Ifọwọsowọpọ Zimbra Suite Open-Orisun Edition ni ọpọlọpọ awọn irinṣẹ agbara lati rii daju aabo alaye. Lára wọn - ojutu kan fun aabo olupin meeli lati awọn ikọlu lati awọn botnets, ClamAV - ọlọjẹ ti o le ṣe ọlọjẹ awọn faili ti nwọle ati awọn lẹta fun ikolu pẹlu awọn eto irira, ati - ọkan ninu awọn asẹ àwúrúju ti o dara julọ loni. Bibẹẹkọ, awọn irinṣẹ wọnyi ko lagbara lati daabobo Zimbra OSE lọwọ awọn ikọlu agbara iro. Kii ṣe ohun ti o wuyi julọ, ṣugbọn tun munadoko, awọn ọrọ igbaniwọle fipa mu ṣiṣẹ nipa lilo iwe-itumọ pataki kan kii ṣe pẹlu iṣeeṣe ti gige gige aṣeyọri pẹlu gbogbo awọn abajade ti o tẹle, ṣugbọn pẹlu ṣiṣẹda fifuye pataki lori olupin naa, eyiti o ṣe ilana gbogbo rẹ. awọn igbiyanju ti ko ni aṣeyọri lati gige olupin kan pẹlu Zimbra OSE.
Ni ipilẹ, o le daabobo ararẹ lọwọ agbara iro nipa lilo awọn irinṣẹ Zimbra OSE boṣewa. Awọn eto eto imulo aabo ọrọ igbaniwọle gba ọ laaye lati ṣeto nọmba awọn igbiyanju titẹ ọrọ igbaniwọle ti o ṣaṣeyọri, lẹhin eyi ti akọọlẹ ti o le kọlu ti dina. Iṣoro akọkọ pẹlu ọna yii ni pe awọn ipo waye ninu eyiti awọn akọọlẹ ti ọkan tabi diẹ sii awọn oṣiṣẹ le dina nitori ikọlu ipa ti ko ni nkankan lati ṣe, ati idinku akoko ninu iṣẹ awọn oṣiṣẹ le mu awọn adanu nla wa si ile-iṣẹ naa. Ti o ni idi ti o jẹ ti o dara ju ko lati lo yi aṣayan ti Idaabobo lodi si irokuro agbara.
Lati daabobo lodi si agbara iro, ọpa pataki kan ti a npe ni DoSFilter dara julọ, eyiti a ṣe sinu Zimbra OSE ati pe o le fopin si asopọ si Zimbra OSE laifọwọyi nipasẹ HTTP. Ni awọn ọrọ miiran, ilana ṣiṣe ti DoSFilter jẹ iru si ipilẹ iṣẹ ti PostScreen, nikan o lo fun ilana ti o yatọ. Ni akọkọ ti a ṣe lati ṣe idinwo nọmba awọn iṣe ti olumulo kan le ṣe, DoSFilter tun le pese aabo agbara iro. Iyatọ bọtini rẹ lati ọpa ti a ṣe sinu Zimbra ni pe lẹhin nọmba kan ti awọn igbiyanju aṣeyọri, ko ṣe idiwọ olumulo funrararẹ, ṣugbọn adiresi IP lati eyiti awọn igbiyanju pupọ ti ṣe lati wọle sinu akọọlẹ kan pato. Ṣeun si eyi, oluṣakoso eto ko le daabobo nikan lodi si agbara iro, ṣugbọn tun yago fun idinamọ awọn oṣiṣẹ ile-iṣẹ nipa fifirọpọ nẹtiwọọki inu ti ile-iṣẹ rẹ si atokọ ti awọn adirẹsi IP ti o ni igbẹkẹle ati awọn subnets.
Anfani nla ti DoSFilter ni pe ni afikun si awọn igbiyanju lọpọlọpọ lati wọle si akọọlẹ kan pato, lilo ọpa yii o le ṣe idiwọ awọn apanirun wọnyẹn ti o gba data ijẹrisi oṣiṣẹ kan, lẹhinna ṣaṣeyọri wọle sinu akọọlẹ rẹ o bẹrẹ fifiranṣẹ awọn ọgọọgọrun awọn ibeere si olupin.
O le tunto DoSFilter nipa lilo awọn pipaṣẹ console atẹle:
- zimbraHttpDosFilterMaxRequestsPerSec - Lilo aṣẹ yii, o le ṣeto nọmba ti o pọ julọ ti awọn asopọ laaye fun olumulo kan. Nipa aiyipada iye yii jẹ awọn asopọ 30.
- zimbraHttpDosFilterDelayMillis Lilo aṣẹ yii, o le ṣeto idaduro ni milliseconds fun awọn asopọ ti yoo kọja opin ti a sọ nipa aṣẹ iṣaaju. Ni afikun si awọn iye odidi, oluṣakoso le pato 0 ki ko si idaduro rara, bakannaa -1 ki gbogbo awọn asopọ ti o kọja opin ti a ti sọ tẹlẹ ni idilọwọ. Awọn aiyipada iye ni -1.
- zimbraHttpThrottleSafeIPs - Lilo aṣẹ yii, olutọju le pato awọn adirẹsi IP ti o gbẹkẹle ati awọn subnets ti kii yoo jẹ koko-ọrọ si awọn ihamọ ti a ṣe akojọ loke. Ṣe akiyesi pe sintasi ti aṣẹ yii le yatọ si da lori abajade ti o fẹ. Nitorinaa, fun apẹẹrẹ, nipa titẹ aṣẹ naa zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, o yoo patapata ìkọlélórí gbogbo akojọ ki o si fi nikan kan IP adirẹsi ni o. Ti o ba tẹ aṣẹ sii zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, adiresi IP ti o tẹ yoo wa ni afikun si akojọ funfun. Bakanna, lilo ami iyokuro, o le yọ eyikeyi IP kuro ninu atokọ ti a gba laaye.
Jọwọ ṣe akiyesi pe DoSFilter le ṣẹda nọmba awọn iṣoro nigba lilo awọn amugbooro Zextras Suite Pro. Lati yago fun wọn, a ṣeduro jijẹ nọmba awọn asopọ nigbakanna lati 30 si 100 nipa lilo aṣẹ naa. zmprov mcf zimbraHttpDosFilterMaxIbeerePerSec 100. Ni afikun, a ṣeduro ṣafikun nẹtiwọọki inu ile-iṣẹ si atokọ ti awọn ti o gba laaye. Eyi le ṣee ṣe nipa lilo aṣẹ naa zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Lẹhin ṣiṣe eyikeyi awọn ayipada si DoSFilter, rii daju lati tun olupin meeli rẹ bẹrẹ nipa lilo aṣẹ naa zmmailboxdctl tun bẹrẹ.
Aila-nfani akọkọ ti DoSFilter ni pe o ṣiṣẹ ni ipele ohun elo ati nitorinaa o le ṣe idinwo agbara awọn ikọlu nikan lati ṣe awọn iṣe lọpọlọpọ lori olupin, laisi opin agbara lati sopọ si ariwa. Nitori eyi, awọn ibeere ti a firanṣẹ si olupin fun ijẹrisi tabi fifiranṣẹ awọn lẹta, biotilejepe wọn yoo han gbangba kuna, yoo tun ṣe aṣoju ikọlu DoS atijọ ti o dara, eyiti ko le da duro ni ipele giga bẹ.
Lati le ni aabo olupin ile-iṣẹ rẹ patapata pẹlu Zimbra OSE, o le lo ojutu kan gẹgẹbi Fail2ban, eyiti o jẹ ilana ti o le ṣe atẹle awọn igbasilẹ eto alaye nigbagbogbo fun awọn iṣe leralera ati dina olubẹwo nipasẹ yiyipada awọn eto ogiriina. Dinamọ ni iru ipele kekere kan gba ọ laaye lati mu awọn ikọlu ṣiṣẹ ni ipele ti asopọ IP si olupin naa. Nitorinaa, Fail2Ban le ṣe iranlowo ni pipe aabo ti a ṣe nipa lilo DoSFilter. Jẹ ki a wa bii o ṣe le sopọ Fail2Ban pẹlu Zimbra OSE ati nitorinaa mu aabo ti awọn amayederun IT ti ile-iṣẹ rẹ pọ si.
Bii eyikeyi ohun elo kilasi ile-iṣẹ miiran, Zimbra Collaboration Suite Open-Source Edition tọju awọn igbasilẹ alaye ti iṣẹ rẹ. Pupọ ninu wọn wa ni ipamọ ninu folda naa /opt/zimbra/log/ ni awọn fọọmu ti awọn faili. Eyi ni diẹ ninu wọn:
- mailbox.log - Jetty mail àkọọlẹ iṣẹ
- audit.log - ìfàṣẹsí àkọọlẹ
- clamd.log - awọn akọọlẹ iṣẹ ṣiṣe antivirus
- freshclam.log - awọn imudojuiwọn imudojuiwọn antivirus
- convertd.log - asomọ converter àkọọlẹ
- zimbrastats.csv - awọn iṣẹ ṣiṣe olupin
Awọn akọọlẹ Zimbra tun le rii ninu faili naa /var/log/zimbra.log, nibiti a ti tọju awọn akọọlẹ Postfix ati Zimbra funrararẹ.
Lati le daabobo eto wa lati ipa aburu, a yoo ṣe atẹle mailbox.log, ayewo.log и zimbra.log.
Ni ibere fun ohun gbogbo lati ṣiṣẹ, o jẹ dandan pe Fail2Ban ati awọn iptables ti fi sori ẹrọ lori olupin rẹ pẹlu Zimbra OSE. Ti o ba nlo Ubuntu, o le ṣe eyi nipa lilo awọn aṣẹ dpkg -s fail2ban, ti o ba lo CentOS, o le ṣayẹwo eyi nipa lilo awọn aṣẹ yum akojọ fi sori ẹrọ fail2ban. Ti o ko ba fi Fail2Ban sori ẹrọ, lẹhinna fifi sori kii yoo jẹ iṣoro, nitori package yii wa ni gbogbo awọn ibi ipamọ boṣewa.
Ni kete ti gbogbo sọfitiwia pataki ti fi sii, o le bẹrẹ eto Fail2Ban. Lati ṣe eyi o nilo lati ṣẹda faili iṣeto ni /etc/fail2ban/filter.d/zimbra.conf, ninu eyiti a yoo kọ awọn ikosile deede fun awọn iwe-ipamọ Zimbra OSE ti yoo baamu awọn igbiyanju iwọle ti ko tọ ati fa awọn ilana Fail2Ban. Eyi ni apẹẹrẹ ti awọn akoonu ti zimbra.conf pẹlu ṣeto awọn ikosile deede ti o baamu si awọn aṣiṣe oriṣiriṣi ti Zimbra OSE n ju nigbati igbiyanju ijẹrisi ba kuna:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Ni kete ti awọn ikosile deede fun Zimbra OSE ti jẹ akojọpọ, o to akoko lati bẹrẹ ṣiṣatunṣe iṣeto ni Fail2ban funrararẹ. Awọn eto ti ohun elo yii wa ninu faili naa /etc/fail2ban/jail.conf. O kan ni ọran, jẹ ki a ṣe ẹda afẹyinti nipa lilo aṣẹ naa cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Lẹhin iyẹn, a yoo dinku faili yii si isunmọ fọọmu atẹle:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Botilẹjẹpe apẹẹrẹ yii jẹ jeneriki pupọ, o tun tọ lati ṣalaye diẹ ninu awọn paramita ti o le fẹ yipada nigbati o ba ṣeto Fail2Ban funrararẹ:
- Fojusi - lilo paramita yii o le pato ip kan pato tabi subnet lati eyiti Fail2Ban ko yẹ ki o ṣayẹwo awọn adirẹsi. Gẹgẹbi ofin, nẹtiwọọki inu ti ile-iṣẹ ati awọn adirẹsi igbẹkẹle miiran ti wa ni afikun si atokọ ti awọn ti a ko bikita.
- Bantime — Àkókò tí a óò fòfin de ẹni tí ó ṣẹ̀. Wiwọn ni iṣẹju-aaya. A iye ti -1 tumo si a yẹ wiwọle.
- Maxretry - Nọmba ti o pọ julọ ti awọn akoko adiresi IP kan le gbiyanju lati wọle si olupin naa.
- Ifiranṣẹ imeeli - Eto ti o fun ọ laaye lati fi awọn iwifunni imeeli ranṣẹ laifọwọyi nigbati Fail2Ban ti ṣiṣẹ.
- Akoko wiwa - Eto ti o fun ọ laaye lati ṣeto aarin akoko lẹhin eyiti adiresi IP le gbiyanju lati wọle si olupin lẹẹkansii lẹhin nọmba ti o pọ julọ ti awọn igbiyanju aṣeyọri ti pari (paramita maxretry)
Lẹhin fifipamọ faili naa pẹlu awọn eto Fail2Ban, gbogbo ohun ti o ku ni lati tun bẹrẹ iṣẹ yii nipa lilo aṣẹ iṣẹ fail2ban tun. Lẹhin atunbẹrẹ, awọn akọọlẹ Zimbra akọkọ yoo bẹrẹ lati ni abojuto nigbagbogbo fun ibamu pẹlu awọn ikosile deede. Ṣeun si eyi, oludari yoo ni anfani lati parẹ eyikeyi iṣeeṣe ti ikọlu ti nwọle kii ṣe awọn apoti ifiweranṣẹ Zimbra Collaboration Suite Open-Source Edition, ṣugbọn tun daabobo gbogbo awọn iṣẹ ti n ṣiṣẹ laarin Zimbra OSE, ati tun ṣe akiyesi eyikeyi awọn igbiyanju lati ni iraye si laigba aṣẹ. .
Fun gbogbo awọn ibeere ti o jọmọ Zextras Suite, o le kan si Aṣoju Zextras Ekaterina Triandafilidi nipasẹ imeeli [imeeli ni idaabobo]
orisun: www.habr.com