ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > జింబ్రా సహకార సూట్ ఓపెన్-సోర్స్ ఎడిషన్‌లో SSL కనెక్షన్ భద్రతా సెట్టింగ్‌లను మెరుగుపరచడం

జింబ్రా సహకార సూట్ ఓపెన్-సోర్స్ ఎడిషన్‌లో SSL కనెక్షన్ భద్రతా సెట్టింగ్‌లను మెరుగుపరచడం

వ్యాపారం కోసం సమాచార వ్యవస్థలను ఉపయోగిస్తున్నప్పుడు ఎన్క్రిప్షన్ యొక్క బలం చాలా ముఖ్యమైన సూచికలలో ఒకటి, ఎందుకంటే ప్రతిరోజూ వారు భారీ మొత్తంలో రహస్య సమాచారాన్ని బదిలీ చేయడంలో పాల్గొంటారు. SSL కనెక్షన్ యొక్క నాణ్యతను అంచనా వేయడానికి సాధారణంగా ఆమోదించబడిన సాధనం Qualys SSL ల్యాబ్స్ నుండి స్వతంత్ర పరీక్ష. ఈ పరీక్షను ఎవరైనా నిర్వహించవచ్చు కాబట్టి, SaaS ప్రొవైడర్లు ఈ పరీక్షలో అత్యధిక స్కోర్‌ను పొందడం చాలా ముఖ్యం. SaaS ప్రొవైడర్లు మాత్రమే కాకుండా, సాధారణ సంస్థలు కూడా SSL కనెక్షన్ నాణ్యత గురించి శ్రద్ధ వహిస్తాయి. వారికి, ఈ పరీక్ష సంభావ్య దుర్బలత్వాలను గుర్తించడానికి మరియు సైబర్ నేరగాళ్ల కోసం అన్ని లొసుగులను ముందుగానే మూసివేయడానికి ఒక అద్భుతమైన అవకాశం.

జింబ్రా సహకార సూట్ ఓపెన్-సోర్స్ ఎడిషన్‌లో SSL కనెక్షన్ భద్రతా సెట్టింగ్‌లను మెరుగుపరచడం
జింబ్రా OSE రెండు రకాల SSL ప్రమాణపత్రాలను అనుమతిస్తుంది. మొదటిది ఇన్‌స్టాలేషన్ సమయంలో స్వయంచాలకంగా జోడించబడే స్వీయ-సంతకం ప్రమాణపత్రం. ఈ సర్టిఫికేట్ ఉచితం మరియు సమయ పరిమితిని కలిగి ఉండదు, ఇది జింబ్రా OSEని పరీక్షించడానికి లేదా అంతర్గత నెట్‌వర్క్‌లో ప్రత్యేకంగా ఉపయోగించడానికి ఇది ఉత్తమమైనది. అయితే, వెబ్ క్లయింట్‌కి లాగిన్ చేసినప్పుడు, వినియోగదారులు ఈ సర్టిఫికేట్ అవిశ్వసనీయమని బ్రౌజర్ నుండి హెచ్చరికను చూస్తారు మరియు మీ సర్వర్ ఖచ్చితంగా Qualys SSL ల్యాబ్‌ల పరీక్షలో విఫలమవుతుంది.

రెండవది ధృవీకరణ అధికారం ద్వారా సంతకం చేయబడిన వాణిజ్య SSL ప్రమాణపత్రం. ఇటువంటి ధృవపత్రాలు బ్రౌజర్‌లచే సులభంగా ఆమోదించబడతాయి మరియు సాధారణంగా జింబ్రా OSE యొక్క వాణిజ్య ఉపయోగం కోసం ఉపయోగించబడతాయి. కమర్షియల్ సర్టిఫికేట్ యొక్క సరైన ఇన్‌స్టాలేషన్ తర్వాత, జింబ్రా OSE 8.8.15 క్వాలిస్ SSL ల్యాబ్స్ నుండి పరీక్షలో A స్కోర్‌ను చూపుతుంది. ఇది అద్భుతమైన ఫలితం, కానీ మా లక్ష్యం A+ ఫలితాన్ని సాధించడం.

జింబ్రా సహకార సూట్ ఓపెన్-సోర్స్ ఎడిషన్‌లో SSL కనెక్షన్ భద్రతా సెట్టింగ్‌లను మెరుగుపరచడం

జింబ్రా సహకార సూట్ ఓపెన్-సోర్స్ ఎడిషన్‌లో SSL కనెక్షన్ భద్రతా సెట్టింగ్‌లను మెరుగుపరచడం

జింబ్రా సహకార సూట్ ఓపెన్-సోర్స్ ఎడిషన్‌ని ఉపయోగిస్తున్నప్పుడు Qualys SSL ల్యాబ్స్ నుండి పరీక్షలో గరిష్ట స్కోర్‌ను సాధించడానికి, మీరు తప్పనిసరిగా అనేక దశలను పూర్తి చేయాలి:

1. Diffie-Hellman ప్రోటోకాల్ యొక్క పారామితులను పెంచడం

డిఫాల్ట్‌గా, OpenSSLని ఉపయోగించే అన్ని జింబ్రా OSE 8.8.15 భాగాలు 2048 బిట్‌లకు సెట్ చేయబడిన Diffie-Hellman ప్రోటోకాల్ సెట్టింగ్‌లను కలిగి ఉంటాయి. సూత్రప్రాయంగా, Qualys SSL ల్యాబ్స్ నుండి పరీక్షలో A+ స్కోర్ పొందడానికి ఇది సరిపోతుంది. అయితే, మీరు పాత సంస్కరణల నుండి అప్‌గ్రేడ్ చేస్తుంటే, సెట్టింగ్‌లు తక్కువగా ఉండవచ్చు. అందువల్ల, నవీకరణ పూర్తయిన తర్వాత, zmdhparam సెట్ -new 2048 ఆదేశాన్ని అమలు చేయాలని సిఫార్సు చేయబడింది, ఇది Diffie-Hellman ప్రోటోకాల్ యొక్క పారామితులను ఆమోదయోగ్యమైన 2048 బిట్‌లకు పెంచుతుంది మరియు కావాలనుకుంటే, అదే ఆదేశాన్ని ఉపయోగించి, మీరు పెంచవచ్చు. 3072 లేదా 4096 బిట్‌లకు పారామితుల విలువ, ఇది ఒక వైపు ఉత్పత్తి సమయం పెరుగుదలకు దారి తీస్తుంది, కానీ మరోవైపు మెయిల్ సర్వర్ యొక్క భద్రతా స్థాయిపై సానుకూల ప్రభావం చూపుతుంది.

2. ఉపయోగించిన సైఫర్‌ల సిఫార్సు జాబితాతో సహా

డిఫాల్ట్‌గా, Zimbra Collaborataion Suite ఓపెన్-సోర్స్ ఎడిషన్ విస్తృత శ్రేణి బలమైన మరియు బలహీనమైన సాంకేతికలిపిలకు మద్దతు ఇస్తుంది, ఇది సురక్షిత కనెక్షన్ ద్వారా డేటాను గుప్తీకరిస్తుంది. అయినప్పటికీ, SSL కనెక్షన్ యొక్క భద్రతను తనిఖీ చేస్తున్నప్పుడు బలహీనమైన సాంకేతికలిపిల ఉపయోగం తీవ్రమైన ప్రతికూలత. దీన్ని నివారించడానికి, మీరు ఉపయోగించిన సాంకేతికలిపిల జాబితాను కాన్ఫిగర్ చేయాలి.

దీన్ని చేయడానికి, ఆదేశాన్ని ఉపయోగించండి zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

ఈ కమాండ్ వెంటనే సిఫార్సు చేయబడిన సాంకేతికలిపిల సమితిని కలిగి ఉంటుంది మరియు దానికి ధన్యవాదాలు, ఆదేశం వెంటనే జాబితాలో విశ్వసనీయ సాంకేతికలిపిలను చేర్చవచ్చు మరియు నమ్మదగని వాటిని మినహాయించవచ్చు. ఇప్పుడు మిగిలి ఉన్నది zmproxyctl పునఃప్రారంభ కమాండ్ ఉపయోగించి రివర్స్ ప్రాక్సీ నోడ్‌లను పునఃప్రారంభించడమే. రీబూట్ చేసిన తర్వాత, చేసిన మార్పులు ప్రభావం చూపుతాయి.

ఈ జాబితా ఒక కారణం లేదా మరొక కారణంగా మీకు సరిపోకపోతే, మీరు ఆదేశాన్ని ఉపయోగించి దాని నుండి అనేక బలహీనమైన సాంకేతికలిపిలను తీసివేయవచ్చు. zmprov mcf +zimbraSSLExcludeCipherSuites. కాబట్టి, ఉదాహరణకు, ఆదేశం zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, ఇది RC4 సాంకేతికలిపిల వినియోగాన్ని పూర్తిగా తొలగిస్తుంది. అదే AES మరియు 3DES సాంకేతికలిపిలతో చేయవచ్చు.

3. HSTSని ప్రారంభించండి

క్వాలిస్ SSL ల్యాబ్స్ పరీక్షలో ఖచ్చితమైన స్కోర్‌ను సాధించడానికి బలవంతంగా కనెక్షన్ ఎన్‌క్రిప్షన్ మరియు TLS సెషన్ రికవరీ కోసం ప్రారంభించబడిన మెకానిజమ్స్ కూడా అవసరం. వాటిని ప్రారంభించడానికి మీరు తప్పనిసరిగా ఆదేశాన్ని నమోదు చేయాలి zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". ఈ ఆదేశం కాన్ఫిగరేషన్‌కు అవసరమైన హెడర్‌ను జోడిస్తుంది మరియు కొత్త సెట్టింగ్‌లు అమలులోకి రావడానికి మీరు ఆదేశాన్ని ఉపయోగించి Zimbra OSEని పునఃప్రారంభించవలసి ఉంటుంది zmcontrol పునఃప్రారంభించండి.

ఇప్పటికే ఈ దశలో, Qualys SSL ల్యాబ్స్ నుండి పరీక్ష A+ రేటింగ్‌ను చూపుతుంది, అయితే మీరు మీ సర్వర్ భద్రతను మరింత మెరుగుపరచాలనుకుంటే, మీరు తీసుకోగల అనేక ఇతర చర్యలు ఉన్నాయి.

జింబ్రా సహకార సూట్ ఓపెన్-సోర్స్ ఎడిషన్‌లో SSL కనెక్షన్ భద్రతా సెట్టింగ్‌లను మెరుగుపరచడం

ఉదాహరణకు, మీరు ఇంటర్-ప్రాసెస్ కనెక్షన్‌ల బలవంతంగా ఎన్‌క్రిప్షన్‌ని ప్రారంభించవచ్చు మరియు జింబ్రా OSE సేవలకు కనెక్ట్ చేస్తున్నప్పుడు మీరు బలవంతంగా ఎన్‌క్రిప్షన్‌ను కూడా ప్రారంభించవచ్చు. ఇంటర్‌ప్రాసెస్ కనెక్షన్‌లను తనిఖీ చేయడానికి, కింది ఆదేశాలను నమోదు చేయండి:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

నిర్బంధ గుప్తీకరణను ప్రారంభించడానికి మీరు నమోదు చేయాలి:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

ఈ ఆదేశాలకు ధన్యవాదాలు, ప్రాక్సీ సర్వర్‌లు మరియు మెయిల్ సర్వర్‌లకు అన్ని కనెక్షన్‌లు గుప్తీకరించబడతాయి మరియు ఈ కనెక్షన్‌లన్నీ ప్రాక్సీ చేయబడతాయి.

జింబ్రా సహకార సూట్ ఓపెన్-సోర్స్ ఎడిషన్‌లో SSL కనెక్షన్ భద్రతా సెట్టింగ్‌లను మెరుగుపరచడం

అందువలన, మా సిఫార్సులను అనుసరించి, మీరు SSL కనెక్షన్ భద్రతా పరీక్షలో అత్యధిక స్కోర్‌ను సాధించడమే కాకుండా, మొత్తం జింబ్రా OSE మౌలిక సదుపాయాల భద్రతను గణనీయంగా పెంచవచ్చు.

Zextras Suiteకి సంబంధించిన అన్ని ప్రశ్నల కోసం, మీరు Zextras ప్రతినిధి ఎకటెరినా ట్రియాండఫిలిడిని ఇమెయిల్ ద్వారా సంప్రదించవచ్చు [ఇమెయిల్ రక్షించబడింది]

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి