Bản vá Zimbra Daffodil 10.0.2, 9.0.0 Patch-34 & 8.8.15 Patch-41

Bản vá này có các cập nhật quan trọng về bảo mật và đặc biệt là nâng cấp phiên bản OpenSSL 3.0.x hỗ trợ FIPS. Bạn sẽ không cần thao tác cấu hình gì liên quan đến OpenSSL. Tuy nhiên, một số client vẫn sử dụng các phiên bản ứng dụng (như Outlook) cũ có thể gặp vấn đề. Khi này bạn sẽ cần tắt OpenSSL FIPS đi (xem hướng dẫn phía dưới).

Để tắt FIPS provider

Với quyền root, thực hiện như sau.
Tạo bản backup cho file openssl.cnf
cd /opt/zimbra/common/etc/ssl
cp openssl.cnf /root/openssl.cnf

Copy openssl-source.cnf file
cd /opt/zimbra/common/etc/ssl
cp openssl-source.cnf openssl.cnf

Xác nhận FIPS provider đã được tắt
/opt/zimbra/common/bin/openssl list --providers

Chỉnh sửa file openssl.cnf
vi /opt/zimbra/common/etc/ssl/openssl.cnf
Thêm vào nội dung sau
[openssl_init]
ssl_conf = ssl_sect
[ssl_sect]
system_default = system_default_sect
[system_default_sect]
CipherString = DEFAULT:@SECLEVEL=0

Với quyền Zimbra, chạy lệnh sau
su - zimbra
zmcontrol restart

Để bật FIPS provider

Với quyền root thực hiện như sau.
Sao lưu file openssl.cnf
cd /opt/zimbra/common/etc/ssl
cp openssl.cnf /root/openssl.cnf

Copy openssl-fips.cnf file
cd /opt/zimbra/common/etc/ssl
cp openssl-fips.cnf openssl.cnf

Xác nhận FIPS provider đã được bật (liệt kê).
/opt/zimbra/common/bin/openssl list --providers

Với quyền Zimbra, chạy lệnh sau
su - zimbra
zmcontrol restart

Để sử dụng SSO, bạn cần kiểm tra hệ thống đã có virtual hostname.

su - zimbra
zmprov gd domain_name zimbraVirtualHostName

Để set virutal hostname. Thay đổi domain_name và virutal_hostname cho phù hợp với hệ thống.
zmprov md domain_name zimbraVirtualHostName virtual_hostname

Trước khi tiến hành cài đặt bản vá, bạn cần tạo snapshot hệ thống. Bản vá này reset các cấu hình bạn đã thay đổi cho postconf. Bạn cần phải thực hiện lại các thay đổi nếu có.

Tiến hành sao lưu lại cấu hình postconf hiện tại với quyền Zimbra

su - zimbra 
cp -axv ~/conf/zmconfigd.cf /tmp/zmconfigd.cf-prepatch
cp -axv ~/conf/amavisd.conf.in /tmp/amavisd.conf.in-prepatch
cp -axv ~/common/conf/transport /tmp/transport-prepatch
cp -axv ~/common/conf/main.cf /tmp/main.cf-prepatch
postconf -n | sort >> /tmp/postconf-prepatch.txt

Thực hiện Update.

Nếu bạn dùng single server, thực hiện theo quy trình sau, chúng tôi trình bày chủ yếu cho Ubuntu, trên Centos/Redhat bạn tiến hành tương tự.

Kiểm tra, cập nhật dữ liệu update, với quyền root

apt-get update     #Ubuntu
yum clean metadata #Redhat
yum check-update   #Redhat

Cài đặt các gói sau

apt-get install zimbra-common-core-jar zimbra-common-core-libs zimbra-mbox-store-libs

Tiến hành update

apt-get upgrade

Khởi động lại zimbra

su - zimbra
zmcontrol restart

Nếu bạn đang dùng mô hình multi server, bạn thực hiện theo thứ tự sau

Cập nhật LDAP server, Với quyền root, cài đặt gói sau.

apt-get update
apt-get install zimbra-ldap-patch

Khởi động lại zimbra
su - zimbra
zmcontrol restart

Cập nhật proxy server, với quyền root cài đặt

apt-get update
apt-get install zimbra-proxy-patch

Khởi động lại proxy và memcached
su - zimbra
zmcontrol restart

Cập nhật mta, với quyền root cài đặt

apt-get update
apt-get install zimbra-mta-patch

Khởi động lại server
su - zimbra
zmcontrol restart

Cập nhật mailstore server, bản vá này đã bao gồm việc cài đặt các gói zimbra-common-core-jar zimbra-common-core-libs zimbra-mbox-store-libs, với quyền root cài đặt:

apt-get update
apt-get install zimbra-common-core-jar zimbra-common-core-libs zimbra-mbox-store-libs
apt-get install zimbra-patch
apt-get install zimbra-apache-components
apt-get install zimbra-spell-components

Khởi động lại zimbra
su - zimbra
zmcontrol restart

Nếu bạn muốn cập nhật hệ điều hành, với quyền root, trên tất cả server

apt-get upgrade

Trên zimbra 10, nếu bạn muốn cài đặt Rabbitmq

apt-get install zimbra-rabbitmq-server

Bạn có thể cài đặt/cập nhật các zimlet thường dùng trên zimbra 8.8.15 và zimbra 9 (lưu ý không gồm zimbra 10):

yum install zimbra-network-modules-ng
yum install zimbra-connect
yum install zimbra-zimlet-auth
yum install zimbra-docs
yum install zimbra-drive-ng

Trên Zimbra 10, chọn cài đặt/update các zimlet bạn muốn sử dụng:

yum install zimbra-zimlet-slack
yum install zimbra-zimlet-zoom
yum install zimbra-zimlet-dropbox
yum install zimbra-zimlet-google-drive
yum install zimbra-zimlet-onedrive
yum install zimbra-zimlet-jitsi
yum install zimbra-zimlet-video-call-preferences
yum install zimbra-zimlet-nextcloud
yum install zimbra-zimlet-voice-message
yum install zimbra-zimlet-sideloader
yum install zimbra-zimlet-user-sessions-management
yum install zimbra-zimlet-org-chart
yum install zimbra-zimlet-privacy-protector

Bước cuối cùng bạn cần kiểm tra xem sự khác nhau giữa cấu hình postfix mới và cũ mà bạn đã sao lưu ở trên.

su - zimbra
cp -axv ~/conf/zmconfigd.cf /tmp/zmconfigd.cf-postpatch
cp -axv ~/conf/amavisd.conf.in /tmp/amavisd.conf.in-postpatch
cp -axv ~/common/conf/transport /tmp/transport-postpatch
cp -axv ~/common/conf/main.cf /tmp/main.cf-postpatch
postconf -n | sort >> /tmp/postconf-postpatch.txt

Tiến hành so sánh các file trước và sau khi update để tìm sự khác biệt. Ví dụ
diff -u /tmp/postconf-prepatch.txt /tmp/postconf-postpatch.txt

Xem kết quả và thực hiện lại các thay đổi bạn đã làm.

Zimbra khuyến nghị bạn sử dụng các mã hoá mạnh, tham khảo tại đây.

Có thể bạn sẽ gặp lỗi không thể truy cập vào webmail và webadmin như được mô tả tại đây.