Red Hat Enterprise Linux bietet einen Firewall-Schutz als weitere Sicherheit f�r Ihr System. Die Firewall befindet sich zwischen Ihrem Computer und dem Netzwerk und bestimmt, auf welche Ressourcen Ihres Computers Remote-Benutzer des Netzwerks zugreifen k�nnen. Eine korrekt konfigurierte Firewall kann die Sicherheit Ihres Systems erheblich verbessern.
Abbildung 4-18. Firewall-Konfiguration
Als n�chstes k�nnen Sie dar�ber entscheiden, ob Sie eine Firewall f�r Ihr Red Hat Enterprise Linux System aktivieren m�chten.
Keine Firewall
Keine Firewall erlaubt vollst�ndigen Zugang und f�hrt keine Sicherheitspr�fungen durch. Sie sollten dies nur w�hlen, wenn Sie sich in einem sicheren Netzwerk befinden (nicht im Internet), oder wenn Sie planen, eine detaillierte Firewall-Konfiguration sp�ter durchzuf�hren.
Aktiviere Firewall
Wenn Sie Aktiviere Firewall w�hlen, akzeptiert Ihr System keine Verbindungen (mit Ausnahme der Standardeinstellungen), die nicht ausdr�cklich von Ihnen festgelegt wurden. Standardm��ig sind ausschlie�lich Verbindungen erlaubt, die Antworten auf ausgehende Anfragen darstellen, wie DNS-Antworten und DHCP-Anforderungen. Sollte Zugriff auf bestimmte Services erfordert werden, k�nnen diese durch die Firewall gelassen werden.
Wenn Sie Ihr System mit dem Internet verbinden, so ist dies die sicherste Option.
W�hlen Sie als n�chstes die Dienste, falls vorhanden, die durch die Firewall gelassen werden sollen.
Indem Sie diese Option aktivieren, erlauben Sie den ausgew�hlten Diensten, die Firewall zu durchlaufen. Beachten Sie bitte, dass diese Dienste nicht standardm��ig im System installiert werden. Stellen Sie daher sicher, dass Sie alle Optionen, die Sie evtl. ben�tigen, aktivieren.
Fernanmeldung (SSH)
Secure Shell (SSH) ist eine Sammlung von Hilfsprogrammen f�r das Anmelden und Ausf�hren von Befehlen auf einem Remote-Rechner. Wenn Sie auf Ihren Computer �ber eine Firewall mit SSH-Tools zugreifen wollen, sollten Sie die Option aktivieren. Das Paket openssh-server muss zur Fernanmeldung auf Ihren Computer mittels SSH-Tools installiert sein.
WWW (HTTP, HTTPS)
Die HTTP- und HTTPS-Protokolle werden von Apache (und anderen Webservern) f�r das Bereitstellen von Webseiten benutzt. Wenn Sie vorhaben, Ihren Webserver �ffentlich verf�gbar zu machen, aktivieren Sie diese Option. Diese Option ist nicht n�tig, um Seiten lokal anzuzeigen oder um Webseiten zu entwickeln. Sie m�ssen das Paket httpd installieren, wenn Sie Webseiten bereitstellen wollen.
Datei�bertragung (FTP)
Das FTP-Protokoll wird verwendet, um Dateien zwischen verschiedenen Computern eines Netzwerks zu �bertragen. Wenn Sie Ihren FTP-Server �ffentlich zur Verf�gung stellen m�chten, aktivieren Sie diese Option. Installieren Sie das vsftpd-Paket, um Dateien �ffentlich anzubieten.
Mail Server (SMTP)
Wenn Sie die eingehende Mail durch die Firewall zulassen m�chten, so dass sich Remote-Hosts direkt mit Ihrem Computer verbinden k�nnen, um die Mitteilungen zu liefern, aktivieren Sie diese Option. Sie brauchen dies nicht zu tun, wenn Sie Ihre Mail vom Server Ihres ISP �ber POP3 oder IMAP erhalten oder wenn Sie ein Tool wie z.B. fetchmailbenutzen.Beachten Sie dabei, dass ein inkorrekt konfigurierter SMTP-Server es Remote-Rechnern erm�glichen kann, Ihren Server zu benutzen, um Junk-Mails zu versenden.
Anmerkung
Standardm��ig werden vom Sendmail Mail Transport Agent (MTA) keine Netzwerkverbindungen von jeglichen Hosts, au�er dem lokalen Rechner akzeptiert. Um Sendmail als Server f�r andere Clients zu konfigurieren, m�ssen Sie /etc/mail/sendmail.mc bearbeiten und die DAEMON_OPTIONS-Zeile dahingehend zu ver�ndern, dass auch auf andere Netzwerk-Ger�te reagiert wird (Listener Modus) (oder Sie kommentieren diese Option mit Hilfe des dnl Comment-Delimiters v�llig aus). Danach m�ssen Sie /etc/mail/sendmail.cf erneuern, indem Sie folgenden Befehl (als root) ausf�hren:
make -C /etc/mail
Dazu muss das Paket sendmail-cf installiert sein.
Zus�tzlich dazu k�nnen Sie nun SELinux (Security Enhanced Linux) w�hrend Ihrer Red Hat Enterprise Linux-Installation einrichten.
SELinux erm�glicht es Ihnen feink�rnige Rechte f�r alle Subjekte (Benutzer, Programme und Prozesse) und Objekte (Dateien und Ger�te) bereitzustellen. Sie k�nnen bedenkenlos und auf sichere Art an eine Applikation lediglich die Rechte vergeben, welche diese braucht, um ordnungsgem�� zu funktionieren.
Die SELinux-Implementierung unter Red Hat Enterprise Linux ist so ausgelegt, dass die Sicherheit unterschiedlicher Server-Daemons verbessert wird, wobei gleichzeitig die Auswirkungen auf den tagt�glichen Betrieb Ihres Systems minimal gehalten werden.
Es gibt drei Stati, aus denen Sie w�hrend des Installationsvorganges ausw�hlen k�nnen:
Deaktivieren — W�hlen Sie Deaktivieren, wenn Sie auf diesem System die SELinux Security-Policy nicht aktiviert haben m�chten (Gew�hrung aller Zugriffe). Durch die Einstellung Deaktivieren wird der Enforcing Modus abgeschaltet und der der Rechner weiters nicht zur Benutzung der Security Policy konfiguriert.
Warnen — W�hlen Sie Warnen, um �ber jegliche Form von Verweigerung benachrichtigt zu werden. Der Warnen-Status vergibt Labels an Daten und Programme und protokolliert diese, wobei aber keine Security Policys erzwungen werden. Der Warnen-Status ist ein idealer Ausgangspunkt f�r Benutzer, welche eventuell mit einer voll aktivierten SELinux Policy arbeiten m�chten, jedoch aber zuerst an den Auswirkungen einer solchen Policy auf deren allgemeinen Systembetrieb interessiert sind. Beachten Sie dabei, dass Benutzer, welche den Warn-Status ausw�hlen, h�chstwahrscheinlich auch einige falsche positive sowie negative Notifikationen bemerken werden.
Aktiv — W�hlen Sie Aktiv, wenn Sie m�chten, dass SELinux sich in einem v�llig aktiven Status befindet. Der Aktiv-Status erzwingt s�mtliche Policys, wie z.B. das Verweigern des Zugangs f�r unauthorisierte Benutzer zu bestimmten Dateien und Programmen als Form von zus�tzlichem Systemschutz. W�hlen Sie diesen Status nur, wenn Sie sicher sind, dass Ihr System auch bei v�lliger Aktivierung von SELinux immer noch einwandfrei funktionieren kann.
F�r zus�tzliche Information �ber SELinux, siehe folgende URLs:
Wenn Sie Ihre Sicherheitskonfiguration nach der Installation �ndern m�chten, verwenden Sie hierzu das Security Level Configuration Tool.
Geben Sie den Befehl system-config-securitylevel an einem Shell-Prompt ein, um das Security Level Configuration Tool zu starten. Wenn Sie nicht als root angemeldet sind, werden Sie aufgefordert, das root-Passwort einzugeben, um fortfahren zu k�nnen.