Назад | Перейти на главную страницу

Сломанная Zimbra после защиты SSH

У меня есть сервер CentOS 5.7 с установленной Zimbra, и все работает нормально.

Я только что обеспечил SSH:

Вышеупомянутое работает для SSH-подключения к серверу в качестве разрешенного пользователя и для подключения к root / sudoing.

Однако, когда я вхожу в свою веб-почту, я больше не могу отправлять / получать сообщения. Угу!

Сделав несколько поисков в Интернете, похоже, что Zimbra внутренне использует ssh, чтобы общаться с другими модулями Zimbra.

Кто-нибудь знает, как это исправить?

Я не могу это проверить, потому что у меня нет тестовой установки Zimbra для работы, но я подозреваю, что добавлю zimbra user на AllowUsers и установки ssh-порта обратно на 22 должно быть достаточно.

Если вы нервничаете по поводу использования ssh на стандартном порте, возможно, настройте sshd для прослушивания вашего альтернативного порта, а также порта 22, и используйте iptables для ограничения доступа к порту 22 только локальным IP-адресом. (Лично я предпочитаю оставить ssh на его стандартном порту и ограничить исходные IP-адреса, но это может быть непрактично, если у вас нет фиксированного исходного IP-адреса.)

Если вы нервничаете из-за того, что zimbra пользователя в мире, вы можете захотеть изучить pam_access ограничить IP-адреса zimbra Пользователь может использовать SSH из.

Тем не менее, у меня есть ощущение, что, согласно перечисленным вами символам, с вашим сервером происходит нечто большее, чем просто нарушенный доступ по SSH. Zimbra не требует ssh для себя для рутинных вещей, таких как отправка электронной почты, а в основном для административных целей. Возможно, вы захотите проверить логи /var/log и /opt/zimbra/log.

Я предлагаю вам вернуться к исходной настройке и включить по одной функции за раз.

Главное, что вы можете сделать, - это установить для входа root значение «без пароля», чтобы предотвратить вход в систему с паролем для root (при необходимости разрешив аутентификацию по ключу).

Есть ли в вашей среде аппаратный или внешний брандмауэр для портов ssh? Если это так, вы можете настроить ssh для прослушивания нескольких портов. 22 и 2222, например. Просто ограничьте входящий доступ из мира в альтернативный порт.

Я думаю, что директива AllowUsers может быть частью проблемы. Вы сможете определить это, изучив свои журналы / var / log / secure.

Нет необходимости возвращаться к порту 22 (здесь я использую 1234):

# su - zimbra
$ zmprov ms domain.tld zimbraRemoteManagementPort 1234
$ ssh -vi .ssh/zimbra_identity -o strictHostKeyChecking=no zimbra@domain.tld -p 1234