2.16. ファイアウォールの設定
Red Hat Enterprise Linux はシステムセキュリティを強化するファイアウォールプロテクションを提供します。ファイアウォールは、コンピュータとネットワークの間に存在し、ネットワーク上のリモートユーザーがこちら側のコンピュータ上のどのリソースにアクセスできるかを決定します。ファイアウォールが適切に設定されていれば、システムのセキュリティは大幅に向上します。
次に、Red Hat Enterprise Linux システムに対してファイアウォールを有効にするかどうかを決定します。
- なし
なし を選択すると、システムへの完全なアクセスを許すことになり、セキュリティチェックがありません。セキュリティチェックは一定のサービスに対するアクセスを無効化します。これは、信頼できるネットワーク(インターネットではない)上で稼働しているか、または後でファイアウォール設定を計画している時のみ選択してください。
- ファイヤーウォールを有効にする
ファイヤーウォールを有効にする を選択すると、システムは明確に指定されていない接続(デフォルト設定以外)は受け付けません。デフォルトでは、DNS 返信または DHCP 要求などの発信要求に対応する接続のみが許可されます。このマシン上で稼働しているサービスへのアクセスが必要な場合には、ファイヤーウォールを通じて特定のサービスのみが許可されるように選択できます。
システムをインターネットに接続している場合はこれが最も安全な選択です。
次に、必要な場合、どのサービスがファイヤーウォールの通過を許可されるかを選択します。
これらのオプションを有効にすると、特定サービスにファイアウォールの通過を許可することになります。デフォルトでは、これらのサービスはシステムにインストール されない 可能性があるので注意してください。必要になるかもしれないオプションはすべて有効にするようにしてください。
- リモートログイン (SSH)
Secure SHell (SSH) はリモートマシンにログインしてコマンドを実行するためのツール群です。SSH ツールを使用し、ファイアウォールを通過させマシンにアクセスする予定がある場合は、このオプションを有効にします。SSH ツールを使用して遠隔操作でマシンにアクセスするためには、openssh-server パッケージがインストールされている必要があります。
- Web サーバ (HTTP、HTTPS)
HTTP と HTTPS プロトコルは web ページを提供するために Apache (及び、他の Web サーバ)によって使用されます。Web サーバを公開する予定がある場合は、このオプションを有効にします。ローカルで web ページを見たり、web ページ開発を行うのにはこのオプションは必要ありません。web ページを提供するには、httpd パッケージをインストールする必要があります。
- ファイル転送 (FTP)
FTP プロトコルはネットワーク上のマシン間でのファイル転送に使用されます。FTP サーバを公開する予定がある場合は、このオプションを有効にします。ファイルを公開提供するには vsftpd パッケージをインストールする必要があります。
- メールサーバ (SMTP)
受信メールがファイアウォールを通過して配信され、リモートホストがメール配信のため直接マシンに接続できるようにようにする場合は、このオプションを有効にします。POP3 や IMAP を使用しているインターネット接続業者 (ISP) のサーバからメールを受信したり、fetchmail などのツールを使用している場合は、このオプションを有効にする必要はありません。SMTP サーバが正しく設定されていないと、リモートマシンがこちらのサーバを使用してスパムメール送信してしまうことができますので注意してください。
注記 デフォルトでは、Sendmail (MTA) はローカルコンピュータ以外のホストからのネットワーク接続は受け付けません。他のクライアントにサーバとして Sendmail を設定するには、/etc/mail/sendmail.mc を編集して、ネットワークデバイス上でもリッスンするよう DAEMON_OPTIONS を変更する必要があります(または、dnl コメント区切り記号を使ってこのオプションを完全にコメントアウトします)。それから、次のコマンドを (root として)実行して /etc/mail/sendmail.cf を生成しなおします。
make -C /etc/mail
これが動作するには sendmail-cf パッケージがインストールされている必要があります。
さらに、Red Hat Enterprise Linux のインストール中、SELinux (Security Enhanced Linux) の設定を行うことができるようになりました。
SELinux ではあらゆる対象(ユーザー、プログラム、プロセス)及び対象物(ファイルやデバイス)に対して詳細なパーミッションを与えることができます。あるアプリケーションが機能するために必要となるパーミッションだけをそのアプリケーションに安全に許可することができます。
Red Hat Enterprise Linux の SELinux 実装は、日常的な作業に対する影響を最小限に抑えながら各種サーバデーモンのセキュリティを向上することを目的としています。
インストール中には 3 レベルの選択が可能です。
無効 — SELinux のセキュリティ制御を有効にする必要がない場合は 無効 を選択します。無効 で設定がオフになり、セキュリティポリシーを使用するようにはマシンの設定を行いません。
警告 — すべての拒否に関する通知を受けるには 警告 を選択します。警告 状態はデータとプログラムにラベルを割り当ててからそのラベルをログしますが、ポリシーは実施しません。最終的には SELinux ポリシーをアクティブにしたいけれどまずは一般的なシステムの動作に対してどのような影響があるのかを確認したいユーザーは、警告 状態から始めるとよいでしょう。警告 状態を選択すると false positive や false negative の通知を受け取ることがありますので注意してください。
アクティブ — SELinux を完全に有効な状態で動作させる場合には アクティブ を選択します。アクティブ レベルは特定ファイルやプログラムに対する許可のないユーザーのアクセスを拒否するなどシステムの保護を強化するためにすべてのポリシーを実施します。このレベルは、SELinux を完全に有効にしてもシステムが正しく機能することを確認している場合にのみ選択してください。
SELinux についての詳細は、次の URL を参照してください。
 | ヒント |
|---|---|
インストールを完了してからセキュリティの設定を変更するには、 セキュリティレベル 設定ツール を使用します。 シェルプロンプトで system-config-securitylevel と入力して セキュリティレベル 設定ツール を起動します。root 以外で操作している場合は、続行するために root パスワードが要求されます。 |