4.19. Configuraci�n del cortafuegos
Red Hat Enterprise Linux tambi�n le ofrece protecci�n v�a cortafuegos (firewall) para una seguridad mejorada del sistema. Un cortafuegos se dispone entre su ordenador y la red y determina qu� recursos de su equipo est�n accesibles para los usuarios remotos de la red. Un cortafuegos bien configurado puede aumentar significativamente la seguridad de su sistema
Luego, puede decidir si desea habilitar el cortafuegos para su sistema Red Hat Enterprise Linux.
- Ning�n cortafuegos
La configuraci�n Ning�n cortafuegos proporciona un acceso completo al sistema y no realiza ning�n tipo de verificaci�n de seguridad. La comprobaci�n de seguridad es la desactivaci�n del acceso a determinados servicios. Tan s�lo se recomienda esta opci�n si est� usando una red certificada y segura (no Internet), o si planea realizar una configuraci�n detallada del cortafuegos m�s adelante.
- Habilitar cortafuegos
Si elige Habilitar cortafuegos, su sistema no aceptar� m�s que las conexiones (adem�s de las definidas por defecto) que hayan sido expl�citamente definidas por usted. Por defecto, s�lo se aceptan las conexiones en respuesta a las peticiones salientes, tales como respuestas a DNS o peticiones DHCP. Si se requiere el acceso a servicios en esta m�quina, puede seleccionar permitir ciertos servicios a trav�s del cortafuegos.
Si conecta su sistema a Internet, �sta es la opci�n m�s segura a seleccionar.
Luego, seleccione cu�les servicios, si existen, se deber�an permitir pasar a trav�s del cortafuegos.
Al activar estas opciones, permitir� que los servicios especificados puedan pasar a trav�s del cortafuegos. Tenga en cuenta que estos servicios puede que no est�n instalados en el sistema por defecto. Aseg�rese de habilitar cualquier opci�n que necesite.
- Conexi�n remota (SSH)
Secure SHell (SSH) es un paquete de utilidades para poder conectarse y ejecutar programas en una m�quina remota. Si planea utilizar las utilidades SSH para accesar su m�quina a trav�s de un cortafuegos, deber� activar esta opci�n. Necesitar� tener el paquete openssh-server instalado para acceder a la m�quina remotamente utilizando las herramientas SSH.
- Servidor Web (HTTP, HTTPS)
Los protocolos HTTP y HTTPS son utilizados por Apache (y otros servidores web) para servir p�ginas web. Si quiere crear un servidor web disponible p�blicamente, habilite esta opci�n. Esta opci�n no es necesaria para la publicaci�n de p�ginas web localmente o para el desarrollo de p�ginas web. Necesitar� instalar el paquete httpd si quiere servir p�ginas web.
- Transferencia de archivos (FTP)
El protocolo FTP se utiliza para transferir archivos entre m�quinas en una red. Si planea colocar un servidor FTP disponible p�blicamente, habilite esta opci�n. Necesitar� instalar el paquete vsftpd para poder servir archivos p�blicamente.
- Servidor de correo (SMTP)
Si desea permitir la entrega de correo a trav�s de su cortafuegos, de tal forma que los hosts remotos se puedan conectar directamente a su m�quina para repartir el correo, habilite esta opci�n. No necesita esta opci�n para obtener su correo desde su servidor ISP usando POP3 o IMAP, o si utiliza una herramienta como fetchmail. Observe que un servidor configurado inadecuadamente puede permitir que m�quinas remotas usen su servidor para enviar correo basura.
| Nota |
---|
| Por defecto, el agente de transporte (MTA) Sendmail no acepta conexiones de red desde ning�n host exepto la m�quina local. Para configurar Sendmail como un servidor para otros clientes, debe editar /etc/mail/sendmail.mc y cambiar la l�nea DAEMON_OPTIONS para que tambi�n escuche en dispositivos de red (o coloque esta opci�n en comentarios usando el delimitador dnl). Luego deber� volver a generar /etc/mail/sendmail.cf ejecutando el comando siguiente (como root): Tiene que tener el paquete sendmail-cf instalado para que esto funcione. |
Adicionalmente, puede configurar SELinux (Security Enhanced Linux) durante la instalaci�n de Red Hat Enterprise Linux.
SELinux le permite proporcionar permisos de forma granulada para todos los sujetos (usuarios, programas y procesos) y objetos (archivos y dispositivos). De forma segura puede otorgarle solamente los permisos que una aplicaci�n necesita para funcionar.
La implementaci�n de SELinux en Red Hat Enterprise Linux est� dise�ada para mejorar la seguridad de varios demonios de servidores a la vez que se minimiza el impacto de las operaciones cotidianas de su sistema.
Est�n disponibles tres estados para seleccionar durante el proceso de instalaci�n:
Inhabilitado — Seleccione Inhabilitado si no desea activar los controles de SELinux en este sistema. La configuraci�n Inhabilitado hace que la m�quina no utilice las pol�ticas de seguridad.
Atenci�n — Seleccione Atenci�n para que se le notifique de cualquier detalle. El estado Atenci�n asigna etiquetas a los datos y programas, y los registra, pero no hace cumplir ninguna pol�tica. El estado Atenci�n es un buen estado de comienzo para los usuarios que eventualmente desean activar completamente SELinux, pero primero quieren ver los efectos que tendr�n las pol�ticas en su operaci�n general del sistema. Observe que los usuarios seleccionando el estado Atenci�n pueden experimentar algunas notificaciones de falsos positivos o negativos.
Activo — Seleccione Activo si desea que SELinux act�e en un estado completamente activo. El estado Activo hace cumplir todas las pol�ticas, tal como negar el acceso a los usuarios no autorizados para ciertos archivos y programas, para protecci�n adicional del sistema. Seleccione este estado si est� seguro de que su sistema puede funcionar adecuadamente con SELinux activado completamente.
Para informaci�n adicional sobre SELinux, consulte el siguiente enlace:
| Sugerencia |
---|
| Para cambiar su configuraci�n de seguridad despu�s de haber finalizado la instalaci�n, use la Herramienta de configuraci�n de nivel de seguridad. Escriba el comando system-config-securitylevel en la shell de la l�nea de comandos para lanzar la Herramienta de configuraci�n de nivel de seguridad. Si no es root, se le pedir� la contrase�a root para continuar. |