Zdieľanie zdrojov medzi OS Windows a OS Linux / 13. časť

V tej­to čas­ti se­riá­lu sa za­me­ria­me na pos­tup za­bez­pe­če­nia poš­to­vé­ho server­a Pos­tfix po­mo­cou auten­ti­fi­ká­cie SMTP a pro­to­ko­lu TLS.

Kľúč a cer­ti­fi­kát

Slo­vo za­bez­pe­če­nie sa vo sve­te IT vždy spá­ja s poj­ma­mi kľúč a cer­ti­fi­kát. Ich vý­znam ne­bu­de­me ro­zo­be­rať, vy­tvo­riť ich však mu­sí­me. Cer­ti­fi­ká­ty si mô­že­me vy­tvo­riť sa­mi ale­bo o ne po­žia­da­me na­šu inter­nú, resp. akú­koľ­vek inú exter­nú cer­ti­fi­kač­nú auto­ri­tu:

openssl genr­sa -out kluc.pem 1024
openssl req -new -key kluc.pem -x509 -days 365 -out cer­ti­fi­kat.pem
openssl req -new -x509 -exten­sions v3_ca -days 365 -keyout cak­luc.pem -out ca­cer­ti­fi­kat.pem
cat kluc.pem cer­ti­fi­kat.pem >> kom­bi­no­va­ny.pem
su­do mv kluc.pem cak­luc.pem kom­bi­no­va­ny.pem /etc/ssl/pri­va­te/
su­do mv cer­ti­fi­kat.pem ca­cer­ti­fi­kat.pem /etc/ssl/certs/

Zdielanie-obr1.jpg

Obr. 1 Zme­na nas­ta­ve­ní poš­to­vé­ho klien­ta

SMTP_AUTH

Auten­ti­fi­ká­ciu pou­ží­va­te­ľov bu­de­me rie­šiť pros­tred­níc­tvom dé­mo­na sas­lauthd:

  • doin­šta­lu­je­me sú­bo­ry lib­sasl2-2, sasl2-bin, lib­sasl2-mo­du­les
  • up­ra­ví­me sú­bor /etc/de­fault/sas­lauthd tak­to:

START=yes
PWDIR="/var/spool/pos­tfix/var/run/sas­lauthd"
PA­RAMS="-m ${PWDIR}"
PID­FI­LE="${PWDIR}/sas­lauthd.pid"
na kon­ci sú­bo­ru: OP­TIONS="-c -m /var/spool/pos­tfix/var/run/sas­lauthd"

  • ini­cia­li­zač­né­mu skrip­tu dé­mo­na sas­lauthd za­dá­me úlo­hu vy­tvo­riť pri nas­le­du­jú­com spus­te­ní chý­ba­jú­ci ad­re­sár:

su­do dpkg-sta­to­verri­de --for­ce --up­da­te --add root sasl 755 /var/spool/pos­tfix/var/run/sas­lauthd

  • vy­tvo­rí­me sú­bor /etc/pos­tfix/sasl/smtpd.conf a vlo­ží­me doň:

pwcheck_met­hod: sas­lauthd
mech_list: plain lo­gin

  • naš­tar­tu­je­me dé­mo­na sas­lauthd:

su­do /etc/init.d/sas­lauthd start

  • do sú­bo­ru /etc/pos­tfix/main.cf dopl­ní­me, resp. up­ra­ví­me pa­ra­met­re tak­to:

# pa­ra­met­re pre SASL
smtpd_sasl_lo­cal_do­main=smtpd_sasl_auth_enab­le=yes
smtpd_sasl_se­cu­ri­ty_op­tions=noa­no­ny­mous
bro­ken_sasl_auth_clients=yes
smtpd_re­ci­pient_res­tric­tions=per­mit_sasl_aut­hen­ti­ca­ted,per­mit_my­networks,re­ject

TLS

V sú­bo­re /etc/pos­tfix/main.cf po­vo­lí­me šif­ro­va­nie TLS všet­kej pri­jí­ma­nej aj od­osie­la­nej poš­ty:

# pa­ra­met­re pre TLS
smtp_tls_se­cu­ri­ty_le­vel=may
smtpd_tls_se­cu­ri­ty_le­vel=may
smtpd_tls_auth_on­ly=yes
smtp_tls_no­te_starttls_of­fer=yes
smtpd_tls_key_fi­le=/etc/ssl/pri­va­te/kluc.pem
smtpd_tls_cert_fi­le=/etc/ssl/certs/cer­ti­fi­kat.pem
smtpd_tls_CA­fi­le=/etc/ssl/certs/ca­cer­ti­fi­kat.pem
smtpd_tls_log­le­vel=1
smtpd_tls_re­cei­ved_hea­der=yes
smtpd_tls_ses­sion_ca­che_ti­meout=3600s
tls_ran­dom_sour­ce=dev:/dev/uran­dom

  • po vy­ko­na­ní všet­kých úp­rav ne­za­bud­ni­me ak­tua­li­zo­vať kon­fi­gu­rá­ciu server­a Pos­tfix:

su­do pos­tfix re­load

Courier PO­P3 SSL

Doin­šta­lu­je­me sú­bor courier-pop-ssl:

su­do apt-get in­stall courier-pop-ssl

  • up­ra­ví­me sú­bor /etc/courier/po­p3d-ssl tak­to:

PO­P3_TLS_REQUIRED=1
TLS_CER­TFI­LE=/etc/ssl/pri­va­te/kom­bi­no­va­ny.pem

  • za­sta­ví­me dé­mo­na Courier PO­P3 a naš­tar­tu­je­me Courier PO­P3 SSL:

su­do /etc/init.d/courier-pop stop
su­do /etc/init.d/courier-pop-ssl start

Na­ko­niec ne­za­bud­ni­me, že ok­rem už vy­ko­na­ných nas­ta­ve­ní na stra­ne server­a mu­sí­me zme­niť aj nas­ta­ve­nia poš­to­vé­ho klien­ta: od­osie­la­nie poš­ty - server vy­ža­du­je auten­ti­fi­ká­ciu, šif­ro­va­nie TLS, prí­jem poš­ty - šif­ro­va­nie SSL/TLS.

Zdroj: IW 8-9/2013



Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

Mo­bil­né ap­li­ká­cie pre biz­nis – od­po­rú­ča­nia pre fir­my. Preh­ľad fi­rem­ných mo­bil­ných ap­li­ká­cií v SR
Firmy a organizácie sa snažia reagovať na mobilitu, jeden z vlajkových trendov v IT podpore biznisu. Sú pod rastúcim tlakom, aby nasadzovali, prípadne aj vyvíjali mobilné aplikácie. Väčšina mobilných aplikácií sa nasadzuje do segmentu business-to-employee (B2E) a do interakcie podnikateľskej sféry so spotrebiteľmi (B2C).  čítať »
 
TCO: Nao­zaj vie­te, aká je ce­na pre­vádz­ky váš­ho IT?
Dobrá otázka, ale ťažká odpoveď. Že nie? V tom prípade patríte k tým šikovnejším. Prvý krok na ceste k lepšej efektivite vášho IT by mal spočívať v pochopení všetkých položiek, ktoré spolu tvoria celkové náklady na prevádzku IT. čítať »
 
Prog­ra­mu­je­me GPU 24
V tejto časti seriálu sa zameriame na popis algoritmu shadera „tieňov“ (shadows). Rovnako ako v ostatných prípadoch by sme aj k tomuto shaderu mohli napísať menšiu knihu. Preto bude náš popis iba heslovitý s uvedením najzákladnejších čŕt použitého algoritmu. čítať »
 
Dá­to­vý mo­del pre ap­li­ká­cie ty­pu Grid a Split
V minulej časti sme predstavili sablóny Grid App a Split App pre tvorbu aplikácií na prezentáciu údajov. čítať »
 
Do­main Na­me Sys­tem – re­verz­ný prek­lad a re­verz­ný zá­znam
V predchádzajúcej časti sme si popísali konfiguračný súbor named.conf, vysvetlili sme si, čo je to zóna, aké má sekcie, aké môže mať položky, akého typu môže byť a podobne. Zároveň sme si vytvorili vzorový zápis zóny pre primárny a sekundárny DNS server. čítať »
 
Zdie­ľa­nie zdro­jov me­dzi OS Win­dows a OS Li­nux / 13. časť
V tejto časti seriálu sa zameriame na postup zabezpečenia poštového servera Postfix pomocou autentifikácie SMTP a protokolu TLS. čítať »
 
Da­ta­bá­za SQL Server 2014
Prioritou používateľov databázových platforiem je už desiatky rokov „data-driven" rozhodovanie, no v súčasnosti do hry vstupuje nutnosť ukladania, spracúvania a analýz obrovských objemov údajov (big data). čítať »
 
Sof­tvé­ro­vé rie­še­nia na tran­spa­ren­tné šif­ro­va­nie dát
Ochrana dát nesúvisí len s organizovaným zločinom, ale aj konkurenčným zápasom, kde ostrý boj o zákazníka občas vedie k individuálnym zlyhaniam jednotlivcov a metódam, pri ktorých neoprávnený prístup k dátam môže znamenať práve tú kritickú výhodu. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter