Zimbra Collaboration Suite Open-Source Edition дорои якчанд абзорҳои пурқувват барои таъмини амнияти иттилоот мебошад. Дар байни онҳо - ҳалли муҳофизати сервери почта аз ҳамлаҳои ботнетҳо, ClamAV - антивирус, ки метавонад файлҳо ва ҳарфҳои воридшударо барои сироят бо барномаҳои зараровар скан кунад. - яке аз беҳтарин филтрҳои спам имрӯз. Аммо, ин воситаҳо наметавонанд Zimbra OSE-ро аз ҳамлаҳои қувваи бераҳмона муҳофизат кунанд. На аз ҳама шево, вале ба ҳар ҳол хеле муассир, паролҳои зӯроварӣ бо истифода аз луғати махсус на танҳо бо эҳтимолияти ҳакерии бомуваффақият бо тамоми оқибатҳои минбаъда, балки инчунин бо эҷоди сарбории назаррас дар сервер, ки ҳама чизро коркард мекунад. кӯшишҳои бемуваффақияти вайрон кардани сервер бо Zimbra OSE.
Аслан, шумо метавонед бо истифода аз асбобҳои стандартии Zimbra OSE худро аз қувваи бераҳмона муҳофизат кунед. Танзимоти сиёсати амнияти парол ба шумо имкон медиҳад, ки шумораи кӯшишҳои бемуваффақияти ворид кардани паролро муқаррар кунед, ки пас аз он ҳисоби эҳтимолии ҳамлашуда баста мешавад. Мушкилоти асосии ин бархӯрд дар он аст, ки ҳолатҳое ба миён меоянд, ки ҳисоби як ё якчанд корманд дар натиҷаи ҳамлаи бераҳмона, ки ба онҳо ҳеҷ коре надоранд, баста мешавад ва дар натиҷа бекористии кормандон метавонад ба онҳо зарари калон расонад. ширкат. Аз ин рӯ, беҳтар аст, ки ин варианти муҳофизатро аз қувваи бераҳмона истифода набаред.
Барои муҳофизат аз қувваи бераҳмона, асбоби махсус бо номи DoSFilter хеле мувофиқ аст, ки дар Zimbra OSE сохта шудааст ва метавонад ба таври худкор пайвастшавиро бо Zimbra OSE тавассути HTTP қатъ кунад. Ба ибораи дигар, принсипи кори DoSFilter ба принсипи кори PostScreen монанд аст, танҳо он барои протоколи дигар истифода мешавад. Дар ибтидо барои маҳдуд кардани шумораи амалҳое, ки як корбар метавонад иҷро кунад, тарҳрезӣ шудааст, DoSFilter инчунин метавонад муҳофизати қувваи бераҳмонаро таъмин кунад. Тафовути калидии он аз асбобе, ки дар Zimbra сохта шудааст, дар он аст, ки пас аз шумораи муайяни кӯшишҳои номуваффақ он худи корбарро манъ намекунад, балки суроғаи IP-ро, ки аз он барои ворид шудан ба ҳисоби мушаххас кӯшишҳои зиёд анҷом дода мешавад. Ба шарофати ин, маъмури система метавонад на танҳо аз қувваи бераҳмона муҳофизат кунад, балки инчунин тавассути илова кардани шабакаи дохилии ширкати худ ба рӯйхати суроғаҳои IP ва зершабакаҳои боэътимод аз бастани кормандони ширкат худдорӣ кунад.
Бартарии бузурги DoSFilter дар он аст, ки ба ғайр аз кӯшишҳои сершумори ворид шудан ба ҳисоби мушаххас, бо истифода аз ин асбоб шумо метавонед ба таври худкор он ҳамлагаронро, ки маълумоти аутентификатсияи кормандро гирифтаанд ва сипас бомуваффақият ба ҳисоби ӯ ворид шуда, ба фиристодани садҳо дархост шурӯъ кардаанд, маҳкам кунед. ба сервер.
Шумо метавонед DoSFilter-ро бо истифода аз фармонҳои консолҳои зерин танзим кунед:
- zimbraHttpDosFilterMaxRequestsPerSec — Бо истифода аз ин фармон шумо метавонед шумораи максималии пайвастҳоро барои як корбар иҷозат диҳед. Бо нобаёнӣ ин арзиш 30 пайваст аст.
- zimbraHttpDosFilterDelayMillis - Бо истифода аз ин фармон, шумо метавонед таъхирро дар миллисонияҳо барои пайвастшавӣ муқаррар кунед, ки аз ҳадди муқарраркардаи фармони қаблӣ зиёд мешавад. Илова ба арзишҳои бутун, администратор метавонад 0-ро муайян кунад, то ин ки ҳеҷ гуна таъхир вуҷуд надошта бошад ва -1, то ҳама пайвастҳое, ки аз ҳадди муқарраршуда зиёданд, танҳо қатъ карда шаванд. Қимати пешфарз -1 аст.
- zimbraHttpThrottleSafeIPs — Бо истифода аз ин фармон, администратор метавонад суроғаҳои IP-и боэътимод ва зершабакаҳоро муайян кунад, ки ба маҳдудиятҳои дар боло номбаршуда тобеъ нахоҳанд шуд. Дар хотир доред, ки синтаксиси ин фармон вобаста ба натиҷаи дилхоҳ метавонад фарқ кунад. Ҳамин тавр, масалан, бо ворид кардани фармон zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, шумо тамоми рӯйхатро пурра аз нав менависед ва дар он танҳо як суроғаи IP мегузоред. Агар шумо фармонро ворид кунед zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, суроғаи IP-и воридкардаи шумо ба рӯйхати сафед илова карда мешавад. Ба ҳамин монанд, бо истифода аз аломати тарҳ, шумо метавонед ягон IP-ро аз рӯйхати иҷозатдодашуда хориҷ кунед.
Лутфан таваҷҷӯҳ намоед, ки DoSFilter ҳангоми истифодаи васеъшавии Zextras Suite Pro метавонад як қатор мушкилот эҷод кунад. Барои пешгирӣ кардани онҳо, мо тавсия медиҳем, ки бо истифода аз фармон шумораи пайвастҳои ҳамзамон аз 30 то 100 зиёд карда шавад. zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Илова бар ин, мо тавсия медиҳем, ки шабакаи дохилии корхонаро ба рӯйхати шабакаҳои иҷозатдодашуда илова кунем. Инро бо истифода аз фармон иҷро кардан мумкин аст zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Пас аз ворид кардани ҳама гуна тағирот ба DoSFilter, боварӣ ҳосил кунед, ки сервери почтаи худро бо истифода аз фармон бозоғоз намоед zmmailboxdctl аз нав оғоз кунед.
Камбудии асосии DoSFilter дар он аст, ки он дар сатҳи барнома кор мекунад ва аз ин рӯ, танҳо метавонад қобилияти ҳамлагаронро барои анҷом додани амалҳои гуногун дар сервер бидуни маҳдуд кардани қобилияти пайвастшавӣ ба шимол маҳдуд кунад. Аз ин сабаб, дархостҳое, ки барои тасдиқ ё фиристодани номаҳо ба сервер фиристода мешаванд, гарчанде ки онҳо баръало ноком мешаванд, ҳанӯз ҳам ҳамлаи хуби DoS-ро нишон медиҳанд, ки онро дар чунин сатҳи баланд боздоштан мумкин нест.
Барои комилан бехатарии сервери корпоративии худ бо Zimbra OSE, шумо метавонед ҳалли худро ба мисли Fail2ban истифода баред, ки чаҳорчӯбаест, ки метавонад пайваста гузоришҳои системаи иттилоотиро барои амалҳои такрорӣ назорат кунад ва вайронкунандаро тавассути тағир додани танзимоти брандмауэр манъ кунад. Блоккунӣ дар чунин сатҳи паст ба шумо имкон медиҳад, ки ҳамлагаронро бевосита дар марҳилаи пайвасти IP ба сервер хомӯш кунед. Ҳамин тариқ, Fail2Ban метавонад муҳофизатеро, ки бо истифода аз DoSFilter сохта шудааст, комилан пурра кунад. Биёед бифаҳмем, ки чӣ тавр шумо метавонед Fail2Ban-ро бо Zimbra OSE пайваст кунед ва ба ин васила амнияти инфрасохтори IT-и корхонаи худро зиёд кунед.
Мисли ҳама гуна дигар барномаҳои дараҷаи корхона, Zimbra Collaboration Suite Open-Source Edition гузоришҳои муфассали кори худро нигоҳ медорад. Аксари онҳо дар папка нигоҳ дошта мешаванд /opt/zimbra/log/ дар шакли файлҳо. Инҳоянд танҳо чанде аз онҳо:
- mailbox.log — Журналҳои хидматрасонии почтаи электронӣ
- audit.log - гузоришҳои аутентификатсия
- clamd.log — сабтҳои амалиёти зиддивирусӣ
- freshclam.log - гузоришҳои навсозии антивирус
- convertd.log — сабтҳои табдилдиҳандаи замима
- zimbrastats.csv - гузоришҳои иҷрои сервер
Гузоришҳои Zimbra низ метавонанд дар файл пайдо шаванд /var/log/zimbra.log, ки дар он гузоришҳои худи Postfix ва Zimbra нигоҳ дошта мешаванд.
Барои муҳофизат кардани системаи мо аз қувваи бераҳмона, мо назорат хоҳем кард mailbox.log, audit.log и zimbra.log.
Барои он ки ҳама чиз кор кунад, зарур аст, ки Fail2Ban ва iptables дар сервери шумо бо Zimbra OSE насб карда шаванд. Агар шумо Ubuntu-ро истифода баред, шумо метавонед инро бо истифода аз фармонҳо иҷро кунед dpkg -s fail2ban, агар шумо CentOS-ро истифода баред, шумо метавонед инро бо истифода аз фармонҳо тафтиш кунед рӯйхати yum насб fail2ban. Агар шумо Fail2Ban насб накарда бошед, пас насб кардани он мушкилот нахоҳад дошт, зеро ин баста қариб дар ҳама анборҳои стандартӣ мавҷуд аст.
Пас аз насб кардани ҳама нармафзори зарурӣ, шумо метавонед насб кардани Fail2Ban-ро оғоз кунед. Барои ин шумо бояд файли конфигуратсияро эҷод кунед /etc/fail2ban/filter.d/zimbra.conf, ки дар он мо ифодаҳои муқаррариро барои гузоришҳои Zimbra OSE менависем, ки ба кӯшишҳои нодурусти воридшавӣ мувофиқат мекунанд ва механизмҳои Fail2Ban-ро триггер мекунанд. Ин аст мисоли мундариҷаи zimbra.conf бо маҷмӯи ифодаҳои муқаррарӣ, ки ба хатогиҳои гуногуне, ки Zimbra OSE ҳангоми ноком шудани кӯшиши аутентификатсия мепартояд:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Пас аз он ки ифодаҳои муқаррарии Zimbra OSE тартиб дода шуданд, вақти он расидааст, ки таҳрир кардани конфигуратсияи худи Fail2banро оғоз кунед. Танзимоти ин утилита дар файл ҷойгир аст /etc/fail2ban/jail.conf. Дар ҳар сурат, биёед нусхаи эҳтиётии онро бо истифода аз фармон созем cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Баъд аз ин, мо ин файлро тақрибан ба шакли зерин кам мекунем:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=admin@company.ru, sender=fail2ban@company.ru]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, dest=support@company.ru]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, dest=support@company.ru ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, dest=support@company.ru]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, dest=support@company.ru]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, dest=support@company.ru]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Гарчанде ки ин мисол хеле умумӣ аст, ба ҳар ҳол лозим аст, ки баъзе параметрҳоро шарҳ диҳед, ки шумо ҳангоми насб кардани Fail2Ban худатон тағир додан мехоҳед:
- Нодида гирифтан — бо истифода аз ин параметр шумо метавонед IP ё зершабакаи мушаххасеро муайян кунед, ки аз он Fail2Ban набояд суроғаҳоро тафтиш кунад. Аз руи коида сети дохилии корхона ва дигар адресхои боваринок ба катори адресхои нодида гирифта мешаванд.
- Bantime — Замоне, ки барои он гунахкор манъ карда мешавад. Дар сонияҳо чен карда мешавад. Арзиши -1 маънои манъи доимиро дорад.
- Максретри — Миқдори ҳадди аксар як суроғаи IP метавонад кӯшиш кунад, ки ба сервер дастрасӣ пайдо кунад.
- Ирсоли почта — Танзимоте, ки ба шумо имкон медиҳад, ки ҳангоми фаъол шудани Fail2Ban огоҳиномаҳои почтаи электронӣ фиристед.
- Пайдо кардани вақт — Параметре, ки ба шумо имкон медиҳад фосилаи вақтро муқаррар кунед, ки пас аз он суроғаи IP метавонад кӯшиш кунад, ки пас аз тамом шудани шумораи максималии кӯшишҳои номуваффақ дубора ба сервер дастрасӣ пайдо кунад (параметри maxretry)
Пас аз захира кардани файл бо танзимоти Fail2Ban, танҳо бо истифода аз фармон аз нав оғоз кардани ин утилита боқӣ мемонад. хидмати fail2ban бозоғозӣ. Пас аз бозоғозӣ, сабтҳои асосии Zimbra барои риояи ифодаҳои муқаррарӣ мунтазам назорат карда мешаванд. Ба шарофати ин, администратор метавонад ҳама гуна имкони ворид шудани ҳамларо на танҳо ба қуттиҳои почтаи Zimbra Collaboration Suite Open-Source Edition, балки инчунин ҳама хидматҳоеро, ки дар Zimbra OSE кор мекунанд, муҳофизат кунад ва инчунин аз ҳама гуна кӯшишҳои дастрасии беиҷозат огоҳ бошад. .
Барои ҳама саволҳои марбут ба Zextras Suite, шумо метавонед бо Намояндаи Zextras Екатерина Триандафилиди тавассути почтаи электронии katerina@zextras.com тамос гиред.
Манбаъ: will.com
