Bu döküman da zimbra mail sunucunuzu ufw kullanarak, Debian ve Ubuntu sunucularda nasıl koruma altına alacağınız anlatacağız.
Ubuntu da UFW kurulumu
Ubuntu sunucularda UFW kurulumu için aşağıdaki komutları uygulayınız.
sudo apt-get update && sudo apt-get -y install ufwKurulum işleminden sonra aktif etmek için
sudo systemctl start firewalld
sudo systemctl enable firewalldNot: İlk önce ssh portuna izin vermeyi unutmayın böylece sunucu ile bağlantınız kesilmeyecektir.
Debian için, Debian Firewall Kurulumu naşlıklı yazımızı takip edebilir siniz.
UFW kullanarak Zimbra Güvenlik Duvarını yapılandırma
UDP bağlantı noktaları için yakın zamanda yapılan Memcache amplification attacks saldırıları nedeniyle, Güvenlik duvarlarında Memcache’nin udp bağlantı noktasını etkinleştirmiyoruz. Port 11211/udp. Sadece bu saldırılara karşı daha güvenli olan tcp portunu açık bırakacağız. Memcache Major amplifikasyonu hakkında daha fazla bilgi edinin.
UFW için Zimbra adlı bir app profili oluşturacağız. Bu profili aşağıdaki gibi oluşturalım.
sudo vim /etc/ufw/applications.d/zimbraArdından aşağıdaki içeriği ekliyoruz.
[Zimbra]
title=Zimbra Collaboration Server
description=Open source server for email, contacts, calendar, and more.
ports=22,25,80,110,143,161,389,443,465,514,587,993,995,7071,8443,11211/tcpUfw üzerinde app profili aktif edeceğiz.
sudo ufw allow Zimbra
sudo ufw enableSsh portunu da ekliyoruz.
sudo ufw allow sshZimbra profilinde herhangi bir değişiklik yaparsanız, aşağıdakileri komutları kullanarak güncelleyin
$ sudo ufw app update Zimbra
Rules updated for profile 'Zimbra'
Skipped reloading firewallTekbir sunucu kullanımında, Memcache local harici bağlantı kullanmaz. Bunun için local ip adresi ile bağlantı kurdurmamız daha güvenlidir.
sudo su - zimbra
zmprov ms zmhostname zimbraMemcachedBindAddress 127.0.0.1
zmprov ms zmhostname zimbraMemcachedClientServerList 127.0.0.1Memcache servisini restart etmemiz gerekmektedir.
sudo su - zimbra -c "zmmemcachedctl restart"Firewalld kullanarak Zimbra Güvenlik Duvarını yapılandırma
Firewalld kullanacaklariçin, önce firewalld’in çalışır durumda olduğunu doğrulayın.
sudo firewall-cmd --state runningEğer çalışmıyor ise aşağıdaki komut ile aktif edebilir siniz.
sudo systemctl start firewalldArdından güvenlik duvarında Zimbra bağlantı portlarını ve hizmetlerini yapılandırın.
sudo firewall-cmd --add-service={http,https,smtp,smtps,imap,imaps,pop3,pop3s} --permanent
sudo firewall-cmd --add-port 7071/tcp --permanent
sudo firewall-cmd -add-port 8443/tcp --permanentFirewalld servisinin yeni yapılandırmayı okuması için aşağıdaki komutu uygulayın.
sudo firewall-cmd --reloadGeçerli ayarları kontrol etmek için aşağıdaki komutu kullanabilir siniz.
$ sudo firewall-cmd --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client http https imap imaps pop3 pop3s smtp smtps snmp ssh
ports: 7071/tcp 8443/tcp
...Yönetici kontrol paneline erişimi kısıtlama
Admin paneline erişim imkanını veren 7071 portuna erişimi kısıtlamak iyi bir güvenlik önlemi olacaktır. Sadece güvenli ip adreslerine erişim açabiliriz. Ufw ile bu işlemi aşağıdaki komutlar ile gerçekleştirebiliriz.
$ sudo ufw allow from 192.168.1.10 to any port 7071
$ sudo ufw allow from 192.168.1.0/24 to any port 7071Firewalld ile gelişmiş kuralları kullanabilir siniz.
sudo firewall-cmd --permanent --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10/32" port protocol="tcp" port="7071" accept'
sudo firewall-cmd --reloadArtık güvenli bir Zimbra Mail server kurulumuna sahipsiniz. Tüm bu güvenlik problemleri ile uğraşmamak için Kurumsal Mail Sunucularımızı tercih edebilir siniz.
