Zmauditswatch permette di notificare tramite email l’account che è stato bloccato da Zimbra dopo aver inserito un numero di password errate.
Questa funzionalità segnala inoltre eventuali attacchi di brute force per tutti gli account presenti all’interno del server.
La prima operazione che deve essere effettuata è quella di indicare a Zimbra l’indirizzo email alla quale consegnare questa notifica
Per verificare che l’indirizzo inserito sia corretto potete analizzare il log /opt/zimbra/log/zmauditswatch.out
I valori impostati di defualt da Zimbra sono:
zimbra_swatch_ipacct_threshold=10
zimbra_swatch_acct_threshold=10
zimbra_swatch_ip_threshold=20
zimbra_swatch_total_threshold=100
Potete modificare questi parametri utilizzando i comandi sotto:
zmlocalconfig -e zimbra_swatch_ipacct_threshold=10
zmlocalconfig -e zimbra_swatch_acct_threshold=15
zmlocalconfig -e zimbra_swatch_ip_threshold=20
zmlocalconfig -e zimbra_swatch_total_threshold=60
zmlocalconfig -e zimbra_swatch_threshold_seconds=3600
Inserendo i valori preferiti.
Per attivare il servizio, che di default in Zimbra è disabilitato, da utente Zimbra lanciate
Lo zmauditswatchctl invierà una notifica all’indirizzo email che abbiamo definito in precedenza come sotto:
e una volta aperta avrà la seguente forma
