புரோஹோஸ்டர் > Блог > நிர்வாகம் > ஜிம்ப்ரா ஒத்துழைப்பு சூட் ஓப்பன் சோர்ஸ் பதிப்பில் SSL இணைப்பு பாதுகாப்பு அமைப்புகளை மேம்படுத்துதல்

ஜிம்ப்ரா ஒத்துழைப்பு சூட் ஓப்பன் சோர்ஸ் பதிப்பில் SSL இணைப்பு பாதுகாப்பு அமைப்புகளை மேம்படுத்துதல்

வணிகத்திற்கான தகவல் அமைப்புகளைப் பயன்படுத்தும் போது குறியாக்கத்தின் வலிமை மிக முக்கியமான குறிகாட்டிகளில் ஒன்றாகும், ஏனெனில் ஒவ்வொரு நாளும் அவர்கள் ஒரு பெரிய அளவிலான ரகசிய தகவல்களை மாற்றுவதில் ஈடுபட்டுள்ளனர். ஒரு SSL இணைப்பின் தரத்தை மதிப்பிடுவதற்கான பொதுவாக ஏற்றுக்கொள்ளப்பட்ட வழிமுறையானது Qualys SSL ஆய்வகங்களின் சுயாதீன சோதனை ஆகும். இந்தச் சோதனையை யாராலும் நடத்த முடியும் என்பதால், இந்தச் சோதனையில் அதிகபட்ச மதிப்பெண்ணைப் பெறுவது SaaS வழங்குநர்களுக்கு மிகவும் முக்கியம். SaaS வழங்குநர்கள் மட்டுமல்ல, சாதாரண நிறுவனங்களும் SSL இணைப்பின் தரத்தைப் பற்றி அக்கறை கொள்கின்றன. அவர்களைப் பொறுத்தவரை, சாத்தியமான பாதிப்புகளை அடையாளம் காணவும், சைபர் குற்றவாளிகளுக்கான அனைத்து ஓட்டைகளையும் முன்கூட்டியே மூடவும் இந்த சோதனை ஒரு சிறந்த வாய்ப்பாகும்.

ஜிம்ப்ரா ஒத்துழைப்பு சூட் ஓப்பன் சோர்ஸ் பதிப்பில் SSL இணைப்பு பாதுகாப்பு அமைப்புகளை மேம்படுத்துதல்
ஜிம்ப்ரா OSE இரண்டு வகையான SSL சான்றிதழ்களை அனுமதிக்கிறது. முதலாவது சுய கையொப்பமிடப்பட்ட சான்றிதழாகும், இது நிறுவலின் போது தானாகவே சேர்க்கப்படும். இந்தச் சான்றிதழ் இலவசம் மற்றும் நேர வரம்பு இல்லை, இது ஜிம்ப்ரா OSE ஐச் சோதிக்க அல்லது உள் நெட்வொர்க்கில் பிரத்தியேகமாகப் பயன்படுத்துவதற்கு ஏற்றதாக அமைகிறது. இருப்பினும், இணைய கிளையண்டில் உள்நுழையும்போது, ​​பயனர்கள் இந்தச் சான்றிதழ் நம்பகமற்றது என்று உலாவியில் இருந்து எச்சரிக்கையைப் பார்ப்பார்கள், மேலும் உங்கள் சர்வர் நிச்சயமாக Qualys SSL லேப்ஸ் சோதனையில் தோல்வியடையும்.

இரண்டாவது, சான்றளிக்கும் அதிகாரியால் கையொப்பமிடப்பட்ட வணிக SSL சான்றிதழ். இத்தகைய சான்றிதழ்கள் உலாவிகளால் எளிதில் ஏற்றுக்கொள்ளப்படுகின்றன மற்றும் பொதுவாக ஜிம்ப்ரா OSE இன் வணிக பயன்பாட்டிற்காகப் பயன்படுத்தப்படுகின்றன. வணிகச் சான்றிதழின் சரியான நிறுவலுக்குப் பிறகு, ஜிம்ப்ரா OSE 8.8.15 Qualys SSL ஆய்வகங்களில் இருந்து தேர்வில் A மதிப்பெண்ணைக் காட்டுகிறது. இது ஒரு சிறந்த முடிவு, ஆனால் A+ முடிவை அடைவதே எங்கள் குறிக்கோள்.

ஜிம்ப்ரா ஒத்துழைப்பு சூட் ஓப்பன் சோர்ஸ் பதிப்பில் SSL இணைப்பு பாதுகாப்பு அமைப்புகளை மேம்படுத்துதல்

ஜிம்ப்ரா ஒத்துழைப்பு சூட் ஓப்பன் சோர்ஸ் பதிப்பில் SSL இணைப்பு பாதுகாப்பு அமைப்புகளை மேம்படுத்துதல்

Zimbra Collaboration Suite Open-Source Edition ஐப் பயன்படுத்தும் போது Qualys SSL லேப்ஸிலிருந்து தேர்வில் அதிகபட்ச மதிப்பெண்ணைப் பெற, நீங்கள் பல படிகளைச் செய்ய வேண்டும்:

1. டிஃபி-ஹெல்மேன் நெறிமுறையின் அளவுருக்களை அதிகரித்தல்

இயல்பாக, OpenSSL ஐப் பயன்படுத்தும் அனைத்து Zimbra OSE 8.8.15 கூறுகளும் Diffie-Hellman நெறிமுறை அமைப்புகளை 2048 பிட்களாக அமைக்கின்றன. கொள்கையளவில், Qualys SSL ஆய்வகங்களில் இருந்து தேர்வில் A+ மதிப்பெண் பெற இது போதுமானது. இருப்பினும், நீங்கள் பழைய பதிப்புகளிலிருந்து மேம்படுத்தினால், அமைப்புகள் குறைவாக இருக்கலாம். எனவே, புதுப்பிப்பு முடிந்ததும், zmdhparam set -new 2048 கட்டளையை இயக்க பரிந்துரைக்கப்படுகிறது, இது Diffie-Hellman நெறிமுறையின் அளவுருக்களை ஏற்றுக்கொள்ளக்கூடிய 2048 பிட்களாக அதிகரிக்கும், மேலும் விரும்பினால், அதே கட்டளையைப் பயன்படுத்தி, நீங்கள் அதிகரிக்கலாம். அளவுருக்களின் மதிப்பு 3072 அல்லது 4096 பிட்களுக்கு, இது ஒருபுறம் உற்பத்தி நேரத்தை அதிகரிக்க வழிவகுக்கும், ஆனால் மறுபுறம் அஞ்சல் சேவையகத்தின் பாதுகாப்பு மட்டத்தில் நேர்மறையான விளைவை ஏற்படுத்தும்.

2. பயன்படுத்தப்பட்ட சைபர்களின் பரிந்துரைக்கப்பட்ட பட்டியலை உள்ளடக்கியது

இயல்பாக, Zimbra Collaborataion Suite Open-Source Edition பலவிதமான வலுவான மற்றும் பலவீனமான மறைக்குறியீடுகளை ஆதரிக்கிறது, இது பாதுகாப்பான இணைப்பில் செல்லும் தரவை குறியாக்குகிறது. இருப்பினும், ஒரு SSL இணைப்பின் பாதுகாப்பை சரிபார்க்கும் போது பலவீனமான சைஃபர்களின் பயன்பாடு கடுமையான குறைபாடு ஆகும். இதைத் தவிர்க்க, பயன்படுத்தப்படும் சைபர்களின் பட்டியலை நீங்கள் கட்டமைக்க வேண்டும்.

இதைச் செய்ய, கட்டளையைப் பயன்படுத்தவும் zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

இந்த கட்டளை உடனடியாக பரிந்துரைக்கப்பட்ட மறைக்குறியீடுகளின் தொகுப்பை உள்ளடக்கியது மற்றும் அதற்கு நன்றி, கட்டளை உடனடியாக பட்டியலில் நம்பகமான சைபர்களை சேர்க்கலாம் மற்றும் நம்பத்தகாதவற்றை விலக்கலாம். இப்போது எஞ்சியிருப்பது zmproxyctl மறுதொடக்கம் கட்டளையைப் பயன்படுத்தி தலைகீழ் ப்ராக்ஸி முனைகளை மறுதொடக்கம் செய்ய வேண்டும். மறுதொடக்கம் செய்த பிறகு, செய்யப்பட்ட மாற்றங்கள் நடைமுறைக்கு வரும்.

இந்தப் பட்டியல் ஒரு காரணத்திற்காகவோ அல்லது இன்னொரு காரணத்திற்காகவோ உங்களுக்குப் பொருந்தவில்லை என்றால், கட்டளையைப் பயன்படுத்தி பல பலவீனமான சைஃபர்களை அதிலிருந்து நீக்கலாம். zmprov mcf +zimbraSSLExcludeCipherSuites. எனவே, எடுத்துக்காட்டாக, கட்டளை zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, இது RC4 சைபர்களின் பயன்பாட்டை முற்றிலுமாக அகற்றும். இதையே AES மற்றும் 3DES சைபர்களிலும் செய்யலாம்.

3. HSTS ஐ இயக்கவும்

குவாலிஸ் எஸ்எஸ்எல் லேப்ஸ் சோதனையில் சரியான மதிப்பெண்ணைப் பெற, இணைப்பு குறியாக்கத்தை கட்டாயப்படுத்த இயக்கப்பட்ட வழிமுறைகள் மற்றும் TLS அமர்வு மீட்பு ஆகியவையும் தேவை. அவற்றை இயக்க, நீங்கள் கட்டளையை உள்ளிட வேண்டும் zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". இந்த கட்டளை கட்டமைப்புக்கு தேவையான தலைப்பைச் சேர்க்கும், மேலும் புதிய அமைப்புகள் நடைமுறைக்கு வர நீங்கள் கட்டளையைப் பயன்படுத்தி Zimbra OSE ஐ மறுதொடக்கம் செய்ய வேண்டும் zmcontrol மறுதொடக்கம்.

ஏற்கனவே இந்த நிலையில், Qualys SSL Labs இன் சோதனை A+ மதிப்பீட்டைக் காண்பிக்கும், ஆனால் உங்கள் சேவையகத்தின் பாதுகாப்பை மேலும் மேம்படுத்த விரும்பினால், நீங்கள் எடுக்கக்கூடிய பல நடவடிக்கைகள் உள்ளன.

ஜிம்ப்ரா ஒத்துழைப்பு சூட் ஓப்பன் சோர்ஸ் பதிப்பில் SSL இணைப்பு பாதுகாப்பு அமைப்புகளை மேம்படுத்துதல்

எடுத்துக்காட்டாக, நீங்கள் இடை-செயல்முறை இணைப்புகளின் கட்டாய குறியாக்கத்தை இயக்கலாம், மேலும் ஜிம்ப்ரா OSE சேவைகளுடன் இணைக்கும்போது கட்டாய குறியாக்கத்தையும் இயக்கலாம். இடைசெயல் இணைப்புகளைச் சரிபார்க்க, பின்வரும் கட்டளைகளை உள்ளிடவும்:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

கட்டாய குறியாக்கத்தை இயக்க, நீங்கள் உள்ளிட வேண்டும்:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

இந்த கட்டளைகளுக்கு நன்றி, ப்ராக்ஸி சேவையகங்கள் மற்றும் அஞ்சல் சேவையகங்களுக்கான அனைத்து இணைப்புகளும் குறியாக்கம் செய்யப்படும், மேலும் இந்த இணைப்புகள் அனைத்தும் ப்ராக்ஸி செய்யப்படும்.

ஜிம்ப்ரா ஒத்துழைப்பு சூட் ஓப்பன் சோர்ஸ் பதிப்பில் SSL இணைப்பு பாதுகாப்பு அமைப்புகளை மேம்படுத்துதல்

எனவே, எங்கள் பரிந்துரைகளைப் பின்பற்றி, நீங்கள் SSL இணைப்பு பாதுகாப்பு சோதனையில் அதிக மதிப்பெண் பெறுவது மட்டுமல்லாமல், முழு ஜிம்ப்ரா OSE உள்கட்டமைப்பின் பாதுகாப்பையும் கணிசமாக அதிகரிக்க முடியும்.

Zextras Suite தொடர்பான அனைத்து கேள்விகளுக்கும், நீங்கள் Zextras Ekaterina Triandafilidi இன் பிரதிநிதியை மின்னஞ்சல் மூலம் தொடர்பு கொள்ளலாம் [மின்னஞ்சல் பாதுகாக்கப்பட்டது]

ஆதாரம்: www.habr.com

கருத்தைச் சேர்