NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Installationshandbuch fur x86, Itanium und AMD64 - Firewall-Konfiguration
Red Hat Enterprise Linux 4: Installationshandbuch f�r x86, Itanium™, AMD64 und Intel® Extended Memory 64 Technology (Intel® EM64T)
Red Hat Enterprise Linux bietet einen Firewall-Schutz als weitere Sicherheit f�r Ihr System. Die Firewall befindet sich zwischen Ihrem Computer und dem Netzwerk und bestimmt, auf welche Ressourcen Ihres Computers Remote-Benutzer des Netzwerks zugreifen k�nnen. Eine korrekt konfigurierte Firewall kann die Sicherheit Ihres Systems erheblich verbessern.
Abbildung 4-18. Firewall-Konfiguration
Als n�chstes k�nnen Sie dar�ber entscheiden, ob Sie eine Firewall f�r Ihr Red Hat Enterprise Linux System aktivieren m�chten.
Keine Firewall
Keine Firewall erlaubt vollst�ndigen Zugang und f�hrt keine Sicherheitspr�fungen durch. Sie sollten dies nur w�hlen, wenn Sie sich in einem sicheren Netzwerk befinden (nicht im Internet), oder wenn Sie planen, eine detaillierte Firewall-Konfiguration sp�ter durchzuf�hren.
Aktiviere Firewall
Wenn Sie Aktiviere Firewall w�hlen, akzeptiert Ihr System keine Verbindungen (mit Ausnahme der Standardeinstellungen), die nicht ausdr�cklich von Ihnen festgelegt wurden. Standardm��ig sind ausschlie�lich Verbindungen erlaubt, die Antworten auf ausgehende Anfragen darstellen, wie DNS-Antworten und DHCP-Anforderungen. Sollte Zugriff auf bestimmte Services erfordert werden, k�nnen diese durch die Firewall gelassen werden.
Wenn Sie Ihr System mit dem Internet verbinden, so ist dies die sicherste Option.
W�hlen Sie als n�chstes die Dienste, falls vorhanden, die durch die Firewall gelassen werden sollen.
Indem Sie diese Option aktivieren, erlauben Sie den ausgew�hlten Diensten, die Firewall zu durchlaufen. Beachten Sie bitte, dass diese Dienste nicht standardm��ig im System installiert werden. Stellen Sie daher sicher, dass Sie alle Optionen, die Sie evtl. ben�tigen, aktivieren.
Fernanmeldung (SSH)
Secure Shell (SSH) ist eine Sammlung von Hilfsprogrammen f�r das Anmelden und Ausf�hren von Befehlen auf einem Remote-Rechner. Wenn Sie auf Ihren Computer �ber eine Firewall mit SSH-Tools zugreifen wollen, sollten Sie die Option aktivieren. Das Paket openssh-server muss zur Fernanmeldung auf Ihren Computer mittels SSH-Tools installiert sein.
WWW (HTTP, HTTPS)
Die HTTP- und HTTPS-Protokolle werden von Apache (und anderen Webservern) f�r das Bereitstellen von Webseiten benutzt. Wenn Sie vorhaben, Ihren Webserver �ffentlich verf�gbar zu machen, aktivieren Sie diese Option. Diese Option ist nicht n�tig, um Seiten lokal anzuzeigen oder um Webseiten zu entwickeln. Sie m�ssen das Paket httpd installieren, wenn Sie Webseiten bereitstellen wollen.
Datei�bertragung (FTP)
Das FTP-Protokoll wird verwendet, um Dateien zwischen verschiedenen Computern eines Netzwerks zu �bertragen. Wenn Sie Ihren FTP-Server �ffentlich zur Verf�gung stellen m�chten, aktivieren Sie diese Option. Installieren Sie das vsftpd-Paket, um Dateien �ffentlich anzubieten.
Mail Server (SMTP)
Wenn Sie die eingehende Mail durch die Firewall zulassen m�chten, so dass sich Remote-Hosts direkt mit Ihrem Computer verbinden k�nnen, um die Mitteilungen zu liefern, aktivieren Sie diese Option. Sie brauchen dies nicht zu tun, wenn Sie Ihre Mail vom Server Ihres ISP �ber POP3 oder IMAP erhalten oder wenn Sie ein Tool wie z.B. fetchmailbenutzen.Beachten Sie dabei, dass ein inkorrekt konfigurierter SMTP-Server es Remote-Rechnern erm�glichen kann, Ihren Server zu benutzen, um Junk-Mails zu versenden.
Anmerkung
Standardm��ig werden vom Sendmail Mail Transport Agent (MTA) keine Netzwerkverbindungen von jeglichen Hosts, au�er dem lokalen Rechner akzeptiert. Um Sendmail als Server f�r andere Clients zu konfigurieren, m�ssen Sie /etc/mail/sendmail.mc bearbeiten und die DAEMON_OPTIONS-Zeile dahingehend zu ver�ndern, dass auch auf andere Netzwerk-Ger�te reagiert wird (Listener Modus) (oder Sie kommentieren diese Option mit Hilfe des dnl Comment-Delimiters v�llig aus). Danach m�ssen Sie /etc/mail/sendmail.cf erneuern, indem Sie folgenden Befehl (als root) ausf�hren:
make -C /etc/mail
Dazu muss das Paket sendmail-cf installiert sein.
Zus�tzlich dazu k�nnen Sie nun SELinux (Security Enhanced Linux) w�hrend Ihrer Red Hat Enterprise Linux-Installation einrichten.
SELinux erm�glicht es Ihnen feink�rnige Rechte f�r alle Subjekte (Benutzer, Programme und Prozesse) und Objekte (Dateien und Ger�te) bereitzustellen. Sie k�nnen bedenkenlos und auf sichere Art an eine Applikation lediglich die Rechte vergeben, welche diese braucht, um ordnungsgem�� zu funktionieren.
Die SELinux-Implementierung unter Red Hat Enterprise Linux ist so ausgelegt, dass die Sicherheit unterschiedlicher Server-Daemons verbessert wird, wobei gleichzeitig die Auswirkungen auf den tagt�glichen Betrieb Ihres Systems minimal gehalten werden.
Es gibt drei Stati, aus denen Sie w�hrend des Installationsvorganges ausw�hlen k�nnen:
Deaktivieren — W�hlen Sie Deaktivieren, wenn Sie auf diesem System die SELinux Security-Policy nicht aktiviert haben m�chten (Gew�hrung aller Zugriffe). Durch die Einstellung Deaktivieren wird der Enforcing Modus abgeschaltet und der der Rechner weiters nicht zur Benutzung der Security Policy konfiguriert.
Warnen — W�hlen Sie Warnen, um �ber jegliche Form von Verweigerung benachrichtigt zu werden. Der Warnen-Status vergibt Labels an Daten und Programme und protokolliert diese, wobei aber keine Security Policys erzwungen werden. Der Warnen-Status ist ein idealer Ausgangspunkt f�r Benutzer, welche eventuell mit einer voll aktivierten SELinux Policy arbeiten m�chten, jedoch aber zuerst an den Auswirkungen einer solchen Policy auf deren allgemeinen Systembetrieb interessiert sind. Beachten Sie dabei, dass Benutzer, welche den Warn-Status ausw�hlen, h�chstwahrscheinlich auch einige falsche positive sowie negative Notifikationen bemerken werden.
Aktiv — W�hlen Sie Aktiv, wenn Sie m�chten, dass SELinux sich in einem v�llig aktiven Status befindet. Der Aktiv-Status erzwingt s�mtliche Policys, wie z.B. das Verweigern des Zugangs f�r unauthorisierte Benutzer zu bestimmten Dateien und Programmen als Form von zus�tzlichem Systemschutz. W�hlen Sie diesen Status nur, wenn Sie sicher sind, dass Ihr System auch bei v�lliger Aktivierung von SELinux immer noch einwandfrei funktionieren kann.
F�r zus�tzliche Information �ber SELinux, siehe folgende URLs:
Wenn Sie Ihre Sicherheitskonfiguration nach der Installation �ndern m�chten, verwenden Sie hierzu das Security Level Configuration Tool.
Geben Sie den Befehl system-config-securitylevel an einem Shell-Prompt ein, um das Security Level Configuration Tool zu starten. Wenn Sie nicht als root angemeldet sind, werden Sie aufgefordert, das root-Passwort einzugeben, um fortfahren zu k�nnen.