Bản vá này có các cập nhật quan trọng về bảo mật và đặc biệt là nâng cấp phiên bản OpenSSL 3.0.x hỗ trợ FIPS. Bạn sẽ không cần thao tác cấu hình gì liên quan đến OpenSSL. Tuy nhiên, một số client vẫn sử dụng các phiên bản ứng dụng (như Outlook) cũ có thể gặp vấn đề. Khi này bạn sẽ cần tắt OpenSSL FIPS đi (xem hướng dẫn phía dưới).
Để tắt FIPS provider
Với quyền root, thực hiện như sau.
Tạo bản backup cho file openssl.cnf
cd /opt/zimbra/common/etc/ssl
cp openssl.cnf /root/openssl.cnf
Copy openssl-source.cnf file
cd /opt/zimbra/common/etc/ssl
cp openssl-source.cnf openssl.cnf
Xác nhận FIPS provider đã được tắt
/opt/zimbra/common/bin/openssl list --providers
Chỉnh sửa file openssl.cnf
vi /opt/zimbra/common/etc/ssl/openssl.cnf
Thêm vào nội dung sau
[openssl_init]
ssl_conf = ssl_sect
[ssl_sect]
system_default = system_default_sect
[system_default_sect]
CipherString = DEFAULT:@SECLEVEL=0
Với quyền Zimbra, chạy lệnh sau
su - zimbra
zmcontrol restart
Để bật FIPS provider
Với quyền root thực hiện như sau.
Sao lưu file openssl.cnf
cd /opt/zimbra/common/etc/ssl
cp openssl.cnf /root/openssl.cnf
Copy openssl-fips.cnf file
cd /opt/zimbra/common/etc/ssl
cp openssl-fips.cnf openssl.cnf
Xác nhận FIPS provider đã được bật (liệt kê).
/opt/zimbra/common/bin/openssl list --providers
Với quyền Zimbra, chạy lệnh sau
su - zimbra
zmcontrol restart
Để sử dụng SSO, bạn cần kiểm tra hệ thống đã có virtual hostname.
su - zimbra
zmprov gd domain_name zimbraVirtualHostName
Để set virutal hostname. Thay đổi domain_name và virutal_hostname cho phù hợp với hệ thống.
zmprov md domain_name zimbraVirtualHostName virtual_hostname
Trước khi tiến hành cài đặt bản vá, bạn cần tạo snapshot hệ thống. Bản vá này reset các cấu hình bạn đã thay đổi cho postconf. Bạn cần phải thực hiện lại các thay đổi nếu có.
Tiến hành sao lưu lại cấu hình postconf hiện tại với quyền Zimbra
su - zimbra
cp -axv ~/conf/zmconfigd.cf /tmp/zmconfigd.cf-prepatch
cp -axv ~/conf/amavisd.conf.in /tmp/amavisd.conf.in-prepatch
cp -axv ~/common/conf/transport /tmp/transport-prepatch
cp -axv ~/common/conf/main.cf /tmp/main.cf-prepatch
postconf -n | sort >> /tmp/postconf-prepatch.txt
Thực hiện Update.
Nếu bạn dùng single server, thực hiện theo quy trình sau, chúng tôi trình bày chủ yếu cho Ubuntu, trên Centos/Redhat bạn tiến hành tương tự.
Kiểm tra, cập nhật dữ liệu update, với quyền root
apt-get update #Ubuntu
yum clean metadata #Redhat
yum check-update #Redhat
Cài đặt các gói sau
apt-get install zimbra-common-core-jar zimbra-common-core-libs zimbra-mbox-store-libs
Tiến hành update
apt-get upgrade
Khởi động lại zimbra
su - zimbra
zmcontrol restart
Nếu bạn đang dùng mô hình multi server, bạn thực hiện theo thứ tự sau
Cập nhật LDAP server, Với quyền root, cài đặt gói sau.
apt-get update
apt-get install zimbra-ldap-patch
Khởi động lại zimbra
su - zimbra
zmcontrol restart
Cập nhật proxy server, với quyền root cài đặt
apt-get update
apt-get install zimbra-proxy-patch
Khởi động lại proxy và memcached
su - zimbra
zmcontrol restart
Cập nhật mta, với quyền root cài đặt
apt-get update
apt-get install zimbra-mta-patch
Khởi động lại server
su - zimbra
zmcontrol restart
Cập nhật mailstore server, bản vá này đã bao gồm việc cài đặt các gói zimbra-common-core-jar zimbra-common-core-libs zimbra-mbox-store-libs, với quyền root cài đặt:
apt-get update
apt-get install zimbra-common-core-jar zimbra-common-core-libs zimbra-mbox-store-libs
apt-get install zimbra-patch
apt-get install zimbra-apache-components
apt-get install zimbra-spell-components
Khởi động lại zimbra
su - zimbra
zmcontrol restart
Nếu bạn muốn cập nhật hệ điều hành, với quyền root, trên tất cả server
apt-get upgrade
Trên zimbra 10, nếu bạn muốn cài đặt Rabbitmq
apt-get install zimbra-rabbitmq-server
Bạn có thể cài đặt/cập nhật các zimlet thường dùng trên zimbra 8.8.15 và zimbra 9 (lưu ý không gồm zimbra 10):
yum install zimbra-network-modules-ng
yum install zimbra-connect
yum install zimbra-zimlet-auth
yum install zimbra-docs
yum install zimbra-drive-ng
Trên Zimbra 10, chọn cài đặt/update các zimlet bạn muốn sử dụng:
yum install zimbra-zimlet-slack
yum install zimbra-zimlet-zoom
yum install zimbra-zimlet-dropbox
yum install zimbra-zimlet-google-drive
yum install zimbra-zimlet-onedrive
yum install zimbra-zimlet-jitsi
yum install zimbra-zimlet-video-call-preferences
yum install zimbra-zimlet-nextcloud
yum install zimbra-zimlet-voice-message
yum install zimbra-zimlet-sideloader
yum install zimbra-zimlet-user-sessions-management
yum install zimbra-zimlet-org-chart
yum install zimbra-zimlet-privacy-protector
Bước cuối cùng bạn cần kiểm tra xem sự khác nhau giữa cấu hình postfix mới và cũ mà bạn đã sao lưu ở trên.
su - zimbra
cp -axv ~/conf/zmconfigd.cf /tmp/zmconfigd.cf-postpatch
cp -axv ~/conf/amavisd.conf.in /tmp/amavisd.conf.in-postpatch
cp -axv ~/common/conf/transport /tmp/transport-postpatch
cp -axv ~/common/conf/main.cf /tmp/main.cf-postpatch
postconf -n | sort >> /tmp/postconf-postpatch.txt
Tiến hành so sánh các file trước và sau khi update để tìm sự khác biệt. Ví dụ
diff -u /tmp/postconf-prepatch.txt /tmp/postconf-postpatch.txt
Xem kết quả và thực hiện lại các thay đổi bạn đã làm.
Zimbra khuyến nghị bạn sử dụng các mã hoá mạnh, tham khảo tại đây.
Có thể bạn sẽ gặp lỗi không thể truy cập vào webmail và webadmin như được mô tả tại đây.