วันจันทร์ที่ 16 ธันวาคม พ.ศ. 2556

เรื่องที่ Zimbra Admin ทุกคนควรจะ(ต้อง)อ่าน

ช่วงหลังๆ ผมพบว่า มีท่านผู้อ่าน สอบถามปัญหาเกี่ยวกับปัญหาที่ Zimbra โดน hack  กันอยู่เรื่อยๆ บางคนโดน hack  Zimbra account บางคนหนักๆ โดน hack root ของเครื่อง Linux เลย บางคนไม่โดน hack แต่ setup ไม่ดี  สุดท้ายทำให้ Zimbra Server ของเรา กลาย เครื่องส่ง spam ไปก็เห็นกันบ่อย

ที่จริง ผมเคยเขียนบทความที่เกี่ยวข้องกับเรื่องการป้องกันไปแล้วอยู่หลายตอน แต่เนื่องจากการกลับไปดูบทความเก่าๆบน  facebook  อาจะไม่ค่อยสะดวก ไม่ทราบว่ามีบทความอยู่  หรือบางที่เราก็ไม่รู้ว่าควรจะอ่านเรื่องไหน

ผมจึงอยากจะขอรวบรวมเรื่องที่สำคัญ ที่ Zimbra Admin ควรจะทราบที่เกี่ยวข้องกับการ hack ระบบของ zimbra และช่วยแฟน Thai Zimbra ที่ได้กด like fan page นี้ที่หลัง ได้ทราบถึงสิ่งที่ควรทำ ในการป้องกัน  Zimbra Server ของเรา

ตามนี้ครับ

1)  เกี่ยวกับเรื่องที่ว่าทำไม hacker ชอบ hack ระบบ Mail server  เค้า hack แล้ว ได้อะไร
http://thaizimbra.blogspot.com/2013/03/hack-email-account-part-i.html
http://thaizimbra.blogspot.com/2013/04/hacking-email-account-part-ii.html

2) วิธีป้องกันไม่ให้ hack root เข้ามาทาง ssh
http://thaizimbra.blogspot.com/2013/11/linux-hack-ssh.html

โดยปกติ hacker จะเดาชื่อ user และ password โดย user ที่จะโดนเป็นอันดับแรก  คือ root เพราะไม่ต้องเดาชื่อ user มีทุกเครื่อง และ root เป็น user บน Linux ที่ใหญ่ที่สุด ทำได้ทุกอย่าง root โดน hack ก็เป็นอันจบกันครับ เหมือนตั้งเครื่องให้คนอื่นเค้าใช้งานดีๆนี่เอง

และอย่างชล่าใจว่า password root เราตั้งยากแล้ว จะไม่โดน hack นะครับ hacker เค้าไม่ได้นั่งเดา password และลองที่ละตัวนะครับ เค้ามีโปรแกรมทีสร้าง list ของ  password โดยเอาอักขระมาผสมกัน ส่วนการ login เค้าก็ใชเโปรแกรมเช่นกันครับ ทำได้วินาทีละหลายๆครั้ง บางคนใช้คำว่าโดน ยิง ซึ่งดูเหมือนจะเหมาะกว่า  รอดยากครับ

หมายเหตุ การ setup Linux ให้มีความปลอดภัย (Linux Hardening) มีกระบวนการอยู่มากมายครับ  เรื่องนี้เป็นแค่เรื่องเดียวเท่านั้น

3) วิธีการกำหนดให้ user ของ Zimbra ต้องตั้ง password ให้เดาได้ยากๆ
http://thaizimbra.blogspot.com/2013/03/zimbra-tip-and-technique-8-password.html
http://thaizimbra.blogspot.com/2013/03/zimbra-tips-and-technique-9-password.html

เรื่องนี้สำคัญมากครับ admin หลายคนรู้ พยายามจะให้ user ใช้  แต่ user ไม่ยอม อยากได้ password แบบตั้งง่ายๆ จะได้จำง่ายๆ
อันนี้คงขึ้นกับฝีมือ หรือฝีปากของ Admin (หรือหัวหน้าแผนก IT) ในการโน้มน้าว user ซึ่งส่วนใหญ่คนที่มีปัญหามักจะเป็นระดับผู้บริหารหรือคนเก่าคนแก่ขององค์กรขนาดกลางหรือเล็ก  ส่วนบริษัทขนาดใหญ่ ไม่ค่อยเจอครับ

ยิ่งถ้าเป็น บริษัทเอาหุ้นเข้าตลาดหลักทรัพย์ จะไม่เจอปัญหานี้ครับ เพราะเค้าต้องมีผู้ตรวจสอบเกี่ยวกับระบบคอมพิวเตอร์ คอยตรวจทุกปี ซึ่งเค้าจะตรวจเรื่องการตั้ง password ของระบบคอมพิวเตอร์ในบริษัทด้วย ถ้าไม่ผ่าน อาจเป็นสาเหตุหนึ่งให้ถูกถอดรายชื่อจากการจดทะเบียนในตลาดหลักทรัพย์ได้ เพราะถือว่า ระบบคอมพิวเตอร์ไม่ปลอดภัย ฟันธง !!!

คำแนะนำของผมก็คือ คุยตกลงกันให้เรียบร้อยก่อนจะขึ้นระบบ  Zimbra อธิบายถึงข้อเสียว่าจะเกิดอะไรขึ้นบ้าง (อ่านได้จากในข้อ 1)  และเริ่มกำหนดรูปแบบของ password ให้เดายากๆ ตั้งแต่ต้นเลย ถ้าให้ user ใช้งานไปก่อน แล้วค่อยมากกำหนดเรื่องนี้ที่หลัง มีแนวโน้มที่จะเจอ user ไม่เข้าใจ หรืององแง เป็นไปได้สูงมากครับ

4) วิธีกำหนดให้ Zimbra จัดการกับ account ที่ถูก login ผิดๆ ติดๆกัน หลายๆครั้ง ในช่วงเวลาไม่กี่วินาที
http://thaizimbra.blogspot.com/2013/04/zimbra-tip-and-technique-10-failed.html

สำหรับเรื่องนี้ ต่อเนื่องจากข้อ 3)  ครับ ถึงแม้ เราจะตั้ง password ให้เดาได้ยาก แต่เนื่องจาก hacker เค้า login โดยใช้โปรแกรม ซึ่งวิธีนี้ เดาไปเรื่อยๆ ก็มีสิทธิที่จะเดา password ได้ถูกเหมือนกันครับ วิธีป้องกันคือ ต้องล็อก account ซะ ถ้ามีการ login ผิดติดๆกัน ถี่ๆ ผิดวิสัยของคนปกติ  ซึ่งอาจจะทำเป็นการชั่วคราว หรือวิธีที่ล็อกแล้วต้องรอให้ admin มาปลดล้อกให้ก็ได้ครับ

ผมอยากจะบอกว่า

ถ้าอ่านไม่จบ และไม่สามารถนำไปใช้กับ Zimbraที่คุณดูแลอยู่ได้  ก็อย่า(แม้แต่จะคิด)ตั้ง Zimbra ให้คนอื่นใช้งานเลย

อาจฟังดูแรงไป แต่ผมก็หมายความอย่างนั้นจริงๆ ครับ เพราะถ้าคุณตั้ง Zimbra แบบไม่ป้องกันการ hack ตามหัวข้อต่อไปนี้ ผมว่ามันก็ไม่แตกต่างกับกับการตั้ง Zimbra ให้เค้ามา hack ให้เสียชื่อปล่าวๆ

และอย่าคิดว่าการมี Firewall ราคาแพงๆ อยู่แล้วจะช่วยได้ วิธีการ hack พวกนี้ เค้าเค้ามาทางช่องทางที่คุณเปิดให้คนข้างนอกเข้ามาใช้งาน จะปิดก็ทำให้ระบบใช้งานไม่ได้ ในกรณีนี้ firewall ไม่ใช่ประเด็นครับ  ประเด็นอยู่ที่การ setup เครื่อง server มากกว่า

หัวข้อพวกนี้ ไม่ได้จำกัดอยู่แค่ Zimbra เท่านั้น แต่หลายเรื่องสามารถนับไปปรับใช้ กับ  Mail Server อื่นทั้งที่ทำงานอยู่บน Linux หรือไม่ได้ทำงานอยู่บน Linux ด้วย แชร์หรือบอกกล่าวให้คนอื่นๆ ได้ทราบกัน จะเป็นบุญอย่างยิ่งครับ

อีกอย่าง ทำตามที่ผมบอก ไม่ได้หมายความว่าจะปลอดภัย 100% นะครับ แต่เรื่องพวกนี้ เป็นเรื่องแค่พื้นฐานที่เราต้องทำ
ยังมีอีกหลายเรื่องเกียวกับความปลอดภัย ที่ผมยังไม่ได้เขียนถึงครับ ไว้มีโอกาส จะค่อยๆเล่าไปทีละเรื่องละกัน

ขอให้ระบบ Zimbra ทีคุณดูแล ปลอดภัยจากเหล่า hacker ที่ชั่วร้ายนะครับ



ไม่มีความคิดเห็น:

แสดงความคิดเห็น