මෙම පැකේජය සෑම සම්මත ගබඩාවකම පාහේ තිබේ.
අවශ්ය සියලුම මෘදුකාංග ස්ථාපනය කළ පසු, ඔබට Fail2Ban පිහිටුවීම ආරම්භ කළ හැක. මෙය සිදු කිරීම සඳහා, ඔබ විසින් සැකසුම් ගොනුවක් සෑදිය යුතුය /etc/fail2ban/filter.d/zimbra.conf, අපි වැරදි ඇතුළු වීමේ උත්සාහයන් හා Fail2Ban යාන්ත්රණයන් අවුලුවාලන Zimbra OSE ලොග සඳහා නිත්ය ප්රකාශන ලියන්නෙමු. සත්යාපන ප්රයත්නයක් අසාර්ථක වූ විට Zimbra OSE විසින් විසි කරන විවිධ දෝෂ වලට අනුරූප වන සාමාන්ය ප්රකාශන කට්ටලයක් සහිත zimbra.conf හි අන්තර්ගතය පිළිබඳ උදාහරණයක් මෙන්න:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Zimbra OSE සඳහා සාමාන්ය ප්රකාශන සම්පාදනය කළ පසු, Fail2ban හි වින්යාසය සංස්කරණය කිරීම ආරම්භ කිරීමට කාලයයි. මෙම උපයෝගීතාවයේ සැකසුම් ගොනුවේ පිහිටා ඇත /etc/fail2ban/jail.conf. යම් අවස්ථාවක දී, අපි විධානය භාවිතා කර එහි උපස්ථ පිටපතක් සාදා ගනිමු cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. ඊට පසු, අපි මෙම ගොනුව ආසන්න වශයෙන් පහත පෝරමය දක්වා අඩු කරන්නෙමු:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5මෙම උදාහරණය තරමක් සාමාන්ය වුවද, ඔබ විසින්ම Fail2Ban පිහිටුවීමේදී ඔබට වෙනස් කිරීමට අවශ්ය විය හැකි පරාමිති කිහිපයක් පැහැදිලි කිරීම වටී:
- නොසලකා හැරීම — මෙම පරාමිතිය භාවිතා කිරීමෙන් ඔබට Fail2Ban ලිපිනයන් පරීක්ෂා නොකළ යුතු විශේෂිත ip හෝ උපජාලයක් නියම කළ හැක. රීතියක් ලෙස, ව්යවසායයේ අභ්යන්තර ජාලය සහ අනෙකුත් විශ්වාසදායක ලිපින නොසලකා හරින ලද ලැයිස්තුවට එකතු කරනු ලැබේ.
- Bantime - වැරදිකරු තහනම් කරනු ලබන කාලය. තත්පර වලින් මනිනු ලැබේ. -1 අගයක් යනු ස්ථිර තහනමකි.
- Maxretry — එක් IP ලිපිනයකට සේවාදායකයට ප්රවේශ වීමට උත්සාහ කළ හැකි උපරිම වාර ගණන.
- සෙන්ඩ්මේල් — Fail2Ban ක්රියාත්මක වූ විට ස්වයංක්රීයව විද්යුත් තැපැල් දැනුම්දීම් යැවීමට ඔබට ඉඩ සලසන සැකසුමකි.
- කාලය සොයා ගන්න — උපරිම අසාර්ථක උත්සාහයන් අවසන් වූ පසු IP ලිපිනය නැවත සේවාදායකයට ප්රවේශ වීමට උත්සාහ කළ හැකි කාල පරතරය සැකසීමට ඔබට ඉඩ සලසන සැකසුමකි (maxretry පරාමිතිය)
Fail2Ban සැකසුම් සමඟ ගොනුව සුරැකීමෙන් පසුව, ඉතිරිව ඇත්තේ විධානය භාවිතයෙන් මෙම උපයෝගීතාව නැවත ආරම්භ කිරීමයි. service fail2ban restart. නැවත ආරම්භ කිරීමෙන් පසුව, ප්රධාන සිම්බ්රා ලඝු-සටහන් නිත්ය ප්රකාශනවලට අනුකූල වීම සඳහා නිරන්තරයෙන් නිරීක්ෂණය කිරීමට පටන් ගනී. මෙයට ස්තූතිවන්ත වන්නට, පරිපාලකයාට ප්රහාරකයෙකුට සිම්බ්රා සහයෝගීතා කට්ටල විවෘත මූලාශ්ර සංස්කරණ තැපැල් පෙට්ටිවලට පමණක් නොව, සිම්බ්රා OSE තුළ ක්රියාත්මක වන සියලුම සේවාවන් ආරක්ෂා කිරීමටත්, අනවසර ප්රවේශය ලබා ගැනීමට ගන්නා ඕනෑම උත්සාහයක් පිළිබඳව දැනුවත් වීමටත් හැකි වනු ඇත. .
Zextras Suite සම්බන්ධ සියලුම ප්රශ්න සඳහා, ඔබට විද්යුත් තැපෑලෙන් Zextras Ekaterina Triandafilidi හි නියෝජිතයා සම්බන්ධ කර ගත හැක. [විද්යුත් ආරක්ෂිත]
මූලාශ්රය: www.habr.com