Bezbednost u kancelariji: Softver na početku

Suština IT-ja i svakog informacionog okruženja je softver. Nasuprot njemu je hardver koji se tako zove jer Englezi tako zovu svu gvožđuriju, počev od baštenskog alata pa do skupih servera. Ipak, samo sa softverom sve to “gvožđe” počinje nečemu da služi. Za početak je bitno projektovanje i nalaženje pravog izvođača. Moja topla preporuka je da to uvek prepustite profesionalcima, ali i da, kao što ćete pre nego što kupite auto naučiti nešto o motorima, odvojite malo vremena da naučite nešto o softveru. Dva glavna razloga za to su:

1) Da biste znali šta kupujete, tj. šta želite da dobijete.

2) Da biste dobili ono što vam stvarno treba. Informacioni sistem se organizuje prema preduzeću, a niko ne poznaje preduzeće i vašu organizaciju bolje od vas. Softver mora da prati tu organizaciju, a ne obrnuto.

Moje preporuke se takođe tiču i cene. Prvo, kao što sam obećao, sav serverski softver koji preporučujem biće besplatan softver, otvorenog koda. Zato kao operativni sistem preporucujem GNU/Linux. Uz to, obavezno izaberite neku popularnu serversku distribuciju – čime ćete se obezbediti da, ukoliko promenite onoga ko održava, možete lako uspostavite saradnju sa nekim drugim. Moj izbor je CentOS Linux, a dobre opcije su i Debian ili Ubuntu LTS Server. Prednosti ovog pristupa nisu samo u ceni, već i u tome što takav softver mnogo teže može da ostane bez podrške i opcija za nadogradnju. Dodatno, iako ću uvek preporučiti da posao obave profesionalci, moja preporuka je i da nađete nekoga ko će i to obaviti besplatno. U pripremama za ovaj post sam popričao sa nekoliko kolega koji ozbiljno rade taj posao i svi smo se složili: Nađite agenciju sa kojom ćete sklopiti dugoročni ugovor o održavanju, minimum na godinu ili dve dana. Dobićete uslugu koja vam sasvim sigurno treba, a za uzvrat ćete moći da tražite da inicijalna podešavanja budu besplatna.

Početak svakog sistema je organizacija i evo prve preporuke: Zahtevajte da se svi podaci drže u direktorijumskoj strukturi koristeći OpenLDAP. Dobićete smislenu strukturu koja će podeliti preduzeće (organizaciju), na organizacione jedinice i grupisati ih. Osnovne grupe su zaposleni, grupe zaposlenih (organizacione celine – npr. knjigovodstvo, marketing… ), zatim na računare i konačno na email aliase (o njima nešto kasnije). Ovu podelu je najbolje da osmislite sami, pre nego što počnete sa poslom: nađite popis opreme, popišite računare, popišite i zaposlene i podelite ih na grupe po organizaciji. Ovo će vam omogućiti da sve podatke držite na jednom mestu, tako da njima lakše možete upravljati, ali će i zaposlenima omogućiti da koriste jedan identitet unutar cele organizacije. Konačno, svakom zaposlenom će trebati neko korisničko ime, pa razmislite i o tome. Nije loša ideja i da ih unificirate, dosta preduzeća bira oblike tipa ime.prezime ili prvoslovoimena.prezime.

Jednom kad je LDAP struktura na mestu, sledeći korak je Samba. Ovaj servis može podatke o korisnicima da čita iz LDAP-a, a ponudiće vam dve osnovne usluge. Prva je mogućnost smeštanja fajlova na server, kao i njihovo deljenje. Svakom zaposlenom možete (i potrebno je) dodeliti neki lični prostor, gde može da drži rezervne kopija fajlova na kojima radi. Dodatno, možete napraviti deljena mesta za fajlove, kako ona gde svi mogu da pristupaju, tako i neka kojima može da pristupi samo jedna grupa. Vrlo zgodno i mnogo brže od deljenja USB stikovima, šetanja ili, još gore, slanja mejlom. Druga, još bitnija, mogućnost je centralizovano logovanje: Više ne morate zaposlenima praviti naloge po računarima, već samo računare pridružiti lokalnom domenu, dok se zaposleni loguju sa nalogom sa LDAP-a. Ovo vam omogućava da lako nekome zabranite pristup, ili ga promenite, kao i to da neko ko ostane bez računara lako može sa istim podacima samo nastavi da radi na nekom slobodnom računari. Uz fajlove koji već stoje na serveru više nema problema ako neki računar mora na servis.

Treći korak je elektronska pošta (e-mail), a naš izbor je Postfix mejl server i Dovecot lokalni mejl agent, sa Sieve filterima. Kao i sve gore navedeno, ovo je ista konfiguracija koju koristimo i u Limundu, a odlikuju je brzina, relativno lako podešavanje, kao i brojne dodatne mogućnosti. Uz dodatne opcije, kao što su postgrey, clam antivirus i spamassassin, uz povezivanje na besplatne RBL liste, dobićete lokalni mejl server za vaš domen koji vas štiti od virusa i neželjene pošte, plus ćete omogućiti da sav saobraćaj između zaposlenih ne odlazi van preduzeća. Po meni, ovo je možda i najvažnija prednost. Za razliku od onoga što možete dobiti od provajdera, dodatna prednost je IMAP Storage koji će svim korisnicima omogućiti da mejlovi stoje na serveru. Ovo je posebno korisno ako neko treba da pogleda poštu dok je na putu ili radi od kuće. Dodatno, možete zadržati vašeg sadašnjeg provajdera i zamoliti ga da vam pruži usluge sekundarnog mejl servera: ovo znači da će, u slučaju da vaš server ne radi (npr. internet link vam je u prekidu), mejl privremeno stiže kod njega, a on će vam ga proslediti kad vaš server nastavi sa radom. Konačno, kao što sam gore spomenuo, na njemu možete definisati i aliase, tj. adrese koje ne odgovaraju jednoj osobi, već nekoj funkciji. Npr. mejl adresa office@mojdomen.tld može ići finansijama, ili sekretarici, ili možda nekom trećem zaduženom za kontakte sa javnošću, a može ići i na više adresa. Ono što je najbitnije jeste da ih možete imati koliko god želite i da ta podešavanja možete menjati kad vama to odgovara brzo i jednostavno.

Konačno, mali veb server (web server), u vidu Apache servera, sa PHP-om kao jezikom za proširenja, jako je zgodan. Instalirajte i bar minimalnu verziju MySQL baze i imaćete u preduzeću okruženje koje drži preko 50% internet sajtova. Ovde možete, ako imate dovoljno brz internet, da držite i vaš sajt i time dobijete hosting kojim ćete mnogo lakše upravljati, ali to je možda i najmanje bitan deo. Hosting uvek može da ostane i van mreže, kod provajdera, gde vam neće opterećivati sitem, a ono što je prava prednost su intranet i extranet servisi. Dva najvažnija se tiču LDAP-a i pošte. Prvo, phpLDAPamin će vam dati uvid u celu strukturu organizacije, uz lak pregled i mogućnost da vidite šta, gde i kome ide i ko gde pripada. Još bitnije, neki veb mejl (WebMail) klijent će vam omogućiti da svojoj pošti pristupate, ne samo iz e-mail klijenta za desktop (mi preporučujemo Mozilla Thunderbird), već i iz pretraživača (browser). Naš predlog je roundcube, moderan i brz klijent koji će vam omogućiti ne samo pristup pošti, već i podešavanje dodatnih Sieve filtera.

U nastavku malo više o klijentima, mejl filterima i tome kako ih podesiti, kao i o dodatnom softveru i za server i za klijent.